P R O D U I T O F F I C I E L D E F O R M A T I O N M I C R O S O F T

22413B
Conception et implémentation
d’une infrastructure Server
ii Conception et implémentation d’une infrastructure Server

Les informations contenues dans ce document, notamment les URL et les autres références aux sites Web,
pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les
noms de domaines, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés
dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaines,
adresses de messagerie, logos, personnes, lieux et événements réels est purement fortuite et involontaire.
L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays.
Aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de
restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique,
photocopie, enregistrement ou autre) sans la permission expresse et écrite de Microsoft Corporation.

Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être
titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur tout ou partie
des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de
licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence
sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.
Les noms de fabricants, de produits ou les URL sont fournis uniquement à titre indicatif et Microsoft ne
fait aucune déclaration et exclut toute garantie légale, expresse ou implicite, concernant ces fabricants ou
l'utilisation des produits avec toutes les technologies Microsoft. L'inclusion d'un fabricant ou produit
n'implique pas l'approbation par Microsoft du fabricant ou du produit. Des liens vers des sites Web tiers
peuvent être fournis. Ces sites ne sont pas sous le contrôle de Microsoft et Microsoft n'est pas responsable
de leur contenu ni des liens qu'ils sont susceptibles de contenir, ni des modifications ou mises à jour de
ces sites. Microsoft n'est pas responsable de la diffusion Web ou de toute autre forme de transmission
reçue d'un site connexe. Microsoft fournit ces liens pour votre commodité, et l'insertion de n'importe quel
lien n'implique pas l'approbation du site en question ou des produits qu'il contient par Microsoft.
© 2013 Microsoft Corporation. Tous droits réservés.

Microsoft et les marques figurant sur la page [Link]

IntellectualProperty/Trademarks/[Link] sont des marques commerciales du groupe de sociétés Microsoft.
Toutes les autres marques sont la propriété de leurs propriétaires respectifs.

Numéro de produit : 22413B

Numéro de référence : X18-86878

Date de publication : 6/2013

 Conception et implémentation d’une infrastructure Server iii

TERMES DU CONTRAT DE LICENCE MICROSOFT

COURS MICROSOFT AVEC FORMATEUR

Les présents termes du contrat de licence constituent un contrat entre Microsoft Corporation
(ou en fonction du lieu où vous vivez, l’un de ses affiliés) et vous. Lisez-les attentivement. Ils portent
sur votre utilisation du contenu qui accompagne le présent contrat, y compris le support sur lequel
vous l’avez reçu, le cas échéant. Les présents termes de licence s’appliquent également au Contenu
du Formateur et aux mises à jour et suppléments pour le Contenu Concédé sous Licence, à moins
que d’autres termes n’accompagnent ces produits. ces derniers prévalent.

EN ACCÉDANT AU CONTENU CONCÉDÉ SOUS LICENCE, EN LE TÉLÉCHARGEANT OU EN

L’UTILISANT, VOUS ACCEPTEZ CES TERMES. SI VOUS NE LES ACCEPTEZ PAS, N’ACCÉDEZ PAS
AU CONTENU CONCÉDÉ SOUS LICENCE, NE LE TÉLÉCHARGEZ PAS ET NE L’UTILISEZ PAS.

Si vous vous conformez aux présents termes du contrat de licence, vous disposez des droits
stipulés ci-dessous pour chaque licence acquise.

1. DÉFINITIONS.

a. « Centre de Formation Agréé » désigne un Membre du Programme Microsoft IT Academy

ou un Membre Microsoft Learning Competency, ou toute autre entité que Microsoft peut
occasionnellement désigner.

b. « Session de Formation Agréée » désigne le cours avec formateur utilisant le Cours Microsoft avec
Formateur et mené par un Formateur ou un Centre de Formation Agréé.

c. « Dispositif de la Classe » désigne un (1) ordinateur dédié et sécurisé qu’un Centre de

Formation Agréé possède ou contrôle, qui se trouve dans les installations de formation d’un
Centre de Formation Agréé et qui répond ou est supérieur au niveau matériel spécifié pour
le Cours Microsoft avec Formateur concerné.

d. « Utilisateur Final » désigne une personne qui est (i) dûment inscrite et participe à une Session
de Formation Agréée ou à une Session de Formation Privée, (ii) un employé d’un membre MPN,
ou (iii) un employé à temps plein de Microsoft.

e. « Contenu Concédé sous Licence » désigne le contenu qui accompagne le présent contrat
et qui peut inclure le Cours Microsoft avec Formateur ou le Contenu du Formateur.

f. « Formateur Agréé Microsoft » ou « MCT » désigne une personne qui est (i) engagée pour donner
une session de formation à des Utilisateurs Finaux au nom d’un Centre de Formation Agréé ou
d’un Membre MPN, et (ii) actuellement Formateur Agréé Microsoft dans le cadre du Programme
de Certification Microsoft.

g. « Cours Microsoft avec Formateur » désigne le cours avec formateur Microsoft qui forme
des professionnels de l’informatique et des développeurs aux technologies Microsoft.
Un Cours Microsoft avec Formateur peut être labellisé cours MOC, Microsoft Dynamics
ou Microsoft Business Group.

h. « Membre du Programme Microsoft IT Academy » désigne un membre actif du Programme

Microsoft IT Academy.

i. « Membre Microsoft Learning Competency » désigne un membre actif du programme

Microsoft Partner Network qui a actuellement le statut Learning Competency.
iv Conception et implémentation d’une infrastructure Server

j. « MOC » désigne le cours avec formateur « Produit de Formation Officiel Microsoft » appelé
Cours Officiel Microsoft qui forme des professionnels de l’informatique et des développeurs
aux technologies Microsoft.

k. « Membre MPN » désigne un membre actif Silver ou Gold du programme Microsoft Partner
Network.

l. « Dispositif Personnel » désigne un (1) ordinateur, un dispositif, une station de travail ou un autre
dispositif électronique numérique qui vous appartient ou que vous contrôlez et qui répond ou est
supérieur au niveau matériel spécifié pour le Cours Microsoft avec Formateur concerné.

m. « Session de Formation Privée » désigne les cours avec formateur fournis par des Membres MPN
pour des clients d’entreprise en vue d’enseigner un objectif de formation prédéfini à l’aide d’un
Cours Microsoft avec Formateur. Ces cours ne font l’objet d’aucune publicité ni promotion auprès
du grand public et la participation aux cours est limitée aux employés ou sous-traitants du client
d’entreprise.

n. « Formateur » désigne (i) un formateur accrédité sur le plan académique et engagé par un
Membre du Programme Microsoft IT Academy pour donner une Session de Formation Agréée
et/ou (ii) un MCT.

o. « Contenu du Formateur » désigne la version du formateur du Cours Microsoft avec Formateur et

tout contenu supplémentaire uniquement conçu à l’usage du Formateur pour donner une session
de formation en utilisant le Cours Microsoft avec Formateur. Le Contenu du Formateur peut inclure
des présentations Microsoft PowerPoint, un guide de préparation du formateur, des documents
de formation du formateur, des packs Microsoft One Note, un guide de préparation de la classe
et un formulaire préliminaire de commentaires sur le cours. À des fins de clarification, le Contenu
du Formateur ne contient aucun logiciel, disque dur virtuel ni machine virtuelle.

2. DROITS D’UTILISATION. Le Contenu Concédé sous Licence n’est pas vendu. Le Contenu Concédé
sous Licence est concédé sous licence sur la base d’une copie par utilisateur , de sorte que vous
devez acheter une licence pour chaque personne qui accède au Contenu Concédé sous Licence
ou l’utilise.

2.1 Vous trouverez ci-dessous cinq sections de droits d’utilisation. Une seule vous est applicable.

a. Si vous êtes un Membre du Programme Microsoft IT Academy :

i. Chaque licence achetée en votre nom ne peut être utilisée que pour consulter
une (1) copie du cours Microsoft avec Formateur sous la forme sous laquelle il vous a été
fourni. Si le Cours Microsoft avec Formateur est en format numérique, vous êtes autorisé
à installer une (1) copie sur un maximum de trois (3) Dispositifs Personnels. Vous n’êtes
pas autorisé à installer le Cours Microsoft avec Formateur sur un dispositif qui ne vous
appartient pas ou que vous ne contrôlez pas.
ii. Pour chaque licence que vous achetez au nom d’un Utilisateur Final ou Formateur, vous
êtes autorisé à :
1. distribuer une (1) version papier du Cours Microsoft avec Formateur à un (1) Utilisateur
Final qui est inscrit à la Session de Formation Agréée et uniquement immédiatement
avant le début de la Session de Formation Agréée qui est l’objet du Cours Microsoft
avec Formateur fourni, ou
2. fournir à un (1) Utilisateur Final le code d’accès unique et les instructions permettant
d’accéder à une (1) version numérique du Cours Microsoft avec Formateur, ou
3. fournir à un (1) Formateur le code d’accès unique et les instructions permettant
d’accéder à un (1) Contenu Formateur,
 Conception et implémentation d’une infrastructure Server v

pour autant que vous vous conformiez à ce qui suit :

iii. vous ne donnerez accès au Contenu Concédé sous Licence qu’aux personnes qui ont
acheté une licence valide du Contenu Concédé sous Licence,
iv. vous veillerez à ce que chaque Utilisateur Final participant à une Session de
Formation Agréée dispose de sa propre copie concédée sous licence valide du
Cours Microsoft avec Formateur qui est l’objet de la Session de Formation Agréée,
v. vous veillerez à ce que chaque Utilisateur Final ayant reçu la version papier du Cours
Microsoft avec Formateur reçoive une copie du présent contrat et reconnaisse que son
utilisation du Cours Microsoft avec Formateur sera soumises aux termes du présent accord,
et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra confirmer son
acceptation du présent contrat d’une manière opposable aux termes de la réglementation
locale avant d’accéder au Cours Microsoft avec Formateur,
vi. vous veillerez à ce que chaque Formateur donnant une Session de Formation Agréée
dispose de sa propre copie concédée sous licence valide du Cours Microsoft avec
Formateur qui est l’objet de la Session de Formation Agréée,
vii. vous n’utiliserez que des Formateurs qualifiés qui ont une connaissance et une expérience
approfondies de la technologie Microsoft qui est l’objet du Cours Microsoft avec Formateur
donné pour toutes vos Sessions de Formation Agréées.
viii. vous ne donnerez qu’un maximum de 15 heures de formation par semaine pour chaque
Session de Formation Agréée qui utilise un cours MOC, et
ix. vous reconnaissez que les Formateurs qui ne sont pas MCT n’auront pas accès à l’ensemble
des ressources destinées au formateur du Cours Microsoft avec Formateur.

b. Si vous êtes un Membre du Microsoft Learning Competency :

i. Chaque licence achetée en votre nom ne peut être utilisée que pour consulter
une (1) copie du cours Microsoft avec Formateur sous la forme sous laquelle il vous a été
fourni. Si le Cours Microsoft avec Formateur est en format numérique, vous êtes autorisé
à installer une (1) copie sur un maximum de trois (3) Dispositifs Personnels. Vous n’êtes
pas autorisé à installer le Cours Microsoft avec Formateur sur un dispositif qui ne vous
appartient pas ou que vous ne contrôlez pas.
ii. Pour chaque licence que vous achetez au nom d’un Utilisateur Final ou Formateur, vous
êtes autorisé à :
1. distribuer une (1) version papier du Cours Microsoft avec Formateur à un (1) Utilisateur
Final participant à la Session de Formation Agréée et uniquement immédiatement
avant le début de la Session de Formation Agréée qui est l’objet du Cours Microsoft
avec Formateur fourni, ou
2. fournir à un (1) Utilisateur Final participant à la Session de Formation Agréée le code
d’accès unique et les instructions permettant d’accéder à une (1) version numérique
du Cours Microsoft avec Formateur, ou
3. fournir à un (1) Formateur le code d’accès unique et les instructions permettant
d’accéder à un (1) Contenu Formateur,
pour autant que vous vous conformiez à ce qui suit :
iii. vous ne donnerez accès au Contenu Concédé sous Licence qu’aux personnes qui ont
acheté une licence valide du Contenu Concédé sous Licence,
iv. vous veillerez à ce que chaque Utilisateur Final participant à une Session de Formation
Agréée dispose de sa propre copie concédée sous licence valide du Cours Microsoft avec
Formateur qui est l’objet de la Session de Formation Agréée,
vi Conception et implémentation d’une infrastructure Server

v. vous veillerez à ce que chaque Utilisateur Final ayant reçu une version papier
du Cours Microsoft avec Formateur reçoive une copie du présent contrat et reconnaisse
que son utilisation du Cours Microsoft avec Formateur sera soumise aux termes du présent
accord, et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra
confirmer son acceptation du présent contrat d’une manière opposable aux termes de
la réglementation locale avant d’accéder au Cours Microsoft avec Formateur,
vi. vous veillerez à ce que chaque Formateur donnant une Session de Formation Agréée
dispose de sa propre copie concédée sous licence valide du Cours Microsoft avec
Formateur qui est l’objet de la Session de Formation Agréée,
vii. vous n’utiliserez que des Formateurs qualifiés qui possèdent la Certification Microsoft
applicable qui est l’objet du Cours Microsoft avec Formateur donné pour vos Sessions
de Formation Agréées,
viii. vous n’utiliserez que des MCT qualifiés qui possèdent également la Certification Microsoft
applicable qui est l’objet du cours MOC donné pour toutes vos Sessions de Formation
Agréées utilisant MOC,
ix. vous ne donnerez accès au Cours Microsoft avec Formateur qu’aux Utilisateurs Finaux, et
x. vous ne donnerez accès au Contenu du Formateur qu’aux Formateurs.

c. Si vous êtes un Membre MPN :

i. Chaque licence achetée en votre nom ne peut être utilisée que pour consulter
une (1) copie du cours Microsoft avec Formateur sous la forme sous laquelle il vous a été
fourni. Si le Cours Microsoft avec Formateur est en format numérique, vous êtes autorisé
à installer une (1) copie sur un maximum de trois (3) Dispositifs Personnels. Vous n’êtes
pas autorisé à installer le Cours Microsoft avec Formateur sur un dispositif qui ne vous
appartient pas ou que vous ne contrôlez pas.
ii. Pour chaque licence que vous achetez au nom d’un Utilisateur Final ou Formateur, vous
êtes autorisé à :
1. distribuer une (1) version papier du Cours Microsoft avec Formateur à un (1) Utilisateur
Final participant à la Session de Formation Privée et uniquement immédiatement avant
le début de la Session de Formation Privée qui est l’objet du Cours Microsoft avec
Formateur fourni, ou
2. fournir à un (1) Utilisateur Final qui participe à la Session de Formation Privée le code
d’accès unique et les instructions permettant d’accéder à une (1) version numérique
du Cours Microsoft avec Formateur, ou
3. fournir à un (1) Formateur qui donne la Session de Formation Privée le code d’accès
unique et les instructions permettant d’accéder à un (1) Contenu Formateur,
pour autant que vous vous conformiez à ce qui suit :
iii. vous ne donnerez accès au Contenu Concédé sous Licence qu’aux personnes qui ont
acheté une licence valide du Contenu Concédé sous Licence,
iv. vous veillerez à ce que chaque Utilisateur Final participant à une Session de Formation
Privée dispose de sa propre copie concédée sous licence valide du Cours Microsoft avec
Formateur qui est l’objet de la Session de Formation Privée,
v. vous veillerez à ce que chaque Utilisateur Final ayant reçu une version papier du Cours
Microsoft avec Formateur reçoive une copie du présent contrat et reconnaisse que son
utilisation du Cours Microsoft avec Formateur sera soumise aux termes du présent accord,
et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra confirmer son
acceptation du présent contrat d’une manière opposable aux termes de la réglementation
locale avant d’accéder au Cours Microsoft avec Formateur,
 Conception et implémentation d’une infrastructure Server vii

vi. vous veillerez à ce que chaque Formateur donnant une Session de Formation Privée
dispose de sa propre copie concédée sous licence valide du Cours Microsoft avec
Formateur qui est l’objet de la Session de Formation Privée,
vii. vous n’utiliserez que des Formateurs qualifiés qui possèdent la Certification Microsoft
applicable qui est l’objet du Cours Microsoft avec Formateur donné pour toutes vos
Sessions de Formation Privées,
viii. vous n’utiliserez que des MCT qualifiés qui possèdent la Certification Microsoft applicable
qui est l’objet du cours MOC donné pour toutes vos Sessions de Formation Privées
utilisant MOC,
ix. vous ne donnerez accès au Cours Microsoft avec Formateur qu’aux Utilisateurs Finaux, et
x. vous ne donnerez accès au Contenu du Formateur qu’aux Formateurs.

d. Si vous êtes un Utilisateur Final :

Pour chaque licence que vous achetez, vous êtes autorisé à utiliser le Cours Microsoft
avec Formateur exclusivement pour votre formation personnelle. Si le Cours Microsoft avec
Formateur est en format numérique, vous pouvez y accéder en ligne à l’aide du code d’accès
unique que vous a fourni le prestataire de formation et installer et utiliser une (1) copie du
Cours Microsoft avec Formateur sur un maximum de trois (3) Dispositifs Personnels. Vous êtes
également autorisé à imprimer une (1) copie du Cours Microsoft avec Formateur. Vous n’êtes
pas autorisé à installer le Cours Microsoft avec Formateur sur un dispositif qui ne vous
appartient pas ou que vous ne contrôlez pas.

e. Si vous êtes un Formateur :

i. Pour chaque licence que vous achetez, vous êtes autorisé à installer et utiliser
une (1) copie du Contenu du Formateur sous la forme dans laquelle il vous a été fourni
sur un (1) Dispositif Personnel exclusivement pour préparer et donner une Session
de Formation Agréée ou une Session de Formation Privée, et à installer une (1) copie
supplémentaire sur un autre Dispositif Personnel comme copie de sauvegarde, utilisable
uniquement pour réinstaller le Contenu du Formateur. Vous n’êtes pas autorisé à installer
ou utiliser une copie du Contenu du Formateur sur un dispositif qui ne vous appartient pas
ou que vous ne contrôlez pas. Vous êtes également autorisé à imprimer une (1) copie
du Contenu du Formateur uniquement pour préparer et assurer une Session de
Formation Agréée ou une Session de Formation Privée.
ii. Vous pouvez personnaliser les parties écrites du Contenu du Formateur qui sont
logiquement associées à la présentation d’une session de formation conformément
à la version la plus récente du contrat MCT. Si vous choisissez d’exercer les droits qui
précèdent, vous acceptez de vous conformer à ce qui suit : (i) les personnalisations ne
peuvent être utilisées que pour donner des Sessions de Formation Agréées et des Sessions
de Formation Privées, et (ii) toutes les personnalisations seront conformes au présent
contrat. À des fins de clarté, toute utilisation de « personnaliser » ne fait référence
qu’à la modification de l’ordre des diapositives et du contenu, et/ou à la non-utilisation
de l’ensemble du contenu ou des diapositives, et ne signifie pas le changement ou la
modification d’aucune diapositive ni d’aucun contenu.

2.2 Dissociation de composants. Le Contenu Concédé sous Licence est concédé sous licence
en tant qu’unité unique et vous n’êtes pas autorisé à dissocier les composants ni à les installer
sur différents dispositifs.
viii Conception et implémentation d’une infrastructure Server

2.3 Redistribution du Contenu Concédé sous Licence. Sauf stipulation contraire expresse
dans les droits d’utilisation ci-dessus, vous n’êtes pas autorisé à distribuer le Contenu Concédé
sous Licence ni aucune partie de celui-ci (y compris les éventuelles modifications autorisées)
à des tiers sans l’autorisation expresse et écrite de Microsoft.

2.4 Programmes et Services Tiers. Le Contenu Concédé sous Licence peut contenir
des programmes ou services tiers. Les présents termes du contrat de licence s’appliqueront
à votre utilisation de ces programmes ou services tiers, excepté si d’autres termes accompagnent
ces programmes et services.

2.5 Conditions supplémentaires. Le Contenu Concédé sous Licence est susceptible de contenir
des composants auxquels s’appliquent des termes, conditions et licences supplémentaires en
termes d’utilisation. Les termes non contradictoires desdites conditions et licences s’appliquent
également à votre utilisation du composant correspondant et complètent les termes décrits dans
le présent contrat.

3. CONTENU CONCÉDÉ SOUS LICENCE BASÉ SUR UNE TECHNOLOGIE PRÉCOMMERCIALE.

Si l’objet du Contenu Concédé sous Licence est basé sur une version précommerciale d’une technologie
Microsoft (« version précommerciale »), les présents termes s’appliquent en plus des termes de
ce contrat :

a. Contenu sous licence en version précommerciale. L’objet du présent Contenu Concédé sous
Licence est basé sur la version précommerciale de la technologie Microsoft. La technologie peut
ne pas fonctionner comme une version finale de la technologie et nous sommes susceptibles de
modifier cette technologie pour la version finale. Nous sommes également autorisés à ne pas éditer
de version finale. Le Contenu Concédé sous Licence basé sur la version finale de la technologie
est susceptible de ne pas contenir les mêmes informations que le Contenu Concédé sous Licence
basé sur la version précommerciale. Microsoft n’a aucune obligation de vous fournir quelque autre
contenu, y compris du Contenu Concédé sous Licence basé sur la version finale de la technologie.

b. Commentaires. Si vous acceptez de faire part à Microsoft de vos commentaires concernant

le Contenu Concédé sous Licence, directement ou par l’intermédiaire de son représentant tiers,
vous concédez à Microsoft, gratuitement, le droit d’utiliser, de partager et de commercialiser vos
commentaires de quelque manière et à quelque fin que ce soit. Vous concédez également à des
tiers, à titre gratuit, tout droit de propriété sur leurs produits, technologies et services, nécessaires
pour utiliser ou interfacer des parties spécifiques d’un logiciel, produit ou service Microsoft qui
inclut les commentaires. Vous ne donnerez pas d’informations faisant l’objet d’une licence
qui impose à Microsoft de concéder sous licence son logiciel, ses technologies ou produits à des
tiers parce que nous y incluons vos commentaires. Ces droits survivent au présent contrat.

c. Durée de la Version Précommerciale. Si vous êtes un Membre du Programme Microsoft IT

Academy, un Membre Microsoft Learning Competency, un Membre MPN ou un Formateur, vous
cesserez d’utiliser toutes les copies du Contenu Concédé sous Licence basé sur la technologie
précommerciale (i) à la date que Microsoft vous indique comme date de fin d’utilisation du Contenu
Concédé sous Licence basé sur la technologie précommerciale, ou (ii) soixante (60) jours après
la mise sur le marché de la technologie qui fait l’objet du Contenu Concédé sous Licence, selon la
date la plus proche (« Durée de la Version Précommerciale »). Dès l’expiration ou la résiliation
de la durée de la version précommerciale, vous supprimerez définitivement et détruirez toutes
les copies du Contenu Concédé sous Licence en votre possession ou sous votre contrôle.
 Conception et implémentation d’une infrastructure Server ix

4. CHAMP D’APPLICATION DE LA LICENCE. Le Contenu Concédé sous Licence n’est pas vendu.
Le présent contrat ne fait que vous conférer certains droits d’utilisation du Contenu Concédé sous
Licence. Microsoft se réserve tous les autres droits. Sauf si la réglementation applicable vous confère
d’autres droits, nonobstant la présente limitation, vous n’êtes autorisé à utiliser le Contenu Concédé
sous Licence qu’en conformité avec les termes du présent contrat. Ce faisant, vous devez vous
conformer aux restrictions techniques contenues dans le Contenu Concédé sous Licence qui ne vous
permettent de l’utiliser que d’une certaine façon. Sauf stipulation expresse dans le présent contrat,
vous n’êtes pas autorisé à :
• accéder au Contenu Concédé sous Licence ou à y autoriser l’accès à quiconque qui n’a pas acheté
une licence valide du Contenu Concédé sous Licence,
• modifier, supprimer ou masquer les mentions de droits d’auteur ou autres notifications
de protection (y compris les filigranes), marques ou identifications contenue dans le
Contenu Concédé sous Licence,
• modifier ou créer une œuvre dérivée d’un Contenu Concédé sous Licence,
• présenter en public ou mettre à disposition de tiers le Contenu Concédé sous Licence à des fins
d’accès ou d’utilisation,
• copier, imprimer, installer, vendre, publier, transmettre, prêter, adapter, réutiliser, lier ou publier,
mettre à disposition ou distribuer le Contenu Concédé sous Licence à un tiers,
• contourner les restrictions techniques contenues dans Contenu Concédé sous Licence, ou
• reconstituer la logique, décompiler, supprimer ou contrecarrer des protections, ou désassembler
le Contenu Concédé sous Licence, sauf dans la mesure où ces opérations seraient expressément
permises par les termes du contrat de licence ou la réglementation applicable nonobstant
la présente limitation.

5. DROITS RÉSERVÉS ET PROPRIÉTÉ. Microsoft se réserve tous les droits qui ne vous sont pas
expressément concédés dans le présent contrat. Le Contenu Concédé sous Licence est protégé
par les lois et les traités internationaux en matière de droits d’auteur et de propriété intellectuelle.
Les droits de propriété, droits d’auteur et autres droits de propriété intellectuelle sur le Contenu
Concédé sous Licence appartiennent à Microsoft ou à ses fournisseurs.

6. RESTRICTIONS À L’EXPORTATION. Le Contenu Concédé sous Licence est soumis aux lois
et réglementations américaines en matière d’exportation. Vous devez vous conformer à toutes les
lois et réglementations nationales et internationales en matière d’exportation applicables au Contenu
Concédé sous Licence. Ces lois comportent des restrictions sur les utilisateurs finals et les utilisations
finales. Des informations supplémentaires sont disponibles sur le site [Link]/exporting.

7. SERVICES D’ASSISTANCE TECHNIQUE. Dans la mesure où le Contenu Concédé sous Licence est
fourni « en l’état », nous ne fournissons pas de services d’assistance technique.

8. RÉSILIATION. Sans préjudice de tous autres droits, Microsoft pourra résilier le présent contrat si vous
n’en respectez pas les conditions générales. Dès la résiliation du présent contrat pour quelque raison
que ce soit, vous arrêterez immédiatement toute utilisation et détruirez toutes les copies du Contenu
Concédé sous Licence en votre possession ou sous votre contrôle.

9. LIENS VERS DES SITES TIERS. Vous êtes autorisé à utiliser le Contenu Concédé sous Licence pour
accéder à des sites tiers. Les sites tiers ne sont pas sous le contrôle de Microsoft et Microsoft n’est pas
responsable du contenu de ces sites, des liens qu’ils contiennent ni des modifications ou mises à jour
qui leur sont apportées. Microsoft n’est pas responsable du Webcasting ou de toute autre forme de
transmission reçue d’un site tiers. Microsoft fournit ces liens vers des sites tiers pour votre commodité
uniquement et l’insertion de tout lien n’implique pas l’approbation du site en question par Microsoft.
x Conception et implémentation d’une infrastructure Server

10. INTÉGRALITÉ DES ACCORDS. Le présent contrat et les éventuelles conditions supplémentaires
pour le Contenu du Formateur, les mises à jour et les suppléments constituent l’intégralité des accords
en ce qui concerne le Contenu Concédé sous Licence, les mises à jour et les suppléments.

11. RÉGLEMENTATION APPLICABLE.

a. États-Unis. Si vous avez acquis le Contenu Concédé sous Licence aux États-Unis, les lois de l’État
de Washington, États-Unis d’Amérique, régissent l’interprétation de ce contrat et s’appliquent
en cas de réclamation ou d’actions en justice pour rupture dudit contrat, sans donner d’effet aux
dispositions régissant les conflits de lois. Les lois du pays dans lequel vous vivez régissent toutes
les autres réclamations, notamment les réclamations fondées sur les lois fédérales en matière
de protection des consommateurs, de concurrence déloyale et de délits.

b. En dehors des États-Unis. Si vous avez acquis le Contenu Concédé sous Licence dans un autre
pays, les lois de ce pays s’appliquent.

12. EFFET JURIDIQUE. Le présent contrat décrit certains droits légaux. Vous pouvez bénéficier
d’autres droits prévus par les lois de votre État ou pays. Vous pouvez également bénéficier de certains
droits à l’égard de la partie auprès de laquelle vous avez acquis le Contenu Concédé sous Licence.
Le présent contrat ne modifie pas les droits que vous confèrent les lois de votre État ou pays si celles-ci
ne le permettent pas.

