Upload
youssef-alaoui
View
275
Download
12
Embed Size (px)
Citation preview
Administration Windows
Aspects Avancés
Pr. Mohammed ELKOUTBI
ENSIAS 2009-2010
Plan du cours
Module 1 : Résolution de noms DNS Module 2 : Services de publication Module 3 : Résolution de noms WINS Module 4 : Service DHCP Module 5 : Configuration d'un serveur
Windows en tant que routeur Module 6 : Configuration de l'accès Internet pour
un réseau Module 7 : Infrastructure de clé publique Module 8 : Sécurité du réseau Module 9 : Active Directory
Introduction
Accès distantIntranet
Bureau distant
Clients
Extranet
RouteurRouteur
Serveur
Clients
RouteurRouteur
Clients
RouteurRouteur
Internet
Serveur Serveur
Introduction
Services de l’Internet Navigation sur le Web (HTTP, HTTPS) Messagerie électronique (SMTP) Transfert de fichiers (FTP, SFTP) Résolution de noms (DNS, DNSSec) Routage (RIP, OSPF, BGP, …) Translation d’adresse (NAT)
Services réseaux d’entreprise Configuration dynamique (DHCP) Partage de Fichiers (NFS) Impression (LPR/LPD) Lecture du courrier (POP, IMAP)
Service de nommage
Méthodes standard de résolution des noms d'hôte Nom d'hôte local Fichier Hosts Serveur DNS
Méthodes de résolution des noms d'hôte spécifiques à Microsoft Diffusion locale Fichier Lmhosts WINS (RFC 1001 et 1002)
Les méthodes de résolution des noms d'hôte sont configurables
Service DNS
Domain Name SystemRFC 882, 883 puis 1034, 1035 Système hiérarchique (modèle en arborescence),
Redondant et distribué
Gestion décentralisée des bases de données
=> chaque site est maître de ses données
Informations complémentaires : relais de messagerie, ...
Correspondance dynamique
Limite les risques de collision de noms
Service DNS
RFC 1032, 1033, 1034, 1035, 1101, 1122, 1123, 1183, 1713, 1794,
1912, 1995, 1996, 2010, 2136, 2137, 2181, 2308, 2317, 2535-2541, 2606, …
Documentation http://www.dns.net/dnsrd/ (RFC, drafts, FAQ, ... )
http://www.nic.fr/guides/
http://www.nic.fr/formation/ Livres
DNS and BIND, 4th edition, Paul Albitz & Cricket Liu, O’Reilly
Service DNS
Le DNS vu comme une base de données
Stocke différents types d’enregistrements (« Resource Records », RR) : SOA, NS, A, AAAA, MX, PTR, TXT, …
Les données DNS sont indépendantes de la version d’IP (v4/v6) utilisée pour les transporter
Le DNS vu comme une application TCP/IP
Le service est accessible en UDP et en TCP sur le port 53, sur IPv4 et sur IPv6
L’information fournie au-dessus des deux versions d’IP doit être et doit rester cohérente
Service DNS (domaine et zone)
Dénomination des domaines caractères autorisés 'A...Z' 'a...z' '0...9' '-'’ (et ‘_’ pour SRV)
pas de différences entre majuscule et minuscule
taille totale du nom limitée à 255 caractères
un label est unique au niveau d'un noeud
un label au niveau d 'un noeud est limité à 63 caractères
Service DNS
Types de requêtesTypes de requêtes
Requête itérative Le serveur DNS renvoie la meilleure réponse qu'ilpeut fournir sans aucune aide des autres serveurs
Requête récursiveLe serveur DNS renvoie une réponse complète à larequête, et pas seulement un pointeur vers un autreserveur
Types de recherchesTypes de recherches
Recherche directe Nécessite une résolution nom/adresse
Recherche inversée Nécessite une résolution adresse/nom
Service DNS
Recherche directe
Serveur DNS
Adresse IP de nwtraders.msft ?Adresse IP de nwtraders.msft ?
Adresse IP = 192.168.1.50Adresse IP = 192.168.1.50
Recherche inversée
Serveur DNS
Nom de 192.168.1.50 ?Nom de 192.168.1.50 ?
Nom = nwtraders.msftNom = nwtraders.msft
Service DNS : requêtes
frfr ddee
....
serveurserveur
www.inria.fr ?www.inria.fr ?
Int. récursiveInt. récursivewww.inria.fr ?www.inria.fr ?
resolverresolver
Machine AMachine A
serveurserveur
rreessoollvveerr
128.93.3.29128.93.3.29
frfr
serveurserveur
www.inria.fr ?www.inria.fr ?
nic.frnic.fr inria.frinria.fr
inria.fr inria.fr dns.inria.fr, ...dns.inria.fr, ...
Int. itérativeInt. itérative
inria.frinria.fr
serveurserveur
www.inria.fr ?www.inria.fr ?www.inria.fr www.inria.fr 128.93.3.29128.93.3.29
fr fr ns1.nic.fr, ns2.nic.fr, ns1.nic.fr, ns2.nic.fr, ......
Service DNS : requêtes
rreessoollvveerr
serveurserveur
ccaacchhee
resolverresolver
Machine AMachine Aint. itérativeint. itérative
inria.frinria.fr
serveurserveur
chronos.inria.fr ?chronos.inria.fr ?chronos.inria.fr chronos.inria.fr 128.93.45.20128.93.45.2011
int. récursiveint. récursivechronos.inria.fr ?chronos.inria.fr ?
128.93.45.201128.93.45.201
frfr
serveurserveur
Service DNS : requêtes
F
M
E
D J
K
I
L
B
A C G H
Service DNS
Zones standard
Zone principale Zone secondaire
ModificationTransfert de zone
Zones intégrée Active Directory
Modification Modification Modification
Transfert de zone
Configuration de zones standard Vous pouvez configurer un serveur DNS pour héberger des
zones principales standard, des zones secondaires standard ou n'importe quelle combinaison de zones principales et secondaires standard
Vous pouvez désigner un serveur principal ou un autre serveur secondaire comme serveur DNS maître pour une zone secondaire standard
Serveur DNS A
Serveur DNS B
BBZone secondaire
(Serveur DNS maître = Serveur DNS A)
CC
Serveur DNS C
Zone secondaire(Serveur DNS maître =
Serveur DNS A)
Zone principale
Informations de zone
AA
Processus de transfert de zoneLe processus de transfert de zone est déclenché lorsqu'un des événements ci‑dessous a lieu
Un serveur maître envoie une notification de modification de la zone à un ou plusieurs serveurs secondaires
Chaque serveur secondaire interroge périodiquement un serveur maître sur les changements du fichier de zone
ServeurDNS
(Maître)
nwtraders
trainingsupport
Fichier de base de données de lazone principale
Fichier de base de données de lazone secondaire
Serveur
DNS
Zone 1
Processus de transfert de zone Rafraîchissement des données entre serveurs autoritaires
la version d 'une zone est identifiée par son numéro de série (serial) ; à chaque modification celui-ci doit être augmenté
le transfert de zone
le serveur secondaire transfère d'abord le SOA de la zone et vérifie si le numéro de série a augmenté
si c'est le cas toute la zone est transférée (transfert total - AXFR) ou seules les nouvelles modifications entre les 2 versions sont transférées (transfert incrémental - IXFR - RFC 1995)
Création d'un sous-domaine
org. com.com. edu. au.
".""."
entreprise.com.
training.entreprise.com.
training.entreprise.com.
Sous-domaine Domaine de second niveau Domaine du niveau le plus élevé Racine
Création d'un sous-domaine pour fournir une certaine structure à votre espace de noms
Délégation d'une autorité sur un sous-domaine pour Déléguer la gestion de portions de cet espace de noms Déléguer les tâches administratives pour tenir à jour une vaste
base de données DNS
Configuration de zones intégrées Active Directory (Microsoft)
Active Directorynwtraders.msft
Serveur DNS
Zone intégréeActive Directory
Les zones intégrées Active Directory sont Stockées sous la forme d'un objet Active Directory Dupliquées au cours de la duplication de domaine
Configuration du système DNS pour une utilisation interne
Configurez une zone racine sur un serveur DNS lorsque Votre intranet n'est pas connecté à Internet Vous utilisez un serveur proxy pour accéder à Internet
Si votre entreprise n'est pas connectée à Internet ou est connectée par le biais d'un serveur proxy
Serveur Proxy
Réseau privé
com.com.
entreprise.com.entreprise.com.
".""."
Domaine racine
Enregistrementsdeentreprise.com
Si votre entreprise est connectée à Internet
"."
Domaine racineInternet
org.
Réseau privé
com.
entreprise.com.entreprise.com.
...delegate entreprise.com...
org.com.edu.au.
