Administration Windows

Administration Windows

Aspects Avancés

Pr. Mohammed ELKOUTBI

ENSIAS 2009-2010

Plan du cours

Module 1 : Résolution de noms DNS Module 2 : Services de publication Module 3 : Résolution de noms WINS Module 4 : Service DHCP Module 5 : Configuration d'un serveur

Windows en tant que routeur Module 6 : Configuration de l'accès Internet pour

un réseau Module 7 : Infrastructure de clé publique Module 8 : Sécurité du réseau Module 9 : Active Directory

Introduction

Accès distantIntranet

Bureau distant

Clients

Extranet

RouteurRouteur

Serveur

Clients

RouteurRouteur

Clients

RouteurRouteur

Internet

Serveur Serveur

Introduction

Services de l’Internet Navigation sur le Web (HTTP, HTTPS) Messagerie électronique (SMTP) Transfert de fichiers (FTP, SFTP) Résolution de noms (DNS, DNSSec) Routage (RIP, OSPF, BGP, …) Translation d’adresse (NAT)

Services réseaux d’entreprise Configuration dynamique (DHCP) Partage de Fichiers (NFS) Impression (LPR/LPD) Lecture du courrier (POP, IMAP)

Service de nommage

Méthodes standard de résolution des noms d'hôte Nom d'hôte local Fichier Hosts Serveur DNS

Méthodes de résolution des noms d'hôte spécifiques à Microsoft Diffusion locale Fichier Lmhosts WINS (RFC 1001 et 1002)

Les méthodes de résolution des noms d'hôte sont configurables

Service DNS

Domain Name SystemRFC 882, 883 puis 1034, 1035 Système hiérarchique (modèle en arborescence),

Redondant et distribué

Gestion décentralisée des bases de données

=> chaque site est maître de ses données

Informations complémentaires : relais de messagerie, ...

Correspondance dynamique

Limite les risques de collision de noms

Service DNS

RFC 1032, 1033, 1034, 1035, 1101, 1122, 1123, 1183, 1713, 1794,

1912, 1995, 1996, 2010, 2136, 2137, 2181, 2308, 2317, 2535-2541, 2606, …

Documentation http://www.dns.net/dnsrd/ (RFC, drafts, FAQ, ... )

http://www.nic.fr/guides/

http://www.nic.fr/formation/ Livres

DNS and BIND, 4th edition, Paul Albitz & Cricket Liu, O’Reilly

Service DNS

Le DNS vu comme une base de données

Stocke différents types d’enregistrements (« Resource Records », RR) : SOA, NS, A, AAAA, MX, PTR, TXT, …

Les données DNS sont indépendantes de la version d’IP (v4/v6) utilisée pour les transporter

Le DNS vu comme une application TCP/IP

Le service est accessible en UDP et en TCP sur le port 53, sur IPv4 et sur IPv6

L’information fournie au-dessus des deux versions d’IP doit être et doit rester cohérente

Service DNS (domaine et zone)

Dénomination des domaines caractères autorisés 'A...Z' 'a...z' '0...9' '-'’ (et ‘_’ pour SRV)

pas de différences entre majuscule et minuscule

taille totale du nom limitée à 255 caractères

un label est unique au niveau d'un noeud

un label au niveau d 'un noeud est limité à 63 caractères

Service DNS

Types de requêtesTypes de requêtes

Requête itérative Le serveur DNS renvoie la meilleure réponse qu'ilpeut fournir sans aucune aide des autres serveurs

Requête récursiveLe serveur DNS renvoie une réponse complète à larequête, et pas seulement un pointeur vers un autreserveur

Types de recherchesTypes de recherches

Recherche directe Nécessite une résolution nom/adresse

Recherche inversée Nécessite une résolution adresse/nom

Service DNS

Recherche directe

Serveur DNS

Adresse IP de nwtraders.msft ?Adresse IP de nwtraders.msft ?

Adresse IP = 192.168.1.50Adresse IP = 192.168.1.50

Recherche inversée

Serveur DNS

Nom de 192.168.1.50 ?Nom de 192.168.1.50 ?

Nom = nwtraders.msftNom = nwtraders.msft

Service DNS : requêtes

frfr ddee

....

serveurserveur

www.inria.fr ?www.inria.fr ?

Int. récursiveInt. récursivewww.inria.fr ?www.inria.fr ?

resolverresolver

Machine AMachine A

serveurserveur

rreessoollvveerr

128.93.3.29128.93.3.29

frfr

serveurserveur

www.inria.fr ?www.inria.fr ?

nic.frnic.fr inria.frinria.fr

inria.fr inria.fr dns.inria.fr, ...dns.inria.fr, ...

Int. itérativeInt. itérative

inria.frinria.fr

serveurserveur

www.inria.fr ?www.inria.fr ?www.inria.fr www.inria.fr 128.93.3.29128.93.3.29

fr fr ns1.nic.fr, ns2.nic.fr, ns1.nic.fr, ns2.nic.fr, ......


rreessoollvveerr

serveurserveur

ccaacchhee

resolverresolver

Machine AMachine Aint. itérativeint. itérative

inria.frinria.fr

serveurserveur

chronos.inria.fr ?chronos.inria.fr ?chronos.inria.fr chronos.inria.fr 128.93.45.20128.93.45.2011

int. récursiveint. récursivechronos.inria.fr ?chronos.inria.fr ?

128.93.45.201128.93.45.201

frfr

serveurserveur


F

M

E

D J

K

I

L

B

A C G H

Service DNS

Zones standard

Zone principale Zone secondaire

ModificationTransfert de zone

Zones intégrée Active Directory

Modification Modification Modification

Transfert de zone

Configuration de zones standard Vous pouvez configurer un serveur DNS pour héberger des

zones principales standard, des zones secondaires standard ou n'importe quelle combinaison de zones principales et secondaires standard

Vous pouvez désigner un serveur principal ou un autre serveur secondaire comme serveur DNS maître pour une zone secondaire standard

Serveur DNS A

Serveur DNS B

BBZone secondaire

(Serveur DNS maître = Serveur DNS A)

CC

Serveur DNS C

Zone secondaire(Serveur DNS maître =

Serveur DNS A)

Zone principale

Informations de zone

AA

Processus de transfert de zoneLe processus de transfert de zone est déclenché lorsqu'un des événements ci‑dessous a lieu

Un serveur maître envoie une notification de modification de la zone à un ou plusieurs serveurs secondaires

Chaque serveur secondaire interroge périodiquement un serveur maître sur les changements du fichier de zone

ServeurDNS

(Maître)

nwtraders

trainingsupport

Fichier de base de données de lazone principale

Fichier de base de données de lazone secondaire

Serveur

DNS

Zone 1

Processus de transfert de zone Rafraîchissement des données entre serveurs autoritaires

la version d 'une zone est identifiée par son numéro de série (serial) ; à chaque modification celui-ci doit être augmenté

le transfert de zone

le serveur secondaire transfère d'abord le SOA de la zone et vérifie si le numéro de série a augmenté

si c'est le cas toute la zone est transférée (transfert total - AXFR) ou seules les nouvelles modifications entre les 2 versions sont transférées (transfert incrémental - IXFR - RFC 1995)

Création d'un sous-domaine

org. com.com. edu. au.

".""."

entreprise.com.

training.entreprise.com.

training.entreprise.com.

Sous-domaine Domaine de second niveau Domaine du niveau le plus élevé Racine

Création d'un sous-domaine pour fournir une certaine structure à votre espace de noms

Délégation d'une autorité sur un sous-domaine pour Déléguer la gestion de portions de cet espace de noms Déléguer les tâches administratives pour tenir à jour une vaste

base de données DNS

Configuration de zones intégrées Active Directory (Microsoft)

Active Directorynwtraders.msft

Serveur DNS

Zone intégréeActive Directory

Les zones intégrées Active Directory sont Stockées sous la forme d'un objet Active Directory Dupliquées au cours de la duplication de domaine

Configuration du système DNS pour une utilisation interne

Configurez une zone racine sur un serveur DNS lorsque Votre intranet n'est pas connecté à Internet Vous utilisez un serveur proxy pour accéder à Internet

Si votre entreprise n'est pas connectée à Internet ou est connectée par le biais d'un serveur proxy

Serveur Proxy

Réseau privé

com.com.

entreprise.com.entreprise.com.

".""."

Domaine racine

Enregistrementsdeentreprise.com

Si votre entreprise est connectée à Internet

"."

Domaine racineInternet

org.

Réseau privé

com.

entreprise.com.entreprise.com.

...delegate entreprise.com...

org.com.edu.au.