13. EXCLUSIONS DE GARANTIE. LE CONTENU CONCÉDÉ SOUS LICENCE EST FOURNI

« EN L’ÉTAT » ET « TEL QUE DISPONIBLE ». VOUS ASSUMEZ TOUS LES RISQUES
LIÉS À SON UTILISATION. MICROSOFT ET SES AFFILIÉS RESPECTIFS N’ACCORDENT
AUCUNE GARANTIE OU CONDITION EXPRESSE. VOUS POUVEZ BÉNÉFICIER DE DROITS
SUPPLÉMENTAIRES RELATIFS AUX CONSOMMATEURS EN VERTU DU DROIT DE VOTRE
PAYS, QUE CE CONTRAT NE PEUT MODIFIER. LORSQUE CELA EST AUTORISÉ PAR LE
DROIT LOCAL, MICROSOFT ET SES AFFILIÉS RESPECTIFS EXCLUENT TOUTES GARANTIES
IMPLICITES DE QUALITÉ, D’ADÉQUATION À UN USAGE PARTICULIER ET D’ABSENCE
DE VIOLATION.

14. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR

DE MICROSOFT, DE SES AFFILIÉS RESPECTIFS ET DE SES FOURNISSEURS UNE
INDEMNISATION EN CAS DE DOMMAGES DIRECTS LIMITÉE À U.S. $5.00. VOUS NE
POUVEZ PRÉTENDRE À AUCUNE INDEMNISATION POUR LES AUTRES DOMMAGES,
Y COMPRIS LES DOMMAGES SPÉCIAUX, INDIRECTS, INCIDENTS OU ACCESSOIRES
ET LES PERTES DE BÉNÉFICES.

Cette limitation concerne :

o toute affaire liée au Contenu Concédé sous Licence, au logiciel, aux services ou au contenu
(y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et
o les réclamations pour rupture de contrat ou violation de garantie, les réclamations en cas
de responsabilité sans faute, de négligence ou autre délit dans la limite autorisée par la loi
en vigueur.

Elle s’applique également même si Microsoft connaissait l’éventualité d’un tel dommage. La limitation
ou l’exclusion ci-dessus peut également ne pas vous être applicable si votre pays n’autorise pas
l’exclusion ou la limitation de responsabilité pour les dommages incidents, indirects ou de quelque
nature que ce soit.

Dernière mise à jour : septembre 2012.

 Conception et implémentation d’une infrastructure Server xi

Bienvenue !
Merci de suivre notre formation. En collaboration avec nos sites Microsoft Certified Partners
for Learning Solutions et nos centres Microsoft IT Academy, nous avons élaboré des formations
de premier plan aussi bien destinées aux informaticiens souhaitant approfondir leurs
connaissances qu'aux étudiants se destinant à une carrière informatique.

■ Formateurs et instructeurs Microsoft Certified—Votre instructeur possède des

compétences techniques et pédagogiques. Il répond aux exigences actuelles en matière
de certification. En outre, si les instructeurs dispensent des formations sur l'un de nos sites
Certified Partners for Learning Solutions, ils sont également évalués tout au long de
l'année par les stagiaires et par Microsoft.

■ Avantages des examens de certification—À l'issue d'une formation, pensez aux

examens de certification Microsoft. Les certifications Microsoft valident vos compétences
en matière de technologies Microsoft et peuvent faire la différence lors d'une recherche
d'emploi ou pour faire progresser votre carrière. Une étude IDC indépendante a conclu
que pour 75 % des responsables, les certifications sont importantes pour les performances
des équipes1. Renseignez-vous auprès de votre instructeur pour connaître les promotions
et remises auxquels vous pourriez avoir droit sur les examens de certification Microsoft.

■ Garantie de satisfaction du client—Nos Certified Partners for Learning Solutions offrent

une garantie de satisfaction et engagent leur responsabilité à ce sujet. À la fin du cours,
nous vous demandons de bien vouloir remplir un formulaire d'évaluation sur votre
expérience du jour. Vos commentaires sont les bienvenus !

Nous vous souhaitons une agréable formation et une carrière couronnée de succès.

Cordialement,

Microsoft Learning
[Link]/france/formation

1 IDC, Value of Certification: Team Certification and Organizational Performance, novembre 2006
xii Conception et implémentation d’une infrastructure Server

Remerciements
Formation Microsoft souhaite reconnaître la contribution apportée par les personnes citées ci-dessous
à l'élaboration de ce titre et les en remercier. Elles ont en effet déployé des efforts aux différents stades
de ce processus pour vous proposer une expérience de qualité en classe.

Andrew J. Warren – Développeur de contenu

Andrew Warren a plus de 25 années d'expérience dans le secteur de l'informatique, parmi lesquelles
de nombreuses années passées à enseigner et écrire. Il a été impliqué en tant qu'expert technique dans
la conception de plusieurs cours sur Windows Server 2008 et 2012, et a été le responsable technique
de plusieurs autres cours. Il a également été impliqué dans le développement de sessions TechNet
sur Microsoft Exchange Server 2007. Basé au Royaume-Uni, il a son propre cabinet d'enseignement
et de formation en informatique.

Ulf B. Simon-Weidner – Développeur de contenu

Ulf B. Simon-Weidner a obtenu ses premiers postes dans l'électronique numérique et la
programmation de microprocesseur, puis a commencé il y a plus de 20 ans la programmation
et la création d'infrastructures réseau. En 1998, il a rejoint un fournisseur européen de solutions
d'infrastructure en Allemagne comme consultant dans le domaine Client/Serveur Windows, et s'est
passionné dès le début pour Active Directory (dans la version d'évaluation NT 5, qui a été plus tard
renommée en Windows 2000). Aujourd'hui, il travaille comme consultant principal et responsable
dans le secteur des stratégies et préventes de solutions Microsoft. Il est également auteur, consultant,
présentateur et instructeur indépendant. Au cours des dix dernières années, il a été désigné MVP
(Most Valuable Professional) à plusieurs reprises pour les services d'annuaire de Windows Server.
Il est également MCT depuis plus de 10 ans. Durant sa carrière professionnelle, Simon-Weidner a été
engagé un nombre incalculable de fois comme consultant par de grandes entreprises européennes ou
internationales. Il a également publié plusieurs livres et de nombreux articles de magazine portant sur
Active Directory, les infrastructures Windows Server, le client et la sécurité. Ulf intervient fréquemment
dans des conférences telles que Microsoft TechEd en Amérique du Nord et en Europe ou encore les
conférences The Directory Experts et The Experts, et transmet son expérience technique et du terrain
dans plusieurs supports pédagogiques Windows Server en tant que réviseur technique et auteur.

Vladimir Meloski – Développeur de contenu

Vladimir est MCT (Microsoft Certified Trainer), MVP sur Exchange Server et un consultant, qui fournit
des solutions de communications et d'infrastructure unifiées basées sur Microsoft Exchange Server,
Lync Server et System Center. Vladimir a 16 ans d'expérience professionnelle en informatique et a
participé à des conférences Microsoft en Europe et aux États-Unis en tant que présentateur, modérateur,
surveillant d'ateliers pratiques et expert technique. Il a également travaillé en tant qu'expert technique
et réviseur technique pour plusieurs cours MOC (Microsoft Official Curriculum).
 Conception et implémentation d’une infrastructure Server xiii

Jay Ferron – Réviseur technique

Jay a les certifications CEH, CISM, CISSP, CRICS, MCITP, MCSE, MCT, MVP, NSA–IAM

Au cours des 25 dernières années, il s'est intéressé à Windows, aux conceptions de sécurité,
aux infrastructures réseau, aux solutions de sécurité d'entreprise et aux questions de mobilité.

Jay a écrit les cours suivants :

• Architecting Microsoft Server Virtualization Solutions with Hyper-V™ and System Center
Virtual Machine Manager

• Migrating NetWare to Microsoft Windows 2003 (Microsoft)

• Converting GroupWise to Microsoft Exchange (Microsoft)

• Security Challenges and Solutions Workshop Series for Microsoft Partners (Microsoft)

• Security Business Decision Sales Maker (Microsoft)

• Security Class Business Decision Maker (Microsoft)

• Right Management for Microsoft Partners (Microsoft)

• Windows Mobile Security Training (Microsoft)

• Enterprise Search Training (Microsoft)

• Compute Cluster Server Course and LLIFT Sessions

• Smart Computing Magazine (différents articles sur les technologies Microsoft)

• Expert technique pour le cours MOC 6064a Microsoft System Center Mobile Device Manager

• Expert technique pour les cours électroniques OEM Windows Server 2008

Co-auteur :

• HIPAA Manual -2002 HIPAAssociates, Inc

• Active Defense Advanced Tools Course
 Conception et implémentation d’une infrastructure Server xv

Sommaire
Module 1 : Planification de la mise à niveau et de la migration d'un serveur
Leçon 1 : Éléments à prendre en compte pour la mise à niveau
et la migration 1-2
Leçon 2 : Création d'un plan de mise à niveau et de migration
d'un serveur 1-11
Leçon 3 : Planification de la virtualisation 1-17
Atelier pratique : Planification de la mise à niveau et de la migration
d'un serveur 1-27

Module 2 : Planification et implémentation d'une infrastructure de déploiement de serveur

Leçon 1 : Sélection d'une stratégie de création d'images serveur
appropriée 2-2
Leçon 2 : Sélection d'une stratégie d'automatisation du déploiement 2-8
Leçon 3 : Implémentation d'une stratégie de déploiement automatisé 2-15
Atelier pratique : Planification et implémentation d'une infrastructure
de déploiement de serveur 2-34

Module 3 : Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Leçon 1 : Conception et implémentation de DHCP 3-2
Leçon 2 : Planification et implémentation des étendues DHCP 3-11
Leçon 3 : Planification et implémentation d'une stratégie
d'approvisionnement IPAM 3-15
Atelier pratique : Conception et gestion d'une solution de gestion
d'adresses et de configuration IP 3-24

Module 4 : Conception et implémentation de la résolution de noms

Leçon 1 : Conception d'une stratégie d'implémentation de serveurs DNS 4-2
Leçon 2 : Conception de l'espace de noms DNS 4-8
Leçon 3 : Conception et implémentation de zones DNS 4-12
Leçon 4 : Conception et configuration de la réplication
et de la délégation de zone DNS 4-19
Leçon 5 : Optimisation des serveurs DNS 4-26
Leçon 6 : Conception du système DNS pour la haute disponibilité
et la sécurité 4-30
Atelier pratique : Conception et implémentation de la résolution
de noms 4-41
xvi Conception et implémentation d’une infrastructure Server

Module 5 : Conception et implémentation d'une infrastructure de forêt

et de domaine pour les services de domaine Active Directory
Leçon 1 : Conception d'une forêt AD DS 5-3
Leçon 2 : Conception et implémentation d'approbations de forêt AD DS 5-10
Atelier pratique A : Conception et implémentation d'une infrastructure
de forêt pour les services de domaine Active Directory 5-16
Leçon 3 : Conception et implémentation de domaines AD DS 5-24
Leçon 4 : Conception d'espaces de noms DNS dans
les environnements AD DS 5-31
Leçon 5 : Conception d'approbations de domaine AD DS 5-35
Atelier pratique B : Conception et implémentation d'une infrastructure
de domaine AD DS 5-42

Module 6 Conception et implémentation d'une infrastructure d'unités

d'organisation Active Directory
Leçon 1 : Planification du modèle de délégation des tâches
d'administration Active Directory 6-2
Leçon 2 : Conception de la structure d'unités d'organisation 6-9
Leçon 3 : Conception et implémentation d'une stratégie
de groupe Active Directory 6-21
Atelier pratique : Conception et implémentation d'une infrastructure
et d'un modèle de délégation d'unités d'organisation Active Directory 6-30

Module 7 : Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Leçon 1 : Collecte des informations requises pour la conception
d'un objet de stratégie de groupe 7-2
Leçon 2 : Conception et implémentation des objets de stratégie de groupe 7-7
Leçon 3 : Conception du traitement des objets de stratégie de groupe 7-18
Leçon 4 : Planification de la gestion des stratégies de groupe 7-25
Atelier pratique : Conception et implémentation d'une stratégie
d'objet de stratégie de groupe 7-31

Module 8 : Conception et implémentation d'une topologie de services de domaine

Active Directory
Leçon 1 : Conception et implémentation des sites AD DS 8-3
Leçon 2 : Conception de la réplication AD DS 8-10
Leçon 3 : Conception du placement des contrôleurs de domaine 8-25
Leçon 4 : Éléments à prendre en compte pour la virtualisation
des contrôleurs de domaine 8-37
Leçon 5 : Conception de contrôleurs de domaine hautement disponibles 8-43
Atelier pratique : Conception et implémentation d'une topologie
physique de services de domaine Active Directory 8-54
 Conception et implémentation d’une infrastructure Server xvii

Module 9 : Planification et implémentation du stockage

Leçon 1 : Éléments à prendre en compte pour le stockage 9-2
Leçon 2 : Planification et implémentation des réseaux SAN iSCSI 9-7
Leçon 3 : Espaces de stockage dans Windows Server 2012 9-13
Atelier pratique : Planification et implémentation du stockage 9-20

Module 10 : Planification et implémentation des services de fichiers

Leçon 1 : Planification et implémentation du système de fichiers DFS 10-2
Leçon 2 : Planification et implémentation de BranchCache 10-8
Leçon 3 : Planification et implémentation du contrôle d'accès dynamique 10-13
Atelier pratique : Conception et implémentation des services de fichiers 10-24

Module 11 : Conception et implémentation des services d'accès réseau

Leçon 1 : Conception et implémentation des services d'accès à distance 11-2
Leçon 2 : Conception de l'authentification RADIUS à l'aide de NPS 11-18
Leçon 3 : Conception d'un réseau de périmètre 11-27
Leçon 4 : Planification et implémentation de DirectAccess 11-33
Atelier pratique : Conception et implémentation des services
d'accès réseau 11-48

Module 12 : Conception et implémentation de la protection réseau

Leçon 1 : Vue d'ensemble de la conception de la sécurité du réseau 12-2
Leçon 2 : Identification et atténuation des menaces courantes
sur la sécurité du réseau 12-9
Leçon 3 : Conception et implémentation d'une stratégie
de Pare-feu Windows 12-16
Leçon 4 : Conception et implémentation d'une infrastructure
de protection d'accès réseau (NAP) 12-26
Atelier pratique : Conception et implémentation de la protection réseau 12-38

Corrigés des ateliers pratiques

Atelier pratique du module 1 :Planification de la mise à niveau
et de la migration d'un serveur L1-1
Atelier pratique du module 2 : Planification et implémentation
d'une infrastructure de déploiement de serveur L2-5
Atelier pratique du module 3 : Conception et gestion d'une solution
de gestion d'adresses et de configuration IP L3-13
Atelier pratique du module 4 : Conception et implémentation
de la résolution de noms L4-23
Atelier pratique A du module 5 : Conception et implémentation d'une
infrastructure de forêt pour les services de domaine Active Directory L5-31
Atelier pratique B du module 5 : Conception et implémentation
d'une infrastructure de domaine AD DS L5-36
xviii Conception et implémentation d’une infrastructure Server

Atelier pratique du module 6 : Conception et implémentation

d'une infrastructure et d'un modèle de délégation d'unités
d'organisation Active Directory L6-41
Atelier pratique du module 7 : Conception et implémentation
d'une stratégie d'objet de stratégie de groupe L7-55
Atelier pratique du module 8 : Conception et implémentation
d'une topologie physique de services de domaine Active Directory L8-63
Atelier pratique du module 9 : Planification et implémentation
du stockage L9-71
Atelier pratique du module 10 : Conception et implémentation
des services de fichiers L10-77
Atelier pratique du module 11 : Conception et implémentation
des services d'accès réseau L11-91
Atelier pratique du module 12 : Conception et implémentation
de la protection réseau L12-115
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours xix

À propos de ce cours
Cette section décrit brièvement le cours et ses objectifs, le public visé, ainsi que les connaissances
préalables requises.

Description du cours
Ce cours de cinq jours, dispensé par un instructeur, vous permet d'acquérir les connaissances et les
compétences nécessaires à la planification, à la conception et au déploiement d'une infrastructure
Windows Server® 2012 physique et logique avec les services de domaine Active Directory® (AD DS).
Il vous fournit également les compétences nécessaires pour effectuer la résolution de noms, l'intégration
d'applications, l'optimisation de la mise à jour automatique et la maintenance des services réseau.

Public visé
Ce cours s'adresse essentiellement aux professionnels de l'informatique qui sont chargés de la
planification, de la conception et du déploiement d'une infrastructure Windows Server 2012 physique et
logique avec les services de domaine Active Directory (AD DS), y compris les services réseau nécessaires.
Ils connaissent les systèmes d'exploitation Windows Server précédents et possèdent la certification MCSA
(Microsoft Certified Solutions Associate) Windows Server 2012 ou des compétences équivalentes.

Le public secondaire visé par cette formation se compose des professionnels de l'informatique qui
souhaitent passer l'examen 70-413 : Conception et implémentation d'une infrastructure de serveur,
en tant qu'examen autonome ou dans le cadre de la condition requise à l'obtention du titre MCSE
(Microsoft Certified Solutions Expert) : certification d'infrastructure de serveur. Les stagiaires suivront
ce cours pour préparer l'examen.

Connaissances préalables des stagiaires

Outre une expérience professionnelle, les stagiaires qui assistent à cette formation doivent posséder
les connaissances techniques suivantes :

• une bonne compréhension des principes fondamentaux de TCP/IP et des concepts de mise
en réseau ;

• des connaissances pratiques de Windows Server 2012 et des services AD DS : par exemple,
les comptes d'utilisateurs de domaine, la comparaison entre les comptes d'utilisateurs de domaine
et locaux, les profils utilisateur et l'appartenance aux groupes ;

• une bonne compréhension des scripts et fichiers de commandes ;

• de solides connaissances des concepts de sécurité, tels que l'authentification et l'autorisation ;

• une parfaite connaissance du déploiement, de l'empaquetage et des outils de création d'images ;

• la capacité de travailler en équipe, ou en tant qu'équipe virtuelle ;

• la capacité de fournir une bonne documentation et d'avoir des techniques de communication

appropriées pour créer des propositions et émettre des recommandations ;

• des connaissances correspondant à la certification MCSA Windows 2012.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
xx À propos de ce cours

Les stagiaires assistant à cette formation doivent avoir réussi les examens suivants ou avoir des
connaissances équivalentes :

• 22410B : Installation et configuration de Windows Server® 2012

• 22411B : Administration de Windows Server® 2012

• 22412B : Configuration des services avancés de Windows Server® 2012

OU

• 22417B : Mise à niveau des connaissances vers le MCSA Windows Server 2012

Objectifs du cours
À la fin de ce cours, les stagiaires seront à même d'effectuer les tâches suivantes :

• implémenter la mise à niveau et la migration d'un serveur ;

• concevoir une stratégie d'installation de serveur automatisée ;

• planifier et implémenter une infrastructure de déploiement d'un serveur ;

• planifier et implémenter des services de fichiers et de stockage ;

• concevoir et implémenter une solution DHCP (Dynamic Host Configuration Protocol) ;

• concevoir une stratégie de solution de résolution de noms ;

• concevoir et gérer une solution de gestion des adresses IP ;

• concevoir une solution de réseau privé virtuel (VPN) ;

• concevoir une solution DirectAccess ;

• implémenter une solution d'accès à distance évolutive ;

• concevoir une solution de protection réseau ;

• implémenter une solution de protection réseau ;

• concevoir une infrastructure de forêt et de domaine ;

• implémenter une infrastructure de forêt et de domaine ;

• concevoir une stratégie de groupe ;

• concevoir un modèle d'autorisation Active Directory ;

• concevoir une topologie de sites Active Directory ;

• concevoir une stratégie de contrôleur de domaine ;

• concevoir et implémenter une infrastructure de filiale.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours xxi

Plan du cours
Cette section présente le plan du cours :

Module 1, Planification de la mise à niveau et de la migration d'un serveur

Module 2, Planification et implémentation d'une infrastructure de déploiement de serveur

Module 3, Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Module 4, Conception et implémentation de la résolution de noms

Module 5, Conception et implémentation d'une infrastructure de forêt et de domaine pour les services
de domaine Active Directory

Module 6, Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Module 7, Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Module 8, Conception et implémentation d'une topologie de services de domaine Active Directory

Module 9, Planification et implémentation du stockage

Module 10, Planification et implémentation des services de fichiers

Module 11, Conception et implémentation des services d'accès réseau

Module 12, Conception et implémentation de la protection réseau

Mappage d'examen/de cours

Ce cours, 22413B : Conception et implémentation d’une infrastructure Server, mappe directement
son contenu aux objectifs de l'examen Microsoft 70-413, Conception et implémentation
d'une infrastructure de serveur.

Le tableau suivant est fourni sous la forme d'une aide d'étude pour vous aider à préparer cet examen
et vous montrer la manière dont s'imbriquent les objectifs de l'examen et le contenu du cours. Le cours
n'est pas conçu exclusivement en vue de l'examen, mais fournit plutôt des connaissances et compétences
plus larges pour permettre une implémentation en situation réelle de cette technologie particulière.
Le cours contient également du contenu qui n'est pas directement lié à l'examen et qui utilisera
l'expérience et les compétences uniques de votre instructeur certifié Microsoft (MCT).

Remarque : Les objectifs de l'examen sont disponibles en ligne à l'adresse

[Link]
(Certains de ces sites adressées dans ce cours sont en anglais.).

Module/Atelier Objectif du module/de l'atelier Objectifs Mappage des

pratique pratique de la leçon objectifs de l'examen
Planification de la mise Planifier la stratégie de mise à niveau (1.3)
à niveau et de la et de migration d'un serveur.
migration d'un serveur

Planification et Planifier une stratégie d'installation de (1.1, 1.2, 1.3)

implémentation d'une serveur automatisée ainsi que planifier
infrastructure de et implémenter une infrastructure de
déploiement déploiement d'un serveur.
de serveur
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
xxii À propos de ce cours

(suite)

Module/Atelier Objectif du module/de l'atelier Objectifs Mappage des

pratique pratique de la leçon objectifs de l'examen
Conception et gestion Concevoir et gérer une solution DHCP (2.1, 2.3)
d'une solution de et de gestion des adresses IP.
gestion d'adresses et
de configuration IP

Conception d'une Concevoir une stratégie de solution (2.2)

stratégie de résolution de résolution de noms.
de noms

Conception et Concevoir et implémenter (4.1, 4.2)

implémentation d'une une infrastructure de forêt
infrastructure de forêt et de domaine pour les services
et de domaine pour de domaine Active Directory.
les services
de domaine
Active Directory

Conception et Concevoir et implémenter une (4.4)

implémentation d'une infrastructure d'unité d'organisation
infrastructure d'unité et un modèle d'autorisations des
d'organisation services AD DS.
des services de
domaine
Active Directory
et modèle de
délégation des services
de domaine
Active Directory

Conception et Concevoir et implémenter une stratégie (4.3)

implémentation d'une d'objet de stratégie de groupe.
stratégie d'objet de
stratégie de groupe

Conception et Concevoir une topologie de sites (5.1, 5.2)

implémentation d'une des services AD DS et une stratégie
topologie physique de positionnement de contrôleur de
de services de domaine.
domaine
Active Directory

Planification et Planifier et implémenter des services de (1.5)

implémentation des stockage.
services de stockage

Planification et Planifier et implémenter des services de (1.5)

implémentation des fichiers.
services de fichiers
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours xxiii

(suite)

Module/Atelier Objectif du module/de l'atelier Objectifs Mappage des

pratique pratique de la leçon objectifs de l'examen
Conception et Concevoir et implémenter des services (3.1, 3.2, 3.3)
implémentation d'accès réseau.
des services
d'accès réseau

Conception et Concevoir et implémenter une (3.4, 3.5)

implémentation de la protection réseau.
protection réseau

Important Suivre ce cours ne garantit pas que vous réussirez les examens
de certification associés.

En plus de suivre ce cours, vous devez également :

• une bonne compréhension des principes fondamentaux de TCP/IP et des concepts de mise
en réseau ;

• des connaissances pratiques de Windows Server 2012 et des services AD DS : par exemple, les
comptes d'utilisateurs de domaine, la comparaison entre les comptes d'utilisateurs de domaine
et locaux, les profils utilisateur et l'appartenance aux groupes ;

• une bonne compréhension des scripts et fichiers de commandes ;

• de solides connaissances des concepts de sécurité, tels que l'authentification et l'autorisation ;

• une parfaite connaissance du déploiement, de l'empaquetage et des outils de création d'images ;

• la capacité de travailler en équipe et dans une équipe virtuelle ;

• la capacité de fournir une bonne documentation et d'avoir des techniques de communication

appropriées pour créer des propositions et émettre des recommandations en matière de budget ;

• des connaissances correspondant à la certification MCSA Windows 2012.

Il se peut que des ressources d'étude et de préparation supplémentaires soient également disponibles
pour vous permettre de préparer cet examen. Vous trouverez plus de détails à ce sujet à l'adresse
[Link]

Vous devez vous familiariser avec le profil des stagiaires et les connaissances requises pour l'examen afin
d'être suffisamment préparé pour cet examen de certification. Le profil complet des stagiaires pour cet
examen est disponible à l'adresse
[Link]

Le tableau de mappage examen/cours présenté précédemment est exact au moment de l'impression ;

toutefois il pourra faire l'objet de modifications à tout moment et la société Microsoft ne pourra pas être
tenue pour responsable d'éventuelles incohérences entre la version publiée ici et la version accessible
en ligne, et ne donnera aucune notification quant à de telles modifications.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
xxiv À propos de ce cours

Documents de cours
Votre kit de cours contient les documents suivants :

• Manuel du cours. Guide de formation succinct qui fournit toutes les informations techniques
importantes dans un format concis et très ciblé, parfaitement adapté à l'apprentissage en classe.

• Les leçons vous guident dans les objectifs de formation et fournissent les points clés essentiels
pour un apprentissage en classe réussi.

• Les ateliers pratiques fournissent une plateforme qui vous permettra de mettre en application
les connaissances et compétences acquises dans le module.

• Les contrôles des acquis et éléments à retenir fournissent une documentation de référence
pratique qui favorise la mémorisation des connaissances et compétences.

• Les corrigés des ateliers pratiquesfournissent des instructions pas à pas.

Contenu d'accompagnement du cours. Contenu numérique, facile à parcourir, dans lequel il est
possible d'effectuer des recherches et qui comprend de précieuses ressources en ligne intégrées,
proposées en complément du manuel du cours.

• Les modules incluent l'accompagnement du cours, tel que les questions et les réponses, les
étapes détaillées de la démonstration et les liens de la rubrique Documentation supplémentaire,
pour chaque leçon. De plus, les modules incluent les questions et réponses de contrôle des acquis
de l'atelier pratique, ainsi que des sections sur les contrôles des acquis et éléments à retenir,
qui contiennent les questions et réponses de contrôle des acquis, les meilleures pratiques, des
conseils et réponses sur les problèmes courants et la résolution des problèmes, des scénarios
et problèmes concrets avec les réponses.
• Les ressources incluent des ressources supplémentaires présentées par catégories qui vous
donnent un accès immédiat à du contenu utile et à jour disponible sur TechNet, MSDN®
ou Microsoft® Press®.

Des fichiers de cours destinés aux stagiaires. Incluent le fichier exécutable à extraction automatique
[Link], qui contient les fichiers requis pour les ateliers pratiques et les démonstrations.

• Évaluation du cours. À la fin du cours, vous aurez l'occasion de remplir une fiche d'évaluation en ligne
pour faire part de vos commentaires sur le cours, le centre de formation et l'instructeur.

• Pour adresser d'autres commentaires ou remarques sur le cours, envoyez un message

électronique à l'adresse support@[Link]. Pour obtenir des informations sur
le programme MCP (Microsoft Certification Program), envoyez un message électronique
à l'adresse mcphelp@[Link].
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
À propos de ce cours xxv

Environnement d'ordinateur virtuel

Cette section fournit les informations nécessaires pour configurer l'environnement de la classe afin de
prendre en charge le scénario d'entreprise du cours.

Configuration d'un ordinateur virtuel

Dans ce cours, vous allez utiliser Microsoft® Hyper-V® pour effectuer les ateliers pratiques.

Important À la fin de chaque atelier pratique, vous devez revenir à une capture
instantanée des ordinateurs virtuels. Vous pouvez rechercher les instructions correspondant
à cette procédure à la fin de chaque atelier pratique.