Vue d'ensemble des mises à jour dynamiques
Le protocole de mise à jour dynamique permet aux ordinateurs clients de mettre automatiquement à jour les serveurs DNS
Ordinateur 1
Demande d'adresse IPDemande d'adresse IP11
Affectation du bail Affectation du bail d'adresse IP 192.168.120.133d'adresse IP 192.168.120.133
22
Base de donnéesBase de donnéesde la zonede la zone
Ordinateur 1 192.168.120.133
ServeurDHCP
Mise à jourdynamique
Mise à jourdynamique
Serveur DNS
Configuration des mises à jour dynamiques
Pour configurer les mises à jour dynamiques, Pour configurer les mises à jour dynamiques, vous devez :vous devez :
Configurer le serveur DNS pour autoriser les mises à jour dynamiques
Configurer le serveur DHCP pour des mises à jour dynamiques
Configurer des mises à jour dynamiques pour les clients exécutant Windows 2000
Réduction du trafic réseau à l'aide de serveurs dédiés à la mise en cache
Les serveurs dédiés à la mise en cache Effectuent la résolution de noms pour les clients et mettent en cache, ou
stockent, les résultats Peuvent être utilisés pour réduire le trafic DNS sur un
réseau étendu
Serveur dédiéà la miseen cache
Client
Client
Client
Bureau distant
Serveur DNS
Siège social
Faible bandepassante
Vérification des enregistrements de ressource à l'aide de Nslookup
Utilisez Nslookup pour vérifier que les informations contenues dans les enregistrements de ressource sont correctes
Service DNS – Fichier de zone
Contient les données propres à chaque zone Consiste en une liste de Resource Records (RR) Premier RR doit être le SOA (Start of Authorithy) qui décrit l'autorité technique de la zone Directives spéciales
$ORIGINspécifie le nom de domaine à ajouter à des enregistrements non pleinement qualifiés (non suffixés par un point)syntaxe : $ORIGIN <domaine>
$INCLUDEpermet d'inclure un fichier dans le fichier de zonesyntaxe : $INCLUDE <fichier>
Service DNS – Fichier de zone Directives spéciales
$TTL (RFC 2308)spécifie le Time To Live par défaut à appliquer aux enregistrements qui n'ont pas ce paramètre spécifié dans leur déclarationsyntaxe : $TTL <valeur>
Structure d 'un RR < nom | @ > [<ttl>] [<classe>] <type> <données> [<commentaire>]
<nom> : nom de l 'enregistrement auquel vont s'appliquer les informations@ : utilise la valeur courante de $ORIGIN comme nom<ttl> : durée de vie en secondes, de l'enregistrement dans les caches<classe> : groupe d'appartenance - IN pour Internet<type> : type de l'enregistrement<données> : données associées au type
Service DNS – Fichier de zone Principal RR - SOA (Start Of Autority)
zone IN SOA primaire. E-mail. (serialrefreshretryexpirettl )
E-mail : contact technique de la zoneremplacer le @ par le premier point non protégé (\), l'email doit être suivi d 'un point
francis\.dupont.inria.fr. Pour [email protected]
Service DNS – Fichier de zone
Principal RR - SOA (Start Of Autority) Serial : spécifie la version des données de la zone incrémenter ce numéro à chaque modification (entier sur 32 bits)
format conseillé : YYYYMMDDxx (2002011002) refresh : intervalle, en secondes, entre 2 vérifications du numéro de série par les secondaires (24H - 86400s ; à ajuster si la zone est souvent modifiée) retry : intervalle en seconde entre 2 vérifications du numéro de série par les secondaires si la 1ère vérification a échoué (6H - 21400s ; à ajuster en fonction de sa connectivité) expire : durée d 'expiration de la zone sur un secondaire (41 jours -3600000s )
retry << refresh << expire
Service DNS – Fichier de zone
Principal RR - SOA (Start Of Autority) ttl (time to live) - RFC 2308 - Negative caching
Spécifie le TTL pour le « negative caching », soit le temps que doit rester dans les caches une réponse négative suite à une question sur ce domaine (valeur recommandée de 1 à 3 heure).
Il existe 2 types de réponses négatives :- NXDOMAIN : aucun enregistrements ayant le nom demandé dans la classe (IN) n'existe dans cette zone- NODATA : aucune donnée pour le triplet (nom, type, classe) demandé n'existe ; il existe d'autre enregistrements possédant ce nom, mais de type différent
Service DNS – Fichier de zone
Deuxième RR - NS (Name Server)
indique un serveur de nom pour le nom spécifié (ce nom devient une zone dont la délégation est donnée au serveur en partie droite)
zone IN NS serveur-nom1.domaine.IN NS serveur-nom2.domaine.
Il faut spécifier les serveurs de noms de la zone que l'on décrit (associée au SOA)
Service DNS – Fichier de zone
Autres RR A (Adresses IPv4) AAAA (Adresses IPv6) PTR (Pointeur) MX (Mail eXchanger) E-mail à utilisateur@domainnom
On cherche dans le DNS un MX indiquant la machine sur laquelle il faut envoyer le courrier pour nom.
nom IN MX 10 relais1.IN MX 20 relais2.IN MX 30 relais3.
Service DNS – Fichier de zone $ORIGIN nic.fr.$TTL 86400
@ IN SOA ns1.nic.fr. hostmaster.nic.fr.
(2001122701 ;serial
86400 ;refresh21600 ;retry3600000 ;expire3600 ;negative ttl
)
IN NS ns1.nic.fr.
IN NS ns2.nic.fr.
IN NS ns3.nic.fr.
ns1 IN A 192.93.0.1
ns2 IN A 192.93.0.4
ns3 IN A 192.134.0.49
IN AAAA 2001:660:3006:1::1:1
funk IN A 192.134.4.27
ftp IN CNAME funk
localhost IN A 127.0.0.1
Windows : Installation du service Serveur DNS
Configuration de la résolution de noms pour les ordinateurs clients
L'adresse IP peut être fournie par un serveur DHCP ou configurée manuellement
Configuration de transferts de zones
Maintenance des zones DNS
Service DNS – vulnérabilités
Zone file
slaves
master Caching forwarder
resolver
Zone administrator
Corrupting zone data
Impersonating master
Corrupting data by spoofingtraffic
Dynamicupdates
Services de publication
IIS
Introduction
WWW est né au CERN en 1989: Faciliter l ’accès aux publications de recherche de la communauté de
la physique des particules en les plaçant sur Internet et en pouvant facilement trouver les documents associés
Le W3C [World Wide Web Consortium] est créé en 1995 pour coordonner les développements liés au Web.
Il est conjointement hébergé par le MIT aux USA, l’INRIA en Europe et l'Université de Keio (Japon)
Les principaux éléments du Web sont: un protocole client/serveur : HTTP un langage d ’écriture des pages : HTML un moyen de référencer et de lier les pages : les URL
Serveurs Web
Chaque serveur Web écoute le port 80 (par défaut) Etapes pour récupérer un document (dont l ’URL est
http://nom_serveur/nom_document), le client demande au DNS l ’adresse IP du serveur le client établit une connexion TCP sur le port 80 du
serveur il envoie la commande: GET nom_document HTTP/1.0 le serveur envoie un en-tête et le document le serveur ferme la connexion le client affiche le document Si le client doit demander un autre document au même
serveur, il doit ouvrir une nouvelle connexion
Protocole HTTP
HTTP v 1.0, RFC 1945 (1996) HTTP v 1.1, RFC 2068 (1997) et RFC 2616 (1999) Les transferts des données se font en utilisant MIME Une requête HTTP utilise les méthodes (GET, HEAD, PUT, POST, …)
GET: récupérer un documentGET http://www.ec-lyon.fr/index.html HTTP/1.0
HEAD: récupérer l’en-tête d’un document sans le contenu utile pour récupérer la date de dernière modification ou pour faire des tests de connectivité
POST: permet d ’envoyer des informations au serveur lié aux formulaires
PUT, DELETE: permettent d ’ajouter des documents ou d ’en supprimerPOST http://www.ec-lyon.fr/cgi-bin/search HTTP/1.0Content-Type: application/x-www-form-urlencodedContent-Length: 22NOM=Chalon&PRENOM=Rene
Cache Web
Chaque client HTTP gère un cache local Serveur Proxy gère un cache centralisé
Vue d'ensemble de IIS
Un serveur Windows 2000 exécutant lesServices Internet fournit : Un serveur WWW Le service FTP Le service NNTP Le service SMTP
~~~ ~~~ ~~~ ~~~ ~~~ ~~~ ~~~ ~~~ ~~~
Intranet Internet
Préparation de l'installation des Services Internet
Configurez une adresse IP statique 192.168.120.133192.168.120.133
Définissez un nom de domaine nwtraders.msftnwtraders.msft
Installez le protocole TCP/IP
Configurez les lecteurs aux format NTFS
NTFSNTFS
Installation des Services Internet
Pour installer les Services InternetPour installer les Services Internet
Réalisez l'installation :
Ajoutez le Gestionnaire des services Internet au menu Outils d'administration
Créez le site Web par défaut et le site FTP par défaut
Testez l'installation :
Utilisez Internet Explorer pour afficher les fichiers dans le répertoire de base C:\Inetpub\Wwwroot
Configuration d'un site Web
Configuration de l'identification de sites Web Configuration du répertoire de base Identification des méthodes d'authentification Choix d'une méthode d'authentification Configuration de l'authentification Affectation d'un document par défaut
Configuration de l'identification de sites Web
Configuration du répertoire de base
Dossiers partagés
Répertoire situé sur l'ordinateur
local
Identification des méthodes d'authentification
Accès anonyme Authentification de base Authentification Digest Authentification intégrée de Windows
Choix d'une méthode d'authentification
Accès anonyme
Authentification de base
Vous souhaitez que les utilisateurs accèdent aux zones publiques de votre site Web
Vous souhaitez authentifier les utilisateurs qui accèdent à votre site Web à l’aide d’un navigateur ou d’un serveur proxy quelconques
Méthode Méthode d'authentificationd'authentification
AuthentificationDigest
Vous souhaitez une authentification sécurisée pour vos sites Web et vous devez utiliser un serveur proxy
Circonstances d'utilisationCirconstances d'utilisation
Authentification intégrée
de Windows
Vous configurez un site intranet dans lequel les utilisateurs et le serveur Web appartiennent au même domaine ou à des domaines avec relations d’approbation
Configuration de l'authentification
Accèsanonyme
Authentificationde base
AuthentificationDigest Authentification
intégrée de Windows
Affectation d'un document par défaut
Serveurs virtuels
Internet
Client
Explorateurhttp://www.microsoft.com/default.htm— OU—http://www.msn.com/default.htm
Serveur IIS Adresse IP : X.X.X.XD:\Wwwroot\
Adresse IP : Y.Y.Y.YE:\Wwwroot\
Répertoire virtuel distant
Internet
Serveur IIS C:\Wwwroot\...