Vue d'ensemble des mises à jour dynamiques

Le protocole de mise à jour dynamique permet aux ordinateurs clients de mettre automatiquement à jour les serveurs DNS

Ordinateur 1

Demande d'adresse IPDemande d'adresse IP11

Affectation du bail Affectation du bail d'adresse IP 192.168.120.133d'adresse IP 192.168.120.133

22

Base de donnéesBase de donnéesde la zonede la zone

Ordinateur 1 192.168.120.133

ServeurDHCP

Mise à jourdynamique

Mise à jourdynamique

Serveur DNS

Configuration des mises à jour dynamiques

Pour configurer les mises à jour dynamiques, Pour configurer les mises à jour dynamiques, vous devez :vous devez :

Configurer le serveur DNS pour autoriser les mises à jour dynamiques

Configurer le serveur DHCP pour des mises à jour dynamiques

Configurer des mises à jour dynamiques pour les clients exécutant Windows 2000

Réduction du trafic réseau à l'aide de serveurs dédiés à la mise en cache

Les serveurs dédiés à la mise en cache Effectuent la résolution de noms pour les clients et mettent en cache, ou

stockent, les résultats Peuvent être utilisés pour réduire le trafic DNS sur un

réseau étendu

Serveur dédiéà la miseen cache

Client

Client

Client

Bureau distant

Serveur DNS

Siège social

Faible bandepassante

Vérification des enregistrements de ressource à l'aide de Nslookup

Utilisez Nslookup pour vérifier que les informations contenues dans les enregistrements de ressource sont correctes

Service DNS – Fichier de zone

Contient les données propres à chaque zone Consiste en une liste de Resource Records (RR) Premier RR doit être le SOA (Start of Authorithy) qui décrit l'autorité technique de la zone Directives spéciales

$ORIGINspécifie le nom de domaine à ajouter à des enregistrements non pleinement qualifiés (non suffixés par un point)syntaxe : $ORIGIN <domaine>

$INCLUDEpermet d'inclure un fichier dans le fichier de zonesyntaxe : $INCLUDE <fichier>

Service DNS – Fichier de zone Directives spéciales

$TTL (RFC 2308)spécifie le Time To Live par défaut à appliquer aux enregistrements qui n'ont pas ce paramètre spécifié dans leur déclarationsyntaxe : $TTL <valeur>

Structure d 'un RR < nom | @ > [<ttl>] [<classe>] <type> <données> [<commentaire>]

<nom> : nom de l 'enregistrement auquel vont s'appliquer les informations@ : utilise la valeur courante de $ORIGIN comme nom<ttl> : durée de vie en secondes, de l'enregistrement dans les caches<classe> : groupe d'appartenance - IN pour Internet<type> : type de l'enregistrement<données> : données associées au type

Service DNS – Fichier de zone Principal RR - SOA (Start Of Autority)

zone IN SOA primaire. E-mail. (serialrefreshretryexpirettl )

E-mail : contact technique de la zoneremplacer le @ par le premier point non protégé (\), l'email doit être suivi d 'un point

francis\.dupont.inria.fr. Pour [email protected]


Principal RR - SOA (Start Of Autority) Serial : spécifie la version des données de la zone incrémenter ce numéro à chaque modification (entier sur 32 bits)

format conseillé : YYYYMMDDxx (2002011002) refresh : intervalle, en secondes, entre 2 vérifications du numéro de série par les secondaires (24H - 86400s ; à ajuster si la zone est souvent modifiée) retry : intervalle en seconde entre 2 vérifications du numéro de série par les secondaires si la 1ère vérification a échoué (6H - 21400s ; à ajuster en fonction de sa connectivité) expire : durée d 'expiration de la zone sur un secondaire (41 jours -3600000s )

retry << refresh << expire


Principal RR - SOA (Start Of Autority) ttl (time to live) - RFC 2308 - Negative caching

Spécifie le TTL pour le « negative caching », soit le temps que doit rester dans les caches une réponse négative suite à une question sur ce domaine (valeur recommandée de 1 à 3 heure).

Il existe 2 types de réponses négatives :- NXDOMAIN : aucun enregistrements ayant le nom demandé dans la classe (IN) n'existe dans cette zone- NODATA : aucune donnée pour le triplet (nom, type, classe) demandé n'existe ; il existe d'autre enregistrements possédant ce nom, mais de type différent


Deuxième RR - NS (Name Server)

indique un serveur de nom pour le nom spécifié (ce nom devient une zone dont la délégation est donnée au serveur en partie droite)

zone IN NS serveur-nom1.domaine.IN NS serveur-nom2.domaine.

Il faut spécifier les serveurs de noms de la zone que l'on décrit (associée au SOA)


Autres RR A (Adresses IPv4) AAAA (Adresses IPv6) PTR (Pointeur) MX (Mail eXchanger) E-mail à utilisateur@domainnom

On cherche dans le DNS un MX indiquant la machine sur laquelle il faut envoyer le courrier pour nom.

nom IN MX 10 relais1.IN MX 20 relais2.IN MX 30 relais3.

Service DNS – Fichier de zone $ORIGIN nic.fr.$TTL 86400

@ IN SOA ns1.nic.fr. hostmaster.nic.fr.

(2001122701 ;serial

86400 ;refresh21600 ;retry3600000 ;expire3600 ;negative ttl

)

IN NS ns1.nic.fr.

IN NS ns2.nic.fr.

IN NS ns3.nic.fr.

ns1 IN A 192.93.0.1

ns2 IN A 192.93.0.4

ns3 IN A 192.134.0.49

IN AAAA 2001:660:3006:1::1:1

funk IN A 192.134.4.27

ftp IN CNAME funk

localhost IN A 127.0.0.1

Windows : Installation du service Serveur DNS

Configuration de la résolution de noms pour les ordinateurs clients

L'adresse IP peut être fournie par un serveur DHCP ou configurée manuellement

Configuration de transferts de zones

Maintenance des zones DNS

Service DNS – vulnérabilités

Zone file

slaves

master Caching forwarder

resolver

Zone administrator

Corrupting zone data

Impersonating master

Corrupting data by spoofingtraffic

Dynamicupdates

Services de publication

IIS

Introduction

WWW est né au CERN en 1989: Faciliter l ’accès aux publications de recherche de la communauté de

la physique des particules en les plaçant sur Internet et en pouvant facilement trouver les documents associés

Le W3C [World Wide Web Consortium] est créé en 1995 pour coordonner les développements liés au Web.

Il est conjointement hébergé par le MIT aux USA, l’INRIA en Europe et l'Université de Keio (Japon)

Les principaux éléments du Web sont: un protocole client/serveur : HTTP un langage d ’écriture des pages : HTML un moyen de référencer et de lier les pages : les URL

Serveurs Web

Chaque serveur Web écoute le port 80 (par défaut) Etapes pour récupérer un document (dont l ’URL est

http://nom_serveur/nom_document), le client demande au DNS l ’adresse IP du serveur le client établit une connexion TCP sur le port 80 du

serveur il envoie la commande: GET nom_document HTTP/1.0 le serveur envoie un en-tête et le document le serveur ferme la connexion le client affiche le document Si le client doit demander un autre document au même

serveur, il doit ouvrir une nouvelle connexion

Protocole HTTP

HTTP v 1.0, RFC 1945 (1996) HTTP v 1.1, RFC 2068 (1997) et RFC 2616 (1999) Les transferts des données se font en utilisant MIME Une requête HTTP utilise les méthodes (GET, HEAD, PUT, POST, …)

GET: récupérer un documentGET http://www.ec-lyon.fr/index.html HTTP/1.0

HEAD: récupérer l’en-tête d’un document sans le contenu utile pour récupérer la date de dernière modification ou pour faire des tests de connectivité

POST: permet d ’envoyer des informations au serveur lié aux formulaires

PUT, DELETE: permettent d ’ajouter des documents ou d ’en supprimerPOST http://www.ec-lyon.fr/cgi-bin/search HTTP/1.0Content-Type: application/x-www-form-urlencodedContent-Length: 22NOM=Chalon&PRENOM=Rene