Le tableau suivant montre le rôle de chaque ordinateur virtuel utilisé dans ce cours.

Ordinateur virtuel Rôle

Contrôleur de domaine exécutant Windows Server 2012 dans le domaine
22413B-LON-DC1
[Link].

Serveur membre exécutant Windows Server 2012 dans le domaine

22413B-LON-SVR1
[Link].

Serveur autonome exécutant Windows Server 2012, que vous allez utiliser
22413B-LON-SVR2
pour joindre des domaines et la configuration initiale.

Ordinateur virtuel vierge sur lequel vous allez installer Windows

22413B-LON-SVR3
Server 2012.

Serveur membre exécutant Windows Server 2012 dans le domaine

22413B-LON-SVR4
[Link]. Ce serveur se trouve dans un deuxième sous-réseau.

Serveur membre exécutant Windows Server 2012 dans le domaine

22413B-LON-RTR
[Link]. Ce serveur assure le routage entre les sous-réseaux

Contrôleur de domaine exécutant Windows Server 2008 R2 dans le

22413B-TREY-DC1 domaine [Link]. Ce serveur est utilisé dans un grand nombre
d'ateliers pratiques, principalement ceux où plusieurs domaines sont requis.

Serveur autonome exécutant Windows Server 2012, que vous allez utiliser
22413B-CON-SVR pour joindre des domaines et la configuration initiale. Ce serveur fait partie
de l'organisation Contoso, Ltd.

Ordinateur client qui exécute Windows 8 et Office 2010 Service Pack 1 (SP1)
22413B-LON-CL1 dans le domaine [Link]. Vous utiliserez cet ordinateur principalement
pour tester des configurations de serveur.

Ordinateur client qui exécute Windows 8 et Office 2010 SP1 dans le

domaine [Link]. Vous utiliserez cet ordinateur principalement pour
22413B-LON-CL2
tester des configurations de serveur. Il se trouve dans le deuxième sous-
réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
xxvi À propos de ce cours

Configuration logicielle
Les logiciels suivants sont installés sur chaque ordinateur virtuel :

• Windows Server 2012

• Windows 8

Configuration de la classe
L'ordinateur virtuel sera configuré de la même façon sur tous les ordinateurs de la classe.

Niveau des éléments matériels du cours

Pour garantir une expérience satisfaisante, les formations Microsoft requièrent une configuration
matérielle minimale pour les ordinateurs de l'instructeur et des stagiaires dans toutes les classes
Microsoft CPLS (Certified Partner for Learning Solutions) dans lesquelles les produits officiels
de formation Microsoft sont utilisés.

Éléments matériels de niveau 6

• Processeur Intel VT (Intel Virtualization Technology) ou AMD-V (AMD Virtualization)

• Doubles disques durs de 120 Go à 7 200 tr/mn SATA ou supérieurs*

• Au moins 8 Go de mémoire vive (RAM)

• Lecteur de DVD

• Carte réseau

• Moniteur Super VGA (SVGA) de 17 pouces

• Souris Microsoft ou dispositif de pointage compatible

• Carte audio avec haut-parleurs

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-1

Module 1
Planification de la mise à niveau et de la migration
d'un serveur
Table des matières :
Vue d'ensemble du module 1-1

Leçon 1 : Éléments à prendre en compte pour la mise à niveau

et la migration 1-2

Leçon 2 : Création d'un plan de mise à niveau et de migration d'un serveur 1-11

Leçon 3 : Planification de la virtualisation 1-17

Atelier pratique : Planification de la mise à niveau et de la migration

d'un serveur 1-27

Contrôle des acquis et éléments à retenir 1-33

Vue d'ensemble du module

La planification du déploiement d'un système d'exploitation est l'une des activités les plus importantes
pour votre organisation. Cette planification doit être définie en même temps que les exigences et les
objectifs professionnels de l'organisation. Le service informatique est responsable de déterminer une
solution appropriée qui répondra aux exigences stratégiques d'une organisation. Les organisations
doivent prévoir de consacrer le temps nécessaire à la conception et à la planification. Une solution
bien conçue permet d'obtenir une infrastructure informatique rentable et de générer un retour sur
investissement positif. Une documentation détaillée et des listes de contrôle doivent être générées
lors du processus de planification pour les étapes liées au déploiement. La documentation doit
également contenir les principales décisions concernant la nouvelle solution. Notamment l'édition
du système d'exploitation à déployer, le modèle de licence, et si la solution doit être déployée
dans un environnement virtuel ou physique.
Windows Server® 2012 étant un système d'exploitation compatible avec le cloud, l'une des décisions
les plus importantes consiste à déterminer si les organisations doivent choisir d'utiliser la technologie
de virtualisation de cloud privé, ou continuer d'utiliser les serveurs physiques. Les organisations
doivent également créer un plan de compatibilité dans lequel elles vérifient la compatibilité
de toute l'infrastructure et des solutions d'application avec Windows Server 2012, et vérifient
si elles ont besoin d'une mise à niveau ou d'une migration.

Objectifs
Dans ce module, vous apprendrez à planifier une mise à niveau de serveur et une stratégie de migration
pour Windows Server 2012 en effectuant ce qui suit :

• Analyser les éléments à prendre en compte pour la mise à niveau et la migration.

• Créer un plan de mise à niveau et de migration d'un serveur.

• Planifier la virtualisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-2 Planification de la mise à niveau et de la migration d'un serveur

Leçon 1
Éléments à prendre en compte pour la mise à niveau
et la migration
Lorsque vous planifiez le déploiement du système d'exploitation Windows Server 2012, vous
devez déterminer l'édition du système d'exploitation qui convient le mieux à votre organisation.
Pour ce faire, vous devez tenir compte des exigences opérationnelles de votre organisation,
du coût de la solution, et du retour sur investissement.

Vous devez parfaitement comprendre les besoins de votre organisation afin de pouvoir
sélectionner et déployer l'édition appropriée de Windows Server 2012. Vous devez également
comprendre la configuration matérielle qui est appropriée pour Windows Server 2012, savoir
si un déploiement virtuel pourrait être plus approprié qu'un déploiement physique et connaître
la méthode d'installation qui vous permet de déployer Windows Server 2012 efficacement.
Cette leçon fournit une vue d'ensemble des différentes éditions de Windows Server 2012, de
la configuration matérielle requise, des options de déploiement et du processus d'installation.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les différentes éditions de Windows Server 2012 ;

• décrire la configuration matérielle minimale recommandée pour installer Windows Server 2012 ;

• faire la différence entre une mise à niveau sur place et une migration du serveur ;

• décrire les scénarios d'une mise à niveau sur place pris en charge ;

• décrire les avantages de migrer vers Windows Server 2012 ;

• décrire les outils disponibles pour aider à planifier une mise à niveau et une migration.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-3

Éditions de Windows Server 2012

Il existe quatre éditions du système d'exploitation
Windows Server 2012. Les organisations doivent
sélectionner celle qui répond le mieux à leurs
besoins. Lors du déploiement d'un serveur pour
un rôle spécifique, les administrateurs système
peuvent réduire les coûts en sélectionnant
l'édition Windows Server 2012 appropriée.
Les éditions de Windows Server 2012 sont
répertoriées dans le tableau suivant.

Édition Fonctionnalités

Windows Server 2012 • Fournit l'ensemble des rôles et des fonctionnalités disponibles sur
Standard la plateforme Windows Server 2012.
• Prend en charge jusqu'à 64 sockets et jusqu'à 4 téraoctets (To) de mémoire
vive (RAM).
• Inclut deux licences d'ordinateur virtuel pour un serveur ayant jusqu'à
deux processeurs. Une licence supplémentaire est nécessaire pour
chacun des deux processeurs supplémentaires.

Windows Server 2012 • Fournit l'ensemble des rôles et des fonctionnalités qui sont disponibles
Datacenter sur la plateforme Windows Server 2012.
• Prend en charge 64 sockets, jusqu'à 640 cœurs de processeur et jusqu'à
4 téraoctets (To) de RAM.
• Inclut des licences d'ordinateur virtuel illimitées pour les ordinateurs
virtuels qui sont exécutés sur le même matériel pour un serveur ayant
jusqu'à deux processeurs. Une licence supplémentaire est nécessaire
pour chacun des deux processeurs supplémentaires.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-4 Planification de la mise à niveau et de la migration d'un serveur

(suite)

Édition Fonctionnalités

Windows Server 2012 • Prend en charge 15 utilisateurs seulement et ne peut pas être joint
Foundation à un domaine.
• Prend en charge un cœur de processeur et jusqu'à 32 gigaoctets (Go)
de RAM.
• Inclut des rôles serveur limités.
• N'inclut pas Active Directory® Domain Services (AD DS).
• Offert via le programme OEM (Original Equipment Manufacturer ).

Windows Server 2012 • Utilisé comme l'édition suivante de Small Business Server.
Essentials
• Ne prend pas en charge le serveur de clustering avec basculement
Microsoft® Hyper-V® Server ou les Services Bureau à distance.
• Impossible d'effectuer une installation minimale.
• Prend en charge jusqu'à 25 utilisateurs et 50 périphériques.
• Prend en charge deux cœurs de processeur et 64 Go de RAM.
• Doit être le seul contrôleur de domaine du domaine.

La première chose à prendre en compte lors du choix de l'édition de Windows Server 2012 appropriée
est le nombre d'utilisateurs qui se connectent à un serveur. Si ce nombre est supérieur à 25, vous devez
choisir l'édition Standard ou l'édition Datacenter de Windows Server 2012.

Windows Server 2012 Datacenter et Windows Server Standard

Dans les éditions antérieures de Windows Server, les organisations devaient baser leur choix sur les
différentes fonctions des éditions Standard, Enterprise ou Datacenter. À présent, elles peuvent faire un
choix simple et économique entre les éditions Standard et Datacenter en se basant sur un seul élément :
la virtualisation. Les éditions Windows Server 2012 Standard et Datacenter proposent le même ensemble
de fonctions, sauf la virtualisation. Bien que le système d'exploitation Windows Server 2012 Standard
comprenne deux licences d'ordinateur virtuel, le système d'exploitation Windows Server 2012 Datacenter
comprend des licences d'ordinateur virtuel illimitées.

Le nombre de licences est également déterminé par le nombre de processeurs par serveur physique.
Les organisations qui utilisent des serveurs physiques et qui ont jusqu'à deux processeurs auront besoin
d'une licence, quelle que soit l'édition qu'elles utilisent (Windows Server 2012 Standard ou Datacenter).
Si le serveur physique a plus de deux processeurs, une licence supplémentaire est alors nécessaire
pour chacun des deux processeurs supplémentaires.

Si votre stratégie d'organisation consiste à déployer des serveurs et des applications dans un
environnement virtuel, vous devez alors choisir le système d'exploitation Windows Server 2012
Datacenter. Si votre stratégie d'organisation consiste à déployer des serveurs et des applications
dans des environnements non virtuels, vous devez alors choisir le système d'exploitation
Windows Server 2012 Standard.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-5

Windows Server 2012 Foundation

Le système d'exploitation Windows Server 2012 Foundation convient aux organisations de petite taille qui
n'ont pas besoin d'AD DS et ont moins de 15 utilisateurs. Cette édition est offerte par le programme OEM.

Windows Server 2012 Essentials

Le système d'exploitation Windows Server 2012 Essentials convient à une organisation ayant moins
de 25 utilisateurs. Cette édition n'a pas de fonctionnalités d'entreprise telles que la virtualisation
ou la haute disponibilité, et n'est pas disponible pour le déploiement avec installation minimale.

Configuration requise pour la préinstallation

La configuration matérielle minimale requise
pour Windows Server 2012 est indiquée dans
le tableau suivant.

Composant Configuration requise

Architecture du processeur x64

Vitesse du processeur 1,4 gigahertz (GHz)

Mémoire vive (RAM) 512 mégaoctets (Mo)

Espace disponible sur le disque dur 32 Go

Les configurations matérielles requises répertoriées dans le tableau précédent définissent le minimum
requis pour exécuter le logiciel serveur. Chaque service et chaque fonctionnalité ou rôle serveur place
une charge unique sur le réseau, les entrées/sorties de disque (E/S), le processeur et les ressources
mémoire, la configuration matérielle requise réelle dépendent des éléments suivants :

• Les applications et les services que le serveur exécute.

• Le nombre d'utilisateurs connectés sur le serveur.

• Si la solution s'exécute dans un environnement physique ou virtuel.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-6 Planification de la mise à niveau et de la migration d'un serveur

En outre, lors de l'estimation de la configuration matérielle requise, vous devez vérifier si la solution
doit être implémentée dans une configuration de haute disponibilité où la charge des applications
est distribuée entre plusieurs serveurs, ou si elle doit être exécutée sur un serveur unique. Si elle est
implémentée dans une configuration de haute disponibilité, elle peut nécessiter moins de matériel
puissant. En effet, l'utilisation du serveur peut être distribuée entre plusieurs serveurs, au lieu
de s'exécuter sur un seul.

En outre, lorsque vous planifiez la configuration matérielle requise, vous devez tenir compte des
meilleures pratiques ou des recommandations pour le produit spécifique à être installé, par exemple
Microsoft® Exchange Server, Microsoft SQL Server® ou Microsoft System Center.

Les déploiements virtualisés de Windows Server 2012 doivent correspondre aux mêmes spécifications
matérielles que les déploiements physiques. Windows Server 2012 est pris en charge sur Hyper-V
et sur certaines plateformes de virtualisation non-Microsoft.

Documentation supplémentaire : Pour plus d'informations sur le

programme Windows Server Virtualization Validation Program, consultez l'article
Welcome to the Windows Server Virtualization Validation Program à l'adresse
[Link]

Mise à niveau sur place et migration de serveur

Lors du déploiement de Windows Server 2012,
les organisations doivent faire le choix suivant,
à savoir :

• Utiliser le matériel existant et le

mettre à niveau à partir des éditions
de Windows Server 2008 prises en
charge ou de Windows Server 2008 R2
vers Windows Server 2012.

• Installer Windows Server 2012 sur le nouveau

matériel, et, si nécessaire, migrer les rôles,
les fonctionnalités et les paramètres à partir
des serveurs qui s'exécutent dans les éditions
antérieures de Windows Server prises en charge.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-7

Lorsque vous envisagez de mettre à niveau ou de migrer un serveur vers Windows Server 2012, examinez
les options indiquées dans le tableau suivant.

Option d'installation Description

Mise à niveau Une mise à niveau conserve les fichiers, les paramètres et les applications
qui sont installés sur le serveur d'origine. Vous devez effectuer une mise
à niveau lorsque vous souhaitez conserver tous ces éléments et continuer
à utiliser le même serveur. Une mise à niveau requiert une architecture
de processeur x64 et une édition x64 du système d'exploitation
Windows Server.
Si vous effectuez une mise à niveau à partir de Windows Server 2008,
le Service Pack 2 (SP2) doit être installé. Si vous effectuez une mise à
niveau à partir de Windows Server 2008 R2, le Service Pack 1 (SP1)
doit être installé.
Vous devez commencer une mise à niveau en exécutant le fichier
[Link] à partir du système d'exploitation Windows Server d'origine.
Vous pouvez effectuer les mises à niveau répertoriées dans le
tableau suivant.

Système d'exploitation
et édition d'origine Édition de mise à niveau

Windows Server 2008 Standard ou Windows Server 2012 Standard,

Windows Server 2008 Entreprise Windows Server 2012 Datacenter

Windows Server 2008 Datacenter Windows Server 2012 Datacenter

Windows Web Server 2008 Windows Server 2012 Standard

Windows Server 2008 R2 Standard Windows Server 2012 Standard,

ou Windows Server 2008 R2 Windows Server 2012 Datacenter
Entreprise

Windows Server 2008 R2 Windows Server 2012 Datacenter

Datacenter

Windows® Web Server 2008 R2 Windows Server 2012 Standard

Migration Utilisez la migration pour migrer d'une édition x86 de

Windows Server 2003, Windows Server 2003 R2 ou Windows Server 2008.
Vous pouvez utiliser les fonctionnalités des Outils de migration de
Windows Server 2012 pour transférer des fichiers et des paramètres
à partir d'ordinateurs qui exécutent les éditions suivantes :
• Windows Server 2003
• Windows Server 2003 R2
• Windows Server 2008
• Windows Server 2008 R2

Documentation supplémentaire : Pour plus d'informations sur la migration,

consultez l'article Install, Use, and Remove Windows Server Migration Tools à l'adresse
[Link]
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-8 Planification de la mise à niveau et de la migration d'un serveur

Scénarios de mise à niveau sur place

Une mise à niveau sur place est le processus
consistant à mettre à niveau un système
d'exploitation Windows Server sur le
serveur qui exécute une édition antérieure
de Windows Server. L'un des avantages d'une
telle mise à niveau est d'éviter les dépenses de
matériel, car Windows Server 2012 est installé
sur le matériel existant. Vous choisiriez une mise
à niveau sur place du système d'exploitation
Windows Server dans les scénarios suivants :

• Lorsque la configuration matérielle des

serveurs existants répond aux exigences pour
Windows Server 2012. La configuration matérielle requise pour Windows Server 2012 ne diffère
pas de manière significative de celle de Windows Server 2008 et Windows Server 2008 R2, une mise
à niveau sur place peut donc être effectuée sur ces serveurs.

• Lorsque les logiciels qui s'exécutent sur les serveurs existants prennent en charge la mise à niveau
sur place de Windows Server 2012. Avant d'effectuer une mise à niveau sur place, vous devez
répertorier tous les logiciels qui s'exécutent sur le serveur (tels que SQL Server, Exchange Server,
des logiciels n'appartenant pas à Microsoft et des logiciels antivirus). Ensuite, vérifiez si ces produits
prennent en charge une mise à niveau sur place de Windows Server 2012. Si c'est le cas, consultez
la documentation du produit spécifique sur la manière d'effectuer cette mise à niveau sur place,
y compris tous les problèmes ou risques qui pourraient se produire.

• Lorsque vous souhaitez conserver toutes les données utilisateur enregistrées sur les serveurs existants
(telles que les données stockées sur des serveurs de fichiers, et des autorisations de sécurité pour
accéder à ces données). Lorsque vous effectuez une mise à niveau sur place, les données utilisateur
et les autorisations de sécurité pour accéder aux données demeurent inchangées. Ce scénario est
pratique, car après la mise à niveau, les utilisateurs peuvent continuer à accéder à leurs données
stockées sur les mêmes serveurs de fichiers.

• Lorsque vous souhaitez installer Windows Server 2012, mais que vous souhaitez conserver tous
les rôles, fonctionnalités, et paramètres du serveur existant. Avant d'effectuer une mise à niveau
sur place sur un serveur ayant des rôles, des fonctionnalités ou des paramètres spécifiques
(Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS) ou AD DS) dressez
la liste de ces configurations. Vérifiez ensuite que ces configurations prennent en charge une mise
à niveau sur place de Windows Server 2012. Si c'est le cas, consultez les instructions détaillées
à propos des rôles, des fonctionnalités ou des paramètres spécifiques sur la manière d'effectuer
cette mise à niveau sur place, y compris tous les problèmes ou risques qui pourraient se produire.

Si aucun de ces scénarios ne répond aux exigences de votre organisation, vous devez effectuer une
migration vers Windows Server 2012.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-9

Avantages de migrer vers Windows Server 2012

Lorsqu'elles déploient Windows Server 2012,
certaines organisations peuvent choisir d'effectuer
une migration au lieu d'une mise à niveau sur
place. L'une des raisons à cela est qu'il peut y avoir
des risques associés à une mise à niveau sur place
(une indisponibilité des serveurs, ou des données
rendues inaccessibles si des problèmes se
produisent, par exemple). Par conséquent, les
organisations peuvent choisir d'effectuer une
migration dans les cas suivants :

• Si des serveurs sont déjà dotés du système

d'exploitation Windows Server 2012,
et que cela n'affecte pas l'infrastructure informatique en place. Une fois que vous avez installé
Windows Server 2012, vous pouvez réaliser différents tests, tels que des tests de pilotes ou
de performances système, avant d'introduire ce serveur dans le domaine. De cette façon, votre
infrastructure informatique actuelle risque moins d'être affectée pendant l'installation et les tests.

• La migration du logiciel est exécutée dans un environnement distinct. Pour les solutions logicielles
avec une édition antérieure de Windows Server, vous devez vous reporter à la documentation
du produit pour savoir comment les migrer vers Windows Server 2012. Dans certains scénarios,
les logiciels utilisés ne sont pas pris en charge pour être installés sur Windows Server 2012, et de
nouvelles éditions de ces logiciels sont requises. Dans ce cas, la migration vous permet d'exécuter
l'installation systématique du système d'exploitation et des logiciels, dans un environnement distinct.
Cela signifie que la disponibilité des services actuels fournis par le logiciel n'est pas affectée pendant
la migration.
• La migration des rôles serveur, des fonctionnalités et des paramètres s'effectue dans un
environnement distinct. Comme pour la migration des logiciels, consultez la documentation
sur la façon de migrer des rôles, des fonctionnalités, ou des paramètres spécifiques, tels que
DHCP, DNS ou AD DS dans Windows Server 2012. Encore une fois, la migration vous permet
d'effectuer la configuration systématique dans un environnement distinct, ce qui signifie que
la disponibilité des rôles serveur, des fonctionnalités et des paramètres n'est pas susceptible
d'être affectée pendant la migration.

• De nouvelles améliorations du système d'exploitation sont installées par défaut. Lors de

l'exécution d'une mise à niveau sur place, pour des raisons de compatibilité, Windows Server 2012
est configuré avec des paramètres de Windows Server 2008 ou de Windows Server 2008 R2. Cela
signifie que beaucoup d'améliorations qui sont présentées dans Windows Server 2012 (telles que
les améliorations en terme de sécurité, de fonctionnalité ou de performances) ne sont pas activées
par défaut. Lors de la migration, Windows Server 2012 est déployé comme une nouvelle installation,
avec toutes les nouvelles améliorations installées, ainsi le système d'exploitation est plus sûr
et dispose de nouvelles fonctionnalités installées par défaut.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-10 Planification de la mise à niveau et de la migration d'un serveur

Outils disponibles pour aider à planifier la mise à niveau et la migration

Les organisations doivent penser à utiliser des
outils logiciels pour les aider à organiser la mise à
niveau et la migration vers Windows Server 2012.

L'outil Microsoft Application and Planning Toolkit

(MAP) analyse l'inventaire de l'infrastructure
du serveur d'une organisation, exécute une
évaluation, puis crée des rapports utilisés pour
des plans de mise à niveau et de migration.
MAP est disponible pour Windows 8 et
Windows Server 2012, et pour d'autres produits,
tels que SQL Server 2012 et Microsoft Office 365™.

Utilisez MAP pour effectuer les opérations

suivantes :

• Effectuer un inventaire de l'infrastructure informatique de votre organisation. Selon l'inventaire,

MAP affiche un rapport détaillé au sujet des ordinateurs capables d'exécuter Windows Server 2012,
ceux capables d'exécuter Windows Server 2012 avec des configurations système minimale, et ceux
qui ne sont pas capables d'exécuter Windows Server 2012. MAP recommande également des mises
à niveau spécifiques qui vérifient que les ordinateurs sont capables d'exécuter Windows Server 2012.

• Vous pouvez utiliser les données de l'inventaire pour générer une proposition ou un rapport basé
sur Windows Server 2012 Readiness Assessment. Le rapport ou la proposition est un document
qui contient une synthèse, les résultats de l'évaluation, les prochaines étapes et une feuille de
calcul résumant l'évaluation de Windows Server 2012 pour les ordinateurs qui exécutent déjà
Windows Server.

• Capturez les mesures de performances de l'infrastructure informatique actuelle, pour aider à planifier
la consolidation et la virtualisation de serveur. L'analyse des performances génère des rapports sur
les performances et les recommandations en termes de consolidation de serveurs.

• Selon ces mesures, vous pouvez estimer l'utilisation du serveur avant et après la virtualisation. Vous
pouvez également choisir quels serveurs physiques sont les meilleurs candidats pour la virtualisation,
et les hôtes sur lesquels les ordinateurs virtuels doivent être placés.

Liens de référence : Pour plus d'informations sur la boîte à outils

Microsoft Assessment and Planning (MAP) pour Windows Server 2012, consultez
[Link]
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-11

Leçon 2
Création d'un plan de mise à niveau et de migration
d'un serveur
Les organisations doivent passer du temps à créer un plan de mise à niveau et de migration de serveur.
La planification est essentielle pour les organisations qui envisagent de nouveaux déploiements de
système d'exploitation. Il existe différents éléments dans la planification de nouveaux déploiements
de système d'exploitation, tels que l'analyse de l'infrastructure informatique actuelle, le choix d'une
édition du système d'exploitation, la création d'une stratégie pour la mise à niveau ou la migration, et
une stratégie pour la sauvegarde, la restauration, la surveillance et la gestion du système d'exploitation.

Il existe également des étapes supplémentaires à prendre en compte dans le cadre du processus de
planification, comme la gestion des licences et l'activation du système d'exploitation, la détermination
des rôles pouvant être migrés, de ceux pouvant être co-hébergés, et de ceux pouvant être consolidés
dans un environnement virtuel.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• expliquer pourquoi il est important de développer un plan de déploiement approprié ;

• décrire les éléments à prendre en compte lors de l'activation et de la gestion des licences
en volume Windows Server 2012 ;

• expliquer comment planifier un mécanisme approprié d'activation en volume ;

• décrire quels rôles serveur peuvent être migrés ;

• décrire quels rôles serveur peuvent être hébergés ;

Vue d'ensemble de la planification du déploiement

Avant d'introduire Windows Server 2012 dans
votre organisation, vous devez développer un
plan de déploiement. Un plan de déploiement
aide à s'assurer que lorsque vous effectuez une
mise à niveau, une migration ou l'installation
de nouveaux serveurs dans votre organisation,
le processus s'exécute correctement et sans
interruption des services. Le résultat de
votre plan de déploiement doit comprendre
la documentation détaillée et une liste
de contrôle d'analyse, de préparation,
d'installation, et des activités de post installation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-12 Planification de la mise à niveau et de la migration d'un serveur

Votre plan de déploiement doit comprendre les activités suivantes :

• Analyser l'infrastructure informatique actuelle. En analysant votre infrastructure informatique actuelle,

vous pouvez compiler des informations détaillées sur les ressources informatiques et ainsi analyser
comment votre environnement informatique peut mieux s'adapter aux exigences stratégiques
de votre organisation.

• Sélectionnez l'édition appropriée de Windows Server 2012. Le développement d'un plan

de déploiement vous aide à choisir l'édition appropriée de Windows Server 2012, et vous
permet de déterminer si vous devez effectuer une installation de l'interface utilisateur graphique
complète ou le déploiement avec installation minimale. Vous pouvez également prévoir de
déployer vos solutions Windows Server 2012 dans un environnement physique ou virtuel.

• Planifier la procédure de mise à niveau sur place. La mise à niveau sur place requiert des étapes
de préparation, de test, et de post-installation pour lesquelles vous devez prévoir une quantité
minimum de temps d'arrêt.

• Planifier la procédure de migration. La migration vous permet d'effectuer de nombreuses étapes

d'installation dans un environnement distinct. Cependant, ce processus requiert également
de préparer les étapes de planification, de test et de post installation.

• Planifier l'installation de nouveaux serveurs. Certaines organisations prévoient de déployer

Windows Server 2012 sur de nouveaux serveurs. Cela requiert de préparer une liste de contrôle
détaillée des activités requises pour que le déploiement soit réussi.

• Planifier la sauvegarde, la restauration, la surveillance, et la maintenance. Après le déploiement,

chaque logiciel ou rôle serveur qui s'exécute sur Windows Server 2012 doivent avoir un plan
et une stratégie pour la sauvegarde, la restauration, la surveillance, et la maintenance.

Le plan de déploiement ne doit pas être un document statique. À chaque nouveau déploiement,
vous devez évaluer et mettre votre plan à jour et intégrer les étapes et les activités acquises lors
des précédentes expériences de déploiement. L'amélioration de votre plan peut également
permettre aux organisations d'améliorer leur processus de déploiement.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-13

Gestion des licences et activation de Windows Server 2012

Pour vous assurer que votre organisation
bénéficie de licences correctes et pour recevoir
des informations préalables sur les mises à jour
du produit, vous devez activer chaque copie
de Windows Server 2012 que vous installez.
Windows Server 2012 requiert que vous
activiez le système d'exploitation après son
installation. L'objectif est de garantir que
les produits fassent l'objet d'une licence et
que vous receviez les informations de mise
à jour importantes. À la différence des
versions précédentes du système d'exploitation
Windows Server, il n'y a plus de période de grâce d'activation. Si vous n'effectuez pas l'activation
Windows Server 2012, vous ne pouvez pas effectuer de personnalisation du système d'exploitation.
Il existe deux stratégies générales pour l'activation :

• Activation manuelle. Cette stratégie est appropriée quand vous déployez un nombre réduit
de serveurs.