Client
Explorateurhttp://stagex.com/dept/exemple.htm
Stagex.com
\\Departement\ComptesUNCD:\Comptes Debits Personnel Exemple.htm
Alias de département
Dépannage des Services Internet
Test d'un site Web connecté à Internet
Test d'un site Web sur votre intranet
Résolution des problèmes des Services Internet
Implémentation de la résolution de noms à
l'aide du service WINS
Vue d'ensemble
Connexion à des réseaux NetBIOS
Vue d'ensemble du service WINS Configuration de serveurs et de clients WINS Configuration de la prise en charge des clients non-
WINS Configuration de la duplication de bases de données
WINS Maintenance de la base de données d'un serveur WINS
Noms NetBIOS
Les noms NetBIOS sont enregistrés de façon dynamique et : Ne peuvent être utilisés qu'une fois sur un réseau
Peuvent être enregistrés en tant que noms uniques ou en tant que noms de groupe
Utilisez une étendue NetBIOS pour regrouper des ordinateurs sur un réseau
Utilisez la fonctionnalité d'exploration pour localiser les ressources partagées sur le réseau
Enregistrement, recherche et mise à disposition de noms NetBIOS
Enregistrement, recherche et mise à disposition Enregistrement, recherche et mise à disposition de noms NetBIOSde noms NetBIOS
Recherche de noms
Le client WINS envoie une requête de résolution de noms NetBIOS à un serveur WINS
Mise à disposition de noms
Le client WINS indique au serveur WINS qu'il n'utilise plus son nom NetBIOS
Enregistrement de nom
Le client WINS requiert l'utilisation d'un nomNetBIOS sur le réseau
Résolution de noms NetBIOS
Cache de noms NetBIOS Serveur de noms NetBIOS Diffusion locale
Les méthodes standard de résolution de noms NetBIOS comprennent :
Nœuds de résolution de noms NetBIOS sur TCP/IP
Nœud B
Nœud P
Utilise les diffusions pour l'enregistrement etla résolution de nom
Utilise un serveur de noms NetBIOS tel que WINS pour la résolution de noms NetBIOS
Nœuds de résolution de noms NetBIOS sur TCP/IPNœuds de résolution de noms NetBIOS sur TCP/IP
Nœud M Méthode combinant le nœud B et le nœud P,et fonctionnant par défaut en tant que nœud B
Nœud H Combine le nœud P et le nœud B, et fonctionnepar défaut en tant que nœud P
Fichier Lmhosts
Client WINS
Fichier LmhostsFichier Lmhosts
192.168.1.1 Mexique # Sales Server192.168.2.1 France # Database Server192.168.3.1 Grande Bretagne # Training Server192.168.4.1 Suède #PRE # Main Office Server192.168.5.1 Australie #PRE # MIS Server
Vue d'ensemble du service WINS
Client WINS Serveur WINS
Client1Client1
WINS DatabaseWINS Database
Client1 192.168.0.11Serveur1 192.168.0.12Serveur2 192.168.0.13
InscriptionInscription
RequêteRequête
RenouvellementRenouvellement
LibérationLibération
Enregistrement de nom Renouvellement de
l'enregistrement Requête de nom Mise à disposition
de noms
Enregistrement de nom
Serveur WINSClient WINS
Demande d'enregistrement Demande d'enregistrement
de nomde nomAdresse sourceAdresse de destinationNom à enregistrer
Réponse à la demanded'enregistrement de nom
Adresse sourceAdresse de destinationNom à enregistrer
Durée de vie
Routeur IP
Renouvellement de l'enregistrement
Serveur WINSClient WINS
Demande d'actualisation Demande d'actualisation de nomde nom
Adresse sourceAdresse de destinationNom à enregistrer
Réponse à la demanded'actualisation de nom
Adresse sourceAdresse de destinationNom à enregistrer
Nouvelle durée de vie
Routeur IP
Requête de nom
Serveur WINSprincipal
Serveur WINS secondaire
Cache de nomsCache de nomsNetBIOS NetBIOS
Nom NetBIOS /Adresse IP
net use x: \\nom_serveur\nom_partage
DiffusionDiffusion33
Requête de demande Requête de demande de nomde nom
22
Renvoie au serveur secondaire s'il n'est
pas disponible
Le nom demandéLe nom demandén'existe pasn'existe pas
Non résolu
11
Mise à disposition de noms
Serveur WINSClient WINS
Requête de mise à Requête de mise à disposition de nomsdisposition de noms
Adresse sourceAdresse de destinationNom à enregistrer
Réponse à une demande demise à disposition de nom
Adresse sourceAdresse de destinationNom à enregistrer
Durée de vie = 0
Routeur IP
Configuration requise pour les serveurs et les clients WINS
Configuration requise du serveur WINSConfiguration requise du serveur WINS
Tous les éléments suivants sont nécessaires :• Service WINS• Adresse IP statique• Masque de sous-réseau• Passerelle par défaut
Configuration requise du client WINSConfiguration requise du client WINS• Les clients WINS requièrent :• Windows 200x Professionnel ou Windows 200x Server• Windows NT Server ou Workstation, version 3.5 ou
ultérieure• Windows 9x x• Windows pour Workgroups 3.11 exécutant TCP/IP-32• Microsoft Network Client 3.0 pour MS-DOS• LAN Manager version 2.2c• Certains systèmes d'exploitation non-Microsoft,
tels que UNIX ou Macintosh
Installation du service WINS
Configuration d'ordinateurs en tant que clients WINS
Configuration automatiqueConfiguration automatique
Clients DHCP
Serveur DHCP
Configuration manuelleConfiguration manuelle
Vue d'ensemble de l'interopérabilité entre le service WINS et le système DNS
Serveur WINS
Client DNS
Serveur DNS
11Adresse IP du
Serveur1.nwtraders.msft ?
Adresse IP du Serveur1 ?
22
Adresse IP = 192.168.1.5
33
44Adresse IP = 192.168.1.5
Le client DNS demande l'adresse IP du Serveur1.nwtraders.msft au serveur DNS
Le serveur DNS demande l'adresse IP du Serveur1 au serveur WINS
Le serveur WINS renvoie l'adresse IP du Serveur1 au serveur DNS
Le serveur DNS renvoie l'adresse IP du Serveur 1 au client DNS
Serveur WINS
Client DNS
Serveur DNS Adresse IP du Serveur1 ?
22
Adresse IP = 192.168.1.5
33
44Adresse IP = 192.168.1.5
11Adresse IP du
Serveur1.nwtraders.msft ?
Intégration du système DNS et du service WINS
Lorsqu'un client demande un nom d'ordinateur Lorsqu'un client demande un nom d'ordinateur enregistré sur un serveur WINS :enregistré sur un serveur WINS :
Le client DNS envoie une demande à son serveur DNS préféré
Ce serveur DNS préféré contacte le serveur DNS de référence pour la zone
Le serveur de référence pour la zone transmet la demande à un serveur WINS
Le serveur WINS résout le nom et renvoie l'adresse IP au serveur de référence pour la zone
Le serveur de référence pour la zone renvoie l'adresse IP au serveur DNS préféré
Le serveur DNS préféré renvoie l'adresse IP au client
Recherches WINS au sein de zones DNS
ServeurWINS
Client DNS
ServeurDNS
Serveur2.nwtraders.msft?11
Serveur2.wins.nwtraders.msft ?33
Introuvable22
Adresse IP = 192.168.6.166
44Serveur2.wins.nwtraders.msft ?