Cache Web

Chaque client HTTP gère un cache local Serveur Proxy gère un cache centralisé

Vue d'ensemble de IIS

Un serveur Windows 2000 exécutant lesServices Internet fournit : Un serveur WWW Le service FTP Le service NNTP Le service SMTP

~~~ ~~~ ~~~ ~~~ ~~~ ~~~ ~~~ ~~~ ~~~

Intranet Internet

Préparation de l'installation des Services Internet

Configurez une adresse IP statique 192.168.120.133192.168.120.133

Définissez un nom de domaine nwtraders.msftnwtraders.msft

Installez le protocole TCP/IP

Configurez les lecteurs aux format NTFS

NTFSNTFS

Installation des Services Internet

Pour installer les Services InternetPour installer les Services Internet

Réalisez l'installation :

Ajoutez le Gestionnaire des services Internet au menu Outils d'administration

Créez le site Web par défaut et le site FTP par défaut

Testez l'installation :

Utilisez Internet Explorer pour afficher les fichiers dans le répertoire de base C:\Inetpub\Wwwroot

Configuration d'un site Web

Configuration de l'identification de sites Web Configuration du répertoire de base Identification des méthodes d'authentification Choix d'une méthode d'authentification Configuration de l'authentification Affectation d'un document par défaut

Configuration de l'identification de sites Web

Configuration du répertoire de base

Dossiers partagés

Répertoire situé sur l'ordinateur

local

Identification des méthodes d'authentification

Accès anonyme Authentification de base Authentification Digest Authentification intégrée de Windows

Choix d'une méthode d'authentification

Accès anonyme

Authentification de base

Vous souhaitez que les utilisateurs accèdent aux zones publiques de votre site Web

Vous souhaitez authentifier les utilisateurs qui accèdent à votre site Web à l’aide d’un navigateur ou d’un serveur proxy quelconques

Méthode Méthode d'authentificationd'authentification

AuthentificationDigest

Vous souhaitez une authentification sécurisée pour vos sites Web et vous devez utiliser un serveur proxy

Circonstances d'utilisationCirconstances d'utilisation

Authentification intégrée

de Windows

Vous configurez un site intranet dans lequel les utilisateurs et le serveur Web appartiennent au même domaine ou à des domaines avec relations d’approbation

Configuration de l'authentification

Accèsanonyme

Authentificationde base

AuthentificationDigest Authentification

intégrée de Windows

Affectation d'un document par défaut

Serveurs virtuels

Internet

Client

Explorateurhttp://www.microsoft.com/default.htm— OU—http://www.msn.com/default.htm

Serveur IIS Adresse IP : X.X.X.XD:\Wwwroot\

Adresse IP : Y.Y.Y.YE:\Wwwroot\

Répertoire virtuel distant

Internet

Serveur IIS C:\Wwwroot\...

Client

Explorateurhttp://stagex.com/dept/exemple.htm

Stagex.com

\\Departement\ComptesUNCD:\Comptes Debits Personnel Exemple.htm

Alias de département

Dépannage des Services Internet

Test d'un site Web connecté à Internet

Test d'un site Web sur votre intranet

Résolution des problèmes des Services Internet

Implémentation de la résolution de noms à

l'aide du service WINS

Vue d'ensemble

Connexion à des réseaux NetBIOS

Vue d'ensemble du service WINS Configuration de serveurs et de clients WINS Configuration de la prise en charge des clients non-

WINS Configuration de la duplication de bases de données

WINS Maintenance de la base de données d'un serveur WINS

Noms NetBIOS

Les noms NetBIOS sont enregistrés de façon dynamique et : Ne peuvent être utilisés qu'une fois sur un réseau

Peuvent être enregistrés en tant que noms uniques ou en tant que noms de groupe

Utilisez une étendue NetBIOS pour regrouper des ordinateurs sur un réseau

Utilisez la fonctionnalité d'exploration pour localiser les ressources partagées sur le réseau

Enregistrement, recherche et mise à disposition de noms NetBIOS

Enregistrement, recherche et mise à disposition Enregistrement, recherche et mise à disposition de noms NetBIOSde noms NetBIOS

Recherche de noms

Le client WINS envoie une requête de résolution de noms NetBIOS à un serveur WINS

Mise à disposition de noms

Le client WINS indique au serveur WINS qu'il n'utilise plus son nom NetBIOS

Enregistrement de nom

Le client WINS requiert l'utilisation d'un nomNetBIOS sur le réseau

Résolution de noms NetBIOS

Cache de noms NetBIOS Serveur de noms NetBIOS Diffusion locale

Les méthodes standard de résolution de noms NetBIOS comprennent :

Nœuds de résolution de noms NetBIOS sur TCP/IP

Nœud B

Nœud P

Utilise les diffusions pour l'enregistrement etla résolution de nom

Utilise un serveur de noms NetBIOS tel que WINS pour la résolution de noms NetBIOS

Nœuds de résolution de noms NetBIOS sur TCP/IPNœuds de résolution de noms NetBIOS sur TCP/IP

Nœud M Méthode combinant le nœud B et le nœud P,et fonctionnant par défaut en tant que nœud B

Nœud H Combine le nœud P et le nœud B, et fonctionnepar défaut en tant que nœud P

Fichier Lmhosts

Client WINS

Fichier LmhostsFichier Lmhosts

192.168.1.1 Mexique # Sales Server192.168.2.1 France # Database Server192.168.3.1 Grande Bretagne # Training Server192.168.4.1 Suède #PRE # Main Office Server192.168.5.1 Australie #PRE # MIS Server

Vue d'ensemble du service WINS

Client WINS Serveur WINS

Client1Client1

WINS DatabaseWINS Database

Client1 192.168.0.11Serveur1 192.168.0.12Serveur2 192.168.0.13

InscriptionInscription

RequêteRequête

RenouvellementRenouvellement

LibérationLibération

Enregistrement de nom Renouvellement de

l'enregistrement Requête de nom Mise à disposition

de noms

Enregistrement de nom

Serveur WINSClient WINS

Demande d'enregistrement Demande d'enregistrement

de nomde nomAdresse sourceAdresse de destinationNom à enregistrer

Réponse à la demanded'enregistrement de nom

Adresse sourceAdresse de destinationNom à enregistrer

Durée de vie

Routeur IP

Renouvellement de l'enregistrement


Demande d'actualisation Demande d'actualisation de nomde nom


Réponse à la demanded'actualisation de nom


Nouvelle durée de vie

Routeur IP

Requête de nom

Serveur WINSprincipal

Serveur WINS secondaire

Cache de nomsCache de nomsNetBIOS NetBIOS

Nom NetBIOS /Adresse IP

net use x: \\nom_serveur\nom_partage

DiffusionDiffusion33

Requête de demande Requête de demande de nomde nom

22

Renvoie au serveur secondaire s'il n'est

pas disponible

Le nom demandéLe nom demandén'existe pasn'existe pas

Non résolu

11

Mise à disposition de noms


Requête de mise à Requête de mise à disposition de nomsdisposition de noms


Réponse à une demande demise à disposition de nom


Durée de vie = 0

Routeur IP

Configuration requise pour les serveurs et les clients WINS

Configuration requise du serveur WINSConfiguration requise du serveur WINS

Tous les éléments suivants sont nécessaires :• Service WINS• Adresse IP statique• Masque de sous-réseau• Passerelle par défaut

Configuration requise du client WINSConfiguration requise du client WINS• Les clients WINS requièrent :• Windows 200x Professionnel ou Windows 200x Server• Windows NT Server ou Workstation, version 3.5 ou

ultérieure• Windows 9x x• Windows pour Workgroups 3.11 exécutant TCP/IP-32• Microsoft Network Client 3.0 pour MS-DOS• LAN Manager version 2.2c• Certains systèmes d'exploitation non-Microsoft,

tels que UNIX ou Macintosh

Installation du service WINS

Configuration d'ordinateurs en tant que clients WINS

Configuration automatiqueConfiguration automatique

Clients DHCP

Serveur DHCP

Configuration manuelleConfiguration manuelle

Vue d'ensemble de l'interopérabilité entre le service WINS et le système DNS

Serveur WINS

Client DNS

Serveur DNS

11Adresse IP du

Serveur1.nwtraders.msft ?

Adresse IP du Serveur1 ?

22

Adresse IP = 192.168.1.5

33

44Adresse IP = 192.168.1.5

Le client DNS demande l'adresse IP du Serveur1.nwtraders.msft au serveur DNS

Le serveur DNS demande l'adresse IP du Serveur1 au serveur WINS

Le serveur WINS renvoie l'adresse IP du Serveur1 au serveur DNS

Le serveur DNS renvoie l'adresse IP du Serveur 1 au client DNS

Serveur WINS

Client DNS

Serveur DNS Adresse IP du Serveur1 ?

22

Adresse IP = 192.168.1.5

33

44Adresse IP = 192.168.1.5

11Adresse IP du

Serveur1.nwtraders.msft ?

Intégration du système DNS et du service WINS

Lorsqu'un client demande un nom d'ordinateur Lorsqu'un client demande un nom d'ordinateur enregistré sur un serveur WINS :enregistré sur un serveur WINS :

Le client DNS envoie une demande à son serveur DNS préféré

Ce serveur DNS préféré contacte le serveur DNS de référence pour la zone

Le serveur de référence pour la zone transmet la demande à un serveur WINS

Le serveur WINS résout le nom et renvoie l'adresse IP au serveur de référence pour la zone

Le serveur de référence pour la zone renvoie l'adresse IP au serveur DNS préféré