• Activation automatique. Cette stratégie est appropriée quand vous déployez un grand nombre
de serveurs.

Activation manuelle
Avec l'activation manuelle, vous devez entrer la clé de produit et le serveur contacte Microsoft ou
un administrateur peut effectuer l'activation par téléphone ou via un site Web Clearinghouse spécial.

Vous pouvez effectuer l'activation manuelle à l'aide de la clé de produit commercialisée ou de la clé
d'activation multiple. Vous pouvez utiliser une clé de produit commercialisée uniquement pour activer
un seul ordinateur. Cependant, une clé d'activation multiple possède un nombre donné d'activations
que vous pouvez utiliser. Une clé d'activation multiple vous permet d'activer plusieurs ordinateurs
jusqu'à la limite d'activation définie.
Les clés OEM représentent un type particulier de clé d'activation. Elles sont fournies à un fabricant et
permettent l'activation automatique lors de la première mise sous tension d'un ordinateur. Ce type de
clé d'activation est généralement utilisé avec des ordinateurs qui exécutent des systèmes d'exploitation
clients Windows, tels que Windows 7 et Windows 8. Les clés OEM sont rarement utilisées avec des
ordinateurs qui exécutent des systèmes d'exploitation serveurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-14 Planification de la mise à niveau et de la migration d'un serveur

Activation automatique
La réalisation manuelle de l'activation dans des déploiements de serveurs à grande échelle peut
être lourde. Microsoft fournit une méthode permettant d'activer un grand nombre d'ordinateurs
automatiquement sans avoir à entrer manuellement de clé de produit sur chaque système.
Dans les versions précédentes du système d'exploitation Windows Server, vous pouviez utiliser
le service de gestion de clés (KMS) pour effectuer une activation centralisée de plusieurs clients.
Dans Windows Server 2012, le rôle serveur Services d'activation en volume vous permet de gérer un
serveur KMS via une nouvelle interface. Ceci simplifie l'installation d'une clé KMS sur le serveur KMS.

Quand vous installez les services d'activation en volume, vous pouvez également configurer une
activation basée sur Active Directory. L'activation basée sur Active Directory permet l'activation
automatique des ordinateurs joints à un domaine. Quand vous utilisez les services d'activation
en volume, chaque ordinateur activé doit contacter régulièrement le serveur KMS pour renouveler
son statut d'activation.

Pour effectuer l'activation de plusieurs ordinateurs sur des réseaux qui ne sont pas connectés
directement à Internet, vous devez utiliser l'outil Volume Activation Management Tool (VAMT) 3.0
en association avec les services d'activation en volume. Vous pouvez utiliser VAMT pour générer
des rapports de licence et gérer l'activation des clients et des serveurs dans des réseaux d'entreprise.

Discussion : Planification de l'activation en volume

Pour implémenter le processus d'activation
en volume, vous devez considérer quel type
d'activation est le plus approprié à votre
organisation. Toutes les sociétés ne disposent
pas de la même infrastructure informatique
et les scénarios diffèrent pour chacune. Prenez
en compte les deux scénarios suivants pour
organiser le processus d'activation en volume
de votre organisation.

Question : L'infrastructure informatique de

votre organisation se compose d'ordinateurs
personnels et de serveurs exécutant
différentes éditions des systèmes d'exploitation clients Windows et des systèmes
d'exploitation Windows Server. Le mois prochain, votre organisation envisage de déployer
500 ordinateurs clients Windows 8, et 20 serveurs Windows Server 2012. Le département
finance dispose d'une application héritée, vous devez donc déployer 10 ordinateurs clients
exécutant Windows 7 et deux serveurs exécutant Windows Server 2008 R2. Quel type
d'activation en volume devez-vous implémenter ?

Question : L'infrastructure informatique de votre organisation a été mise à niveau

à partir de différentes éditions des systèmes d'exploitation clients Windows et des
systèmes d'exploitation Windows Server vers Windows 8 et Windows Server 2012.
Quel type d'activation en volume devez-vous implémenter ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-15

Détermination des rôles pouvant être migrés

Lorsque vous planifiez la migration des serveurs,
vous devez créer une liste des rôles serveur à
migrer et des étapes impliquées dans chaque
migration. Pour chaque rôle serveur que vous
prévoyez de migrer, vous devez vous reporter
aux guides de migration et à la documentation
technique pour savoir comment procéder. Pour
certains rôles serveur, vous pouvez également
utiliser les outils de migration de Windows Server,
disponibles avec Windows Server 2012.

Parmi les rôles que vous pouvez migrer

en utilisant les outils de migration
de Windows Server on trouve :

• Services de rôle Services ADFS (Active Directory Federation Services)

• Hyper-V
• Serveur NPS

• Services d'impression et de numérisation de document

• Accès à distance
• Windows Server Update Services (WSUS)

Remarque : Vous pouvez uniquement migrer des rôles à partir des éditions antérieures
de Windows Server prises en charge vers Windows Server 2012.

Liens de référence : Pour plus d'informations sur la détermination des rôles et des
fonctionnalités à migrer, consultez l'article Migrate Roles and Features to Windows Server 2012
à l'adresse [Link]

Détermination des rôles pouvant être hébergés

Lorsque vous déployez Windows Server 2012,
vous devez soigneusement organiser le
placements des rôles serveur, tels qu'AD DS,
DNS et DHCP. Les organisations doivent envisager
d'héberger conjointement plusieurs rôles, dans
la mesure du possible, pour obtenir la solution
la plus économique. L'hébergement conjoint
ne doit pas être implémenté s'il affecte les
performances des serveurs ou l'espace disque
disponible. Par conséquent, les organisations
doivent évaluer et tester si l'installation de
plusieurs rôles serveur sur un serveur aurait
un impact négatif sur les performances globales et l'utilisation du disque.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-16 Planification de la mise à niveau et de la migration d'un serveur

Les organisations plus petites devraient étudier les meilleures pratiques suivantes :

• Ils doivent planifier les rôles serveur nécessaires. Si l'hébergement conjoint de ces rôles sur un
serveur est pris en charge, les rôles planifiés doivent alors être hébergés sur un serveur unique,
à condition que cela n'affecte pas les performances ou l'utilisation du disque du serveur.

• Si l'hébergement conjoint de certains des rôles serveur n'est pas pris en charge, vous devez
installer un autre serveur avec les rôles serveur requis.

Les entreprises de moyenne à grande taille doivent prendre en compte les performances et la haute
disponibilité lors d'un hébergement conjoint :

• Si plusieurs rôles sont hébergés conjointement sur un serveur unique, des problèmes de
performances peuvent se produire en raison du grand nombre d'ordinateurs clients connectés
à ce serveur. Dans ce cas, les organisations doivent envisager d'ajouter un autre serveur
qui héberge conjointement plusieurs rôles identiques. Elles doivent également envisager
d'ajouter un autre serveur et de déplacer certains rôles du premier serveur vers le deuxième.

• Les configurations haute disponibilité des rôles ont des exigences et des paramètres particuliers,
et l'hébergement conjoint de plusieurs rôles n'est pas toujours pris en charge. Dans ce cas,
les organisations doivent avoir une solution de haute disponibilité pour un rôle serveur,
mais doivent localiser les rôles restants sur d'autres serveurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-17

Leçon 3
Planification de la virtualisation
Windows Server 2012 est un système d'exploitation compatible avec le cloud. Les organisations peuvent
profiter de Windows Server 2012 en utilisant un serveur physique pour créer leur propre cloud privé,
ou en consolidant une partie de leur infrastructure informatique dans un environnement virtuel. Elles
doivent considérer le ROI de la virtualisation, y compris la réduction en termes de consommation
d'énergie et des coûts de licence, une utilisation plus efficace du serveur, ainsi qu'une flexibilité
de déploiement d'ordinateurs virtuels.

Dans cette leçon, vous apprendrez comment planifier le déploiement dans l'infrastructure du système
d'exploitation dans un environnement virtuel. Vous commencerez par apprendre ce que votre société
doit prendre en compte lors de l'implémentation de la virtualisation. Vous allez ensuite découvrir le
modèle de licence Windows Server 2012. Enfin, vous apprendrez comment organiser votre déploiement,
à l'aide des instructions pour la configuration d'hôtes Hyper-V et pour la conception des ordinateurs
virtuels pour différents types d'applications.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• expliquer les éléments à prendre en compte pour implémenter la virtualisation dans

votre organisation ;

• décrire les licences virtuelles incluses dans Windows Server 2012 ;

• expliquer comment appliquer les instructions pour la configuration des ordinateurs hôtes Hyper-V ;

• décrire les éléments à prendre en compte pour virtualiser des applications courantes ;

• expliquer comment appliquer des recommandations générales pour concevoir des ordinateurs
virtuels pour les applications ;

• expliquer comment choisir entre la virtualisation et les déploiements physiques.

Éléments à prendre en compte concernant l'implémentation

de la virtualisation
Vous pouvez utiliser la virtualisation pour
répondre aux nombreux besoins professionnels
et informatiques, mais vous ne pouvez pas
virtualiser tous les serveurs et applications.
Avant d'implémenter la virtualisation, vous
devez identifier les applications et les serveurs
de votre organisation les mieux adaptés à cela.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-18 Planification de la mise à niveau et de la migration d'un serveur

Choix des charges de travail de serveurs à virtualiser

Vous devez prendre en compte plusieurs facteurs lorsque vous choisissez de virtualiser des charges
de travail de serveurs :

• Configuration matérielle requise. En général, les ordinateurs virtuels requièrent approximativement

les mêmes ressources qu'un serveur physique. Par exemple, si un serveur physique utilise
actuellement 1 Go de mémoire RAM, vous devez alors vous attendre à ce que l'ordinateur
virtuel utilise la même quantité de RAM, en supposant qu'il exécute le même système
d'exploitation et les mêmes applications que le serveur physique.

Remarque : Lors de la planification de l'utilisation des ressources sur l'ordinateur hôte,

souvenez-vous que celui-ci aura besoin de ressources supplémentaires pour l'exécution de
l'ordinateur virtuel. Par exemple, si l'ordinateur virtuel requiert 1 Go de RAM, il peut exister
une surcharge sur l'ordinateur hôte de 32 Mo pour l'ordinateur virtuel. Pour chaque gigaoctet de
mémoire supplémentaire que vous attribuez à l'ordinateur virtuel, il peut exister une surcharge
de 8 Mo sur l'ordinateur hôte.

Dans certains cas, la charge de travail du serveur peut nécessiter des ressources matérielles qui
rendent impossible le déploiement de la charge de travail sur un ordinateur virtuel. Par exemple,
si la charge de travail serveur requiert plus de la moitié des ressources matérielles disponibles
sur un hôte de virtualisation, la consolidation de serveurs peut ne présenter aucun avantage.

Remarque : Vérifiez que vous vous servez bien de l'utilisation matérielle réelle plutôt que
du matériel physique réel lors de l'évaluation des exigences matérielles pour l'ordinateur virtuel.
Vous pouvez déployer un serveur physique qui n'utilise que 5 % de ses ressources matérielles
en cours sur un ordinateur virtuel avec des ressources matérielles bien plus faibles.

• Compatibilité. Vous devez également déterminer si l'application peut être exécutée dans un
environnement de virtualisation. Les applications d'entreprise vont des exécutables les plus
simples aux applications multiniveaux distribuées les plus complexes. Vous devez prendre en
compte les besoins des applications distribuées en termes de composants spécifiques. Il s'agit
notamment de besoins pour communiquer avec d'autres composants de l'infrastructure
ou pour accéder directement au matériel du système.

Les applications et services qui présentent des exigences matérielles ou de pilotes spécifiques
ne conviennent généralement pas à la virtualisation. Une application peut ne pas être une bonne
candidate à la virtualisation d'applications si elle contient des pilotes bas de gamme qui requièrent
l'accès direct au matériel système. Cela peut s'avérer impossible via une interface de virtualisation
ou affecter les performances.

• Capacité de support. Vous devez déterminer si le système d'exploitation et l'application sont pris
en charge dans un environnement virtualisé. Vous pouvez vérifier les règles de prise en charge
du fournisseur pour les déploiements de système d'exploitation et de l'application qui utilisent
la technologie de virtualisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-19

• Gestionnaire de licences. Vous devez également évaluer si vous pouvez attribuer une licence
d'utilisation à l'application dans un environnement virtuel. La réduction des coûts liée aux
licences de plusieurs applications ou systèmes d'exploitation peut faire réaliser des économies
considérables et être un réel facteur de changement en faveur de la virtualisation.

• Exigences de disponibilité. La plupart des organisations disposent de certaines applications

qui doivent être quasiment toujours disponibles pour les utilisateurs. Certaines applications
fournissent des options intégrées permettant une haute disponibilité tandis que d'autres
applications ne peuvent pas facilement devenir hautement disponibles en dehors d'un
environnement d'ordinateur virtuel. Lorsque vous envisagez de virtualiser ou non un serveur,
évaluez si l'application a des options de haute disponibilité, si ces options sont prises en
charge dans un environnement d'ordinateur virtuel, et si vous pouvez utiliser le clustering
avec basculement pour rendre l'ordinateur virtuel hautement disponible.

Le but de la plupart des organisations est d'utiliser tous les serveurs, physiques ou virtuels, de façon
appropriée. Vous pouvez utiliser entièrement certains rôles serveur, par exemple le rôle serveur de boîte
aux lettres SQL Server ou Exchange Server, en déployant des instances SQL Server supplémentaires
ou en déplaçant davantage de boîtes aux lettres vers le serveur.

Dans certains cas, vous pouvez virtualiser les charges de travail du serveur dans un scénario, mais pas
dans un autre. Par exemple, dans un très grand domaine, avec des milliers d'utilisateurs qui se connectent
en même temps, il peut ne pas s'avérer pratique de virtualiser un contrôleur de domaine. Cependant,
pour un domaine plus restreint ou le déploiement d'une succursale, la virtualisation des contrôleurs
de domaine peut être la meilleure solution.

Quelles licences virtuelles sont incluses ?

Windows Server 2012 est un système
d'exploitation compatible avec le cloud qui
fournit aux organisations des fonctions pour
exécuter leur propre cloud privé selon des
technologies de virtualisation, ou pour se
connecter et interagir avec leur infrastructure
informatique avec des services de cloud
externes. L'édition du système d'exploitation
Windows Server que vous choisissez pour
le déploiement dépendra du niveau de la
virtualisation que vous envisagez d'implémenter.

Il existe deux éditions de Windows Server 2012

qui comprennent des licences virtuelles :

• Le système d'exploitation Windows Server 2012 Standard inclut des licences pour deux ordinateurs
virtuels pour un serveur ayant jusqu'à deux processeurs. Une licence supplémentaire est nécessaire
pour chacun des deux processeurs supplémentaires.

• Le système d'exploitation Windows Server 2012 Datacenter inclut des licences pour un nombre
illimité d'ordinateurs virtuels pour un serveur ayant jusqu'à deux processeurs. Une licence
supplémentaire est nécessaire pour chacun des deux processeurs supplémentaires.

L'édition Standard de Windows Server 2012 est faite pour les organisations qui ont besoin d'un
environnement basé en grande partie sur des serveurs physiques et qui utilisent peu la technologie
de virtualisation. Les organisations avec une infrastructure informatique qui sont en majeure partie
déployées virtuellement doivent utiliser l'édition Datacenter de Windows Server 2012.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-20 Planification de la mise à niveau et de la migration d'un serveur

Si les organisations doivent exécuter plus de deux ordinateurs virtuels sur le même matériel, mais
n'ont toujours pas besoin d'un nombre illimité de licences virtuelles, elles peuvent choisir d'installer
une deuxième instance de l'édition Standard de Windows Server 2012 sur le serveur. Dans ce scénario,
elles disposeraient d'une licence pour exécuter quatre ordinateurs virtuels sur le même matériel.

Le tableau ci-dessous contient des exemples de licences virtuelles.

Licences pour l'édition Standard

Nombre total d'ordinateurs virtuels
de Windows Server 2012

1 2

2 4

3 6

Licences pour l'édition Datacenter Total number of virtual machines

de Windows Server 2012

1 Illimité

Remarque : Cette rubrique fournit des informations uniquement sur l'octroi de licence
serveur et pas sur des licences d'accès client. Pour la plupart des applications basées sur
un serveur, les ordinateurs clients qui se connectent doivent avoir une licence d'accès
client appropriée.

Instructions pour la configuration d'hôtes Hyper-V

Pour optimiser l'utilisation d'hôtes Hyper-V, vous
devez créer un plan détaillé pour les ordinateurs
virtuels que vous envisagez de déployer. Pour
planifier la configuration d'hôte Hyper-V vous
devez choisir le nombre d'ordinateurs virtuels
à héberger, le type d'application ou de solution
à déployer sur chaque ordinateur virtuel et les
performances requises pour les applications
déployées sur les ordinateurs virtuels.

Les instructions pour la configuration optimale

des hôtes Hyper-V incluent :

• Mémoire. Planifiez la quantité de mémoire

pour un hôte Hyper-V en fonction des exigences de chaque ordinateur virtuel. Si vous envisagez
d'allouer plus de mémoire à certains ordinateurs virtuels, nous vous recommandons de vérifier
que l'hôte Hyper-V dispose de suffisamment de mémoire.

• Processeurs. Vous devez planifier le nombre et le type de processeurs en fonction du nombre

et du type d'ordinateurs virtuels.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-21

• Stockage. La solution de stockage doit se composer de lecteurs de disques assez rapides pour
prendre en charge les exigences en matière de performances des applications que vous déploierez
dans l'environnement virtuel. L'espace de stockage disponible doit également être suffisant pour
permettre d'ajouter des lecteurs logiques supplémentaires aux ordinateurs virtuels et, au besoin,
d'étendre les lecteurs actuels.
• Réseau. Pour un meilleur débit de communication réseau, nous vous recommandons d'installer
plusieurs cartes réseau sur l'hôte Hyper-V. Le nombre de cartes réseau dépend des applications
installées et de leurs besoins. Nous vous recommandons également de consacrer une carte réseau
distincte si vous avez un stockage basé sur iSCSI (Internet Small Computer System Interface).

• Haute disponibilité. Les hôtes Hyper-V gèrent plusieurs ordinateurs virtuels, par conséquent
tous les problèmes et les risques qui menacent la disponibilité des hôtes Hyper-V menacent
aussi tous les ordinateurs virtuels. Par conséquent, vous devez planifier une stratégie de haute
disponibilité de l'hôte Hyper-V.

• Sauvegarde et restauration. Même si vous avez configuré la haute disponibilité de l'hôte Hyper-V,
vous devez développer une stratégie de sauvegarde et de restauration pour résoudre tous
les problèmes causés par des données supprimées ou corrompues.

• Gestion et analyse. Pour un environnement de virtualisation efficace et optimisé,

nous vous recommandons d'utiliser des solutions de gestion et de surveillance, telles
que Microsoft System Center 2012 - Operations Manager et System Center 2012 –
Virtual Machine Manager (VMM).

Éléments à prendre en compte pour la conception d'ordinateurs virtuels

Un objectif important lors du développement
d'une stratégie de virtualisation est de simplifier
et de standardiser l'ordinateur hôte et la
configuration d'ordinateur virtuel autant
que possible. Tenez compte des instructions
générales suivantes qui vont s'appliquer
à tous les ordinateurs virtuels :

• Développez un petit nombre de versions

standard d'ordinateurs virtuels. Pour simplifier
le déploiement et la gestion des ordinateurs
virtuels, développez un ensemble de versions
standard d'ordinateurs virtuels. Vous pouvez
par exemple envisager de créer une version de serveur bas de gamme standard, une version
de serveur intermédiaire et une version de serveur haut de gamme. Attribuez une configuration
de processeur et de mémoire standard pour chaque rôle. Vous devez également configurer
chacun des ordinateurs virtuels avec une partition système standard de 50 Go, et fournir des
disques supplémentaires pour stocker les données ou installer des applications. Vous pouvez
envisager d'utiliser des contrôleurs SCSI pour tous les disques durs autres que ceux contenant la
partition de démarrage et la partition système. Avec Windows Server 2012, vous pouvez ajouter
de nouveaux disques durs virtuels connectés à un contrôleur SCSI sans redémarrer le serveur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-22 Planification de la mise à niveau et de la migration d'un serveur

• Planifiez les ordinateurs virtuels pour les rôles serveur spécifiques. Vous devez pouvoir utiliser
la même configuration de base du disque et du système d'exploitation pour configurer la plupart
des ordinateurs virtuels, mais les conditions requises physiques réelles pour chaque ordinateur
virtuel varient. Par exemple, certains ordinateurs virtuels auront besoin de beaucoup plus
de mémoire RAM ou de ressources processeur que d'autres. Pour concevoir la configuration
physique requise pour un ordinateur virtuel, prenez en compte les éléments suivants :

o Surveillez les serveurs avant de les virtualiser. Collectez des données de performances sur les
serveurs afin d'évaluer les performances d'applications spécifiques sur les serveurs physiques.
Si une application utilise un pourcentage très inférieur de ressources matérielles sur un serveur
physique, déployez un serveur virtuel ayant beaucoup moins de capacité pour exécuter la
même application.

o Configurez chaque serveur virtuel avec une configuration matérielle semblable au matériel
requis pour l'application sur les serveurs physiques. Le fait que vous virtualisiez un serveur
ne modifie pas les ressources matérielles dont le serveur a besoin.

• Envisagez d'autres options pour garantir l'utilisation des serveurs physiques. Un des objectifs de
la virtualisation de serveur est de vérifier que vous utilisez tous les serveurs, physiques ou virtuels,
de façon appropriée. Vous pouvez par exemple utiliser pleinement le rôle serveur de boîte aux
lettres SQL Server ou Exchange Server, en déployant des instances SQL Server supplémentaires
ou en déplaçant davantage de boîtes aux lettres vers le serveur. Lorsque vous réfléchissez à la
virtualisation, prenez également en compte les autres options permettant d'utiliser pleinement
le matériel.

Éléments à prendre en compte pour la virtualisation

des applications courantes
L'option améliorée pour la consolidation
de serveurs est l'un des avantages les plus
importants de la virtualisation de serveur
Windows Server 2012 pour les organisations.
Toutefois, de nombreuses applications
exécutées dans les organisations sont
critiques et il est primordial qu'elles
soient hautement disponibles et réactives.

Voici quelques méthodes conseillées pour

l'implémentation de la virtualisation pour les
applications critiques de l'entreprise telles que
AD DS, SQL Server et Microsoft Exchange Server.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-23

AD DS
Tenez compte des instructions suivantes lors de la virtualisation d'AD DS :

• Vous pouvez installer un contrôleur de domaine Windows Server en tant qu'ordinateur virtuel,
avec d'autres serveurs d'applications sur un seul serveur physique Windows Server 2012.

• Windows Server 2012 présente le clonage de contrôleur de domaine virtualisé. Dans les éditions
précédentes de Windows Server, les contrôleurs de domaine qui s'exécutaient dans un ordinateur
virtuel ne connaissaient pas leur état virtuel. Cela rendait potentiellement dangereuse l'exécution
de processus comme le clonage et la restauration d'instantanés d'ordinateur virtuel, car les
modifications pouvaient se produire sur l'environnement du système d'exploitation non prévu
par le contrôleur de domaine.

• Sauvegarde et restauration sûres La restauration d'un ancien instantané d'un contrôleur de domaine
virtualisé est problématique car AD DS utilise la réplication à plusieurs maîtres qui se fonde sur des
transactions ayant des valeurs numériques attribuées appelées des nombres de séquences de mise
à jour (USN, Update Sequence Numbers). Le contrôleur de domaine virtualisé essaie d'attribuer des
USN aux transactions antérieures qui ont déjà été attribuées aux transactions valides. Ceci provoque
des incohérences dans la base de données AD DS. Windows Server 2003 et les versions plus récentes
implémentent un processus appelé protection de la restauration des USN. Avec cette protection en
place, le contrôleur de domaine virtualisé n'est pas répliqué et vous devez le rétrograder de force ou
le restaurer manuellement. Windows Server 2012 détecte maintenant l'état instantané d'un contrôleur
de domaine et synchronise ou réplique le delta des modifications, entre un contrôleur de domaine et
ses partenaires pour AD DS et le SYSVOL. Vous pouvez maintenant utiliser des instantanés sans risque
de désactiver de manière permanente des contrôleurs de domaine et de requérir manuellement la
rétrogradation, le nettoyage de métadonnées et la repromotion forcés.
• Assurez-vous que la sécurité physique de votre ordinateur- hôte est maintenue. Le disque VHD
contenant le contrôleur de domaine virtualisé stocke des informations très confidentielles, et si ces
données sont compromises, cela crée beaucoup de travail supplémentaire pour votre organisation.

Serveur SQL
Tenez compte des recommandations suivantes lors de la configuration d'ordinateurs virtuels qui
exécutent SQL Server :

• Planifiez pour configurer les paramètres matériels afin que les ordinateurs virtuels correspondent aux
paramètres matériels que vous configureriez sur un serveur physique pour la même charge de travail.

• Planifiez le stockage de l'ordinateur virtuel. L'un des composants les plus importants pour garantir
des performances optimales pour chaque instance de SQL Server consiste à vérifier que le système
de stockage a une taille et une configuration appropriées. Le matériel de stockage doit fournir
la capacité de stockage et le débit suffisants d'E/S pour répondre aux besoins actuels et futurs
des ordinateurs virtuels planifiés. En outre, vous devez suivre les meilleures pratiques pour
configurer les disques pour les journaux de transactions et le stockage de base de données.

• Fournissez la capacité adéquate de processeur. Dans Windows Server 2012, vous pouvez obtenir
le même débit sur un ordinateur virtuel que sur un matériel physique, avec uniquement une
légère augmentation de l'utilisation du processeur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-24 Planification de la mise à niveau et de la migration d'un serveur

Exchange Server
Vous pouvez utiliser un environnement de virtualisation pour exécuter tous les rôles serveur
Exchange Server 2010 et Exchange Server 2013.

Tenez compte des instructions suivantes lors de la virtualisation de serveurs Exchange Server :

• Utiliser un calibrage de serveur standard. L'exécution d'Exchange Server sur un ordinateur virtuel
invité ne modifie pas les exigences de conception d'Exchange Server du point de vue de l'application.
L'ordinateur virtuel invité Exchange Server doit toujours avoir la taille appropriée pour la gestion
de la charge de travail.

• Configurer le stockage approprié. Le stockage utilisé par l'ordinateur virtuel Exchange Server peut
être des lecteurs de disque dur virtuel, du stockage direct SCSI, ou du stockage iSCSI. De même
qu'avec les serveurs SQL Server, le stockage direct fournit de meilleures performances. Les disques
virtuels de taille dynamique et les lecteurs de différenciation ne sont pas pris en charge pour
les serveurs Exchange Server.

• Vous devez utiliser des numéros d'unités logiques distincts avec la technologie RAID pour le système
d'exploitation hôte, chaque disque du système d'exploitation invité et l'ensemble des supports de
stockage de l'ordinateur virtuel. De même qu'avec les serveurs physiques, il est préférable de créer
des numéros d'unité logique distincts pour chaque base de données et ensemble de fichiers journaux
de transactions.

• Configurer des ressources processeur adéquates. Exchange Server prend en charge un rapport
de processeurs virtuels/processeurs logiques de deux sur un maximum. Par exemple, un système
biprocesseur qui utilise des processeurs quadruple cœur contient huit processeurs logiques dans le
système hôte. Sur un système avec cette configuration, n'allouez pas plus de 16 processeurs virtuels
à l'ensemble des ordinateurs virtuels invités.
• Haute disponibilité des serveurs exécutant Exchange Server. Exchange Server 2007 fournit plusieurs
options de haute disponibilité. Même si vous pouvez combiner des solutions de haute disponibilité
de virtualisation (telles que la fonctionnalité de migration dynamique) avec des solutions de haute
disponibilité Exchange Server (telles que Groupes de disponibilité de la base de données), dans la
plupart des cas, nous recommandons d'utiliser la solution Exchange Server. Les solutions de haute
disponibilité de virtualisation ne prennent pas en charge les applications, alors que les solutions
Exchange Server le font. Par exemple, les serveurs exécutant Exchange Server peuvent détecter le
démontage d'une base de données, et peuvent automatiquement la monter sur un autre serveur.
La migration dynamique Hyper-V ne peut pas détecter le statut de différentes bases de données
ou d'autres services.