Adresse IP = 192.168.6.155
Le client DNS demande l'adresse IP du Serveur2.nwtraders.msft au serveur DNS
Le serveur DNS de référence pour la zone envoie une réponse négative au client
Le client demande à nouveau l'adresse IP du Serveur2.nwtraders.msft
Le serveur DNS demande l'adresse IP au serveur WINS Le serveur WINS renvoie l'adresse IP au serveur DNS Le serveur DNS renvoie l'adresse IP au client DNS
ServeurWINS
Client DNS
ServeurDNS
Serveur2.nwtraders.msft ?11
Serveur2.wins.nwtraders.msft ?33
Introuvable22
Adresse IP = 192.168.6.166
44Serveur2.wins.nwtraders.msft ?
Adresse IP = 192.168.6.155
Configuration du système DNS pour transmettre les requêtes aux serveurs WINS
Configuration de correspondances statiques
Configuration d'un proxy WINS
Proxy WINSClient non-WINS
WINS Serveur
Routeur IP
Base de données WINSBase de données WINS
Client1 192.168.0.11Serveur1192.168.0.12Serveur2 192.168.0.13
Mappage statique
Serveur2 192.168.0.13
Diffusion par un client non-WINS
Demande transmise au serveur WINS par le
Proxy WINS
DiffusionDiffusion
Vue d'ensemble de la duplication WINS
A B
Serveur A WINS Serveur B WINS
Hôte A Hôte B
Duplication WINSDuplication WINS
RouteurRouteur
Examen des partenaires de réplication
Partenaire émetteurPartenaire émetteurAvertit ses partenaires de réplication lorsque le nombre de
modifications dépasse un seuil critiqueMaintient un haut niveau de synchronisation, mais peut
augmenter le trafic
Partenaire collecteurPartenaire collecteurDemande les copies des entrées de la base de données à
intervalle régulierRéduit la fréquence de trafic de duplication, mais les données
sont moins synchronisées
Partenaire émetteur/collecteurPartenaire émetteur/collecteurConfiguré en tant que partenaire émetteur et collecteurGarantit une synchronisation quel que soit le nombre de
modifications
Configuration de la duplication WINS
Suppression d'enregistrements dans la base de données WINS
Sauvegarde et restauration de la base de données WINS
Pour sauvegarder la base de données WINS :Pour sauvegarder la base de données WINS :
Spécifiez un répertoire de sauvegarde
Sauvegardez manuellement la base de données WINS ou configurez des sauvegardes automatiques
Pour restaurer la base de données WINS :Pour restaurer la base de données WINS :
Supprimez manuellement tous les fichiers et restaurez les fichiers de la base de données
Service d’attribution IP Automatique
DHCP
Vue d'ensemble
Vue d'ensemble du protocole DHCP Installation du service DHCP Autorisation du service DHCP Création et configuration d'une étendue Personnalisation des fonctionnalités DHCP Configuration du service DHCP sur un réseau routé Prise en charge du service DHCP
Avantages et inconvénients des configurations manuelle et automatique du protocole TCP/IP
Inconvénients AvantagesLes adresses IP sont saisies manuellement sur chaque ordinateur client
Possibilité d'entrer une adresse IP incorrecte ou non valide
Une configuration incorrecte peut provoquer des problèmes de communication et de réseau
Surcharge administrative sur les réseaux sur lesquels les ordinateurs sont souvent déplacés
Des adresses IP sont fournies automatiquement aux ordinateurs clientsPermet de s'assurer que les clients utilisent toujours des informations de configuration correctes
Suppression de la source courante de problèmes de réseau
Configuration cliente mise à jour automatiquement pour refléter les modifications de la structure du réseau
Configuration manuelle Configuration manuelle du protocole TCP/IPdu protocole TCP/IP
Configuration automatique Configuration automatique du protocole TCP/IPdu protocole TCP/IP
Fonctionnement du protocole DHCP
Adresse1 IPAdresse2 IPAdresse3 IP
Base de Base de donnéesdonnées
DHCPDHCP
Adresse2 IP
Adresse1 IP
Client DHCP :Configuration IP
à partir du serveur DHCP
Serveur DHCP
Client non-DHCP :configurationd'adresses IP
statiques
Client DHCP :Configuration IP
à partir du serveur DHCP
Processus de création d'un bail DHCP
Serveurs DHCPClient DHCP
11 Demande de bail IP
33 Choix du bail IP
22Proposition de bail IP
44Accusé de réception du bail IP
Processus de renouvellement d'un bail DHCP
DHCPREQUESTDHCPREQUESTAdresse IP source = 192.168.0.77Adresse IP Dest. Source = 192.168.0.108Adresse IP source = 192.168.0.77Adresse matérielle = 08004....
DHCPACKAdresse IP source = 192.168.00,108Adresse IP Dest. Source = 192.168.0.77Adresse IP source IP = 192.168.0.77Adresse matérielle = 08004....Masque de sous-réseau = 255.255.255.0Durée du bail = 8 joursIdentificateur du serveur = 192.168.0.108Options DHCP : Routeur = 192.168.0.1
Client DHCP Serveur DHCP
Configuration requise pour les serveurs et les clients DHCP
Configuration requise pour le serveur DHCP (Windows 200x Server) Service DHCP Une adresse IP statique, un masque de sous-réseau et une passerelle par
défaut Plage d 'adresses IP valides
Clients DHCP Windows Professionnel ou Windows 200x Server Windows NT Server ou Workstation 3.51 ou ultérieur Windows 95, Windows 98 Windows pour Workgroups 3.11, exécutant TCP/IP-32 Microsoft Network Client 3.0 pour MS-DOS LAN Manager version 2.2c De nombreux systèmes d'exploitation non-Microsoft
Installation du service DHCP
Autorisation du service DHCP
S'il n'est pas autorisé, le service enregistre une erreur et ne répond pas aux clients
S'il est autorisé, le service démarre correctement Vérifications Vérifications
du service du service DHCP pour DHCP pour
l'autorisationl'autorisation
Clients Serveur DHCP
Contrôleur de domaine/
serveur DHCP
Serveur DHCP
Vue d'ensemble des étendues
PortéePortée
192.168.1.0192.168.1.1192.168.1.2192.168.1.3192.168.1.4
Adresses IP pouvant être louées aux ordinateurs clients
Serveur DHCP
Utilisation de l'Assistant Nouvelle étendue
L'Assistant Nouvelle étendue pemet de : Configurer des paramètres d'étendue
Modifier la durée par défaut d'un bail
Activer une étendue
Configuration des options d'étendue
Options d'étendue prises en charge par DHCP Adresse IP d'un routeur
Adresse IP d'un serveur DNS
Nom de domaine DNS
Adresse IP d'un serveur WINS
Type de NetBIOS pour la résolution des noms TCP/IP
Personnalisation de l'utilisation des options d'étendue
Options d'étendue
Au niveau du client réservé
Au niveau du serveur
Au niveau de l'étendue
Au niveau de la classe
Réservation d'adresses IP pour les ordinateurs clients
Utilisation des classes d'options
Client1
Client2
Client3
Serveur DHCP
Les classes définies par le fournisseur gèrent des options DHCP identifiées par le type de fournisseur du système d'exploitation
Les classes définies par l'utilisateur gèrent des options DHCP disposant d'exigences de configuration communes
Configuration A
Configuration B
Configuration C
Regroupement d'étendues à l'aide d'étendues globales
Étendue globaleA
Étendue1192.168.1.1
192.168.1.254
ServeurDHCP
192.168.1.1 192.168.1.254 192.168. 2.1 192.168. 2.254
Étendue2192.168.2.1
192.168.2.254
Client DHCP
Client DHCP
Non conformeà la RFC
RouteurRouteur RouteurRouteur
Conformeà la RFC
Windows 2000
Server
Agent Agent de relaisde relaisDHCPDHCP
Serveur DHCP
Options de configuration d'un réseau routé
Diffusion
Diffusion
Client DHCP
Windows 2000
Server
Client DHCP
Non conforme à la RFC
RouteurRouteur
Serveur DHCP
Routeur
Conformeà la RFC
Agent Agent de relais de relais DHCPDHCP Diffusion
Diffusion
Client DHCP
Client DHCP
Non conformeà la RFC
Routeur
Serveur DHCPWindows
2000 Server
Agent de relais DHCP
RouteurRouteur
Conformeà la RFC
Client DHCP
Client DHCP
Non conformeà la RFC
RouteurRouteur RouteurRouteur
Conformeà la RFC
Windows 2000
Server
Agent Agent de relais de relais DHCPDHCP
Serveur DHCP
Utilisation d'un agent de relais DHCP
Diffusion
Diffusion
Le client DHCP diffuse un message DHCP
RouteurRouteur
Sous-réseau 1
Sous-réseau 2
L'agent de relais DHCP détecte la diffusion et envoie le message au serveur DHCP
L'agent de relais DHCP reçoit une réponse du serveur DHCP et envoie une diffusion
Client DHCP
Agents de relais DHCP
Serveur DHCP
Le client DHCP reçoit la diffusion
Diffusion
RouteurRouteur
Sous-réseau 1
Sous-réseau 2
Client DHCP
Agents de relais DHCP
Serveur DHCP
Surveillance du service DHCP
Lorsque vous activez la journalisation, le serveur DHCP crée des fichiers journaux appelés DhcpSrvLog.xxx. Il enregistre ces fichiers dans le répertoire de la base de données DHCP
Dhcp
Base de données
DHCP
SrvLog
Suppression d'un serveur DHCP
Suppression d'un serveur DHCPSuppression d'un serveur DHCP
Réduire la durée du bail pour les clients