Le serveur DNS préféré renvoie l'adresse IP au client

Recherches WINS au sein de zones DNS

ServeurWINS

Client DNS

ServeurDNS

Serveur2.nwtraders.msft?11

Serveur2.wins.nwtraders.msft ?33

Introuvable22

Adresse IP = 192.168.6.166

44Serveur2.wins.nwtraders.msft ?

Adresse IP = 192.168.6.155

Le client DNS demande l'adresse IP du Serveur2.nwtraders.msft au serveur DNS

Le serveur DNS de référence pour la zone envoie une réponse négative au client

Le client demande à nouveau l'adresse IP du Serveur2.nwtraders.msft

Le serveur DNS demande l'adresse IP au serveur WINS Le serveur WINS renvoie l'adresse IP au serveur DNS Le serveur DNS renvoie l'adresse IP au client DNS

ServeurWINS

Client DNS

ServeurDNS

Serveur2.nwtraders.msft ?11

Serveur2.wins.nwtraders.msft ?33

Introuvable22

Adresse IP = 192.168.6.166

44Serveur2.wins.nwtraders.msft ?

Adresse IP = 192.168.6.155

Configuration du système DNS pour transmettre les requêtes aux serveurs WINS

Configuration de correspondances statiques

Configuration d'un proxy WINS

Proxy WINSClient non-WINS

WINS Serveur

Routeur IP

Base de données WINSBase de données WINS

Client1 192.168.0.11Serveur1192.168.0.12Serveur2 192.168.0.13

Mappage statique

Serveur2 192.168.0.13

Diffusion par un client non-WINS

Demande transmise au serveur WINS par le

Proxy WINS

DiffusionDiffusion

Vue d'ensemble de la duplication WINS

A B

Serveur A WINS Serveur B WINS

Hôte A Hôte B

Duplication WINSDuplication WINS

RouteurRouteur

Examen des partenaires de réplication

Partenaire émetteurPartenaire émetteurAvertit ses partenaires de réplication lorsque le nombre de

modifications dépasse un seuil critiqueMaintient un haut niveau de synchronisation, mais peut

augmenter le trafic

Partenaire collecteurPartenaire collecteurDemande les copies des entrées de la base de données à

intervalle régulierRéduit la fréquence de trafic de duplication, mais les données

sont moins synchronisées

Partenaire émetteur/collecteurPartenaire émetteur/collecteurConfiguré en tant que partenaire émetteur et collecteurGarantit une synchronisation quel que soit le nombre de

modifications

Configuration de la duplication WINS

Suppression d'enregistrements dans la base de données WINS

Sauvegarde et restauration de la base de données WINS

Pour sauvegarder la base de données WINS :Pour sauvegarder la base de données WINS :

Spécifiez un répertoire de sauvegarde

Sauvegardez manuellement la base de données WINS ou configurez des sauvegardes automatiques

Pour restaurer la base de données WINS :Pour restaurer la base de données WINS :

Supprimez manuellement tous les fichiers et restaurez les fichiers de la base de données

Service d’attribution IP Automatique

DHCP

Vue d'ensemble

Vue d'ensemble du protocole DHCP Installation du service DHCP Autorisation du service DHCP Création et configuration d'une étendue Personnalisation des fonctionnalités DHCP Configuration du service DHCP sur un réseau routé Prise en charge du service DHCP

Avantages et inconvénients des configurations manuelle et automatique du protocole TCP/IP

Inconvénients AvantagesLes adresses IP sont saisies manuellement sur chaque ordinateur client

Possibilité d'entrer une adresse IP incorrecte ou non valide

Une configuration incorrecte peut provoquer des problèmes de communication et de réseau

Surcharge administrative sur les réseaux sur lesquels les ordinateurs sont souvent déplacés

Des adresses IP sont fournies automatiquement aux ordinateurs clientsPermet de s'assurer que les clients utilisent toujours des informations de configuration correctes

Suppression de la source courante de problèmes de réseau

Configuration cliente mise à jour automatiquement pour refléter les modifications de la structure du réseau

Configuration manuelle Configuration manuelle du protocole TCP/IPdu protocole TCP/IP

Configuration automatique Configuration automatique du protocole TCP/IPdu protocole TCP/IP

Fonctionnement du protocole DHCP

Adresse1 IPAdresse2 IPAdresse3 IP

Base de Base de donnéesdonnées

DHCPDHCP

Adresse2 IP

Adresse1 IP

Client DHCP :Configuration IP

à partir du serveur DHCP

Serveur DHCP

Client non-DHCP :configurationd'adresses IP

statiques

Client DHCP :Configuration IP

à partir du serveur DHCP

Processus de création d'un bail DHCP

Serveurs DHCPClient DHCP

11 Demande de bail IP

33 Choix du bail IP

22Proposition de bail IP

44Accusé de réception du bail IP

Processus de renouvellement d'un bail DHCP

DHCPREQUESTDHCPREQUESTAdresse IP source = 192.168.0.77Adresse IP Dest. Source = 192.168.0.108Adresse IP source = 192.168.0.77Adresse matérielle = 08004....

DHCPACKAdresse IP source = 192.168.00,108Adresse IP Dest. Source = 192.168.0.77Adresse IP source IP = 192.168.0.77Adresse matérielle = 08004....Masque de sous-réseau = 255.255.255.0Durée du bail = 8 joursIdentificateur du serveur = 192.168.0.108Options DHCP : Routeur = 192.168.0.1

Client DHCP Serveur DHCP

Configuration requise pour les serveurs et les clients DHCP

Configuration requise pour le serveur DHCP (Windows 200x Server) Service DHCP Une adresse IP statique, un masque de sous-réseau et une passerelle par

défaut Plage d 'adresses IP valides

Clients DHCP Windows Professionnel ou Windows 200x Server Windows NT Server ou Workstation 3.51 ou ultérieur Windows 95, Windows 98 Windows pour Workgroups 3.11, exécutant TCP/IP-32 Microsoft Network Client 3.0 pour MS-DOS LAN Manager version 2.2c De nombreux systèmes d'exploitation non-Microsoft

Installation du service DHCP

Autorisation du service DHCP

S'il n'est pas autorisé, le service enregistre une erreur et ne répond pas aux clients

S'il est autorisé, le service démarre correctement Vérifications Vérifications

du service du service DHCP pour DHCP pour

l'autorisationl'autorisation

Clients Serveur DHCP

Contrôleur de domaine/

serveur DHCP

Serveur DHCP

Vue d'ensemble des étendues

PortéePortée

192.168.1.0192.168.1.1192.168.1.2192.168.1.3192.168.1.4

Adresses IP pouvant être louées aux ordinateurs clients

Serveur DHCP

Utilisation de l'Assistant Nouvelle étendue

L'Assistant Nouvelle étendue pemet de : Configurer des paramètres d'étendue

Modifier la durée par défaut d'un bail

Activer une étendue

Configuration des options d'étendue

Options d'étendue prises en charge par DHCP Adresse IP d'un routeur

Adresse IP d'un serveur DNS

Nom de domaine DNS

Adresse IP d'un serveur WINS

Type de NetBIOS pour la résolution des noms TCP/IP

Personnalisation de l'utilisation des options d'étendue

Options d'étendue

Au niveau du client réservé

Au niveau du serveur

Au niveau de l'étendue

Au niveau de la classe

Réservation d'adresses IP pour les ordinateurs clients

Utilisation des classes d'options

Client1

Client2

Client3

Serveur DHCP

Les classes définies par le fournisseur gèrent des options DHCP identifiées par le type de fournisseur du système d'exploitation

Les classes définies par l'utilisateur gèrent des options DHCP disposant d'exigences de configuration communes

Configuration A

Configuration B

Configuration C

Regroupement d'étendues à l'aide d'étendues globales

Étendue globaleA

Étendue1192.168.1.1

192.168.1.254

ServeurDHCP

192.168.1.1 192.168.1.254 192.168. 2.1 192.168. 2.254

Étendue2192.168.2.1

192.168.2.254

Client DHCP

Client DHCP

Non conformeà la RFC

RouteurRouteur RouteurRouteur

Conformeà la RFC

Windows 2000

Server

Agent Agent de relaisde relaisDHCPDHCP

Serveur DHCP

Options de configuration d'un réseau routé

Diffusion

Diffusion

Client DHCP

Windows 2000

Server

Client DHCP

Non conforme à la RFC

RouteurRouteur

Serveur DHCP

Routeur

Conformeà la RFC

Agent Agent de relais de relais DHCPDHCP Diffusion

Diffusion

Client DHCP

Client DHCP


Routeur

Serveur DHCPWindows

2000 Server

Agent de relais DHCP

RouteurRouteur

Conformeà la RFC

Client DHCP

Client DHCP



Conformeà la RFC

Windows 2000

Server

Agent Agent de relais de relais DHCPDHCP

Serveur DHCP

Utilisation d'un agent de relais DHCP

Diffusion

Diffusion

Le client DHCP diffuse un message DHCP

RouteurRouteur

Sous-réseau 1

Sous-réseau 2

L'agent de relais DHCP détecte la diffusion et envoie le message au serveur DHCP

L'agent de relais DHCP reçoit une réponse du serveur DHCP et envoie une diffusion

Client DHCP

Agents de relais DHCP

Serveur DHCP

Le client DHCP reçoit la diffusion

Diffusion

RouteurRouteur

Sous-réseau 1

Sous-réseau 2

Client DHCP

Agents de relais DHCP

Serveur DHCP

Surveillance du service DHCP

Lorsque vous activez la journalisation, le serveur DHCP crée des fichiers journaux appelés DhcpSrvLog.xxx. Il enregistre ces fichiers dans le répertoire de la base de données DHCP

Dhcp

Base de données

DHCP

SrvLog

Suppression d'un serveur DHCP

Suppression d'un serveur DHCPSuppression d'un serveur DHCP