• Performances du serveur de boîtes aux lettres. Les problèmes de performances les plus courants
pour les serveurs de boîtes aux lettres sont les E/S de disque ainsi les E/S du réseau. Lorsque vous
exécutez des serveurs de boîtes aux lettres dans un environnement virtuel, les ordinateurs virtuels
doivent partager cette bande passante d'E/S avec l'ordinateur hôte et d'autres serveurs de
l'ordinateur virtuel déployés sur le même hôte. Si un seul ordinateur virtuel est en cours d'exécution
sur le serveur physique, les E/S de disque et de réseau disponibles pour l'ordinateur virtuel sont
presque équivalentes à celles disponibles sur un serveur physique. Toutefois, un serveur de boîtes
aux lettres très sollicité peut consommer toute la bande passante d'E/S disponible, ce qui le rendra
incapable d'héberger les ordinateurs virtuels supplémentaires sur ce serveur physique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-25

Meilleures pratiques en termes de planification de la virtualisation

des applications
Lorsque vous déployez des applications sur
des ordinateurs virtuels, vous devez suivre la
documentation technique de l'application en
question. En effet, il peut y avoir différentes
procédures de déploiement, selon que vous
installiez l'application sur un serveur physique
ou sur un serveur virtuel.

Voici une liste de recommandations

pour déployer des applications sur
les ordinateurs virtuels :

• Lisez la documentation technique.

Chaque produit dispose d'une documentation
technique détaillée sur les scénarios de déploiement pris en charge. Tous les produits recommandés
pour les environnements physiques ne sont pas forcément pris en charge dans un environnement
virtuel. Si c'est le cas, une configuration supplémentaire peut être nécessaire pour les environnements
virtuels.
• Appliquez les meilleures pratiques. La configuration des applications qui s'exécutent dans un
environnement virtuel dépend des exigences spécifiques de cette organisation, et des instructions
de l'application. Les revendeurs d'application publient souvent des recommandations courantes et
mettent généralement leurs propres recommandations à jour pendant le cycle de vie des produits.
Vous devez donc vérifier régulièrement les mises à jour de documentation.

• Faites un test dans un environnement isolé. Avant de déployer l'application en production, nous
recommandons fortement de la tester dans un environnement virtuel isolé. Vous pouvez alors
résoudre tous les problèmes potentiels sans interrompre les services actuels. Vous pouvez
également optimiser les paramètres de l'ordinateur virtuel et des applications selon les tests
que vous avez réalisés.

• Migrez ou convertissez vers un environnement virtuel. Si votre logiciel est déployé dans un
environnement physique, suivez la documentation technique pour savoir comment migrer
vers un environnement virtuel. Dans certains scénarios, le fait d'utiliser des solutions logicielles
de virtualisation (telles que VMM) peut vous aider à convertir l'ordinateur physique en ordinateur
virtuel, puis à le déplacer vers un autre hôte physique. Cependant, n'oubliez pas de vérifier que
le fournisseur de logiciels prend en charge ce scénario.

• Surveillez les performances et modifiez la configuration de l'ordinateur virtuel si nécessaire.

Une fois que vous avez déployé votre application dans un environnement virtuel, vous devez
surveiller ses performances et son utilisation. Vous pouvez ainsi fournir des ressources matérielles
supplémentaires en cas de besoin, ou résoudre des problèmes potentiels. En utilisant des solutions
logicielles spécialisées qui fournissent un tableau de bord de surveillance centralisée (Operations
Manager, par exemple), vous pouvez surveiller votre environnement virtuel et résoudre tous les
messages d'avertissement ou d'alerte potentiels.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-26 Planification de la mise à niveau et de la migration d'un serveur

Discussion : Choix entre les déploiements physiques et virtuels

Les organisations peuvent choisir d'exécuter
leur application métier ou leurs services
d'infrastructure dans l'environnement physique
ou virtuel. Le choix du déploiement physique
ou virtuel dépend des exigences professionnelles
et de la stratégie d'entreprise en termes de
développement d'infrastructure informatique
actuelle et future. Par exemple, les moyennes
et grandes organisations qui souhaitent
consolider les ressources matérielles et réduire
leur consommation d'énergie peuvent choisir
d'investir dans la virtualisation. Les organisations
plus petites peuvent uniquement migrer vers Windows Server 2012 déployé dans un environnement
physique, ou utiliser des solutions basées sur le cloud.

Question : Dans quelle situation allez-vous choisir de déployer vos applications métier
ou vos services d'infrastructure dans un environnement virtuel ?

Question : Quels rôles serveur, fonctionnalités ou services d'application avez-vous déployés

dans votre environnement physique ?

Question : Si vous avez un environnement virtuel pour votre organisation, qu'avez-vous

actuellement déployé dans votre environnement virtuel, et pourquoi ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-27

Atelier pratique : Planification de la mise à niveau

et de la migration d'un serveur
Scénario
A. Datum Corporation a un siège social basé à Londres, en Angleterre, et dispose d'une association
de serveurs Windows Server 2008 et Windows Server 2003. L'environnement AD DS est basé sur
les contrôleurs de domaine Windows Server 2008 R2.

Les sites hub régionaux (Toronto et Sydney) ont principalement une infrastructure basée sur
Windows Server 2008, alors que les succursales régionales et les centres de distribution plus petits ont
des serveurs Windows Server 2008 qui prennent en charge les applications sectorielles Gateway (LOB).
L'équipe dirigeante d'A. Datum a stipulé que la nouvelle infrastructure informatique doit être
plus efficace en termes d'utilisation de matériel et de consommation d'énergie. Cela signifie que
la consolidation des rôles serveur et la virtualisation des charges de travail est une part importante
de la mise à niveau du serveur et du plan de migration.

Vous avez participé à des discussions à propos de la possibilité d'acquisition de deux sociétés par
A. Datum. Cet achat n'est pas officiellement annoncé, mais il est susceptible d'avoir lieu dans les mois
à venir. Vous savez qu'une de ces organisations n'a aucune infrastructure Windows Server en place,
et vous devrez peut-être développer une stratégie pour déployer au mieux Windows Server 2012 dans
cet environnement. La deuxième acquisition potentielle dispose d'une forêt Windows Server 2008.
Cependant, avant que le déploiement du serveur puisse démarrer, vous devez planifier une mise
à niveau de serveur et une stratégie de migration. Ce plan implique de déterminer les rôles serveur
à migrer pouvant être consolidés sur un serveur unique, et si une charge de travail donnée convient
à la virtualisation. Vous envisagez au départ d'exécuter cette analyse sur les serveurs situés à Londres et
dans son réseau de périmètre uniquement. Vous envisagez d'analyser Toronto et Sydney ultérieurement.

Pendant ce processus, vous devez rester concentré sur l'optimisation des ressources du serveur et de
sa capacité. Outre ces éléments techniques à prendre en compte, vous devez également considérer
les conséquences sur l'octroi de licence serveur.

Objectifs
À la fin de cet atelier pratique, les stagiaires seront capables de planifier une mise à niveau de serveur
et une stratégie de migration.

Durée approximative : 60 minutes

Aucun ordinateur virtuel n'est requis pour cet exercice.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-28 Planification de la mise à niveau et de la migration d'un serveur

Exercice 1 : Planifier la stratégie de mise à niveau et de migration

d'un serveur
Scénario
Tous les serveurs actuels sont installés avec un processeur unique ou des biprocesseurs. Le tableau
ci-dessous identifie ces serveurs et leur configuration actuelle.

Détails/utilisation Mémoire installée/

Nom du serveur Rôles installés
du processeur Utilisation moyenne

Siège social

LON-EX1 Exchange Server 2010 : Biprocesseur/75 % 32 Go/16 Go

Accès au client
et transport Hub

LON-EX2 Exchange Server 2010 : Biprocesseur/75 % 32 Go/24 Go

Boîte de réception

LON-EX3 Exchange Server 2010 : Biprocesseur/75 % 24 Go/18 Go

Boîte de réception

LON-SQL1 SQL Server (en cluster) Biprocesseur/80 % 32 Go/28 Go

LON-CA Services de certificats Monoprocesseur/25 % 16 Go/ 4 Go

Active Directory
(AD CS) : AUTORITÉ
DE CERTIFICATION
racine d'entreprise

LON-DC1 AD DS Monoprocesseur/60 % 8 Go/3 Go

LON-DC2 AD DS Monoprocesseur/60 % 8 Go/3 Go

LON-DC3 AD DS Monoprocesseur/60 % 8 Go/3 Go

LON-INF1 DHCP, DNS Monoprocesseur/50 % 8 Go/4 Go

LON-INF2 DHCP, DNS Monoprocesseur/50 % 8 Go/4 Go

Réseau de périmètre

LON-PER-NS1 DNS Monoprocesseur/25 % 8 Go/2 Go

LON-PER-NS2 DNS Monoprocesseur/25 % 8 Go/2 Go

LON-RADIUS Serveur NPS Monoprocesseur/35 % 8 Go/4 Go

LON-WEB Plusieurs sites Biprocesseur/75 % 16 Go/10 Go

Web hébergés avec
Internet Information
Services (IIS)
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-29

(suite)

Détails/utilisation Mémoire installée/

Nom du serveur Rôles installés
du processeur Utilisation moyenne

Réseau de périmètre

LON-VPN1 Service de routage Monoprocesseur/25 % 6 Go/3 Go

LON-VPN2 et d'accès à distance

LON-EX-EDGE1 Serveur de transport Biprocesseur/40 % 16 Go/8 Go

Edge Exchange
Server 2010

Le schéma suivant montre le positionnement de ces serveurs :

Stratégie de service d'accès réseau

Numéro de référence du document : BS0901/1

Auteur du document Brad Sutton

Date 7 septembre

Présentation des exigences

Concevez une mise à niveau de serveur et une stratégie de migration pour atteindre
les objectifs suivants :
• La nouvelle infrastructure informatique doit être plus efficace en termes d'utilisation
du matériel et de consommation d'énergie.
• La consolidation des rôles serveur et la virtualisation des charges de travail est
une part importante de la mise à niveau du serveur et du plan de migration.
• Développer une stratégie pour déployer Windows Server 2012 dans un scénario
d'acquisition potentielle d'une autre société ayant une forêt Windows Server 2008.
• Déterminer les rôles serveur qui seront migrés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-30 Planification de la mise à niveau et de la migration d'un serveur

(suite)

Stratégie de service d'accès réseau

Présentation des exigences

• Déterminer les rôles serveur à consolider sur un serveur unique, et si une charge de travail
donnée convient à la virtualisation.
• Déterminer le système d'exploitation de serveur hôte qui prendra en charge les charges
de travail virtualisées.
• Vous envisagez au départ d'exécuter cette analyse uniquement sur les serveurs situés à
Londres et dans son réseau de périmètre. Vous envisagez d'analyser Toronto et Sydney
ultérieurement.
• Tenez compte des conséquences de l'octroi de licence serveur.

Informations supplémentaires
• A. Datum Corporation a un siège social basé à Londres, en Angleterre, et dispose
d'une association de serveurs Windows Server 2008 et Windows Server 2003.
• L'environnement AD DS est basé sur les contrôleurs de domaine Windows Server 2008 R2.
• Les sites hub régionaux (Toronto et Sydney) ont principalement une infrastructure basée sur
Windows Server 2008, alors que les succursales régionales et les centres de distribution, plus
petits, ont des serveurs Windows Server 2008 qui prennent en charge les applications LOB.

Propositions
1. Vous envisagez d'exécuter l'outil MAP pour vous aider à choisir une stratégie
de consolidation de serveur. Quel résultat comptez-vous obtenir de cet outil ?

2. Outre l'utilisation de l'outil MAP, quels éléments vous aideraient à déterminer quelles
machines déplacer vers l'environnement virtuel ?

3. Quelle est votre décision en ce qui concerne la virtualisation des contrôleurs de domaine ?

4. Quelle est votre décision en ce qui concerne la virtualisation des serveurs

d'infrastructure LON-IF1 et LON-IF2 ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-31

(suite)

Stratégie de service d'accès réseau

Propositions
5. Est-ce que les ordinateurs virtualisés nécessitent une haute disponibilité ?

6. Devez-vous allouer plus de ressources à des rôles serveur ?

7. Quels sont les meilleurs candidats à la virtualisation sur le réseau interne, en tenant compte
de l'utilisation actuelle des serveurs physiques, et des besoins en matière de haute
disponibilité ?

8. Quels sont les éléments de votre plan à prendre en compte en matière de licences pour les
serveurs du réseau interne ? Ces éléments ont-ils un impact sur le système d'exploitation
hôte ?

9. Quels sont les meilleurs candidats à la virtualisation sur le réseau de périmètre, en tenant
compte de l'utilisation actuelle des serveurs physiques, et des besoins en matière de haute
disponibilité ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-32 Planification de la mise à niveau et de la migration d'un serveur

(suite)

Stratégie de service d'accès réseau

Propositions
10. Quels sont les éléments de votre plan à prendre en compte en matière de licences pour les
serveurs du réseau de périmètre ? De quelle manière cela impacte-t-il la sélection du système
d'exploitation hôte ?

11. Comment devez-vous gérer les licences et leur activation ?

12. Tracez les zones du réseau appropriées de votre plan.

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie dans le scénario d'exercice d'atelier pratique.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan d'action

planifié
• Analysez les réseaux interne et de périmètre séparément. En effet, les configurations et les paramètres
de sécurité de chacun de ces réseaux sont différents.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Examinez les propositions suggérées dans le corrigé de l'atelier pratique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 1-33

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
1. Pour quelle approche avez-vous opté pour le plan de conception ?

2. Votre plan de conception est-il différent de la solution suggérée ?

Résultats : À la fin de cet exercice, vous aurez planifié une mise à niveau et une migration de serveur.

Question : Pourquoi choisir d'utiliser l'outil MAP lorsque vous planifiez la mise à niveau
et la stratégie de migration ?

Question : Pourquoi choisir l'édition Datacenter de Windows Server 2012 pour

la virtualisation et la consolidation des réseaux internes et de périmètre d'A. Datum ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
1-34 Planification de la mise à niveau et de la migration d'un serveur

Contrôle des acquis et éléments à retenir

Méthode conseillée
Lorsque vous planifiez le déploiement de Windows Server 2012 dans un environnement
physique ou virtuel, prenez toujours en compte la stratégie de haute disponibilité et
de sauvegarde/restauration pour les services ou les applications qui s'exécutent sur ce
système d'exploitation. Si vous exécutez des solutions dans le cloud privé, veillez toujours
à utiliser des outils de gestion et d'analyse (tels que System Center 2012), pour permettre
à l'environnement informatique de s'exécuter efficacement. Assurez-vous en outre d'avoir
une solution de stockage correctement conçue avec une taille et des performances
appropriées pour les ordinateurs virtuels.

Question(s) de contrôle des acquis

Question : Quels sont les principaux éléments à prendre en compte pour guider la stratégie
de votre organisation à propos des divers scénarios pour le déploiement du système
d'exploitation Windows Server 2012 ?

Problèmes réels et scénarios

Votre organisation utilise peu les technologies de virtualisation. Vous avez déployé le système
d'exploitation de l'édition Standard de Windows Server 2012 prenant en charge deux instances
d'un ordinateur virtuel. La direction est préoccupée par de futurs projets qui impliquent de déployer
de nouveaux produits dans un environnement virtuel. Elle souhaiterait avoir une solution évolutive
et extensible sans avoir à acheter de licences supplémentaires lorsqu'elle déploie de nouveaux produits.
Elle a par conséquent demandé au service informatique de créer une stratégie de déploiement de serveur
qui comprend l'exécution d'une solution matérielle sur l'édition Datacenter de Windows Server 2012.
Cela permettra à l'organisation de déployer des applications dans un environnement virtuel et d'avoir
de la flexibilité sans avoir besoin de licences supplémentaires.

Outils
Outil Utilisé pour Emplacement

Microsoft Analyser l'inventaire Site Web de Microsoft

Assessment de l'infrastructure du serveur [Link]
and Planning d'une organisation, exécuter
Toolkit (MAP) une évaluation, puis créer des
rapports que vous pouvez
utiliser pour des plans de mise
à niveau et de migration.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-1

Module 2
Planification et implémentation d'une infrastructure
de déploiement de serveur
Table des matières :
Vue d'ensemble du module 2-1

Leçon 1 : Sélection d'une stratégie de création d'images serveur appropriée 2-2

Leçon 2 : Sélection d'une stratégie d'automatisation du déploiement 2-8

Leçon 3 : Implémentation d'une stratégie de déploiement automatisé 2-15

Atelier pratique : Planification et implémentation d'une infrastructure

de déploiement de serveur 2-34

Contrôle des acquis et éléments à retenir 2-42

Vue d'ensemble du module

Plus le nombre de solutions informatiques dans les organisations augmente et plus les serveurs physiques
et virtuels sont nombreux. En conséquence, la réalisation de déploiements de système d'exploitation
prend du temps et requiert des ressources précieuses de l'organisation. Aussi, les sociétés tendent
à automatiser le processus de déploiement de serveur.

Avant de commencer ce processus d'automatisation, il est important de concevoir une stratégie

de création d'images et une méthode de déploiement appropriées. Une conception adaptée augmente
la productivité et réduit le temps nécessaire au déploiement du serveur.

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• expliquer comment sélectionner une stratégie de création d'images serveur appropriée ;

• expliquer comment sélectionner une stratégie d'automatisation du déploiement ;

• expliquer comment implémenter une stratégie de déploiement automatisé.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-2 Planification et implémentation d'une infrastructure de déploiement de serveur

Leçon 1
Sélection d'une stratégie de création d'images
serveur appropriée
Lors du développement de leur stratégie de création d'images serveur, les organisations
fondent leur démarche sur différents paramètres tels que les exigences de l'entreprise, le nombre
d'utilisateurs et la taille de leur infrastructure informatique. Les organisations de petite taille
procèderont à un déploiement manuel de Windows Server® 2012. Deux méthodes de déploiement
manuel existent. La première consiste à effectuer l'installation d'une version commerciale à l'aide
du DVD Windows Server 2012. La seconde consiste à préparer une image personnalisée capturée
à partir de l'ordinateur de référence (dont le système d'exploitation et les applications ont déjà
été installés et configurés par l'administrateur informatique), puis de configurer manuellement les
paramètres sur chaque ordinateur. Pour les sociétés dotées d'un personnel informatique dédié,
la plupart des déploiements nécessite peu, voire pas du tout d'intervention humaine. Bien que ces
déploiements utilisent plusieurs outils externes, comme Microsoft Deployment Toolkit (MDT) et
Microsoft® System Center Configuration Manager, ces méthodes de déploiement Lite-touch
et Zero-touch offrent un retour sur investissement rapide.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire un fichier Windows Imaging (.wim) et ses avantages ;

• expliquer comment exécuter des déploiements avec un degré important d'intervention (High-touch)
et des supports commercialisés ;

• expliquer comment exécuter des déploiements standards d'image avec un degré important
d'intervention (High-touch) ;
• expliquer comment exécuter des déploiements à volume élevé de type Lite-touch ;

• expliquer comment exécuter des déploiements à volume élevé de type Zero-touch.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-3

Qu'est-ce que le format WIM ?

Quand vous créez une image
d'un disque dur, il s'agit du réplica exact
de votre ordinateur au moment de cette
création. Les organisations utilisent différentes
technologies de création d'images de
disque dur d'ordinateurs afin de faciliter le
processus de déploiement. Le format de fichier
Windows® Image (.wim) a été utilisé pour la
première fois pour Windows Vista® et pour le
système d'exploitation de Windows Server 2008
afin de résoudre de nombreuses difficultés
rencontrées avec d'autres formats d'image.
Le format de création d'image .wim présente les avantages suivants :

• Un seul fichier .wim peut répondre à plusieurs configurations matérielles. En présence

d'un fichier .wim, il n'est pas nécessaire que le matériel de destination corresponde au matériel
source. Ceci permet de réduire considérablement le nombre d'images et présente l'avantage
de n'avoir qu'une seule image pour répondre à de nombreuses configurations matérielles.

• Le fichier .wim peut stocker plusieurs images dans un fichier unique. L'utilité de cette méthode
réside dans le fait que des images avec et sans application vitale peuvent être stockées dans un
fichier image unique. Un autre avantage est que vous pouvez marquer une des images comme
image de démarrage, ce qui vous permet de démarrer un ordinateur à partir d'une image
de disque contenue dans un fichier .wim.

• Le fichier .wim active la compression et l'instanciation isolée. La taille des fichiers images est donc
réduite de manière significative. L'instanciation isolée est une technique qui permet à plusieurs
images de partager une unique copie de fichiers qui sont communs entre les instances.

• Le fichier .wim vous permet de mettre une image à disposition alors que l'ordinateur est hors
connexion. Certains éléments du système d'exploitation, fichiers, mises à jour et pilotes peuvent
être ajoutés ou supprimés sans créer d'image. Par exemple, pour ajouter une mise à jour à une
image Windows XP, vous devez démarrer l'image principale, ajouter la mise à jour, puis recréer
l'image. Avec Windows Server 2012 et Windows 8, il vous suffit de monter le fichier image, puis
d'insérer la mise à jour dans le fichier image sans avoir à démarrer ou recréer l'image principale.

• Le fichier .win vous permet d'installer une image sur une partition de taille inférieure, égale ou
supérieure à la partition d'origine capturée, tant que la partition cible dispose de suffisamment
d'espace pour enregistrer le contenu de l'image. Les formats d'image basés sur secteur,
en revanche, nécessitent le déploiement d'une image de disque sur une partition de taille
supérieure ou égale à celle du disque source.

• Windows Server 2012 fournit une interface de programmation d'applications (API) pour le format
d'image .wim appelé WIMGAPI (Windows Imaging API), que les développeurs utilisent pour traiter
les fichiers d'image .wim.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-4 Planification et implémentation d'une infrastructure de déploiement de serveur

• Le format d'image .wim permet un déploiement d'image non destructif. Cela signifie que des
données peuvent rester sur le volume auquel vous appliquez l'image puisque cette application
n'efface pas le contenu existant du disque.

• Le format de fichier .wim vous permet de démarrer l'environnement de préinstallation

Windows (Windows PE) à partir d'un fichier .wim. Le processus d'installation de Windows 8
et de Windows Server 2012 utilise Windows PE. Le fichier .wim est chargé sur un RAMDISK et
s'exécute directement à partir de la mémoire.

Exécution de déploiements avec un degré important d'intervention

(High-touch) à l'aide de supports commercialisés
La méthode de déploiement avec un degré
important d'intervention (High-touch) à l'aide
de supports commercialisés est la stratégie
la plus couramment utilisée dans les petites
organisations qui n'ont pas l'intention de
déployer plusieurs serveurs. En général, ces
organisations n'implémentent pas non plus
de stratégie pour des réseaux non gérés et
des emplacements distribués. Dans la plupart
des scénarios de déploiement, les petites
organisations achètent de nouveaux serveurs
avec un système d'exploitation déjà installé,
ou effectuent l'installation à l'aide de supports locaux, comme le DVD de Windows Server 2012.

Certaines organisations peuvent envisager d'employer des technologies pour que l'automatisation
accélère le processus de déploiement. Cela leur permet de ne plus avoir besoin d'entrer les mêmes
informations et d'exécuter les mêmes tâches à plusieurs reprises pour chaque nouveau déploiement.
Cette stratégie associe les fonctionnalités de l'outil d'Assistant Gestion d'installation (Windows SIM)
(inclus dans le Kit d'évaluation et de déploiement de Windows, Windows ADK) et celles du support
commercialisé de Windows Server 2012 pour créer un fichier de réponses ([Link]) stocké sur
un lecteur USB. Après avoir créé un fichier de réponses, toutes les entrées peuvent être saisies pendant
l'installation de Windows Server 2012 dans le fichier de réponses. Puis, la procédure d'installation
du système d'exploitation utilise le fichier de réponses comme modèle pour les étapes qui requièrent
une entrée d'utilisateur.

Le programme d'installation de Windows prend en charge l'automatisation des domaines suivants :

• partitionnement du disque dur ;

• installation du pilote de périphérique ;

• installation d'applications ;

• mise en œuvre des mises à jour ;

• configuration de paramètres ;

• ajout de rôles et de fonctionnalités ;

• suppression de l'installation de l'interface utilisateur.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-5

Les étapes suivantes décrivent le processus mis en œuvre lors de la méthode de déploiement
avec un degré important d'intervention (High-touch) à l'aide de supports commercialisés :

1. créer un fichier [Link] pour Windows Server 2012 à l'aide de Windows SIM ;

2. copier le fichier [Link] sur votre support amovible, tel qu'un lecteur flash USB ; copier le fichier
obtenu sur un support amovible, tel que votre lecteur flash USB ;

3. insérer le support amovible et le support commercialisé dans l'ordinateur ;

4. terminer le déploiement en installant des applications et en configurant l'ordinateur, le cas échéant.

Cette stratégie de déploiement n'est pas très souple car elle génère toujours les mêmes fonctionnalités
et paramètres de configuration sur les serveurs récemment installés. Par conséquent, si des organisations
nécessitent l'installation de plusieurs serveurs avec des rôles serveur différents, les tâches de configuration
sont à effectuer manuellement sur chaque serveur.

Question : Quelles sont les limites de la méthode de déploiement avec un degré important
d'intervention (High-touch) à l'aide de supports commercialisés ?

Exécution de déploiements d'image standard avec un degré important

d'intervention (High-touch)
La méthode de déploiement d'image standard
avec un degré important d'intervention
(High-touch) est très similaire à celle avec un
degré important d'intervention (High-touch)
à l'aide de supports commercialisés. Cependant,
dans cette méthode, plutôt que d'utiliser un
support commercialisé, vous utilisez l'image
standard de serveur capturée à partir d'un
ordinateur de référence, c'est-à-dire l'ordinateur
contenant l'image principale. Cette méthode
est plus rapide, car l'image standard de serveur
inclut les paramètres et les applications, et assure
une cohérence entre tous les serveurs. Cette méthode réduit également les coûts de maintenance,
car plusieurs mises à jour des images standards peuvent être effectuées hors connexion.

Le processus de déploiement de la méthode de déploiement d'image standard avec un degré important

d'intervention (High-touch) se compose des étapes suivantes :

1. Installer un serveur comme modèle pour créer la première image. Installer le système d'exploitation
Windows Server 2012 à partir du support commercialisé ou du support de licence en volume. Il est
conseillé d'utiliser un fichier de réponses ([Link]) pour installer Windows Server 2012 sur
l'ordinateur de référence pour rendre ce processus cohérent et reproductible.

2. Installer les applications, pilotes, paramètres, et mises à jour à inclure dans l'image finale.

3. Exécuter l'outil de préparation du système (Sysprep) pour généraliser l'image du déploiement. Cela
a pour effet de supprimer les caractéristiques uniques d'identification de l'ordinateur de référence.

4. Démarrer l'ordinateur à l'aide de Windows PE, et capturer l'image grâce à l'outil de ligne
de commande ImageX.

5. Copier l'image sur un support amovible, sur un disque dur externe ou sur un partage du réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-6 Planification et implémentation d'une infrastructure de déploiement de serveur

6. Préparer le support d'installation. Il existe deux manières de procéder :

• créer un fichier de réponses ([Link]) et le pointer vers l'image copiée sur le lecteur
ou le partage réseau ;

• créer un support d'installation en remplaçant le fichier [Link] par le fichier image capturé
précédemment.

7. Démarrer le déploiement de l'image sur chaque serveur, soit à l'aide du fichier de réponses
([Link]), soit à l'aide du support d'installation créés.

8. Activer les ordinateurs en ligne.

Conditions requises pour le déploiement d'image standard avec un degré important

d'intervention (High-touch)
Les conditions requises de la méthode de déploiement d'image standard avec un degré important
d'intervention (High-touch) sont les suivantes :

• le support commercialisé ou le support de licence en volume de Windows Server 2012 ;

• Windows ADK ;
• un périphérique de stockage amovible ;

• un ordinateur de référence utilisé pour créer et configurer l'image source.