Nouveau bail pour les clients
Enregistrer les adresses réservées
Pool d'adresses de grande taille dans d'autres serveurs DHCP
Transférer l'adresse IP à la nouvelle étendue
Routage dans Windows
Vue d'ensemble
Vue d'ensemble des routeurs et des tables de routage
Configuration des connexions réseau Configuration du routage à l'aide du service Routage et
accès distant Configuration d'itinéraires statiques Configuration d'une interface de routage Implémentation du routage à la demande Configuration du protocole RIP
Rôles d'un routeur
Système de fin Système de fin de chaînede chaîne
Système de fin Système de fin de chaînede chaîne
Système Système intermédiaireintermédiaire
Réseau
Hôte source
Hôte de destination
Routeur
Réseau
InterréseauInterréseau
Pour afficher la table de routage IP sur un ordinateur exécutant Windows 2000, utilisez la commande Route Print
Tables de routage
Configuration des connexions réseau
Configuration des noms de connexion réseau
Configuration des paramètres IP d'une carte réseau
Configuration des noms de connexion réseau
Succursale 1
Serveur
Clients
Succursale 2
Serveur
Clients
Carte réseau 1 Carte réseau 2SiègeSiège social social
Routeur
Configuration des paramètres IP d'une carte réseau
Configuration des paramètres d'un réseau connecté à Internet
Configuration des paramètres d'un réseau privé
Vérification des relations entre adresses
Configuration du routage à l'aide du service Routage et accès distant
Pour configurer le routagePour configurer le routage
Lancez l'Assistant Installation du serveur de routage et d'accès distant
Sélectionnez l'option de configuration Routeur réseau
Assurez-vous que les protocoles réseau requis pour le routage sont bien disponibles
Sélectionnez l'option de connexion à la demande, si nécessaire
Sélectionnez la méthode d'attribution d'adresses IP aux clients distants
Configuration d'itinéraires statiques
Examen d'une table de routage statique Ajout d'un itinéraire statique
Examen d'une table de routage statique
Ajout d'un itinéraire statique
Présente la liste des cartes réseau installées
Configuration d'une interface de routage
Interfaces de routage dans le service Routage et accès distant
Filtrage des paquets Configuration de filtres sur une interface de routage IP
Configuration des paramètres de filtrage sur une interface de routage IP
Interfaces de routage dans le service Routage et accès distant
Interfaces LAN Interfaces de numérotation à la demande Interfaces de tunnel IP-dans-IP
Filtrage des paquets
Utilisateur 2
Interface CInterface CFiltre de sortieFiltre de sortie
Utilisateur 1
Utilisateur 3Interface AInterface A
Filtre d'entréeFiltre d'entrée
Interface BInterface BFiltre de sortieFiltre de sortie
ICMP
Autresprotocoles
Utilisateur 2
Interface CInterface CFiltre de sortieFiltre de sortie
Utilisateur 1
Utilisateur 3Interface AInterface A
Filtre d'entréeFiltre d'entrée
Interface BInterface BFiltre de sortieFiltre de sortie
SNMP
Autres protocoles
Interface CInterface CFiltre de sortieFiltre de sortie
Utilisateur 1
Utilisateur 3Interface AInterface A
Filtre d'entréeFiltre d'entrée
ICMP
Autres protocoles
SNMP
Interface BInterface BFiltre de sortieFiltre de sortie
Utilisateur 2
Autres protocoles
Configuration de filtres sur une interface de routage IP
Pour configurer un filtrePour configurer un filtre
Sélectionnez une interface
Spécifiez un filtre d'entrée ou de sortie
Spécifiez une action de filtrage
Configuration des paramètres de filtrage sur une interface de routage IP
Pour configurer les paramètres de filtragePour configurer les paramètres de filtrage
Identifiez le réseau source
Identifiez le réseau de destination
Sélectionnez le protocole
Vue d'ensemble du routage à la demande
Windows 2000Routeur 1
Windows 2000Routeur 2
Réseau A
Réseau B
RTPC
Routeur du siège socialRouteur de la succursale
Interface de numérotation à la demandeNom : CorpRouterRéférences d'utilisateur : BranchRouterItinéraire10.0.0.0 à l'aide del'interface CorpHub
Interface de numérotation à la demandeNom: BranchRouterRéférences d'utilisateur : CorpHubItinéraire192.168.250.1 à l'aide del'interface BranchRouter
Configuration de connexions à la demande
Configuration des paramètres de connexion Configuration de ports pour permettre des connexions
à la demande Création d'une interface de numérotation à la demande
Configuration de l'adressage IP pour des connexions à la demande entrantes
Restrictions des connexions à la demande
Configuration du filtrage d'accès à la demande Configuration des heures d'appels sortants
Configuration d'itinéraires statiques pour une interface de numérotation à la demande
Ajout d'itinéraires statiques Test d'itinéraires statiques
Vérification de l'état d'une connexion
Utilisation des utilitaires de ligne de commandes
Ajout du protocole RIP
Pour ajouter un nouveau protocole de routage, développez Routage IP, cliquez avec le bouton droit sur Général, puis cliquez sur Nouveau protocole de routage
Configuration d'une interface RIP
Sélectionnez Autostatique ou Périodique Sélectionnez la version du protocole RIP
Entrez un mot de passe de 16 caractères maximum
Choisissez une valeur allant
de 1 à 15
Connexion à Internet à l'aide d'un routeur
La connexion à Internet à l'aide d'un routeur : Optimise les performances du réseau Permet à tous les utilisateurs du réseau de partager une
seule connexion à Internet Est la méthode la plus simple pour connecter un réseau à
Internet
Routeur
InternetIntranet
Connexion à Internet à l'aide du protocole NAT
Ordinateurs clients
IP = 192.168.1.3
IP = 192.168.1.4
IP = 192.168.1.5
Ordinateur exécutantle protocole NATIP interne = 192.168.1.1IP externe = 131.107.2.1
1. Le client envoie un paquet à l'ordinateur qui exécute le protocole NAT
4. L'ordinateur exécutant le protocole NAT détermine l'ordinateur de destination, modifie l'en-tête du paquet, puis envoie le paquet au client
2. L'ordinateur exécutant le protocole NAT modifie l'en-tête du paquet et envoie le paquet au serveur Web sur Internet
3. Le serveur Web envoie une réponse à l'ordinateur qui exécute le protocole NAT
Internet
Serveur WebIP = 131.107.50.1
Installation du protocole NAT
Installation de l'interface de routage du protocole NAT
Configuration de la sécurité du réseau dans
Windows
Identification des problèmes de sécurité liés aux réseaux
Types d'attaques réseau les plus courantes : Surveillance de réseau Modification des données Mots de passe Usurpation d'adresses Niveau application Intermédiaire Perturbation du service
Cryptage par clé publique
Le message crypté est envoyé sur le réseau
22
3A78Alice crypte le message avec la Clé publique de Bob
11Données
3A78
Bob décrypte le message avec la Clé privée d'Alice
33
Données
Authentification par clé publique
Le message est envoyé sur le réseau
22
~*~*~*~Alice signe le message avec sa Clé privée
11
~*~*~*~
~*~*~*~
Bob valide le message provenant d'Alice avec la Clé publique d'Alice
33
Délivre le certificat qui servira d'information d'identification
44
Ordinateur, utilisateur ou serviceOrdinateur, utilisateur ou service
Autorité de Autorité de certificationcertification
~*~*~*~
L'Autorité de certification accepte une demande de certificat
11
Vérifie les informations
22
Utilise la Clé privée pour appliquer la signature numérique au certificat
33
Autorité de certification
Hiérarchies de certificationAutorité de Autorité de certification certification
racineracine
Autorité de Autorité de certification certification secondairesecondaire
ApprobationApprobation ApprobationApprobation
ApprobationApprobation
Autorité de Autorité de certification certification secondairesecondaire
Autorité de Autorité de certification certification secondairesecondaire
Infrastructure de clé publique de Windows 200x
Contrôleur de Contrôleur de domainedomaine
SSL et IPSec
Services de Services de certificatscertificats
Inscription de certificat et révocation
Active DirectoryActive DirectoryPublication de certificat
Applications gérant l'infrastructure de clé publique
Ordinateur client du Ordinateur client du domainedomaine
Choix d'un modèle d'Autorité de certification Autorité de certification racine d'entreprise
Autorité de certification de premier niveau dans une hiérarchie de certification, signant son propre certificat d'Autorité de certification et exigeant Active Directory
Autorité de certification racine autonome Autorité de certification de premier niveau dans une hiérarchie de certification n'exigeant pas Active Directory