Réduire la durée du bail pour les clients

Nouveau bail pour les clients

Enregistrer les adresses réservées

Pool d'adresses de grande taille dans d'autres serveurs DHCP

Transférer l'adresse IP à la nouvelle étendue

Routage dans Windows

Vue d'ensemble

Vue d'ensemble des routeurs et des tables de routage

Configuration des connexions réseau Configuration du routage à l'aide du service Routage et

accès distant Configuration d'itinéraires statiques Configuration d'une interface de routage Implémentation du routage à la demande Configuration du protocole RIP

Rôles d'un routeur

Système de fin Système de fin de chaînede chaîne

Système de fin Système de fin de chaînede chaîne

Système Système intermédiaireintermédiaire

Réseau

Hôte source

Hôte de destination

Routeur

Réseau

InterréseauInterréseau

Pour afficher la table de routage IP sur un ordinateur exécutant Windows 2000, utilisez la commande Route Print

Tables de routage

Configuration des connexions réseau

Configuration des noms de connexion réseau

Configuration des paramètres IP d'une carte réseau

Configuration des noms de connexion réseau

Succursale 1

Serveur

Clients

Succursale 2

Serveur

Clients

Carte réseau 1 Carte réseau 2SiègeSiège social social

Routeur

Configuration des paramètres IP d'une carte réseau

Configuration des paramètres d'un réseau connecté à Internet

Configuration des paramètres d'un réseau privé

Vérification des relations entre adresses

Configuration du routage à l'aide du service Routage et accès distant

Pour configurer le routagePour configurer le routage

Lancez l'Assistant Installation du serveur de routage et d'accès distant

Sélectionnez l'option de configuration Routeur réseau

Assurez-vous que les protocoles réseau requis pour le routage sont bien disponibles

Sélectionnez l'option de connexion à la demande, si nécessaire

Sélectionnez la méthode d'attribution d'adresses IP aux clients distants

Configuration d'itinéraires statiques

Examen d'une table de routage statique Ajout d'un itinéraire statique

Examen d'une table de routage statique

Ajout d'un itinéraire statique

Présente la liste des cartes réseau installées

Configuration d'une interface de routage

Interfaces de routage dans le service Routage et accès distant

Filtrage des paquets Configuration de filtres sur une interface de routage IP

Configuration des paramètres de filtrage sur une interface de routage IP

Interfaces de routage dans le service Routage et accès distant

Interfaces LAN Interfaces de numérotation à la demande Interfaces de tunnel IP-dans-IP

Filtrage des paquets

Utilisateur 2

Interface CInterface CFiltre de sortieFiltre de sortie

Utilisateur 1

Utilisateur 3Interface AInterface A

Filtre d'entréeFiltre d'entrée

Interface BInterface BFiltre de sortieFiltre de sortie

ICMP

Autresprotocoles

Utilisateur 2


Utilisateur 1




SNMP

Autres protocoles


Utilisateur 1



ICMP

Autres protocoles

SNMP


Utilisateur 2

Autres protocoles

Configuration de filtres sur une interface de routage IP

Pour configurer un filtrePour configurer un filtre

Sélectionnez une interface

Spécifiez un filtre d'entrée ou de sortie

Spécifiez une action de filtrage

Configuration des paramètres de filtrage sur une interface de routage IP

Pour configurer les paramètres de filtragePour configurer les paramètres de filtrage

Identifiez le réseau source

Identifiez le réseau de destination

Sélectionnez le protocole

Vue d'ensemble du routage à la demande

Windows 2000Routeur 1

Windows 2000Routeur 2

Réseau A

Réseau B

RTPC

Routeur du siège socialRouteur de la succursale

Interface de numérotation à la demandeNom : CorpRouterRéférences d'utilisateur : BranchRouterItinéraire10.0.0.0 à l'aide del'interface CorpHub

Interface de numérotation à la demandeNom: BranchRouterRéférences d'utilisateur : CorpHubItinéraire192.168.250.1 à l'aide del'interface BranchRouter

Configuration de connexions à la demande

Configuration des paramètres de connexion Configuration de ports pour permettre des connexions

à la demande Création d'une interface de numérotation à la demande

Configuration de l'adressage IP pour des connexions à la demande entrantes

Restrictions des connexions à la demande

Configuration du filtrage d'accès à la demande Configuration des heures d'appels sortants

Configuration d'itinéraires statiques pour une interface de numérotation à la demande

Ajout d'itinéraires statiques Test d'itinéraires statiques

Vérification de l'état d'une connexion

Utilisation des utilitaires de ligne de commandes

Ajout du protocole RIP

Pour ajouter un nouveau protocole de routage, développez Routage IP, cliquez avec le bouton droit sur Général, puis cliquez sur Nouveau protocole de routage

Configuration d'une interface RIP

Sélectionnez Autostatique ou Périodique Sélectionnez la version du protocole RIP

Entrez un mot de passe de 16 caractères maximum

Choisissez une valeur allant

de 1 à 15

Connexion à Internet à l'aide d'un routeur

La connexion à Internet à l'aide d'un routeur : Optimise les performances du réseau Permet à tous les utilisateurs du réseau de partager une

seule connexion à Internet Est la méthode la plus simple pour connecter un réseau à

Internet

Routeur

InternetIntranet

Connexion à Internet à l'aide du protocole NAT

Ordinateurs clients

IP = 192.168.1.3

IP = 192.168.1.4

IP = 192.168.1.5

Ordinateur exécutantle protocole NATIP interne = 192.168.1.1IP externe = 131.107.2.1

1. Le client envoie un paquet à l'ordinateur qui exécute le protocole NAT

4. L'ordinateur exécutant le protocole NAT détermine l'ordinateur de destination, modifie l'en-tête du paquet, puis envoie le paquet au client

2. L'ordinateur exécutant le protocole NAT modifie l'en-tête du paquet et envoie le paquet au serveur Web sur Internet

3. Le serveur Web envoie une réponse à l'ordinateur qui exécute le protocole NAT

Internet

Serveur WebIP = 131.107.50.1

Installation du protocole NAT

Installation de l'interface de routage du protocole NAT

Configuration de la sécurité du réseau dans

Windows

Identification des problèmes de sécurité liés aux réseaux

Types d'attaques réseau les plus courantes : Surveillance de réseau Modification des données Mots de passe Usurpation d'adresses Niveau application Intermédiaire Perturbation du service

Cryptage par clé publique

Le message crypté est envoyé sur le réseau

22

3A78Alice crypte le message avec la Clé publique de Bob

11Données

3A78

Bob décrypte le message avec la Clé privée d'Alice

33

Données

Authentification par clé publique

Le message est envoyé sur le réseau

22

~*~*~*~Alice signe le message avec sa Clé privée

11

~*~*~*~

~*~*~*~

Bob valide le message provenant d'Alice avec la Clé publique d'Alice

33

Délivre le certificat qui servira d'information d'identification

44

Ordinateur, utilisateur ou serviceOrdinateur, utilisateur ou service

Autorité de Autorité de certificationcertification

~*~*~*~

L'Autorité de certification accepte une demande de certificat

11

Vérifie les informations

22

Utilise la Clé privée pour appliquer la signature numérique au certificat

33

Autorité de certification

Hiérarchies de certificationAutorité de Autorité de certification certification

racineracine

Autorité de Autorité de certification certification secondairesecondaire

ApprobationApprobation ApprobationApprobation

ApprobationApprobation



Infrastructure de clé publique de Windows 200x

Contrôleur de Contrôleur de domainedomaine

SSL et IPSec

Services de Services de certificatscertificats

Inscription de certificat et révocation

Active DirectoryActive DirectoryPublication de certificat

Applications gérant l'infrastructure de clé publique

Ordinateur client du Ordinateur client du domainedomaine

Choix d'un modèle d'Autorité de certification Autorité de certification racine d'entreprise

Autorité de certification de premier niveau dans une hiérarchie de certification, signant son propre certificat d'Autorité de certification et exigeant Active Directory

Autorité de certification racine autonome Autorité de certification de premier niveau dans une hiérarchie de certification n'exigeant pas Active Directory

Autorité de certification secondaire d'entreprise Autorité de certification secondaire obtenant son certificat d'Autorité de certification d'une autre Autorité de certification et exigeant Active Directory

Autorité de certification secondaire autonome Autorité de certification secondaire obtenant son certificat d'Autorité de certification d'une autre Autorité de certification et n'exigeant pas Active Directory

Installation des services de certificatsInstallation des services de certificats

Sélection d'un type d'Autorité de certification

Paramétrage des options avancées