Exécution de déploiements à volume élevé de type Lite-touch

La méthode de déploiement à volume élevé de
type Lite-touch n'implique qu'une intervention
manuelle limitée, principalement au début
du déploiement. Le reste du processus est
automatisé et convient aux organisations
dotées d'un personnel informatique dédié.

La méthode de déploiement à volume élevé

de type Lite-touch nécessite la mise à jour 1
de MDT 2012. Pour les images Windows PE
utilisées pour Windows Server 2012 et
Windows 8, MDT requiert Windows ADK
et les services de déploiement Windows
pour le démarrage PXE (Pre-Boot Execution Environment). MDT 2012 requiert également au moins
un support de licence en volume fourni par Microsoft, et un serveur de fichiers sur lequel est stocké
le partage de distribution auquel les ordinateurs accèdent pendant les déploiements.

Les avantages de MDT 2012 lors de la prise en charge de déploiements à volume élevé de type Lite-touch
sont les suivants :

• Réduction des problèmes de prise en charge, grâce à la cohérence des images.

• Facilité de déploiement. MDT 2012 prend en charge des pilotes de périphérique, les mises à jour
et les applications.
• Travail de maintenance réduit. Les tâches telles que la mise à jour des pilotes, des applications
et du principal système d'exploitation sont simplifiées.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-7

La méthode de déploiement à volume élevé de type Lite-touch peut nécessiter un travail de

préparation de la part des administrateurs. Par exemple, se former à cette technologie et tester
le processus de déploiement. Une fois le déploiement installé, les administrateurs peuvent utiliser
la méthode de type Lite-touch pour mettre en œuvre des scénarios de migration complexes. Au fur
et à mesure que les organisations grandissent, les administrateurs peuvent fournir une expérience ne
requérant quasiment aucune intervention (Zero-touch) s'ils configurent la base de données de MDT
et déploient le rôle de services de déploiement Windows.

Documentation supplémentaire : Pour plus d'informations sur le scénario d'utilisation

de déploiement avancé à l'aide de la mise à jour 1 de MDT 2012, consultez la page :
[Link]

Exécution de déploiements à volume élevé de type Zero-touch

La méthode de déploiement à volume élevé de
type Zero-touch associe toutes les technologies
dédiées aux déploiements de bout en bout
des systèmes d'exploitation Windows.
Un déploiement de système d'exploitation
peut être configuré pour s'opérer sans
intervention de l'utilisateur sur des ordinateurs
dont le système d'exploitation n'a pas été installé
ou sur des machines dotées d'un système
d'exploitation Windows Server 2012.

Pour toutes les méthodes de déploiement sans

intervention, la condition requise principale est
le System Center 2012 Configuration Manager Service Pack 1 (SP1), qui requiert des services de domaine
Active Directory® (AD DS), Windows DS et Windows ADK. Toutefois, afin d'obtenir les déploiements les
plus efficaces et dotés d'un haut niveau de personnalisation, intégrez le Configuration Manager de la mise
à jour 1 de MDT 2012. Cette intégration utilise la personnalisation fournie par les séquences de tâches de
MDT et les services d'infrastructure du Configuration Manager, comme le point de gestion et le point
de distribution.

Remarque : Les déploiements à volume élevé de type Zero-touch nécessitent également

les services d'infrastructure du système DNS (Domain Name System) ainsi que ceux
du protocole DHCP (Dynamic Host Configuration Protocol).

Les avantages de la méthode de déploiements sans intervention incluent des déploiements simples
avec des configurations cohérentes, des coûts d'assistance réduits pour une gestion continue des
serveurs déployés. Cependant, les administrateurs doivent maîtriser préalablement connaissances
et compétences pour gérer une installation de type Zero-touch (ZTI), car elle requiert la configuration
d'un service d'infrastructure relativement complexe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-8 Planification et implémentation d'une infrastructure de déploiement de serveur

Leçon 2
Sélection d'une stratégie d'automatisation
du déploiement
Les besoins en termes de déploiement de serveur de la plupart des organisations diffèrent, en grande
partie à cause de leur taille et de la quantité de technologies exécutées sur Windows Server 2012.
Par exemple, certaines organisations utiliseront des procédures de déploiement d'automation pour des
serveurs physiques, car la majeure partie de leur infrastructure de serveur est installée sur l'environnement
physique. En revanche, d'autres organisations cherchent peut-être une solution d'automatisation de
déploiement de serveur dans un environnement virtuel, car leur infrastructure de serveur est virtuelle.
Par conséquent, vous devez proposer la stratégie d'automatisation de déploiement la mieux appropriée
pour votre organisation.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire votre stratégie de déploiement actuelle ;

• décrire les avantages des méthodes de déploiement automatisé ;

• décrire comment sélectionner une stratégie de déploiement à base d'image ;

• décrire les éléments à prendre en considération pour le déploiement de charges de travail

virtualisées.

Discussion : Quelle est votre stratégie de déploiement actuelle ?

Étudiez les questions abordées lors de la
discussion et participez à un échange à propos
de votre stratégie actuelle de déploiement.
Question : Actuellement, de quelle manière
effectuez-vous le déploiement des systèmes
d'exploitation dans votre organisation ?

Question : Quels sont les avantages et les

inconvénients de la stratégie de déploiement
que vous avez choisie ?

Question : Votre stratégie de déploiement

est-elle basée sur des fichiers ou des images
binaires ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-9

Pourquoi utiliser des méthodes de déploiement automatisé ?

La plupart des entreprises sont à la recherche
d'un processus de déploiement leur garantissant
une configuration cohérente et un déploiement
plus rapide. Un déploiement automatisé est une
installation durant laquelle les entrées utilisateur
sont limitées ou inutiles pendant l'installation
de logiciels. Les avantages de déploiements
automatisés résident dans l'amélioration des
performances de l'entreprise, de son efficacité
et de ses capacités. Leur utilisation permet
également d'éviter les erreurs humaines
susceptibles de se produire lors de déploiements
manuels des systèmes d'exploitation et d'applications supplémentaires.

De prime abord, passer du déploiement manuel au déploiement automatisé peut paraître impressionnant.
Au départ, les équipes chargées du déploiement devront supporter une charge accrue de travail pour
comprendre le système et créer un processus de gestion de l'automatisation. Dans certains cas, la
configuration standard créée par un processus de déploiement automatisé peut ne pas convenir à tous
les serveurs. Cependant, une fois l'automatisation mise en place, les déploiements futurs compenseront
l'effort initial des tests répétés par l'augmentation de la productivité globale et la diminution du coût
total de possession (TCO) du système.

Sélection d'une stratégie de déploiement à base d'image

Dans les moyennes et grandes organisations,
il est courant que les administrateurs
concentrent leurs efforts initiaux à la
préparation de la stratégie d'image, puis
qu'ils ajoutent éventuellement des applications,
notamment les personnalisations et des mises
à jour. L'utilisation d'une image standard pour
tous les déploiements vous permet de réduire
le coût de maintenance, de mise à jour, et
de modification de l'image. Mais en réalité,
la plupart des entreprises ont plusieurs images
différentes. Il est possible, par exemple, que
les organisations aient une image pour les ordinateurs portables, une pour les ordinateurs de bureau,
et probablement une pour les ordinateurs de bureau de chaque service. Dans le pire des cas, les
entreprises peuvent avoir une image pour chaque configuration matérielle, ce qui augmente le coût TCO
de maintenance des stratégies de déploiement.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-10 Planification et implémentation d'une infrastructure de déploiement de serveur

Dans presque toutes les méthodes de déploiement, pour réduire le coût TCO, procédez comme suit :

1. Planification : il s'agit de l'étape lors de laquelle vous choisissez une stratégie en fonction
des exigences stratégiques de votre organisation.

2. Tests : le temps et les efforts initiaux que vous passez à la réalisation de tests réduiront le
nombre d'appels d'assistance et de maintenance et vous permettront de parvenir à un scénario
de déploiement approprié.

3. Stockage des images : cette étape consiste à sélectionner un serveur de fichiers sur lequel
les images sont enregistrées. Pendant le processus de déploiement, ces images seront
appliquées à vos serveurs.

4. Distribution : il s'agit de la dernière phase dans la stratégie de déploiement. Au cours de cette étape,
vous appliquez des images sur le réseau vers les serveurs cibles, ou vous appliquez des images
provenant de supports amovibles tels qu'un lecteur flash USB ou un DVD.

Dans le cadre du processus de planification, vous déterminez les types d'images que vous créerez.
Ce peut être des images épaisses, des images fines et des images hybrides.

Images épaisses
Une image épaisse est une image contenant la totalité des données, c'est-à-dire le système d'exploitation
et toutes applications et mises à jour requises. Les images épaisses sont utilisées fréquemment
dans des environnements standardisés où la plupart des utilisateurs ont besoin du même ensemble
d'applications. L'utilisation de ces types d'images réduit le temps de préparation et de déploiement
de l'image. Pour préparer et déployer ce type d'image, créez un ordinateur de référence et installez-y
toutes les applications possibles afin de vérifier que les utilisateurs ont accès à toutes les applications
dont ils pourraient avoir besoin. Ensuite, appliquez des mises à jour logicielles au système d'exploitation
et à toutes les applications. Enfin, utilisez Sysprep pour capturer l'image.

L'inconvénient des images épaisses est l'absence de possibilité de personnalisation, car tous les
ordinateurs reçoivent le même ensemble d'applications. Votre organisation paie des applications
qui ne sont peut-être pas utiles à tous les utilisateurs. En outre, ces images sont plus volumineuses,
et de ce fait, plusieurs applications peuvent nuire aux performances. Enfin, la maintenance de ces
images est plus difficile et elles manquent considérablement de flexibilité.

Images fines
Une image fine installe seulement un système d'exploitation et quelques applications ou modules
linguistiques vitaux. Cette approche emploie la stratégie opposée à celle des images épaisses, et permet
de maintenir l'image relativement petite ou fine. Les avantages des images fines résident dans le fait
qu'elles fournissent un déploiement plus flexible en associant différentes applications pour différents
services, réduisant ainsi les coûts de développement d'image, de test, de stockage et de distribution. De
plus, les images fines étant plus petites que les images épaisses ont moins d'impact sur les performances.

Cependant, les images fines compliquent le processus, car vous devez déployer des applications
supplémentaires en associant autant d'images fines que d'utilisateurs. Chaque application à déployer
nécessite une personnalisation et du temps supplémentaires. Par conséquent, le temps nécessaire
pour déployer ces types d'images sur des systèmes cibles peut être considérablement plus long.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-11

Images hybrides
Les images hybrides combinent les avantages des stratégies d'images fines et épaisses. Par conséquent,
l'approche hybride est la plus couramment utilisée par les organisations. Dans la plupart des
organisations, une application commune a besoin d'être déployée sur presque tous les systèmes.
Le reste des applications est déployé, après l'image initiale, selon un ordre personnalisé de scénarios
de déploiement distincts.

Les images spécifiques au serveur, comme les images du serveur de fichiers, du serveur Web
ou du serveur de base de données requièrent une préparation supplémentaire et des tests.
Par exemple, la plupart des images de serveur de fichiers a des partitions de système d'exploitation
et les rôles installés communs, mais elle doit disposer de connexions au réseau de zone de stockage
(SAN, Storage Area Network) supplémentaires pour fournir des ressources du système de fichiers.
De même, les images de serveur Web sont couramment utilisées comme méthodes de déploiement
d'un grand nombre de serveurs d'applications identiques. Cependant, après le déploiement initial de
l'image de base contenant le système d'exploitation serveur et le rôle d'application Web, les images
de serveur Web nécessitent une personnalisation supplémentaire, car tous les services courants ne sont
pas utiles à tous les déploiements. En outre, les images de serveur de base de données bénéficient des
mêmes installations de système d'exploitation serveur et des mêmes versions que celle de SQL Server.
Suite au déploiement de l'image préparée, des bases de données supplémentaires sont créées.

Ces types de charges de travail sont parfaitement adaptés à la création de modèles de service
à l'aide de System Center Virtual Machine Manager : ils réduisent le temps nécessaire à l'allocation
et à la configuration dans un environnement virtuel.

Technologies nécessaires au déploiement automatisé

Indépendamment de la stratégie de création d'images que vous utilisez, vous pouvez combiner certaines
des technologies suivantes pour un déploiement automatisé :

• Windows ADK ;

• Mise à jour 1 de MDT 2012 ;

• Microsoft Application Compatibility Toolkit (ACT) ;

• Services de déploiement Windows ;

• System Center 2012 Configuration Manager SP1.

Remarque : Pour plus d'informations sur les technologies nécessaires au déploiement

automatisé, consultez la leçon 3 : Implémentation d'une stratégie de déploiement automatisé.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-12 Planification et implémentation d'une infrastructure de déploiement de serveur

Éléments à prendre en compte pour le déploiement de charges

de travail virtualisées
La première étape de l'implémentation de
la virtualisation est d'évaluer l'environnement
actuel de votre organisation et de déterminer
les composants à virtualiser. La virtualisation
peut être utilisée pour résoudre de nombreux
problèmes dans votre organisation. Par exemple,
elle est utilisée pour la consolidation de serveurs,
l'isolation d'applications, les déploiements
de serveurs simplifiés et la configuration
pour une meilleure disponibilité des services.

Les avancées en termes de technologie

de virtualisation matérielle rendent possible
la virtualisation d'une gamme encore plus étendue de charges de travail de serveurs, notamment
les environnements de test et de production. En outre, les progrès en matière de matériel, comme
la virtualisation assistée par le matériel, les processeurs multicœurs, la prise en charge de mémoire
plus rapide et plus volumineuse et améliorations apportées aux E/S (entrée/sortie), ont considérablement
étendu la fonctionnalité de la charge de travail sur des ordinateurs virtuels. Cependant, pour tirer
le meilleur avantage de la virtualisation, sa planification doit être rigoureuse.

Choix des charges de travail de serveurs à virtualiser

Certaines charges de travail (comme celles des serveurs d'applications) sont faciles à virtualiser, car, en
général, elles ne requièrent pas une architecture spécifique ou des conditions particulières. Par exemple,
les serveurs Web, qui utilisent peu de ressources, sont d'excellents candidats à la virtualisation.
Lorsque vous sélectionnez une charge de travail pour la virtualisation, prenez en compte l'utilisation de
l'hôte physique. Par conséquent, planifiez la capacité de la solution matérielle, par exemple, un nombre
important de processeurs de différents types, une quantité de mémoire suffisante et une solution
de stockage adaptée.

Détermination de l'utilisation de l'UC

Une des contraintes principales de la virtualisation est la performance ou la puissance de traitement
de l'ordinateur hôte. Plusieurs ordinateurs virtuels peuvent consommer une grande partie des cycles de
traitement de l'UC, réduisant ainsi les performances de la charge de travail. Cependant, les ordinateurs
de dernière génération disposent d'une puissance de traitement suffisamment importante pour éviter
les risques de surexploitation du processeur dans le système.

Prise en compte des besoins en termes de mémoire

La configuration de la mémoire et les E/S peuvent demander beaucoup plus de ressources, et dans la
plupart des conceptions virtuelles, il s'agit souvent de la ressource la plus critique. Pour les performances
de virtualisation, il est très important que l'hôte physique ait suffisamment de mémoire pour les
ordinateurs virtuels.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-13

Prise en compte du trafic des E/S

Dans la virtualisation logicielle, les ordinateurs virtuels exécutent des opérations d'E/S de disque selon
les besoins des ordinateurs virtuels en cours d'exécution sur l'hôte physique. Pour cette raison, l'utilisation
du disque peut être beaucoup plus importante avec des charges de travail sollicitant beaucoup d'E/S,
et dans la plupart des cas, cela affecte la configuration de stockage. Dans certains cas, la charge de travail
du serveur peut nécessiter des ressources matérielles qui rendent impossible le déploiement de la charge
de travail sur un ordinateur virtuel.

Déploiement virtualisé à l'aide d'ordinateurs virtuels à l'aide de System Center

Virtual Machine Manager 2012
Pour prendre en charge un processus de déploiement automatisé et standardisé d'ordinateurs virtuels,
vous pouvez utiliser System Center Virtual Machine Manager 2012 (VMM) et créer et utiliser un profil
invité du système d'exploitation. Les profils invités du système d'exploitation contiennent un ensemble
de paramètres du système d'exploitation que le processus de déploiement d'ordinateurs virtuels
importe dans un modèle d'ordinateur virtuel. Ces paramètres sont notamment :
• informations d'identité ;

• mot de passe de l'administrateur local ;

• clé du produit ;

• fuseau horaire ;

• version du système d'exploitation ;

• rôles et les fonctionnalités serveur ;

• appartenance à un groupe de travail ou à un domaine ;

• références du fichier de réponses.

Pour un déploiement virtuel totalement standardisé et cohérent, utilisez VMM pour combiner
les profils matériels contenant les caractéristiques de différents composants matériels tels que le
nombre de processeurs, l'allocation de mémoire, les périphériques IDE (Integrated Drive Electronics),
la configuration de carte SCSI et la configuration de carte réseau.

Le profil d'application personnalise davantage les scénarios de déploiement, notamment les instructions
de configuration pour installer les types d'applications spécifiques suivants :

• Les connexions administrateur dédiées (DAC) de Microsoft SQL Server®. Une DAC contient toutes
les bases de données et les objets d'instance utilisés par l'application.

• Les applications d'Application Virtualization Management Server (serveur App-V). Le serveur App-V
est une technologie qui crée les packages d'applications virtuels, déployés sur des serveurs exécutant
un agent du serveur App-V.

• Les applications Web. Les organisations qui hébergent diverses applications Web sur différents
serveurs doivent personnaliser chaque déploiement de serveur selon les paramètres spécifiques
à l'application Web.

• Les scripts. Certains déploiements de serveur nécessitent des scripts supplémentaires afin
de personnaliser les paramètres et la configuration du serveur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-14 Planification et implémentation d'une infrastructure de déploiement de serveur

Les scénarios avancés de déploiement dans VMM utilisent des modèles d'ordinateur virtuel, que vous
pouvez utiliser pour associer les profils prédéfinis suivants :

• profil matériel ;

• profil de système d'exploitation invité ;

• profil d'application ;
• profil de SQL Server (facultatif).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-15

Leçon 3
Implémentation d'une stratégie de déploiement
automatisé
Les organisations qui choisissent d'exécuter un déploiement de serveur automatisé doivent d'abord
décider de la stratégie de déploiement, notamment des méthodes et des outils utilisés pour exécuter
le déploiement, selon les exigences de l'entreprise. Les organisations de petite taille peuvent utiliser des
outils de déploiement automatiques gratuits qui peuvent être téléchargés sur le site Web de Microsoft.
Les moyennes et grandes entreprises peuvent utiliser Configuration Manager comme solution pour
un déploiement automatisé.

Quel que soit l'outil utilisé, les organisations doivent former leur personnel informatique à ces
technologies. De plus, nous recommandons que la stratégie automatisée de déploiement comprenne un
test exhaustif du processus de déploiement avant de l'implémenter dans l'environnement de production.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
• décrire les outils servant à l'installation à base d'image des systèmes d'exploitation Windows
et des systèmes d'exploitation Windows Server ;

• décrire les composants inclus dans le Kit de déploiement et d'évaluation (ADK) ;

• décrire l'architecture des services de déploiement Windows et ses améliorations dans
Windows Server 2012 ;

• décrire l'utilité de MDT dans le déploiement des systèmes d'exploitation Windows 8

et Windows Server 2012 ;

• décrire comment déployer Windows Server à l'aide de Configuration Manager ;

• présenter les outils disponibles pour déployer des ordinateurs virtuels ;

• expliquer comment sélectionner une topologie de déploiement.

Vue d'ensemble des outils utilisés pour une installation à base d'image
Les fichiers .wim sont des packages compressés
qui contiennent plusieurs fichiers connexes.
Toutes les installations Windows Server 2012
utilisent le format .wim. Lors de l'installation
de Windows Server 2012, vous appliquez une
image au disque dur. Ce processus intervient
au niveau du fichier, et non au niveau du secteur
du disque dur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-16 Planification et implémentation d'une infrastructure de déploiement de serveur

Structure d'un fichier wim

Une structure de fichier .wim contient jusqu'à six types de ressources. Ces types sont les suivants :

• L'en-tête .wim : cette ressource définit le contenu du fichier .wim, comme l'emplacement de
la mémoire des ressources principales (ressources de métadonnées, table de correspondance
et données XML) et les attributs du fichier .wim (version, taille et type de compression).

• Les ressources de fichier : ces ressources sont une série de packages qui contient des données
capturées, telles que des fichiers sources.

• Les ressources de métadonnées : ces ressources stockent les informations sur la façon dont les
données capturées sont organisées dans le fichier .wim, notamment la structure des répertoires
et les attributs de fichier. Il existe une ressource de métadonnées pour chaque image dans
un fichier .wim.

• La table de correspondance : cette ressource contient l'emplacement de mémoire des fichiers

de ressources dans le fichier .wim.

• Les données XML : cette ressource contient diverses données supplémentaires relatives
à l'image .wim, comme les comptes de répertoire et de fichier, les octets totaux, les durées
de création et de modification et les informations de description.

• La table d'intégrité : cette ressource contient les informations de hachage de sécurité utilisées
pour vérifier l'intégrité de l'image pendant une opération d'application. Elle est créée lorsque
vous définissez le commutateur /check pendant une opération de capture ImageX.

Outils d'exécution d'une installation à base d'image de Windows

Plusieurs outils et technologies sont à votre disposition pour exécuter une installation à base d'image
des systèmes d'exploitation Windows. Vous devez connaître ces outils et savoir où et quand les utiliser
lors d'un déploiement :
• Les options de ligne de commande de l'installation de Windows ([Link]) : cet outil exécute
les installations Windows à l'aide des méthodes d'installation interactives ou sans assistance.

• Le fichier de réponses : un fichier de réponses simple comprend les données de base d'une
configuration d'installation de Windows, et les personnalisations minimales de l'Accueil
de Windows, qui commence après l'exécution de l'installation de Windows.

• Le catalogue : cet outil contient tous les composants et packages disponibles qui peuvent être
utilisés comme partie intégrante du fichier de réponses sans assistance, et peuvent être modifiés
via Windows SIM.

• Windows ADK : il s'agit d'une nouvelle version mise à niveau du kit d'installation automatisée
Windows (Windows AIK) qui contient les images Windows PE nécessaires au déploiement
personnalisé de Windows Server 2012 et Windows 8. ImageX est un outil compris dans
Windows ADK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-17

ImageX
ImageX peut être utilisé pour exécuter les tâches suivantes :

• Afficher le contenu d'un fichier .wim. Il vous permet de consulter le contenu d'un fichier .wim. Cela
vous permet de voir quelles images sont disponibles pour un déploiement depuis le [Link].

• Capturer et appliquer des images. Vous pouvez capturer l'image d'un ordinateur source
et l'enregistrer au format de fichier .wim. Il suffit ensuite d'enregistrer l'image sur un partage
de distribution pour permettre son installation par les utilisateurs disposant du programme
d'installation de Windows 8 ou de déployer l'image vers le poste de travail à l'aide de différentes
techniques. L'outil ImageX permet également d'appliquer l'image à l'ordinateur de destination.

• Stocker plusieurs images dans un fichier unique. L'outil ImageX permet de stocker plusieurs
images dans un unique fichier .wim et d'utiliser l'instanciation isolée, ce qui réduit la taille du
fichier image. Cela facilite la tâche de l'administrateur pour déployer plusieurs images à l'aide de
supports amovibles ou pour effectuer le déploiement par l'intermédiaire d'une connexion réseau
plus lente. Lorsque vous installez Windows 8 à l'aide d'un fichier contenant plusieurs images, les
utilisateurs finaux ont la possibilité de sélectionner l'image à appliquer. Par exemple, vous disposez
d'un fichier .wim avec plusieurs configurations basées sur des rôles ou d'images avant et après
certaines mises à jour.
• Compresser les fichiers image. L'outil ImageX prend en charge deux algorithmes de compression
différents, Fast et Maximum, pour réduire encore la taille des images.

• Implémenter des scripts pour la création d'image. Vous pouvez utiliser des outils de scripts
pour créer et modifier des images.

Gestion et maintenance des images de déploiement

L'outil de gestion et de maintenance des images de déploiement (DISM) est un outil de ligne de
commande qui combine des technologies de plateforme Windows indépendantes en un outil unique
et cohésif permettant d'exploiter des images Windows. DISM utilise les technologies suivantes :

• Le fichier de réponses pour une installation sans assistance : lorsqu'un fichier de réponses est
appliqué à l'aide de DISM, les mises à jour spécifiées dans le fichier de réponses sont implémentées
soit sur l'image Windows, soit sur le système d'exploitation en cours d'exécution. Configurez les
paramètres Windows par défaut et ajoutez les pilotes, les packages, les mises à jour logicielles
et d'autres applications à l'aide des paramètres contenus dans un fichier de réponses.

• Windows SIM : DISM utilise Windows SIM pour créer des fichiers de réponses d'installation sans
assistance. Il utilise également Windows SIM pour créer des partages de distribution et modifier
les fichiers contenus dans un jeu de configuration.

• Monter des images pour modification de l'image hors connexion. Un scénario classique de DISM
consiste à personnaliser une image existante, notamment pour mettre à jour des fichiers et des
dossiers et pour ajouter des pilotes et des rôles de serveurs ou fonctionnalités supplémentaires.

• OCSetup. OCSetup est un outil de ligne de commande qui peut être utilisé quand vous appliquez
des mises à jour à une image Windows en ligne. Il installe ou supprime des packages de services
à base de composants (CBS) en ligne en passant les packages à DISM pour leur installation ou leur
suppression. OCSetup permet également d'installer des fichiers du programme d'installation de
système Microsoft (.msi) en appelant le service Windows Installer ([Link]) et en lui passant
des composants Windows Installer pour installation ou suppression. En outre, OCSetup peut aussi
être utilisé pour installer les packages dotés de programmes d'installation personnalisée, tels que
les fichiers .exe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-18 Planification et implémentation d'une infrastructure de déploiement de serveur

Windows ADK
Windows ADK est un ensemble d'outils
et de documents conçu pour aider les
professionnels de l'informatique à déployer
des systèmes d'exploitation Windows. C'est un
outil idéal dans le cadre d'environnements
hautement personnalisés, car les outils qu'il
contient peuvent être utilisés pour configurer
de nombreuses options de déploiement.
En fonction des besoins de votre entreprise, vous
pouvez choisir d'utiliser l'ensemble ou une partie
des ressources disponibles dans Windows ADK.

Par défaut, Windows ADK est installé dans

le répertoire C:\Program Files (x86)\Windows Kits. Ce répertoire contient tous les outils et documents
compris dans Windows ADK.

Documents compris dans Windows ADK

Windows ADK comprend les composants de documentation répertoriés dans le tableau suivant.

Documentation Description

Mise en route d'ADK Le document de mise en route d'ADK fournit les informations
(ADK_GetStarted.chm) conceptuelles et procédurales requises pour l'installation sans
assistance des systèmes d'exploitation Windows. Ce guide
de l'utilisateur inclut les informations suivantes :
• Planification
• Préparation de l'environnement de déploiement
• Création et personnalisation d'une image
• Capture, modification et test de l'image
• Déploiement, maintenance et mise à disposition d'une image

Guide de référence Les documents du guide de référence de l'interface CPI

de l'interface CPI contiennent les documents relatifs aux API utilisées dans
(Component Platform Interface) Windows SIM.
([Link])

Guide de l'utilisateur des outils Les outils ACT vous permettent de déterminer si les
d'analyse de compatibilité applications, périphériques et ordinateurs de votre
des applications ([Link]) organisation sont compatibles avec les versions du système
d'exploitation Windows.

Guide de l'utilisateur des services La structure des services d'évaluation Windows vous permettent
d'évaluation Windows de mesurer automatiquement la qualité des performances, de
([Link]) la fiabilité, et de la fonctionnalité par exemple, sur plusieurs
ordinateurs dans un environnement d'atelier pratique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-19

(suite)

Documentation Description

Guide de référence Le guide de référence de l'installation sans assistance utilisateur

de l'installation sans assistance de Windows fournit une liste complète de tous les paramètres
utilisateur de Windows à utiliser pour automatiser la configuration et le déploiement
([Link]) Windows 8, Windows 7, Windows Vista, Windows Server 2012,
Windows Server 2008 R2 et Windows Server 2008.