Autorité de certification secondaire d'entreprise Autorité de certification secondaire obtenant son certificat d'Autorité de certification d'une autre Autorité de certification et exigeant Active Directory
Autorité de certification secondaire autonome Autorité de certification secondaire obtenant son certificat d'Autorité de certification d'une autre Autorité de certification et n'exigeant pas Active Directory
Installation des services de certificatsInstallation des services de certificats
Sélection d'un type d'Autorité de certification
Paramétrage des options avancées
Entrée des informations d'identification
Spécification des emplacements pour les fichiers de base de données, les fichiers journaux et le dossier partagé
Installation des services de certificats
Création d'une Autorité de certification secondaire
À utiliser si une Autorité de certification parente est disponible
en ligne
À utiliser si aucune Autorité de certification parente n'est disponible
en ligne
Sauvegarde et restauration des services de certificats
À utiliser pour démarrer l'Assistant Sauvegarde de l'Autorité de certification ou l'Assistant Restauration de l'Autorité de certification
Utilisation des certificats
Utilisation de l'Assistant Requête de certificat Utilisation des pages Web des services de certificats
Affichage des certificats
Utilisation de l'Assistant Requête de certificat
Utilisation de modèles de certificat Demande de certificat
Affichage des certificats
Gestion des certificats
Délivrance des certificats Révocation des certificats Publication d'une liste de révocation de certificats
Importation et exportation de certificats
Révocation des certificats
Les certificats révoqués apparaissent dans la Liste de révocation de certificats après
leur publication
Publication d'une liste de révocation de certificats
Importation et exportation de certificats
Examen des formats de fichier de certificat Importation d'un certificat Exportation d'un certificat
Configuration d'Active Directory pour les certificats
Active Active DirectoryDirectory
Mappage de nomsMappage de noms
L'utilisateur externe doit posséder un certificat L'utilisateur externe doit avoir un compte d'utilisateur Le certificat de l'utilisateur externe doit être délivré par une Autorité de
certification de confiance Un mappage de nom doit avoir lieu entre le certificat de l'utilisateur
externe et le compte Active Directory
Utilisateur Utilisateur externeexterne
Protocole IPSec sur un réseau
Niveau TCP
IPSec Driver
Niveau TCP
IPSec Driver
Active Directory
Paquets IP cryptés
Stratégie IPSec Stratégie IPSec
Négociation d'une association de sécurité
Pilote IPSec Pilote IPSec
Mise en place de stratégies IPSec
Stratégies IPSec prédéfinies
Configuration du protocole IPSec pour assurer la sécurité entre ordinateurs
Utilisation du protocole IPSec en mode transport Applique des stratégies IPSec pour le trafic généré
entre les systèmes Prend en charge Windows Assure la sécurité de bout en bout Est le mode par défaut pour IPSec
Sécurité entre ordinateurs
Windows 2000Professionnel
Windows 2000Server
Configuration du protocole IPSec pour assurer la sécurité entre réseaux
Utilisation du protocole IPSec en mode tunnel Applique des stratégies IPSec pour l'ensemble du trafic
Internet Prend principalement en charge les anciens systèmes
d'exploitation Prend en charge la sécurité point à point Spécifie le point de sortie du tunnel au niveau des deux
routeurs
Serveur/RouteurWindows 2000
Serveur/RouteurWindows 2000
Sécurité entre réseaux
RouteurRouteur RouteurRouteur
Composants des règles Point de sortie
du tunnel Type de réseau Méthode
d'authentification Liste de filtres IP Action de filtrage
Règle de réponse par défaut
Personnalisation des stratégies IPSec
Règle 2
Filtre 1 Filtre 2
Action du filtre
Action du filtre
Stratégie IPSec
Règle 1
Filtre 1 Filtre 2
Action du filtre
Action du filtre
Choix d'un modèle de cryptage IPSec
Cryptage des authentifications SHA MD5
Cryptage des paquets DES 56 bits
DES 40 bits 3DES
Pour choisir un modèle d'authentification et de cryptage :
Évaluation du coût du cryptage réseau
Diminutiondes performances
C=EK3[Dk2[Ek1[P]]]
Assistance
Conception, test et déploiement
Capacité réduitede filtrage des paquets
Coûts potentiels du cryptage des
transmissions de données
?Diminution de la
productivité
Administration et maintenance
Formation desutilisateurs
Définition de la sécurité au niveau de la couche Application
Planification des protocoles liés à la sécurité au niveau de la couche Application
Planification de transmissions de fichiers sécurisées
Planification de communications sécurisées pour les applications Web
Planification de la sécurité des applications de messagerie
Les applications doivent prendre en charge le cryptage
Application
SSL/TLS
TCP/UDPTCP/UDP
IP/IPSecIP/IPSec
Couche Couche LiaisonLiaison
Couche Couche physiquephysique
Planification de l'utilisation du protocole IPSec
Authenticité des données Intégrité des données Protection contre la retransmission Protection contre la modification
d'adresses
En-têteEn-têteIPIP AH En-têteEn-tête
TCP/UDPTCP/UDPDonnées desDonnées desapplicationsapplications
Signature
En-têtes d'authentification
NouvelNouvelen-tête IPen-tête IP
Cryptage
Signature
Authentification de la source Cryptage des
données Protection contre
la retransmission Protection contre la
modification d'adresses
Charges de sécurité d'encapsulation
En-têteESP
En-tête En-tête IPIP
d'origined'origineEn-têteEn-tête
TCP/UDPTCP/UDPDonnées desDonnées desapplicationsapplications ESPESP Auth
ESP
Étude des stratégies IPSec prédéfinies
Client (en réponse seule)
Serveur (demandez la sécurité)
Sécuriser le serveur (nécessite la sécurité)
Planification de l'authentification IPSec
Kerberos version 5 : Déploiement facile dans l'environnement Active Directory
Certificat : Interopérabilité optimale Clés prépartagées : Faciles à implémenter, mais méthode moins sûre
Stratégied'authentification
et de cryptage
Kerberos version 5 Certificat Clé prépartagée
Planification des filtres IPSec
1. Définition des filtres Créez un filtre pour
chaque protocole protégé ou abandonné
2. Choix des actions de filtrage
Transmettre Interdire Négocier
3. Définition des types de connexions
Réseau local Accès distant Toutes les connexions
réseau
11
22
33
Vérification des communications IPSec
PING
Moniteur de sécurité IP
Moniteur réseau
Observateur d'événements
Journaux Oakley
Optimisation des performances du protocole IPSec
Niveau de sécurité requis Critères de sécurité de l'ordinateur Nombre d'entrées de filtre de stratégie IPSec
Pour garantir une haute disponibilité du service IPSec, tenez compte des éléments suivants :
Configuration du protocole TCP/IP pour assurer la sécurité du réseau
Utilisation des stratégies d'accès distant
Client d'accès distant
Stratégie d'accès distant
Serveur d'accès distant
Autoriser l'accès à des groupes spécifiques
Définir les jours et les heures Configurer des méthodes
d'authentification Configurer des paramètres de cryptage Définir des durées de session
maximales Restreindre les sous-réseaux
Identification des avantages des connexions VPN
Tunnel
Prise en charge sous-traitée des accès à distance
Frais de communication réduits Vitesse de connexion accrue
ISPISP ISPISPInternetInternet
Réseau Interne
Choix d'un protocole de tunneling
Configuration requiseConfiguration requise Protocole de tProtocole de tunnelingunneling
PPTP L2TP/IPSec
Authentification de l'ordinateur
Prise en charge de plusieurs protocoles
X
X X
Niveau élevé de sécurité X
Prise en charge des clients non-Windows X
Prise en charge de NAT X
Utilisation du service RADIUS
Client RADIUS (serveur d'accès distant)
Serveur RADIUS
Clients d'accès à distance
Authentification, autorisation et gestion des comptes
Reçoit les demandes d'authentification
Serveur RADIUS
Proxy RADIUS Transmet les demandes d'authentification au serveur RADIUS approprié
Possibilité d'ouverture de session uniqueServeur d'accès distant
Client d'accès à distance
Contrôleur de domaineIAS
Serveur NAS de l'ISP
Proxy RADIUS de l'ISP
Client d'accès à distance
Centralisation des stratégies d'accès distant
Serveurs d'accès distant
Gestion des stratégies locales
StratégieB StratégieCStratégieA
Serveurs d'accès distant
IAS
Gestion centralisée des stratégies
Stratégie
Active Directoryconcepts et mise en
oeuvre
Qu'est-ce qu'Active Directory ?Qu'est-ce qu'Active Directory ?