Entrée des informations d'identification

Spécification des emplacements pour les fichiers de base de données, les fichiers journaux et le dossier partagé

Installation des services de certificats

Création d'une Autorité de certification secondaire

À utiliser si une Autorité de certification parente est disponible

en ligne

À utiliser si aucune Autorité de certification parente n'est disponible

en ligne

Sauvegarde et restauration des services de certificats

À utiliser pour démarrer l'Assistant Sauvegarde de l'Autorité de certification ou l'Assistant Restauration de l'Autorité de certification

Utilisation des certificats

Utilisation de l'Assistant Requête de certificat Utilisation des pages Web des services de certificats

Affichage des certificats

Utilisation de l'Assistant Requête de certificat

Utilisation de modèles de certificat Demande de certificat

Affichage des certificats

Gestion des certificats

Délivrance des certificats Révocation des certificats Publication d'une liste de révocation de certificats

Importation et exportation de certificats

Révocation des certificats

Les certificats révoqués apparaissent dans la Liste de révocation de certificats après

leur publication

Publication d'une liste de révocation de certificats

Importation et exportation de certificats

Examen des formats de fichier de certificat Importation d'un certificat Exportation d'un certificat

Configuration d'Active Directory pour les certificats

Active Active DirectoryDirectory

Mappage de nomsMappage de noms

L'utilisateur externe doit posséder un certificat L'utilisateur externe doit avoir un compte d'utilisateur Le certificat de l'utilisateur externe doit être délivré par une Autorité de

certification de confiance Un mappage de nom doit avoir lieu entre le certificat de l'utilisateur

externe et le compte Active Directory

Utilisateur Utilisateur externeexterne

Protocole IPSec sur un réseau

Niveau TCP

IPSec Driver

Niveau TCP

IPSec Driver

Active Directory

Paquets IP cryptés

Stratégie IPSec Stratégie IPSec

Négociation d'une association de sécurité

Pilote IPSec Pilote IPSec

Mise en place de stratégies IPSec

Stratégies IPSec prédéfinies

Configuration du protocole IPSec pour assurer la sécurité entre ordinateurs

Utilisation du protocole IPSec en mode transport Applique des stratégies IPSec pour le trafic généré

entre les systèmes Prend en charge Windows Assure la sécurité de bout en bout Est le mode par défaut pour IPSec

Sécurité entre ordinateurs

Windows 2000Professionnel

Windows 2000Server

Configuration du protocole IPSec pour assurer la sécurité entre réseaux

Utilisation du protocole IPSec en mode tunnel Applique des stratégies IPSec pour l'ensemble du trafic

Internet Prend principalement en charge les anciens systèmes

d'exploitation Prend en charge la sécurité point à point Spécifie le point de sortie du tunnel au niveau des deux

routeurs

Serveur/RouteurWindows 2000

Serveur/RouteurWindows 2000

Sécurité entre réseaux


Composants des règles Point de sortie

du tunnel Type de réseau Méthode

d'authentification Liste de filtres IP Action de filtrage

Règle de réponse par défaut

Personnalisation des stratégies IPSec

Règle 2

Filtre 1 Filtre 2

Action du filtre

Action du filtre

Stratégie IPSec

Règle 1

Filtre 1 Filtre 2

Action du filtre

Action du filtre

Choix d'un modèle de cryptage IPSec

Cryptage des authentifications SHA MD5

Cryptage des paquets DES 56 bits

DES 40 bits 3DES

Pour choisir un modèle d'authentification et de cryptage :

Évaluation du coût du cryptage réseau

Diminutiondes performances

C=EK3[Dk2[Ek1[P]]]

Assistance

Conception, test et déploiement

Capacité réduitede filtrage des paquets

Coûts potentiels du cryptage des

transmissions de données

?Diminution de la

productivité

Administration et maintenance

Formation desutilisateurs

Définition de la sécurité au niveau de la couche Application

Planification des protocoles liés à la sécurité au niveau de la couche Application

Planification de transmissions de fichiers sécurisées

Planification de communications sécurisées pour les applications Web

Planification de la sécurité des applications de messagerie

Les applications doivent prendre en charge le cryptage

Application

SSL/TLS

TCP/UDPTCP/UDP

IP/IPSecIP/IPSec

Couche Couche LiaisonLiaison

Couche Couche physiquephysique

Planification de l'utilisation du protocole IPSec

Authenticité des données Intégrité des données Protection contre la retransmission Protection contre la modification

d'adresses

En-têteEn-têteIPIP AH En-têteEn-tête

TCP/UDPTCP/UDPDonnées desDonnées desapplicationsapplications

Signature

En-têtes d'authentification

NouvelNouvelen-tête IPen-tête IP

Cryptage

Signature

Authentification de la source Cryptage des

données Protection contre

la retransmission Protection contre la

modification d'adresses

Charges de sécurité d'encapsulation

En-têteESP

En-tête En-tête IPIP

d'origined'origineEn-têteEn-tête

TCP/UDPTCP/UDPDonnées desDonnées desapplicationsapplications ESPESP Auth

ESP

Étude des stratégies IPSec prédéfinies

Client (en réponse seule)

Serveur (demandez la sécurité)

Sécuriser le serveur (nécessite la sécurité)

Planification de l'authentification IPSec

Kerberos version 5 : Déploiement facile dans l'environnement Active Directory

Certificat : Interopérabilité optimale Clés prépartagées : Faciles à implémenter, mais méthode moins sûre

Stratégied'authentification

et de cryptage

Kerberos version 5 Certificat Clé prépartagée

Planification des filtres IPSec

1. Définition des filtres Créez un filtre pour

chaque protocole protégé ou abandonné

2. Choix des actions de filtrage

Transmettre Interdire Négocier

3. Définition des types de connexions

Réseau local Accès distant Toutes les connexions

réseau

11

22

33

Vérification des communications IPSec

PING

Moniteur de sécurité IP

Moniteur réseau

Observateur d'événements

Journaux Oakley

Optimisation des performances du protocole IPSec

Niveau de sécurité requis Critères de sécurité de l'ordinateur Nombre d'entrées de filtre de stratégie IPSec

Pour garantir une haute disponibilité du service IPSec, tenez compte des éléments suivants :

Configuration du protocole TCP/IP pour assurer la sécurité du réseau

Utilisation des stratégies d'accès distant

Client d'accès distant

Stratégie d'accès distant

Serveur d'accès distant

Autoriser l'accès à des groupes spécifiques

Définir les jours et les heures Configurer des méthodes

d'authentification Configurer des paramètres de cryptage Définir des durées de session

maximales Restreindre les sous-réseaux

Identification des avantages des connexions VPN

Tunnel

Prise en charge sous-traitée des accès à distance

Frais de communication réduits Vitesse de connexion accrue

ISPISP ISPISPInternetInternet

Réseau Interne

Choix d'un protocole de tunneling

Configuration requiseConfiguration requise Protocole de tProtocole de tunnelingunneling

PPTP L2TP/IPSec

Authentification de l'ordinateur

Prise en charge de plusieurs protocoles

X

X X

Niveau élevé de sécurité X

Prise en charge des clients non-Windows X

Prise en charge de NAT X

Utilisation du service RADIUS

Client RADIUS (serveur d'accès distant)

Serveur RADIUS

Clients d'accès à distance

Authentification, autorisation et gestion des comptes

Reçoit les demandes d'authentification

Serveur RADIUS

Proxy RADIUS Transmet les demandes d'authentification au serveur RADIUS approprié

Possibilité d'ouverture de session uniqueServeur d'accès distant

Client d'accès à distance

Contrôleur de domaineIAS

Serveur NAS de l'ISP

Proxy RADIUS de l'ISP

Client d'accès à distance

Centralisation des stratégies d'accès distant

Serveurs d'accès distant

Gestion des stratégies locales

StratégieB StratégieCStratégieA

Serveurs d'accès distant

IAS

Gestion centralisée des stratégies

Stratégie

Active Directoryconcepts et mise en

oeuvre

Qu'est-ce qu'Active Directory ?Qu'est-ce qu'Active Directory ?

Fonctionnalités duservice d'annuaireFonctionnalitésFonctionnalités duduservice service d'annuaired'annuaire

Organiser Gérer Contrôler

Organiser Gérer Contrôler

RessourcesRessources

Gestion centraliséeGestionGestion centraliséecentralisée

Un seul point d'administration Accès utilisateur total aux

ressources de l'annuaire en uneseule connexion

Un seul point d'administration Accès utilisateur total aux

ressources de l'annuaire en uneseule connexion

Objets Active Directory Objets Active Directory

Les objets représentent des ressources réseau Les attributs définissent des informations sur un

objet

AttributsAttributsAttributs

PrénomNomNom d'utilisateur

PrénomNomNom d'utilisateur

AttributsAttributsAttributs

Nom d'imprimanteEmplacementde l'imprimante