Outil Gestion de l'activation en L'outil Gestion de l'activation en volume (VAMT) est conçu pour
volume ([Link]) gérer l'activation en volume pour Windows Vista, Windows 7,
Windows 8, Windows Server 2008, Windows Server 2008 R2
ou Windows Server 2012, et Microsoft Office 2010.

Guide de référence technique de Windows Performance Toolkit se compose d'outils d'analyse

Windows Performance Toolkit des performances et fournit les profils détaillés des performance
([Link]) des systèmes d'exploitation et des applications Windows.

Outils contenus dans Windows ADK

Les outils contenus dans Windows ADK et utilisés dans la plupart des scénarios de déploiement
Windows incluent :

• ACT

• Windows SIM
• ImageX

• DISM

• Windows PE
• Outil de migration de l'état utilisateur (USMT)

• VAMT

ACT
ACT est un outil de gestion à utiliser lors de l'identification et de la gestion votre dossier global
d'applications. Il permet de réduire le coût et le temps consacrés à la résolution de problèmes
de compatibilité des applications et de participer au déploiement et aux mises à jour des systèmes
d'exploitation Windows. Les fonctions principales suivantes peuvent être exécutées à l'aide de l'outil ACT :

• analyser le dossier global des applications, des sites Web et des ordinateurs ;

• évaluer les déploiements de systèmes d'exploitation et l'impact des mises à jour sur ces systèmes ;

• gérer de manière centralisée les évaluateurs de compatibilité et les paramètres de configuration ;

• déployer des mesures de correction automatisées pour les problèmes de compatibilité connus ;

• participer à l'échange d'informations de compatibilité dans Microsoft Compatibility Exchange.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-20 Planification et implémentation d'une infrastructure de déploiement de serveur

Windows SIM
Il s'agit d'un outil qui permet de créer un fichier de réponses de l'installation de Windows sans
assistance. Les fichiers de réponses sont des fichiers XML créés à l'aide d'informations qui proviennent
d'un fichier .wim et d'un fichier catalogue (.clg), et qui contiennent des paramètres de configuration
utilisés pendant les déploiements de système d'exploitation Windows. Certains scénarios d'utilisation
de Windows SIM les plus courants incluent l'ajout de pilotes de périphériques supplémentaires pendant
l'installation de Windows, l'ajout d'applications qui peuvent être installées pendant l'installation, ou l'ajout
de mises à jour hors connexion à l'image Windows. Une fois le fichier de réponses créé, ce fichier peut
être utilisé soit en spécifiant explicitement l'emplacement du fichier de réponses à l'aide de la commande
[Link] /unnatend:Nomdefichier, soit en recherchant implicitement à différents emplacements
(racine du lecteur ou emplacements définis du Registre).

Documentation supplémentaire : Pour obtenir une liste complète des chemins

de recherche valides, accédez à la section Recherche implicite d'un fichier de réponses
dans la page Méthodes d'exécution du programme d'installation Windows à l'adresse
[Link]

Windows PE
Windows PE est le fondement de base du déploiement de Windows 8. Windows PE est un système
d'exploitation Windows compact destiné à des usages spéciaux qui prépare et initialise un ordinateur
pour des tâches d'installation d'un système d'exploitation Windows, de maintenance ou de création
d'image. Il permet également de récupérer des systèmes d'exploitation Windows comme Windows 8.

Avec Windows PE, vous pouvez démarrer un sous-ensemble de Windows 8 à partir d'un support
amovible ou d'un support réseau qui fournit, entre autres, les ressources réseau nécessaires pour
installer et dépanner Windows 8. Bien que Windows PE ne soit pas un système d'exploitation à usage
général, il peut être utilisé pour démarrer un ordinateur sur lequel aucun système d'exploitation
fonctionnel n'est installé, et remplacer les disques de démarrage MS-DOS utilisés sur les versions
précédentes du système d'exploitation Windows.

USMT
USMT est un outil qui permet la migration de données utilisateur d'un système d'exploitation Windows
précédent vers Windows 8. USMT recherche dans l'ordinateur les comptes et les fichiers d'utilisateurs
existants, les paramètres du système d'exploitation et les paramètres d'applications. USMT les fait migrer
ensuite vers une nouvelle installation de Windows Server. Vous avez la possibilité de personnaliser les
paramètres de migration au moyen des fichiers de règles de migration (.xml) et décider des fichiers
et des paramètres à faire migrer.

VAMT
VAMT est un outil qui permet aux administrateurs réseau et aux autres professionnels de l'informatique
d'automatiser et de gérer de manière centralisée le processus d'activation en volume de Windows pour
les ordinateurs dans leur organisation. VAMT gère l'activation en volume grâce aux clés d'activation
multiple (MAK) ou au service de gestion de clés (KMS).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-21

Services de déploiement Windows

Utilisez les services de déploiement Windows
pour obtenir un déploiement rapide des
systèmes d'exploitation Windows à l'aide
de PXE sur un réseau, ou utilisez-les pour
démarrer un ordinateur distant à l'aide
de Windows PE.

Ils peuvent également être utilisés pour

permettre la prise en charge de déploiements
à volume élevé de type Lite-touch et de type
Zero-touch. L'implémentation des services de
déploiement Windows dans Windows Server 2012
permet de prendre en charge le déploiement de
systèmes d'exploitation Windows, notamment Windows Server 2012, Windows 8, Windows Server 2008,
Windows Server 2008 R2, et Windows 7.

Si vous associez les services de déploiement Windows et MDT, vous pouvez déployer des images
d'installation hautement personnalisées à l'aide d'une installation réseau.

L'architecture des services de déploiement Windows contient les composants répertoriés dans
le tableau suivant.

Composants Description

Serveur Le composant serveur contient :

• un serveur PXE ;
• le protocole TFTP (Trivial File Transfer Protocol) pour démarrer un client à partir
du réseau pour installer un système d'exploitation ;
• un dossier partagé et un référentiel d'images qui contient des images
de démarrage, des images d'installation et des fichiers dont vous avez besoin
spécifiquement pour les fonctionnalités de démarrage réseau.

Client Une interface graphique utilisateur qui :

• est exécutée dans Windows PE ;
• communique avec les composants serveur pour sélectionner et installer
une image du système d'exploitation.

Gestion Un ensemble d'outils pour gérer :

• le serveur ;
• les images de système d'exploitation et les images de démarrage ;
• les comptes client d'ordinateurs ;
• les groupes de pilotes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-22 Planification et implémentation d'une infrastructure de déploiement de serveur

Avantages des services de déploiement Windows

Les services de déploiement Windows présentent les avantages d'installation et de déploiement suivants :

• ils réduisent la complexité de déploiement et les coûts liés aux procédures d'installation manuelles
inefficaces ;

• ils offrent à l'utilisateur la possibilité d'exécuter une installation réseau de systèmes d'exploitation
Windows ;

• ils permettent de déployer des images Windows sur des ordinateurs qui ne disposent pas de système
d'exploitation ;

• ils apportent une solution de déploiement de systèmes d'exploitation Windows de bout en bout
sur des ordinateurs clients et des serveurs ;

• ils utilisent des technologies standards d'installation, notamment Windows PE, les fichiers .wim,
et l'installation à base d'image.

Nouvelles fonctionnalités des services de déploiement Windows

dans Windows Server 2012
Dans Windows Server 2012, les services de déploiement Windows présentent les améliorations suivantes :

• Mode serveur autonome : ce mode d'installation permet de ne plus dépendre d'AD DS grâce
à l'utilisation d'un magasin local pour des périphériques préconfigurés, mais requiert toujours
les services du protocole DHCP et de DNS.

• Prise en charge des fichiers des disques durs virtuels : Windows Server 2012 est doté d'un nouveau
format de fichier de disque dur virtuel (.vhdx) qui prend en charge une capacité de stockage plus
importante que ne le faisait l'ancien dans Windows Server 2008. Le format .vhdx assure également
la protection contre l'endommagement des données.

• Amélioration de la multidiffusion : les performances globales de multidiffusion ont été légèrement

améliorées par rapport aux performances de transmission par multidiffusion précédentes. Cela
est dû au fait que les services de déploiement Windows réduisent la taille du bloc par défaut dans
une unité de transmission maximale (MTU) Ethernet et peuvent fonctionner avec un matériel qui
ne prend pas en charge la fragmentation IP.

• Assistant Résultats de déploiement attendus : cet assistant fournit une option qui vous permet
d'afficher quelle image de démarrage ou d'installation et quels groupes de pilotes sont proposés
à des ordinateurs (préconfigurés) spécifiques.

• Améliorations du protocole TFTP : ces améliorations incluent :

o Améliorations des performances concernant la mémoire tampon évolutive et la gestion des ports.

o Utilisation de fenêtres de transmission de taille variable.

o Possibilité de spécifier la taille maximale du bloc TFTP directement à partir de

Microsoft Management Console (MMC) dans les services de déploiement Windows,
ou via l'outil WdsUtil.

• Priorités de l'image de démarrage et de l'image d'installation. Cette fonctionnalité permet

de contrôler quelles sont les images fournies aux ordinateurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-23

Microsoft Deployment Toolkit

Le MDT 2012 fournit des conseils de bout
en bout pour planifier, générer et déployer
des systèmes d'exploitation Windows 8 et
Windows Server 2012. MDT 2012, avec
plusieurs technologies connexes, vous permet
de déployer Windows Server 2012 à l'aide
d'une installation de type Lite-touch (LTI) ou de
la méthodologie de type Zero-touch (ZTI) ou
d'une installation menée par l'utilisateur (UDI).

Pour ces trois types de déploiement, vous

devez installer MDT 2012. Il comprend les
tests d'évaluation de déploiement comme
outil de démarrage et la création d'un partage de déploiement qui contient des scripts supplémentaires
et des séquences de tâches pour personnaliser et déployer la procédure d'installation. MDT est
dépendant de Windows ADK mais fournit également des liens pour d'autres outils utiles qui
permettent une installation personnalisée des systèmes d'exploitation Windows.

Déploiements de type Lite-touch

En général, une installation LTI requiert d'être démarrée par un administrateur ou par un utilisateur
sur un ordinateur client. Selon la configuration, il est possible que l'utilisateur doive interagir durant la
procédure d'installation en fournissant quelques entrées. Dans un déploiement LTI classique, vous devez
créer un partage de déploiement, importer une image [Link] par défaut ou une image capturée sur
l'ordinateur de référence, importer des pilotes pour une configuration matérielle spécifique, puis créer
une séquence de tâches LTI pour contrôler et personnaliser le déploiement. En dernier lieu, vous devez
mettre à jour le partage de déploiement, ce qui aura pour effet de créer une image de démarrage utilisée
soit pour démarrer l'ordinateur à partir d'un support, soit pour être importée dans les services de
déploiement Windows pour le déploiement PXE.

Déploiement de type Zero-touch

Les déploiements ZTI offrent un contrôle total de la procédure d'installation sans qu'un utilisateur
n'ait besoin de commencer la procédure d'installation localement.

Le processus ZTI commence tout d'abord par l'intégration de la mise à jour 1 de MDT 2012
au Configuration Manager, ce qui étend la console Configuration Manager par défaut avec
des séquences de tâches riches en fonctionnalités à partir de MDT. La création de séquence
de tâches ZTI de MDT fournit :

• l'entrée pour laquelle le fichier image personnalisé sera utilisé pour l'installation ;

• une possibilité de choisir l'image [Link] personnalisée ;

• une possibilité de sélectionner un package de pilotes approprié ;

• une option pour installer des mises à jour et des applications supplémentaires après le déploiement
du système d'exploitation Windows.

MDT utilise les composants de l'infrastructure de Configuration Manager. Les images de démarrage
et d'installation sont importées en tant que packages dans la console Configuration Manager et
les ordinateurs peuvent accéder à ces fichiers via des points de distribution.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-24 Planification et implémentation d'une infrastructure de déploiement de serveur

Déploiements menés par l'utilisateur

Une des améliorations principales de MDT 2012 est le Concepteur de l'Assistant d'UDI, qui
est le principal outil pour personnaliser les pages de l'Assistant pour les différents scénarios de
déploiement. Les modifications apportées au Concepteur de l'Assistant d'UDI sont enregistrées
dans le fichier de configuration de l'Assistant d'UDI, et sont reflétées, pour finir, dans l'expérience
utilisateur dans l'Assistant d'UDI. L'utilisateur effectuant le déploiement verra uniquement les
pages de l'Assistant dans l'Assistant d'UDI que vous avez sélectionnées et configurées à l'aide du
concepteur de l'Assistant d'UDI. Le reste de la configuration requise pour l'infrastructure est identique,
quel que soit le déploiement utilisé, LTI ou ZTI.

Déploiement de Windows Server à l'aide de Configuration Manager SP1

Les organisations ayant créé un environnement
réseau rationalisé ou dynamique peuvent
bénéficier des fonctions automatiques de
l'installation ZTI. La solution Zero Touch est
principalement destinée aux organisations
de type entreprise et qui ont déployé les
conditions requises de l'infrastructure réseau.
Ces organisations peuvent utiliser les fonctions
d'automatisation du déploiement et peuvent
déterminer si une intervention de l'utilisateur
final est requise.

System Center Configuration Manager 2012

permet la gestion de modification et de configuration en offrant des fonctionnalités telles que le
déploiement des systèmes d'exploitation, des applications logicielles et les mises à jour logicielles.
Vous pouvez également utiliser Configuration Manager pour contrôler l'inventaire matériel et logiciel
et l'administration d'un ordinateur distant.

Il existe différents scénarios dans lesquels la fonctionnalité de déploiement de système d'exploitation

est utilisée dans Configuration Manager. Les scénarios habituels comprennent :

• L'installation du système d'exploitation. Utilisez Configuration Manager pour installer un système

d'exploitation pris en charge sur le matériel informatique n'étant pas doté actuellement d'un
système d'exploitation.

• Actualisation du système d'exploitation. Utilisez Configuration Manager pour installer un système

d'exploitation pris en charge sur un système informatique doté d'un système d'exploitation existant.
Dans un scénario d'actualisation du système d'exploitation, vous n'enregistrez aucune donnée sur
le système client. Vous installez uniquement un nouveau système d'exploitation.

• Mise à niveau sur place. Parfois, lors de l'actualisation d'un système d'exploitation, il est nécessaire
de sauvegarder les données utilisateur se trouvant sur le système réactualisé. Une mise à niveau sur
place fournit les outils pour automatiser l'enregistrement des données du système client avant que
le système d'exploitation ne soit réactualisé, puis les restaure une fois l'actualisation du système
d'exploitation terminée.

• Migration côte à côte. Lors du remplacement de l'ordinateur d'un utilisateur par un autre, utilisez
une migration côte à côte pour récupérer les données de l'ancien système, installer un système
d'exploitation sur le nouveau, puis restaurer les données sur ce dernier. Cette méthode nécessite
que l'ancien ordinateur soit un client de Configuration Manager, et que le nouvel ordinateur soit
lié à l'ancien ordinateur à l'aide d'une association d'ordinateur dans Configuration Manager.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-25

Le déploiement du système d'exploitation utilise plusieurs composants de Configuration Manager pour

déployer des systèmes d'exploitation. En fonction des décisions que vous prenez, certains composants
deviennent facultatifs.

• Point de gestion. Lors d'un déploiement vers des clients existants, les instructions que l'administrateur
crée sont copiées au point de gestion.

• PXE. La fonctionnalité PXE activée sur les points de distribution installe le rôle des services de
déploiement Windows sur un serveur. Lors d'un déploiement sur les ordinateurs qui ne disposent
pas d'un système d'exploitation, utilisez le démarrage PXE pour démarrer l'ordinateur.

• Point de distribution. Les packages créés par l'administrateur sont copiés au point de distribution.

• Support de démarrage. Créez un support de démarrage optique ou USB. Si vous déployez

des ordinateurs hors connexion, utilisez le média de démarrage pour l'installation complète.

• Point de migration d'état. Lors de déploiement de clients existants, utilisez un point de migration
d'état pour stocker les informations d'état utilisateur.

Selon votre scénario de déploiement, une séquence de tâches de Configuration Manager peut référencer
un certain nombre de packages pendant l'installation. Ces packages peuvent être préconfigurés avant
de créer une séquence de tâches, ou vous pouvez utiliser la commandeImporter la séquence de tâches
de déploiement de Microsoft pour créer automatiquement les packages nécessaires. Les packages
susceptibles d'être référencés dans une séquence de tâches sont répertoriés dans le tableau suivant.

Package ou image Son contenu

Package d'images Image de démarrage utilisée pour lancer le processus de déploiement ZTI.
de démarrage

Package de fichiers de Contenu du répertoire de partage de distribution de déploiement

déploiement Microsoft Microsoft. (Les fichiers utilisés à partir du répertoire de partage
de distribution sont les scripts et les fichiers de contrôle).

Image du système Image du système d'exploitation à déployer sur l'ordinateur cible.

d'exploitation
Windows Server

Package client Fichiers d'installation client de Configuration Manager.

Package USMT Fichiers USMT utilisés pour capturer et restaurer l'état utilisateur.

Package de paramètres Fichiers sans assistance et [Link].

personnalisés

Package de fichiers Fichiers spécifiques Sysprep définis pour un package. (Ce package n'est
Sysprep (facultatif) requis que pour les systèmes d'exploitation hérités tels que Windows XP.)

Packages d'applications Une option qui peut être utilisée pour personnaliser un déploiement
(facultatif) avec différentes installations d'applications.

Packages de pilotes Importent les pilotes au point de distribution de Configuration Manager

(facultatif) et autorisent la séquence de tâches à choisir les pilotes Plug-and-Play
à partir du catalogue ou à créer des packages de pilotes dédiés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-26 Planification et implémentation d'une infrastructure de déploiement de serveur

Conception de l'environnement ZTI

La conception de l'environnement ZTI est un processus de planification. Le processus de conception
se compose des étapes principales suivantes :

1. sélectionner les scénarios de déploiement appropriés ;

2. sélectionner les méthodes de déploiement ;

3. s'assurer que l'infrastructure requise existe ;

4. déterminer les règles de traitement appropriées (ces dernières sont nécessaires seulement si vous
utilisez MDT ou Configuration Manager.) ;
5. déterminer un programme d'analyse ;

6. former les membres de l'équipe.

Configuration et publication d'une séquence de tâches

Créez des séquences de tâches qui vous permettent d'installer un package d'images existant, pour
générer et capturer une image du système d'exploitation de référence, ou créez une séquence de
tâches personnalisée pour effectuer une tâche personnalisée en utilisant des variables. Vous créez
une séquence de tâches pour déployer une image existante de système d'exploitation Windows
sur un ordinateur cible à l'aide de l'Assistant Nouvelle séquence de tâches dans la console
Configuration Manager.
Vous publiez des séquences de tâches dans des collections à l'aide de l'Assistant Nouvelle publication
dans la console de Configuration Manager. Avant d'exécuter l'Assistant Nouvelle publication, vous
devez savoir quels sont les collections cibles et les comportements d'exécution désirés que vous
souhaitez pour la publication. L'accès en lecture à la séquence de tâches est requis pour la publier,
et elle doit exister avant la création de la publication.

Outils disponibles pour déployer des ordinateurs virtuels

Avec la virtualisation de serveur, créez des
ordinateurs virtuels distincts et exécutez-les
simultanément sur un système d'exploitation
unique de serveur. Ces ordinateurs virtuels
sont appelés invités. L'ordinateurs qui
exécute Hyper-V® et qui héberge les invités
est appelé l'hôte.

Les ordinateurs virtuels invités fonctionnent

comme des ordinateurs normaux. Lorsque des
utilisateurs se connectent à distance en utilisant
une Connexion Bureau à distance (RDC) ou
une session à distance de Windows PowerShell®,
ils doivent examiner attentivement les propriétés de l'ordinateur afin de déterminer s'il s'agit d'un
ordinateur virtuel ou d'une machine physique déployée de manière traditionnelle. Les ordinateurs
virtuels invités hébergés sur le même hyperviseur sont indépendants les uns des autres. Cela vous
permet d'exécuter simultanément plusieurs ordinateurs virtuels utilisant différents systèmes
d'exploitation sur un serveur hôte, tant que le serveur hôte dispose de suffisamment de ressources.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-27

Les outils disponibles pour déployer des ordinateurs virtuels sont les suivants :

• Hyper-V

• VMM

• Microsoft Enterprise Desktop Virtualization (MED-V)

• Virtual Desktop Infrastructure (VDI)

• Virtualisation de présentation

• Mise à jour 1 de MDT 2012

• Services de déploiement Windows

HYPER-V
Hyper-V est un rôle de virtualisation matérielle disponible dans Windows Server 2012. La virtualisation
matérielle fournit un accès direct aux ordinateurs virtuels vers le logiciel de l'invité, contrairement aux
produits de virtualisation logicielle, comme Microsoft Virtual Server 2005 R2, qui fournit indirectement
un accès à l'aide du système d'exploitation.

Le rôle Hyper-V est utilisé pour configurer Windows Server 2012 afin qu'il fonctionne comme
un hyperviseur. Windows Server 2012 peut alors héberger des ordinateurs virtuels invités qui
exécutent des systèmes d'exploitation pris en charge. Dans certaines documentations, l'ordinateur
virtuel hôte (dans le cas présent, l'ordinateur Windows Server 2012 qui exécute Hyper-V) est désigné en
tant que partition parente, et un ordinateur virtuel qui s'exécute sur les ordinateurs est désigné en tant
que partition enfant.

VMM
VMM permet d'avoir plusieurs hôtes dans la même console. Cela est utile lorsque vous devez gérer
à la fois Hyper-V et des produits de virtualisation d'hyperviseur autre que Microsoft.

Vous pouvez également utiliser la virtualisation pour simplifier le processus de déploiement de serveur :

• Utilisez les modèles d'ordinateur virtuel pour des configurations de serveur courantes fournis avec
des produits tels que VMM.

• Vous pouvez également créer des portails libre-service d'ordinateurs virtuels qui permettent aux
utilisateurs finaux de configurer automatiquement des serveurs et des applications approuvés,
sans que cela nécessite l'intervention directe de l'équipe d'administration de systèmes. Créez
ces portails libre-service avec VMM et Microsoft System Center 2012, Service Manager.

• Vous pouvez utiliser la conversion d'ordinateur physique en ordinateur virtuel (P2V) pour convertir
rapidement un serveur physique en un ordinateur virtuel et commencer à le gérer automatiquement
au sein de l'environnement VMM.

• Utilisez une configuration Hyper-V dépourvue de système d'exploitation pour configurer

automatiquement de nouveaux hôtes Hyper-V et pour les ajouter à l'environnement VMM à gérer.

Remarque : Dans System Center 2012 SP1, le portail libre-service VMM a été supprimé
et cette fonctionnalité est déplacée vers System Center 2012 – Contrôleur de l'application.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-28 Planification et implémentation d'une infrastructure de déploiement de serveur

MED-V
MED-V est une forme de gestion centralisée de virtualisation hébergée sur le client. MED-V permet
aux administrateurs de déployer et gérer de manière centralisée des ordinateurs virtuels qui s'exécutent
sur des clients. MED-V permet aux applications compatibles avec des versions précédentes du système
d'exploitation client Windows (par exemple, Windows XP), d'être publiées de telle manière qu'elles
soient accessibles via le menu Démarrer de Windows 7. MED-V est disponible en tant que composant
de Microsoft Desktop Optimization Pack (MDOP), et est pris en charge uniquement dans Windows 7.

VDI
VDI est une forme de virtualisation de bureau où des systèmes d'exploitation client sont hébergés de
manière centralisée en tant qu'ordinateurs virtuels. Les clients se connectent à ces ordinateurs virtuels
en utilisant un logiciel client tel que RDC. À l'aide de l'Assistant Ajout de rôles et de fonctionnalités,
configurez un serveur pour la prise en charge de VDI en sélectionnant une installation des Services
Bureau à distance (RDS). Installez également la fonctionnalité de rôle d'hôte de virtualisation des
services Bureau à distance en plus du rôle Hyper-V, lorsque vous configurez un serveur hôte pour
qu'il fonctionne en tant que serveur VDI.

Virtualisation de présentation
Les différences entre la virtualisation de présentation et la virtualisation de bureau sont les suivantes :
• Dans la virtualisation de bureau, chaque utilisateur se voit affecter un ordinateur virtuel qui lui est
propre et qui exécute un système d'exploitation client. Dans la virtualisation de présentation, les
utilisateurs ouvrent et exécutent des sessions distinctes sur un ou plusieurs serveurs. Par exemple,
les utilisateurs Alex et Brad pourraient être connectés simultanément au même serveur de Bureau
à distance, tout en exécutant différentes sessions avec RDC.

• Avec la virtualisation de bureau, les applications s'exécutent sur des ordinateurs virtuels. Avec
la virtualisation de présentation, le Bureau et les applications s'exécutent sur le serveur d'hôte.

Sur les réseaux qui utilisent Windows Server 2012, la virtualisation de présentation est assurée par le
rôle de serveur Services Bureau à distance. Les clients peuvent accéder à la virtualisation de présentation
comme suit :

• Bureau complet. Les clients peuvent utiliser un client de bureau à distance tel que RDC pour
accéder à une session de bureau complète et exécuter des applications sur le serveur hôte
Windows Server 2012.

• Applications RemoteApp. Au lieu d'utiliser un client de bureau complet tel que RDC,
RemoteApp (une fonctionnalité de Remote Desktop Services) permet aux applications
qui s'exécutent sur le serveur hôte Windows Server 2012 de s'afficher sur l'ordinateur client.
Les applications RemoteApp peuvent être déployées sous la forme de fichiers .msi à l'aide
de méthodes traditionnelles de déploiement de logiciels. Cela vous permet d'associer des
types de fichier aux applications RemoteApp.

• Accès Bureau à distance par le Web. Les clients peuvent accéder à un site Web sur un serveur
spécialement configuré, puis lancer des applications RemoteApp et des sessions Bureau à distance
depuis leur navigateur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-29

Mise à jour 1 de MDT 2012 – Déploiement vers la séquence de tâches de serveur VHD
La mise à jour 1 de MDT 2012 comprend un nouveau modèle appelé Déploiement vers la séquence
de tâches de serveur de disque dur virtuel. Ce modèle est utilisé pour créer une séquence de tâches
qui déploie Windows Server 2012 dans un fichier .vhd ou .vhdx. Ce fichier peut être utilisé ultérieurement
comme disque virtuel d'un ordinateur virtuel hébergé sur Hyper-V. Cette séquence de tâches est
conçue pour :

• formater et partitionner le disque physique ;

• créer un fichier VHD vide ;

• formater et partitionner le fichier VHD ;

• appliquer l'image WIM spécifiée du système d'exploitation dans un volume créé dans le fichier VHD.

Services de déploiement Windows

Les services de déploiement Windows prennent en charge le déploiement du système d'exploitation
Windows directement sur des fichiers .vhd et .vhdx ou via la multidiffusion. Comme pour MDT 2012,
des fichiers .vhd ou .vhdx peuvent être utilisés pour créer un ordinateur virtuel avec un système
d'exploitation Windows déjà déployé.

Remarque : Le format .vhdx prend en charge une représentation partiellement allouée

et dynamique d'un disque, qui génère un fichier d'image de disque relativement restreint
(si l'on compare avec le contenu complet stocké du disque).

Sélection d'un scénario de déploiement

Le déploiement du système d'exploitation
peut vous aider à déployer ou à mettre à jour
des systèmes sur votre réseau dans différents
scénarios. Le tableau suivant répertorie
ces scénarios :

Scenario Description

Nouvel ordinateur Dans ce scénario, installez un nouveau système d'exploitation sur un

ordinateur client ou serveur. Les systèmes peuvent être un nouveau matériel
ou un matériel réaffecté. Utilisez ce scénario lorsque le système ne dispose
d'aucun système d'exploitation actuellement installé, ou lorsque le système
d'exploitation existant n'est pas de type approprié pour le système.

« Wipe-and-load » Bien que semblable au scénario utilisant un nouvel ordinateur, ce scénario

(effacer et charger) est utilisé lorsqu'il s'agit d'un système d'exploitation existant déjà installé.
Avec ce scénario, vous utilisez l'outil USMT pour sauvegarder le profil de
l'utilisateur vers un partage de réseau sécurisé, pour installer un nouveau
système d'exploitation sur un matériel serveur ou client existant et enfin,
pour restaurer les informations d'état utilisateur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-30 Planification et implémentation d'une infrastructure de déploiement de serveur

(suite)

Scenario Description

Côte à côte Il s'agit du même scénario que celui utilisé en présence d'un nouvel
ordinateur, à l'exception près qu'il est utilisé pour installer un nouveau
système d'exploitation sur un nouveau matériel client pour un utilisateur
existant. Configuration Manager 2012 est alors utilisé pour réinstaller les
applications sur le nouvel ordinateur. Pour finir, utilisez l'outil USMT pour
déplacer l'état utilisateur à partir de l'ancien ordinateur vers le nouveau
via un partage de réseau sécurisé.