Fonctionnalités duservice d'annuaireFonctionnalitésFonctionnalités duduservice service d'annuaired'annuaire
Organiser Gérer Contrôler
Organiser Gérer Contrôler
RessourcesRessources
Gestion centraliséeGestionGestion centraliséecentralisée
Un seul point d'administration Accès utilisateur total aux
ressources de l'annuaire en uneseule connexion
Un seul point d'administration Accès utilisateur total aux
ressources de l'annuaire en uneseule connexion
Objets Active Directory Objets Active Directory
Les objets représentent des ressources réseau Les attributs définissent des informations sur un
objet
AttributsAttributsAttributs
PrénomNomNom d'utilisateur
PrénomNomNom d'utilisateur
AttributsAttributsAttributs
Nom d'imprimanteEmplacementde l'imprimante
Nom d'imprimanteEmplacementde l'imprimante
Active DirectoryActive DirectoryActive Directory
Imprimantes
Imprimante1
Imprimante2
Suzan Fine
Utilisateurs
Don Hall
Valeurd'attributValeurValeur
d'attributd'attribut
ObjetsObjetsObjets
ImprimantesImprimantes
UtilisateursUtilisateurs
Imprimante3
Schéma Active Directory Schéma Active Directory
Exemples declasses d'objetsExemplesExemples dede
classes classes d'objetsd'objets
OrdinateursOrdinateurs
UtilisateursUtilisateurs
ImprimantesImprimantes
PropriétésPropriétésPropriétés
10/02/03SalesCN=Wendy Kahn, OU=Beth
10/02/03SalesCN=Wendy Kahn, OU=Beth
Exemple depropriétés
ExempleExemple dedepropriétéspropriétés
Définis dans le contexte de nommage du schéma d'Active Directory
Stockées dans le contexte de nommage de domaine d'Active Directory
Attributs desutilisateurs
AttributsAttributs desdesutilisateursutilisateurs
DateExpirationCompteDépartementNomUniquePrénom
DateExpirationCompteDépartementNomUniquePrénom
Exemplesd'attributs
ExemplesExemplesd'attributsd'attributs
Protocole LDAP Protocole LDAP
LDAP permet de communiquer avec Active Directory en indiquant des chemins d'accès uniques pour chaque objet de l'annuaire
Les chemins d'accès LDAP contiennent les éléments suivants : Noms uniques
Noms uniques relatifs
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msftSuzan Fine
Groupes dans Active Directory Groupes dans Active Directory
Groupe globalGroupeGroupe globalglobal Membre de son propre domaine
uniquement Permet l'accès aux ressources de tous les
domaines
Membre de son propre domaineuniquement
Permet l'accès aux ressources de tous les domaines
Groupe de domaine localGroupeGroupe de de domainedomaine llocalocal
Membre des domaines de la forêt Permet l'accès aux ressources de son
domaine
Membre des domaines de la forêt Permet l'accès aux ressources de son
domaine
Groupe universelGroupeGroupe universeluniversel
Membre de tous les domaines de la forêt Permet l'accès aux ressources de tous les
domaines
Membre de tous les domaines de la forêt Permet l'accès aux ressources de tous les
domaines
Structure logique d'Active Directory Structure logique d'Active Directory
Domaines
Changement de mode de domaine
Unités d'organisation
Arborescences, forêts et approbations transitives bilatérales
Catalogue global
DomainesDomaines
Un domaine est une limite de sécurité L'administrateur de domaine peut administrer
uniquement ce domaine, sauf s'il possède explicitement des droits d'administration dans un autre domaine
Un domaine est une unité de réplication Les contrôleurs d'un domaine prennent part à la
réplication et contiennent la copie complète des informations d'annuaire de leur propre domaine
DomaineWindows 2000
DomaineWindows 2000
RéplicationRéplicationRéplication
Changement de mode de domaineChangement de mode de domaine
Active Directory s'installe en mode mixte pour permettre la prise en charge des contrôleurs de domaine existants
L'imbrication des groupes et les groupes de sécuritéuniversels ne sont possibles que dans un domaine en mode natif
Mode mixte
Contrôleur de domaine(Windows 2000)etContrôleur de domaine(Windows NT 4.0)
Mode natif
Contrôleurs de domaine(Windows 2000 seulement)Contrôleurs de domaine
(Windows 2000 seulement)
Unités d'organisationUnités d'organisation
Utilisateurs
Ventes
Ordinateurs
Modèle administratif de réseauModèleModèle administratifadministratif de de réseauréseau Structure de l'organisationStructure de Structure de l'organisationl'organisation
Ventes
Vancouver
Répar.
Utilisez des unités d'organisation pour grouper des objets dans une hiérarchie logique qui convient le mieux à votre entreprise
Déléguez le contrôle de l'autorité d'administration surles objets d'une unité d'organisation en affectant des autorisations spécifiques à des utilisateurs et à des groupes
Arborescences, forêts et approbations transitives bilatéralesArborescences, forêts et approbations transitives bilatérales
contoso.msftcontoso.msft
(racine)
au. contoso.msft
au. contoso.msft
asia. contoso.msft
asia. contoso.msft
Arborescence
Approbations transitives bilatéralesApprobations Approbations transitivestransitives bilatéralesbilatérales
au.nwtraders.msft
au.nwtraders.msft
asia.nwtraders.msft
asia.nwtraders.msft
nwtraders.msftnwtraders.msft
Forêt
Arborescence
Approbation transitive bilatéraleApprobation transitive Approbation transitive bilatéralebilatérale
Catalogue global Catalogue global
Serveur de catalogue global
Catalogue globalCatalogue globalCatalogue global
Sous-ensemble des attributs de tous les objets
Sous-ensemble des attributs de tous les objets
DomaineDomaine
Domaine
DomaineDomaine
Domaine
RequêtesRequêtesRequêtes
Informationsd'adhésion au
groupe universellorsque l'utilisateurouvre une session
InformationsInformationsd'adhésiond'adhésion au au
groupegroupe universeluniversellorsquelorsque l'utilisateurl'utilisateurouvreouvre uneune sessionsession
Structure physique d'Active Directory Structure physique d'Active Directory
La structure physique d'Active Directory est constituée des éléments suivants : contrôleurs de domaine
sites
SitesSites
Les sites : Optimisent le trafic de réplication Permettent aux utilisateurs d'ouvrir des sessions sur
un contrôleur de domaine à l'aide d'une connexionfiable et rapide
SiteSousSous--réseauréseau IPIP
SousSous--réseauréseau IPIP
Los Angeles
Seattle
ChicagoNew York
Stratégies de groupes (GPO)Vue d'ensemble
Structure de la stratégie de groupe
Utilisation d'objets Stratégie de groupe
Application des paramètres de stratégie de groupe dans Active Directory
Modification de l'héritage de stratégies de groupe
Résolution de problèmes liés à la stratégie de groupe
Conseils pratiques
Présentation de la stratégie de groupe Présentation de la stratégie de groupe
Emplois de la stratégie de groupe : Définition de stratégies centralisées et décentralisées Configuration d'environnements adaptés aux besoins
des utilisateurs Contrôle des environnements utilisateur et ordinateur Application de stratégies d'entreprise
Site
DomaineDomaineUnité
d'organisation
Stratégiede groupe
L'administrateur définitla stratégie de groupe
Windows 2000 l'applique continuellement
Utilisateurs
Ordinateurs
Objets Stratégie de groupe Objets Stratégie de groupe
Objet Stratégie de groupe (GPO)
Contient des paramètres de stratégiede groupe
Contenu enregistré à deux emplacements
Stocké dans le dossier partagéSYSVOL sur le contrôleur de domaine
Fournit les paramètres de stratégie de groupe
Stocké dans le dossier partagéSYSVOL sur le contrôleur de domaine
Fournit les paramètres de stratégie de groupe
Stocké dans Active Directory
Fournit des informations de version
Stocké dans Active Directory
Fournit des informations de version
Modèle de stratégie de groupe
Conteneur de stratégie degroupe
Types de paramètres de stratégie de groupe Types de paramètres de stratégie de groupe
Types de Types de paramètresparamètres de de stratégiestratégie de de groupegroupe
Modèlesd'administration Paramètres de registre liés à la stratégie de groupe
Sécurité Paramètres pour la sécurité locale, du domaine et du réseau
Installation de logiciels
Paramètres pour la gestion centralisée de l'installation de logiciels
Scripts Scripts de démarrage et d'arrêt de l'ordinateur et scripts d'ouverture et de fermeture de session
Services d'installationà distance
Paramètres qui contrôlent les options accessibles aux utilisateurs lorsqu'ils exécutent l'Assistant Installation de clients utilisé par les services RIS
Maintenance d'Internet Explorer
Paramètres servant à administer et à personnaliser Microsoft Internet Explorer sur des ordinateurs Windows
Redirection de dossiers
Paramètres relatifs au stockage des dossiers des utilisateurssur un serveur réseau
Paramètres de stratégie de groupe pour les ordinateurs et les utilisateurs Paramètres de stratégie de groupe pour les ordinateurs et les utilisateurs
Paramètres de stratégie de groupe pour les ordinateurs
Traités lors de l'initialisation du système d'exploitation et au cours du cycle d'actualisation périodique
Définis dans nœud Configuration ordinateur
Paramètres de stratégie de groupe pour les utilisateurs
Traités lors des ouvertures de session des utilisateurs et au cours du cycle d'actualisation périodique