Nom d'imprimanteEmplacementde l'imprimante

Active DirectoryActive DirectoryActive Directory

Imprimantes

Imprimante1

Imprimante2

Suzan Fine

Utilisateurs

Don Hall

Valeurd'attributValeurValeur

d'attributd'attribut

ObjetsObjetsObjets

ImprimantesImprimantes

UtilisateursUtilisateurs

Imprimante3

Schéma Active Directory Schéma Active Directory

Exemples declasses d'objetsExemplesExemples dede

classes classes d'objetsd'objets

OrdinateursOrdinateurs

UtilisateursUtilisateurs

ImprimantesImprimantes

PropriétésPropriétésPropriétés

10/02/03SalesCN=Wendy Kahn, OU=Beth

10/02/03SalesCN=Wendy Kahn, OU=Beth

Exemple depropriétés

ExempleExemple dedepropriétéspropriétés

Définis dans le contexte de nommage du schéma d'Active Directory

Stockées dans le contexte de nommage de domaine d'Active Directory

Attributs desutilisateurs

AttributsAttributs desdesutilisateursutilisateurs

DateExpirationCompteDépartementNomUniquePrénom

DateExpirationCompteDépartementNomUniquePrénom

Exemplesd'attributs

ExemplesExemplesd'attributsd'attributs

Protocole LDAP Protocole LDAP

LDAP permet de communiquer avec Active Directory en indiquant des chemins d'accès uniques pour chaque objet de l'annuaire

Les chemins d'accès LDAP contiennent les éléments suivants : Noms uniques

Noms uniques relatifs

CN=Suzan Fine,OU=Sales,DC=contoso,DC=msftSuzan Fine

Groupes dans Active Directory Groupes dans Active Directory

Groupe globalGroupeGroupe globalglobal Membre de son propre domaine

uniquement Permet l'accès aux ressources de tous les

domaines

Membre de son propre domaineuniquement

Permet l'accès aux ressources de tous les domaines

Groupe de domaine localGroupeGroupe de de domainedomaine llocalocal

Membre des domaines de la forêt Permet l'accès aux ressources de son

domaine

Membre des domaines de la forêt Permet l'accès aux ressources de son

domaine

Groupe universelGroupeGroupe universeluniversel

Membre de tous les domaines de la forêt Permet l'accès aux ressources de tous les

domaines

Membre de tous les domaines de la forêt Permet l'accès aux ressources de tous les

domaines

Structure logique d'Active Directory Structure logique d'Active Directory

Domaines

Changement de mode de domaine

Unités d'organisation

Arborescences, forêts et approbations transitives bilatérales

Catalogue global

DomainesDomaines

Un domaine est une limite de sécurité L'administrateur de domaine peut administrer

uniquement ce domaine, sauf s'il possède explicitement des droits d'administration dans un autre domaine

Un domaine est une unité de réplication Les contrôleurs d'un domaine prennent part à la

réplication et contiennent la copie complète des informations d'annuaire de leur propre domaine

DomaineWindows 2000

DomaineWindows 2000

RéplicationRéplicationRéplication

Changement de mode de domaineChangement de mode de domaine

Active Directory s'installe en mode mixte pour permettre la prise en charge des contrôleurs de domaine existants

L'imbrication des groupes et les groupes de sécuritéuniversels ne sont possibles que dans un domaine en mode natif

Mode mixte

Contrôleur de domaine(Windows 2000)etContrôleur de domaine(Windows NT 4.0)

Mode natif

Contrôleurs de domaine(Windows 2000 seulement)Contrôleurs de domaine

(Windows 2000 seulement)

Unités d'organisationUnités d'organisation

Utilisateurs

Ventes

Ordinateurs

Modèle administratif de réseauModèleModèle administratifadministratif de de réseauréseau Structure de l'organisationStructure de Structure de l'organisationl'organisation

Ventes

Vancouver

Répar.

Utilisez des unités d'organisation pour grouper des objets dans une hiérarchie logique qui convient le mieux à votre entreprise

Déléguez le contrôle de l'autorité d'administration surles objets d'une unité d'organisation en affectant des autorisations spécifiques à des utilisateurs et à des groupes

Arborescences, forêts et approbations transitives bilatéralesArborescences, forêts et approbations transitives bilatérales

contoso.msftcontoso.msft

(racine)

au. contoso.msft

au. contoso.msft

asia. contoso.msft

asia. contoso.msft

Arborescence

Approbations transitives bilatéralesApprobations Approbations transitivestransitives bilatéralesbilatérales

au.nwtraders.msft

au.nwtraders.msft

asia.nwtraders.msft

asia.nwtraders.msft

nwtraders.msftnwtraders.msft

Forêt

Arborescence

Approbation transitive bilatéraleApprobation transitive Approbation transitive bilatéralebilatérale

Catalogue global Catalogue global

Serveur de catalogue global

Catalogue globalCatalogue globalCatalogue global

Sous-ensemble des attributs de tous les objets

Sous-ensemble des attributs de tous les objets

DomaineDomaine

Domaine

DomaineDomaine

Domaine

RequêtesRequêtesRequêtes

Informationsd'adhésion au

groupe universellorsque l'utilisateurouvre une session

InformationsInformationsd'adhésiond'adhésion au au

groupegroupe universeluniversellorsquelorsque l'utilisateurl'utilisateurouvreouvre uneune sessionsession

Structure physique d'Active Directory Structure physique d'Active Directory

La structure physique d'Active Directory est constituée des éléments suivants : contrôleurs de domaine

sites

SitesSites

Les sites : Optimisent le trafic de réplication Permettent aux utilisateurs d'ouvrir des sessions sur

un contrôleur de domaine à l'aide d'une connexionfiable et rapide

SiteSousSous--réseauréseau IPIP

SousSous--réseauréseau IPIP

Los Angeles

Seattle

ChicagoNew York

Stratégies de groupes (GPO)Vue d'ensemble

Structure de la stratégie de groupe

Utilisation d'objets Stratégie de groupe

Application des paramètres de stratégie de groupe dans Active Directory

Modification de l'héritage de stratégies de groupe

Résolution de problèmes liés à la stratégie de groupe

Conseils pratiques

Présentation de la stratégie de groupe Présentation de la stratégie de groupe

Emplois de la stratégie de groupe : Définition de stratégies centralisées et décentralisées Configuration d'environnements adaptés aux besoins

des utilisateurs Contrôle des environnements utilisateur et ordinateur Application de stratégies d'entreprise

Site

DomaineDomaineUnité

d'organisation

Stratégiede groupe

L'administrateur définitla stratégie de groupe

Windows 2000 l'applique continuellement

Utilisateurs

Ordinateurs

Objets Stratégie de groupe Objets Stratégie de groupe

Objet Stratégie de groupe (GPO)

Contient des paramètres de stratégiede groupe

Contenu enregistré à deux emplacements

Stocké dans le dossier partagéSYSVOL sur le contrôleur de domaine

Fournit les paramètres de stratégie de groupe

Stocké dans le dossier partagéSYSVOL sur le contrôleur de domaine

Fournit les paramètres de stratégie de groupe

Stocké dans Active Directory

Fournit des informations de version

Stocké dans Active Directory

Fournit des informations de version

Modèle de stratégie de groupe

Conteneur de stratégie degroupe

Types de paramètres de stratégie de groupe Types de paramètres de stratégie de groupe

Types de Types de paramètresparamètres de de stratégiestratégie de de groupegroupe

Modèlesd'administration Paramètres de registre liés à la stratégie de groupe

Sécurité Paramètres pour la sécurité locale, du domaine et du réseau

Installation de logiciels

Paramètres pour la gestion centralisée de l'installation de logiciels

Scripts Scripts de démarrage et d'arrêt de l'ordinateur et scripts d'ouverture et de fermeture de session

Services d'installationà distance

Paramètres qui contrôlent les options accessibles aux utilisateurs lorsqu'ils exécutent l'Assistant Installation de clients utilisé par les services RIS

Maintenance d'Internet Explorer

Paramètres servant à administer et à personnaliser Microsoft Internet Explorer sur des ordinateurs Windows

Redirection de dossiers

Paramètres relatifs au stockage des dossiers des utilisateurssur un serveur réseau

Paramètres de stratégie de groupe pour les ordinateurs et les utilisateurs Paramètres de stratégie de groupe pour les ordinateurs et les utilisateurs

Paramètres de stratégie de groupe pour les ordinateurs

Traités lors de l'initialisation du système d'exploitation et au cours du cycle d'actualisation périodique

Définis dans nœud Configuration ordinateur

Paramètres de stratégie de groupe pour les utilisateurs

Traités lors des ouvertures de session des utilisateurs et au cours du cycle d'actualisation périodique

Définis dans nœud Configuration utilisateur

Application de la stratégie de groupe Application de la stratégie de groupe

L'ordinateur client démarre ou l'utilisateur ouvre une session, et l'ordinateur extrait une liste d'objets GPO à appliquer

L'ordinateur client se connecte à SYSVOL et localise les fichiersRegistry.pol

L'ordinateur client écrit les informations nécessaires dans les sous-branches du registre

La boîte de dialogue d'ouverture de session (pour l'ordinateur) oule bureau (pour l'utilisateur) s'affiche

111Listedes objetsGPO

Listedes objetsGPO

Registry.pol

Modèle de stratégie

de groupe

SYSVOL

222

Registry.pol

HKEY_CURRENT_

USER Registry.pol

HKEY_LOCAL_

MACHINE333

Liaisons entre objets Stratégie de groupeÉtude des liaisons entre objets Stratégie de groupe

Liaison d'un objet GPO avec plusieurs sites, domaines ou unités d'organisation

Liaison de plusieurs objets GPO avec un site, un domaine ou une unité d'organisation

DomaineDomaine

GPO pour l'unitéd'organisation

GPO pour le domaine GPOpour le site

GPO pour l'unitéd'organisation

Site

Création d'objets GPO liés et non liés Création d'objets GPO liés et non liés

Création d'objets GPO liés

Pour les sites, utilisez Sites et services Active Directory

Pour les domaines et unités d'organisation, employez Utilisateurs et ordinateurs Active Directory

Création d'objets GPO non liés

Ajoutez un composant logiciel enfichable Stratégie de groupe à la console MMC

Résolution de conflits entre paramètres de stratégie de groupe Résolution de conflits entre paramètres de stratégie de groupe

Tous les paramètres de stratégie de groupe sont appliqués sauf en cas de conflit

Les derniers paramètres traités sont appliqués

Quand les paramètres d'objets GPO différents dans la hiérarchie Active Directory sont en conflit, les paramètres GPO du conteneur enfant sont appliqués

Quand les paramètres d'objets GPO liés au même conteneur sont en conflit, les paramètres de l'objet GPO situé le plus haut dans la liste sont appliqués

Présentation de la gestion des environnements utilisateurs

Contrôler les bureaux des utilisateurs, les interfaces utilisateur et l'accès au réseau

Utiliser les paramètres de la stratégie de groupe

Appliquer la stratégie de groupe à un site, un domaine ou une unité d'organisation

Les paramètres des environnements utilisateurs sont automatiquement appliqués à un nouvel utilisateur ou ordinateur

Présentation de la gestion des environnements utilisateurs

Gérer les environnements

utilisateurs

Paramètres des modèles

d'administration Paramètres de scripts

Redirection des dossiers utilisateurs

Paramètres de sécurité

HKEY_LOCAL_MACHINEHKEY_CURRENT_USER

RegistreRegistreMes documents

Types de paramètres de modèle d'administration Types de paramètres de modèle d'administration

Type de Type de paramparamèètrestres ÉÉllééments contrôlments contrôlééss Champ de Champ de

disponibilitdisponibilitéé

Composants de Windows

Parties de Windows 2000 et ses outils et composants auxquels les utilisateurs peuvent accéder, notamment la console MMC

SystèmeOuverture et fermeture de session, stratégie de groupe, intervalles d'actualisation, quotas de disqueet stratégie de bouclage

Réseau Propriétés des connexions réseau et des connexions d'appel entrant

ImprimantesParamètres d'imprimante pouvant imposer la publication des imprimantes dans Active Directory et désactiver l'impression basée sur le Web

Menu Démarrer et barre des tâches

Paramètres qui contrôlent l'aspect et l'accessibilité du menu Démarrer et de la barre des tâches

BureauActive Desktop, notamment ce qui apparaît sur les bureaux et ce que les utilisateurs peuvent effectuer avec le dossier Mes documents

Panneau de configuration

Utilisation des fonctionnalités Ajout/Suppression de programmes, Affichage et Imprimantes

Paramètres de sécurisation du bureau Paramètres de sécurisation du bureau

Masquer toutes les icônes du Bureau

Ne pas enregistrer les paramètres en quittant

Dans Poste de travail, masquer ces lecteurs spécifiés

Supprimer la commande Exécuter du menu Démarrer

Empêcher l'exécution du Panneau de configuration Affichage

Désactiver et supprimer les liens vers Windows Update

ParamParamèètres courants de la strattres courants de la stratéégie de groupe pour la gie de groupe pour la sséécurisation du bureaucurisation du bureau

Empêcher la modification des paramètres de la barre des tâches et du menu Démarrer

Désactiver et supprimer la commande Arrêter

Sécurisation de l'accès utilisateur aux ressources réseau

Cacher l'icône Favoris réseau sur le Bureau

Supprimer les options Connecter un lecteur réseau et Déconnecter un lecteur réseau

Menu Outils : désactiver la commande Options Internet...

ParamParamèètres courants de la strattres courants de la stratéégie de groupe pour la gie de groupe pour la sséécurisation de l'acccurisation de l'accèès utilisateur aux ressources rs utilisateur aux ressources rééseauseau

Paramètres de sécurisation de l'accès utilisateur aux ressources réseau

Sécurisation de l'accès utilisateur aux applications et outils d'administration

Supprimer le menu Rechercher du menu Démarrer

Supprimer la commande Exécuter du menu Démarrer

Désactiver le gestionnaire de tâches

Exécuter seulement les applications Windows autorisées

Supprimer le menu Documents du menu Démarrer

Empêcher la modification des paramètres de la barre des tâches et du menu Démarrer

ParamParamèètres courants de la strattres courants de la stratéégie de groupe pour la gie de groupe pour la sséécurisation du bureaucurisation du bureau

Supprimer le groupe de programmes communs du menu Démarrer

Paramètres de sécurisation de l'accès utilisateur aux applications et outils d'administration

Présentation des paramètres de script de la stratégie de groupe Présentation des paramètres de script de la stratégie de groupe

Vous pouvez utiliser les paramètres de script de la stratégie de groupe pour :

Exécuter des scripts existants Exécuter des scripts qui effectuent des tâches que vous ne

pouvez pas configurer avec d'autres paramètres de la stratégie de groupe

Utiliser des scripts qui nettoient les bureaux lorsque les utilisateurs ferment leurs sessions et arrêtent leurs ordinateurs

Ordinateur

Utilisateur

Démarrage/ArrêtDDéémarrage/Arrêtmarrage/Arrêt

Ouverture/Fermeturede session

Ouverture/FermetureOuverture/Fermeturede sessionde session

Scripts

Configurationordinateur

Configuration utilisateur

Démarrage/ArrêtDDéémarrage/Arrêtmarrage/Arrêt

Ouverture/Fermeturede session

Ouverture/FermetureOuverture/Fermeturede sessionde session

Application des paramètres de script dans la stratégie de groupe Application des paramètres de script dans la stratégie de groupe

Windows traite plusieurs scripts de haut en bas

OrdreOrdre de de traitementtraitement

Lorsqu'un utilisateur démarre un ordinateur et ouvre une session :a. Les scripts de démarrage s'exécutentb. Les scripts d'ouverture de session s'exécutent

Lorsqu'un utilisateur ferme une session et arrête un ordinateur :a. Les scripts de fermeture de session s'exécutentb. Les scripts d'arrêt s'exécutent

Technologies de gestion des logiciels Technologies de gestion des logiciels

Windows InstallerWindows Installer

Avantages du service : Installations

personnalisées

Applications robustes

Suppression propre

Les utilisateurs ont uniquement besoin d'un accès en lecture aux dossiers d'installation

Installation et maintenance Installation et maintenance des logicielsdes logiciels

Installer les applications sur les ordinateurs des utilisateurs

Mettre à niveau l'application ou appliquer automatiquement des correctifs logiciels ou des Service Packs

Supprimer les applications

Les objets Stratégie degroupe peuvent :

Cycle de vie des logiciels Cycle de vie des logiciels

PréparationAcquisition des packages

DéploiementInstallation des packages

MaintenanceMise à niveau des packages

SuppressionSuppression des packages

Assignation de packages logiciels Assignation de packages logiciels

L'application est installée la première fois que l'utilisateur la démarre

Assignation Assignation àà un un utilisateurutilisateur

Démarrer

L'application est installée la prochaine fois que l'ordinateur est démarré

Assignation Assignation àà un un ordinateurordinateur

Publication de packages logiciels Publication de packages logiciels

L'application est installée lorsque l'utilisateur la sélectionne depuis Ajout/Suppression de programmesdans le Panneau de configuration

Ajout/Suppression de programmesAjout/Suppression de programmes

L'application est installée lorsque l'utilisateur double-clique sur un type de fichier inconnu

Invocation de documentInvocation de document

Suppression des logiciels Suppression des logiciels

Suppression imposéeLe logiciel est automatiquement supprimé de l'ordinateur et ne peut pas être réinstallé

Processus de suppressionSeul un logiciel installé à partir d'un fichier package Windows Installer peut être supprimé par le biais d'une stratégie de groupe

Suppression facultativeLe logiciel n'est pas supprimé de l'ordinateur mais ne peut plus être installé