Définis dans nœud Configuration utilisateur
Application de la stratégie de groupe Application de la stratégie de groupe
L'ordinateur client démarre ou l'utilisateur ouvre une session, et l'ordinateur extrait une liste d'objets GPO à appliquer
L'ordinateur client se connecte à SYSVOL et localise les fichiersRegistry.pol
L'ordinateur client écrit les informations nécessaires dans les sous-branches du registre
La boîte de dialogue d'ouverture de session (pour l'ordinateur) oule bureau (pour l'utilisateur) s'affiche
111Listedes objetsGPO
Listedes objetsGPO
Registry.pol
Modèle de stratégie
de groupe
SYSVOL
222
Registry.pol
HKEY_CURRENT_
USER Registry.pol
HKEY_LOCAL_
MACHINE333
Liaisons entre objets Stratégie de groupeÉtude des liaisons entre objets Stratégie de groupe
Liaison d'un objet GPO avec plusieurs sites, domaines ou unités d'organisation
Liaison de plusieurs objets GPO avec un site, un domaine ou une unité d'organisation
DomaineDomaine
GPO pour l'unitéd'organisation
GPO pour le domaine GPOpour le site
GPO pour l'unitéd'organisation
Site
Création d'objets GPO liés et non liés Création d'objets GPO liés et non liés
Création d'objets GPO liés
Pour les sites, utilisez Sites et services Active Directory
Pour les domaines et unités d'organisation, employez Utilisateurs et ordinateurs Active Directory
Création d'objets GPO non liés
Ajoutez un composant logiciel enfichable Stratégie de groupe à la console MMC
Résolution de conflits entre paramètres de stratégie de groupe Résolution de conflits entre paramètres de stratégie de groupe
Tous les paramètres de stratégie de groupe sont appliqués sauf en cas de conflit
Les derniers paramètres traités sont appliqués
Quand les paramètres d'objets GPO différents dans la hiérarchie Active Directory sont en conflit, les paramètres GPO du conteneur enfant sont appliqués
Quand les paramètres d'objets GPO liés au même conteneur sont en conflit, les paramètres de l'objet GPO situé le plus haut dans la liste sont appliqués
Présentation de la gestion des environnements utilisateurs
Contrôler les bureaux des utilisateurs, les interfaces utilisateur et l'accès au réseau
Utiliser les paramètres de la stratégie de groupe
Appliquer la stratégie de groupe à un site, un domaine ou une unité d'organisation
Les paramètres des environnements utilisateurs sont automatiquement appliqués à un nouvel utilisateur ou ordinateur
Présentation de la gestion des environnements utilisateurs
Gérer les environnements
utilisateurs
Paramètres des modèles
d'administration Paramètres de scripts
Redirection des dossiers utilisateurs
Paramètres de sécurité
HKEY_LOCAL_MACHINEHKEY_CURRENT_USER
RegistreRegistreMes documents
Types de paramètres de modèle d'administration Types de paramètres de modèle d'administration
Type de Type de paramparamèètrestres ÉÉllééments contrôlments contrôlééss Champ de Champ de
disponibilitdisponibilitéé
Composants de Windows
Parties de Windows 2000 et ses outils et composants auxquels les utilisateurs peuvent accéder, notamment la console MMC
SystèmeOuverture et fermeture de session, stratégie de groupe, intervalles d'actualisation, quotas de disqueet stratégie de bouclage
Réseau Propriétés des connexions réseau et des connexions d'appel entrant
ImprimantesParamètres d'imprimante pouvant imposer la publication des imprimantes dans Active Directory et désactiver l'impression basée sur le Web
Menu Démarrer et barre des tâches
Paramètres qui contrôlent l'aspect et l'accessibilité du menu Démarrer et de la barre des tâches
BureauActive Desktop, notamment ce qui apparaît sur les bureaux et ce que les utilisateurs peuvent effectuer avec le dossier Mes documents
Panneau de configuration
Utilisation des fonctionnalités Ajout/Suppression de programmes, Affichage et Imprimantes
Paramètres de sécurisation du bureau Paramètres de sécurisation du bureau
Masquer toutes les icônes du Bureau
Ne pas enregistrer les paramètres en quittant
Dans Poste de travail, masquer ces lecteurs spécifiés
Supprimer la commande Exécuter du menu Démarrer
Empêcher l'exécution du Panneau de configuration Affichage
Désactiver et supprimer les liens vers Windows Update
ParamParamèètres courants de la strattres courants de la stratéégie de groupe pour la gie de groupe pour la sséécurisation du bureaucurisation du bureau
Empêcher la modification des paramètres de la barre des tâches et du menu Démarrer
Désactiver et supprimer la commande Arrêter
Sécurisation de l'accès utilisateur aux ressources réseau
Cacher l'icône Favoris réseau sur le Bureau
Supprimer les options Connecter un lecteur réseau et Déconnecter un lecteur réseau
Menu Outils : désactiver la commande Options Internet...
ParamParamèètres courants de la strattres courants de la stratéégie de groupe pour la gie de groupe pour la sséécurisation de l'acccurisation de l'accèès utilisateur aux ressources rs utilisateur aux ressources rééseauseau
Paramètres de sécurisation de l'accès utilisateur aux ressources réseau
Sécurisation de l'accès utilisateur aux applications et outils d'administration
Supprimer le menu Rechercher du menu Démarrer
Supprimer la commande Exécuter du menu Démarrer
Désactiver le gestionnaire de tâches
Exécuter seulement les applications Windows autorisées
Supprimer le menu Documents du menu Démarrer
Empêcher la modification des paramètres de la barre des tâches et du menu Démarrer
ParamParamèètres courants de la strattres courants de la stratéégie de groupe pour la gie de groupe pour la sséécurisation du bureaucurisation du bureau
Supprimer le groupe de programmes communs du menu Démarrer
Paramètres de sécurisation de l'accès utilisateur aux applications et outils d'administration
Présentation des paramètres de script de la stratégie de groupe Présentation des paramètres de script de la stratégie de groupe
Vous pouvez utiliser les paramètres de script de la stratégie de groupe pour :
Exécuter des scripts existants Exécuter des scripts qui effectuent des tâches que vous ne
pouvez pas configurer avec d'autres paramètres de la stratégie de groupe
Utiliser des scripts qui nettoient les bureaux lorsque les utilisateurs ferment leurs sessions et arrêtent leurs ordinateurs
Ordinateur
Utilisateur
Démarrage/ArrêtDDéémarrage/Arrêtmarrage/Arrêt
Ouverture/Fermeturede session
Ouverture/FermetureOuverture/Fermeturede sessionde session
Scripts
Configurationordinateur
Configuration utilisateur
Démarrage/ArrêtDDéémarrage/Arrêtmarrage/Arrêt
Ouverture/Fermeturede session
Ouverture/FermetureOuverture/Fermeturede sessionde session
Application des paramètres de script dans la stratégie de groupe Application des paramètres de script dans la stratégie de groupe
Windows traite plusieurs scripts de haut en bas
OrdreOrdre de de traitementtraitement
Lorsqu'un utilisateur démarre un ordinateur et ouvre une session :a. Les scripts de démarrage s'exécutentb. Les scripts d'ouverture de session s'exécutent
Lorsqu'un utilisateur ferme une session et arrête un ordinateur :a. Les scripts de fermeture de session s'exécutentb. Les scripts d'arrêt s'exécutent
Technologies de gestion des logiciels Technologies de gestion des logiciels
Windows InstallerWindows Installer
Avantages du service : Installations
personnalisées
Applications robustes
Suppression propre
Les utilisateurs ont uniquement besoin d'un accès en lecture aux dossiers d'installation
Installation et maintenance Installation et maintenance des logicielsdes logiciels
Installer les applications sur les ordinateurs des utilisateurs
Mettre à niveau l'application ou appliquer automatiquement des correctifs logiciels ou des Service Packs
Supprimer les applications
Les objets Stratégie degroupe peuvent :
Cycle de vie des logiciels Cycle de vie des logiciels
PréparationAcquisition des packages
DéploiementInstallation des packages
MaintenanceMise à niveau des packages
SuppressionSuppression des packages
Assignation de packages logiciels Assignation de packages logiciels
L'application est installée la première fois que l'utilisateur la démarre
Assignation Assignation àà un un utilisateurutilisateur
Démarrer
L'application est installée la prochaine fois que l'ordinateur est démarré
Assignation Assignation àà un un ordinateurordinateur
Publication de packages logiciels Publication de packages logiciels
L'application est installée lorsque l'utilisateur la sélectionne depuis Ajout/Suppression de programmesdans le Panneau de configuration
Ajout/Suppression de programmesAjout/Suppression de programmes
L'application est installée lorsque l'utilisateur double-clique sur un type de fichier inconnu
Invocation de documentInvocation de document
Suppression des logiciels Suppression des logiciels
Suppression imposéeLe logiciel est automatiquement supprimé de l'ordinateur et ne peut pas être réinstallé
Processus de suppressionSeul un logiciel installé à partir d'un fichier package Windows Installer peut être supprimé par le biais d'une stratégie de groupe
Suppression facultativeLe logiciel n'est pas supprimé de l'ordinateur mais ne peut plus être installé