Mise à niveau Contrairement aux scénarios précédents, ce scénario ne doit pas être utilisé
sur place pour effectuer une installation sur un ordinateur ne disposant d'aucun système
d'exploitation installé. Utilisez ce scénario pour mettre à niveau un système
d'exploitation pris en charge vers un autre système d'exploitation pris en
charge sur un client ou un serveur existant. Toute application installée fait
l'objet d'une migration sur place.

Hors connexion, Lorsque vous disposez d'une bande passante réseau peu ou pas
avec support disponible, utilisez ce scénario. Utilisez un package de déploiement
amovible de Configuration Manager 2012 avec un support amovible tel qu'un
CD, un DVD ou un lecteur flash USB. Dans un scénario sans connectivité,
aucun rapport d'état n'est généré.

Démarrage PXE Il s'agit du même scénario que dans le cas d'un nouvel ordinateur, à l'exception
près qu'il est utilisé lorsque vous souhaitez effectuer un déploiement sans
intervention de l'utilisateur final. Il utilise la technologie PXE des services
de déploiement Windows. Contrôlez les actions de déploiement grâce aux
publications de Configuration Manager.

Support Un support préconfiguré est généralement copié sur le lecteur du disque

préconfiguré dur d'un nouvel ordinateur lors du processus de fabrication de ce dernier, ou
préconfiguré dans l'entreprise avant que l'ordinateur ne soit remis à l'utilisateur
final. Lors du premier démarrage de l'ordinateur après le chargement du
support préconfiguré, l'ordinateur démarre sur Windows PE et se connecte au
point de gestion de site afin de rechercher les séquences de tâches disponibles.

Une nouvelle installation est la méthode d'installation la plus simple et la plus directe pour
Windows Server 2012. Elle implique le plus petit nombre de variables dans le processus d'installation.
Elle se traduit aussi par une nouvelle installation par défaut de Windows Server 2012.

L'installation de Windows Server 2012 est fiable et ne pose aucun problème si votre matériel satisfait à
la configuration minimale requise. Toutefois, divers problèmes peuvent survenir durant une installation,
qui peuvent être résolus grâce à une approche méthodique.

Approche de résolution des problèmes

Lorsque vous devez résoudre des problèmes de tout type, utilisez l'approche en quatre étapes décrites
ci-après :

1. déterminer ce qui a changé ;

2. éliminer les causes possibles afin de déterminer la cause probable ;

3. identifier une solution ;

4. tester la solution.

Si le problème persiste, revenez à l'étape 3 et répétez le processus.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-31

Le tableau suivant décrit plusieurs problèmes d'installation et plusieurs solutions à utiliser pour identifier
et résoudre des problèmes spécifiques.

Problème Solution

Le support d'installation Testez le support d'installation sur un autre système.

est endommagé

Une mise à niveau du système BIOS Consultez le site Web du fournisseur de votre ordinateur
(Basic Input/Output System) afin de déterminer s'il existe une mise à niveau du BIOS
est nécessaire pour Windows Server 2012.

Le matériel est mal installé Vérifiez tous les messages qui s'affichent durant la phase de
démarrage. Installez correctement le matériel complémentaire,
tel que les cartes vidéo et les modules de mémoire. Choisissez
des packages de pilotes préalablement créés plutôt que de
laisser l'installation choisir les pilotes Plug-and-Play les mieux
appropriés.

Le matériel ne satisfait pas à la Utilisez le catalogue Windows afin de rechercher des produits
configuration minimale requise conçus pour les systèmes d'exploitation Windows et vérifiez
que votre matériel satisfait à la configuration minimale requise
pour l'édition de Windows Server 2012 que vous souhaitez
installer.

Des messages d'erreur s'affichent Notez soigneusement ces messages et recherchez une
pendant l'installation explication dans la Base de connaissances Microsoft.

Question : En général, quand exécutez-vous une nouvelle installation

de Windows Server 2012 ?

Question : Quels problèmes sont susceptibles de se poser lors de l'installation

de Windows Server 2012 ?

Démonstration : Préparation de l'image Windows Server 2012

Dans cette démonstration, vous allez apprendre à :

• créer un magasin d'images et connecter un lecteur réseau à ce dernier ;

• utiliser l'outil DISM pour monter l'image appropriée ;

• utiliser l'outil DISM pour modifier l'image d'installation par défaut pour inclure le rôle
du serveur Web IIS (Internet Information Services).

Procédure de démonstration
1. Basculez vers LON-SVR1.
2. Créez un dossier nommé Images sur le lecteur Allfiles (E:).

3. Créez un dossier nommé Custom Images dans le dossier E:\Images.

4. Sur l'hôte, dans la fenêtre 22413B-LON-SVR1, dans la barre d'outils, cliquez sur Support, pointez
sur Lecteur de DVD, puis cliquez sur Insérer un disque.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-32 Planification et implémentation d'une infrastructure de déploiement de serveur

5. Dans la boîte de dialogue Ouvrir, dans la zone Nom de fichier, tapez C:\Program Files\
Microsoft Learning\22413\Drives\windows2012_RTM.ISO, puis cliquez sur Ouvrir

6. Copiez D:\Sources\[Link] (qui est l'image .wim par défaut de l'installation) à partir du support
d'installation vers le dossier nouvellement créé E:\Images\Custom Images.

7. Partagez le dossier E:\Images. Accordez à l'utilisateur Administrateur le Contrôle total

sur le dossier partagé.

8. Mappez le lecteur réseau Z: vers \\lon-svr1\Images afin que le lecteur Z soit le partage par défaut
de toutes les images.

9. Ouvrez une invite de commandes avec élévation de privilèges.

10. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Mkdir c:\mounted

11. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /get-imageinfo /imagefile:”z:\Custom Images\[Link]”

Remarque : Cette commande répertorie toutes les images qui sont contenues
dans [Link]. Notez l'index pour Windows Server 2012 Datacenter Edition.

12. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /mount-wim /wimfile:”z:\Custom Images\[Link]” /index:4 /mountdir:c:\mounted

Remarque : Cette commande monte l'image [Link] pour la maintenance hors

connexion. Une fois l'image montée, ajoutez des pilotes, des packages, ou activez les
fonctionnalités. Comptez environ cinq minutes, le temps que le montage de l'image se termine.

13. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /get-features

Remarque : Cette commande répertorie toutes fonctionnalités disponibles et leur

état dans le fichier image. Si vous souhaitez afficher plus de détails, redirigez la sortie dans
le fichier texte à l'aide de la commande suivante :
Dism /imag[Link]\mounted /get-features > c:\All [Link]

14. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /get-featureinfo /featurename:IIS-WebServerRole

Remarque : Notez que l'état du rôle serveur Web IIS est désactivé.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-33

15. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /enable-feature /featurename:IIS-WebServerRole –all

Remarque : Cette commande installe le rôle de serveur Web IIS avec toutes les
fonctionnalités qui lui sont liées. Notez que vous devez respecter la casse pour les noms de rôle.

16. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /unmount-wim /mountdir:c:\mounted /commit

Remarque : Cette commande valide les modifications de l'image [Link], que vous
utiliserez ultérieurement pour effectuer un déploiement vers un ordinateur qui ne dispose
d'aucun système d'exploitation installé. Comptez environ cinq minutes pour l'étape de validation
de l'image [Link].
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-34 Planification et implémentation d'une infrastructure de déploiement de serveur

Atelier pratique : Planification et implémentation

d'une infrastructure de déploiement de serveur
Scénario
A. Datum Corporation a choisit d'implémenter Windows Server 2012 au sein de son organisation. Le siège
social basé à Londres, en Angleterre, utilisait jusqu'à présent à la fois des serveurs Windows Server 2008
et des serveurs Windows Server 2003. L'environnement AD DS est basé sur les contrôleurs de domaine
Windows Server 2008.

Le plan de réalisation du réseau vous impose de déployer Windows Server 2012 au siège social
pour remplacer les serveurs Windows Server 2008 et les contrôleurs de domaine existants. En outre,
les serveurs des bureaux des centres régionaux doivent être remplacés par des serveurs exécutant
Windows Server 2012.

Les succursales plus petites et les centres de distribution régionaux ont une application sectorielle (LOB)
qui a été déplacée d'UNIX vers Windows Server 2012. Afin de prendre en charge cette application,
chaque lieu doit être équipé de son propre serveur. En outre, les services d'infrastructure réseau doivent
être déplacés vers Windows Server 2012.

L'équipe de conception réseau a stipulé que plusieurs rôles serveur, y compris ceux des contrôleurs de
domaine, doivent être virtualisés lorsque cela est possible. Votre conception de déploiement doit tenir
compte du fait qu'il est vraisemblable qu'A. Datum souhaite acquérir deux nouvelles sociétés dans un
avenir proche, et qu'il est probable que des serveurs supplémentaires exécutant Windows Server 2012
soient déployés. De plus, vous devez créer une image de serveur standard pour le déploiement
et préparer des outils de déploiement pour implémenter votre plan de déploiement.

Objectifs
À la fin de cet atelier pratique, vous serez à même d'effectuer les tâches suivantes :

• planifier une stratégie d'installation et de déploiement automatisés de serveur ;

• préparer l'image Windows Server 2012 ;

• déployer Windows Server 2012.

Configuration de l'atelier pratique

Durée approximative : 90 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-SVR1
22413B-LON-SVR3

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-35

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible. Avant de débuter
cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions, cliquez
sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : ADATUM

5. Répétez les étapes 2 à 4 pour 22413B-LON-SVR1.

Important : Ne démarrez pas 22413B-LON-SVR3 avant d'y être invité au cours des étapes
de l'atelier.

Exercice 1 : Planification d'une stratégie d'installation et de déploiement

automatisés de serveur
Scénario
Il vous a été demandé de planifier une stratégie d'installation de serveur, de sélectionner les outils adaptés
à une installation et un déploiement et de planifier une méthode appropriée de déploiement de serveur.

Document pour la stratégie d'installation et de déploiement automatisés de serveur d'A. Datum

Numéro de référence du document : BS00929/1

Auteur du document Brad Sutton

Date 5 juillet

Présentation des exigences :

Pour concevoir un document de stratégie d'installation et de déploiement automatisés de serveur,
prenez en compte les facteurs de conception suivants :
• connaissance de la gestion d'image d'un système d'exploitation du personnel informatique ;
• nombre de serveurs à déployer ;
• variantes entre les configurations serveur ;
• utilisation d'un support commercialisé ou d'un support de licence en volume ;
• configuration réseau, aussi bien en termes de distribution des serveurs à déployer qu'en termes
de services installés actuellement pour prendre en charge le processus de déploiement.
Le personnel informatique prévoit de déployer Windows Server 2012 dans différents locaux et a
une certaine expérience dans la création d'images et le déploiement. La configuration des différents
serveurs doit être assez cohérente.
Il n'est pas nécessaire de mettre à niveau les paramètres des serveurs existants, car il est prévu
d'intégrer un nouveau matériel serveur et de virtualiser des charges de travail lorsque cela est possible.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-36 Planification et implémentation d'une infrastructure de déploiement de serveur

(suite)

Document pour la stratégie d'installation et de déploiement automatisés de serveur d'A. Datum

Propositions
1. Quel type d'image allez-vous utiliser : fine ou épaisse ?

2. Dans le contexte de ce scénario, un déploiement de type Lite-touch ou Zero-touch pourrait-il

être appliqué ?

3. Quelles technologies de déploiement pensez-vous utiliser pour implémenter le plan de mise

à niveau serveur ?

4. Quelles sont les configurations requises pour implémenter cette technologie de déploiement ?

5. Répertoriez les composants de déploiement nécessaires pour prendre en charge votre plan
de déploiement de serveur.

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie dans le scénario d'exercice d'atelier pratique.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie d'installation
et de déploiement automatisés de serveurs d'A. Datum.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Examinez les propositions suggérées dans le corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : Une fois cet exercice terminé, vous devez avoir planifié une stratégie d'installation
et de déploiement automatisés de serveur pour A. Datum Corporation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-37

Exercice 2 : Préparation de l'image Windows Server 2012

Scénario
Vous devez maintenant implémenter le plan de déploiement de serveur. Installez le rôle des services
de déploiement Windows sur LON-SVR1, puis modifiez l'image d'installation par défaut pour inclure
le rôle de serveur Web (IIS).

Les tâches principales de cet exercice sont les suivantes :

1. Créer le magasin d'images, et connecter un lecteur réseau à ce dernier.

2. Monter l'image appropriée.

3. Ajouter le rôle de serveur Web (IIS) à l'image.

 Tâche 1 : Créer le magasin d'images, et connecter un lecteur réseau à ce dernier

1. Basculez vers LON-SVR1.
2. Créez un dossier nommé Images sur le lecteur Allfiles (E:).

3. Créez un dossier nommé Custom Images dans E:\Images.

4. Sur l'hôte, dans la fenêtre 22413B-LON-SVR1, dans la barre d'outils, cliquez sur Support, pointez
sur Lecteur de DVD, puis cliquez sur Insérer un disque.

5. Dans la boîte de dialogue Ouvrir, dans la zone Nom de fichier, tapez C:\Program Files\
Microsoft Learning\22413\Drives\windows2012_RTM.ISO, puis cliquez sur Ouvrir.
6. Copiez D:\Sources\[Link] (qui est l'image .wim par défaut de l'installation) à partir du support
d'installation vers le dossier nouvellement créé E:\Images\Custom Images.

7. Partagez le dossier E:\Images. Accordez à l'utilisateur Administrateur le Contrôle total

sur le dossier partagé.

8. Mappez le lecteur réseau Z: vers \\lon-svr1\Images afin que le lecteur Z soit le partage par défaut
de toutes les images.

 Tâche 2 : Monter l'image appropriée

1. Ouvrez une invite de commandes avec élévation de privilèges.

2. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Mkdir c:\mounted
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-38 Planification et implémentation d'une infrastructure de déploiement de serveur

3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /get-imageinfo /imagefile:”z:\Custom Images\[Link]”

Remarque : Cette commande répertorie toutes les images qui sont contenues dans
[Link]. Notez l'index pour Windows Server 2012 Datacenter Edition.

4. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /mount-wim /wimfile:”z:\Custom Images\[Link]” /index:4 /mountdir:c:\mounted

Remarque : Cette commande monte l'image [Link] pour la mise en service

hors connexion. Une fois l'image montée, ajoutez des pilotes, des packages, ou activez les
fonctionnalités. Comptez environ cinq minutes, le temps que le montage de l'image se termine.

 Tâche 3 : Ajouter le rôle de serveur Web (IIS) à l'image

1. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /get-features

Remarque : Cette commande répertorie toutes fonctionnalités disponibles et leur

état dans le fichier image. Si vous souhaitez afficher plus de détails, redirigez la sortie dans
le fichier texte à l'aide de la commande suivante :
Dism /imag[Link]\mounted /get-features > c:\All [Link]

2. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /get-featureinfo /featurename:IIS-WebServerRole

Remarque : Notez que l'état du rôle serveur Web IIS est désactivé.

3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /enable-feature /featurename:IIS-WebServerRole –all

Remarque : Cette commande installera le rôle de serveur Web IIS avec toutes les
fonctionnalités qui lui sont liées. Notez que vous devez respecter la casse pour les noms de rôle.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-39

4. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /unmount-wim /mountdir:c:\mounted /commit

Remarque : Cette commande valide les modifications de l'image [Link], que vous
utiliserez ultérieurement pour effectuer un déploiement vers un ordinateur qui ne dispose
d'aucun système d'exploitation installé. Comptez environ cinq minutes pour l'étape de validation
de l'image [Link].

5. Laissez la fenêtre d'invite ouverte.

Résultats : Une fois cet exercice terminé, vous devez avoir préparé l'image et avoir ajouté à cette dernière
le rôle de serveur Web (IIS).

Exercice 3 : Déploiement de Windows Server 2012

Scénario
Vous devez maintenant déployer l'image sur LON-SVR3.

Les tâches principales de cet exercice sont les suivantes :

1. Installer le rôle AD DS.

2. Configurer les services de déploiement Windows.

3. Ajouter une image de démarrage à l'aide de WDSUtil.

4. Ajouter une image d'installation.

5. Configurer l'attribution automatique de noms.

6. Lancer le processus de déploiement.

 Tâche 1 : Installer le rôle AD DS

1. Sur LON-SVR1, utilisez le Gestionnaire de serveur pour installer les services de déploiement Windows
avec le Serveur de déploiement et les services de rôle Serveur de transport.

 Tâche 2 : Configurer les services de déploiement Windows

1. Dans la console Services de déploiement Windows, configurez l'intégration des services
de déploiement Windows à AD DS en acceptant les options PXE par défaut.
2. Sélectionnez le dossier E:\RemoteInstall comme partage par défaut dans lequel toutes les images
seront stockées.

 Tâche 3 : Ajouter une image de démarrage à l'aide de WDSUtil

1. Revenez à l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Wdsutil /add-image /ImageFile:”D:\sources\[Link]” /ImageType:boot

2. Basculez vers la console Services de déploiement Windows, et assurez-vous qu'une image

de démarrage existe pour l'architecture 64 bits.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-40 Planification et implémentation d'une infrastructure de déploiement de serveur

 Tâche 4 : Ajouter une image d'installation

1. Dans la console Services de déploiement Windows, créez un groupe d'images nommé :
ImageGroup1.

2. Ajoutez l'image de Windows Server 2012 SERVERDATACENTER à partir du fichier Custom Images
précédemment modifié (Z:\custom images\[Link]).

Remarque : La durée de ce processus d'ajout d'images d'installation peut prendre entre

5 et 10 minutes.

 Tâche 5 : Configurer l'attribution automatique de noms

1. Utilisez la console Services de déploiement Windows pour permettre aux services de déploiement
Windows de répondre à tous les ordinateurs client (connus et inconnus).

2. Dans la boîte de dialogue Propriétés de : Serveur Services de déploiement Windows,

sous l'onglet AD DS, indiquez Lon-Svr%0# comme type de dénomination de format.

 Tâche 6 : Lancer le processus de déploiement

1. Démarrez l'ordinateur virtuel 22413B-LON-SVR3, et appuyez sur la touche F12 pour le démarrage
du service réseau.

2. L'Assistant Services de déploiement Windows démarre. Connectez-vous au serveur Services

de déploiement Windows avec les informations d'identification suivantes :
 Nom d'utilisateur : ADATUM\Administrateur
 Mot de passe : Pa$$w0rd
3. Sélectionnez l'image d'installation Windows Server 2012 SERVERDATACENTER.

Remarque : Vous êtes libre de terminer le processus de déploiement, mais cela n'est
pas obligatoire.

4. À la fin de l'installation, terminez le processus de déploiement :

a. Acceptez les termes du contrat de licence.

b. Acceptez les paramètres régionaux.

c. Spécifiez le mot de passe administrateur intégré comme étant Pa$$w0rd.

d. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

e. Dans le Gestionnaire de serveur, vérifiez que le rôle serveur Web (IIS) est installé.

Résultats : À la fin de cet exercice, vous devez avoir déployé Windows Server 2012 à l'aide des services
de déploiements Windows.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-41

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-SVR1 et 22413B-LON-SVR3.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
2-42 Planification et implémentation d'une infrastructure de déploiement de serveur

Contrôle des acquis et éléments à retenir

Méthode conseillée
Meilleures pratiques Description

Toujours installer les dernières mises Démarrer avec un ordinateur de référence à jour diminue
à jour de sécurité sur l'ordinateur le niveau de vulnérabilité des nouveaux ordinateurs mis
de référence. en ligne.

Implémenter les contrôles d'accès pour Lorsque vous créez un support de démarrage, veillez à lui
protéger les supports de démarrage. allouer un mot de passe et à en contrôler l'accès physique.

Utiliser des points de service PXE Un point de service PXE nécessite que les ports UDP soient
uniquement sur des segments ouverts sur des commutateurs et des serveurs
réseau sécurisés.

Si vous devez déployer des systèmes La mise en service d'ordinateurs inconnus peut être
d'exploitation à un ordinateur inconnu, un moyen pratique d'ajouter plusieurs ordinateurs à
implémentez des contrôles d'accès la demande, mais cela peut permettre également à un
pour éviter que des ordinateurs utilisateur malveillant de devenir un client de confiance
non-autorisés ne se connectent sur votre réseau.
au réseau.

Réduire la taille de l'image Vérifiez que cette image a été préparée avec
de démarrage pour accélérer la [Link] /prep. La meilleure pratique consiste à utiliser
vitesse de téléchargement TFTP. la commande ImageX /export pour exporter l'image de
démarrage sur un nouveau fichier .wim avant d'ajouter
l'image au serveur Services de déploiement Windows.

Question(s) de contrôle des acquis

Question : Dans votre organisation, aucune version de serveur n'est identique. Vous avez
choisi d'utiliser des images personnalisées pour optimiser le déploiement. Pensez-vous
utiliser des images épaisses ou fines ?

Question : De quels outils avez-vous besoin pour automatiser des déploiements avec
un degré important d'intervention (High-touch) à l'aide de supports commercialisés ?
Question : Votre organisation souhaite implémenter une stratégie de déploiement
de type Lite-touch. Outre l'utilisation de MDT 2012, quels outils vous seront utiles pour
effectuer des déploiements de type Lite-touch ?

Problèmes réels et scénarios

Bien que les services de déploiement Windows offrent la possibilité de déployer des systèmes
d'exploitation Windows, les moyennes et grandes entreprises doivent envisager d'implémenter MDT
afin de personnaliser des scénarios de migration plus complexes. Pour une implémentation de type
Zero-touch, Configuration Manager 2012 fournit un environnement de déploiement fiable, évolutif,
et contrôlé. Configuration Manager permet également des déploiements de système d'exploitation
Windows et fournit une gestion continue d'ordinateurs déjà installés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 2-43

Outils
Outil Utilisé pour Emplacement

Application Vérifier la compatibilité des [Link]

Compatibility applications avec Windows 8
Toolkit

Windows ADK Évaluer et déployer les [Link]

systèmes d'exploitation
Windows

Windows SIM Créer et modifier les fichiers Windows ADK

de réponses

ImageX Créer, modifier et appliquer Windows ADK

les fichiers .wim à base
d'image

USMT Effectuer la migration des Windows ADK

paramètres utilisateur

DISM Effectuer la maintenance des Windows ADK

fichiers .wim à base d'image
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-1

Module 3
Conception et gestion d'une solution de gestion d'adresses
et de configuration IP
Table des matières :
Vue d'ensemble du module 3-1

Leçon 1 : Conception et implémentation de DHCP 3-2

Leçon 2 : Planification et implémentation des étendues DHCP 3-11

Leçon 3 : Planification et implémentation d'une stratégie

d'approvisionnement IPAM 3-15

Atelier pratique : Conception et gestion d'une solution de gestion

d'adresses et de configuration IP 3-24

Contrôle des acquis et éléments à retenir 3-35

Vue d'ensemble du module

Lors de la conception des services réseau, vous devez d'abord concevoir une modèle d'adressage
IP approprié, puis sélectionner et configurer une méthode d'allocation pour le modèle que vous
avez choisi. Vous devez également déterminer comment gérer au mieux l'introduction de nouveaux
périphériques d'ordinateur et comment allouer une configuration IP à ces périphériques. Vous devez
effectuer ces étapes avant de pouvoir concevoir des services réseau de niveau supérieur, tels que le
système DNS (Domain Name System), les services IIS (Internet Information Services) et des applications,
notamment de messagerie électronique et de base de données.

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• concevoir et implémenter le système de fichiers DHCP ;

• planifier et implémenter la configuration et les options d'une étendue DHCP ;

• planifier et implémenter une stratégie d'approvisionnement IPAM.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-2 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Leçon 1
Conception et implémentation de DHCP
Le protocole DHCP (Dynamic Host Configuration Protocol) est un élément essentiel de la plupart des
réseaux IPv4. La majorité des clients réseau utilise le protocole DHCP pour obtenir une adresse IPv4
pour les connexions réseau. Par conséquent, lorsque vous concevez une infrastructure DHCP, vous
devez vérifier qu'elle est fiable et sécurisée. Cependant, avant de déployer et configurer DHCP,
il est très important que vous sélectionniez un modèle d'adressage IPv4 approprié.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les meilleures pratiques pour la conception d'un modèle d'adressage IPv4 ;

• sélectionner un modèle d'adressage IP approprié ;

• déterminer l'emplacement approprié pour les serveurs DHCP ;

• planifier une infrastructure DHCP hautement disponible ;

• décrire le processus de configuration du basculement DHCP ;

• expliquer comment implémenter le basculement DHCP ;

• décrire comment DHCP prend en charge les hôtes IPv6 ;

• décrire les meilleures pratiques pour la conception de votre infrastructure DHCP.

Meilleures pratiques pour la conception d'un modèle d'adressage IPv4

Avant de pouvoir concevoir un modèle
d'adressage IPv4, vous devez d'abord
définir un masque de sous-réseau approprié
pour chaque réseau IPv4. Vous devez baser
le masque de sous-réseau sur le nombre
de sous-réseaux requis et le nombre d'hôtes
dont vous avez besoin dans chaque sous-réseau.
Vous devez également déterminer dans quels
cas vous avez besoin d'adresses IPv4 publiques
et privées. Tenez compte des instructions
suivantes lors de la conception d'adressages IPv4 :
• Utilisez un adressage IP sans classe qui vous
permet de créer un sous-réseau de manière appropriée, et donc plus efficacement, à l'aide
d'adresses IP.
• Utilisez des protocoles de routage sans classe sur vos routeurs afin d'utiliser un adressage IP
sans classe sur votre réseau. Les protocoles de routage les plus courants, à l'exception du
protocole RIP v1 (Routing Information Protocol version 1), prennent en charge l'adressage IP
sans classe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-3

• Utilisez des sous-réseaux de longueur variable pour personnaliser vos sous-réseaux en fonction
du nombre d'hôtes sur chaque segment.

• Utilisez un super-réseau pour combiner plusieurs plages IP en une seule plage d'adresses
de grande taille. Le routage est ainsi plus efficace.

• Utilisez des adresses publiques si vous utilisez une connexion directe (routée) à Internet. Les adresses
publiques sont accessibles sur Internet ; les adresses privées ne le sont pas.

• Utilisez des adresses privées si vous utilisez une connexion indirecte à Internet, telle qu'un serveur
proxy ou la traduction d'adresses réseau (NAT). Nous recommandons l'utilisation des adresses privées
pour les connexions indirectes afin d'éviter les conflits avec les adresses publiques qui peuvent déjà
être utilisées sur Internet.

• Utilisez une adresse d'hôte identique dans chaque sous-réseau pour les mêmes types de
périphériques de chaque sous-réseau. Par exemple, allouez les dix premières adresses aux routeurs,
allouez le bloc suivant aux serveurs et attribuez le reste aux ordinateurs clients. En allouant toujours
la même plage d'adresses dans chaque sous-réseau aux mêmes types de périphériques, vous facilitez
l'administration.

Étapes récapitulatives pour la planification et l'implémentation d'un modèle

d'adressage approprié
Pour sélectionner un modèle d'adressage approprié pour votre organisation, vous devez :

1. Décider s'il convient d'utiliser des adresses IPv4 publiques ou privées.

2. Calculer le nombre de sous-réseaux requis. Vous pouvez calculer le nombre de bits de sous-réseau
en déterminant le nombre de bits dont vous avez besoin sur votre réseau. Utilisez la formule 2n,
où n est le nombre de bits. Le résultat doit être au moins égal au nombre de sous-réseaux requis
par votre réseau.
3. Calculer le nombre d'hôtes dans chaque sous-réseau. Vous pouvez calculer le nombre de bits hôtes
requis en utilisant la formule 2n-2, où n est le nombre de bits.

4. Sélectionner un ou plusieurs masques de sous-réseau appropriés.

Une fois ces facteurs déterminés, vous devez :

1. Calculer les adresses de sous-réseau. Pour déterminer rapidement des adresses de sous-réseau,
vous pouvez utiliser la valeur de bit minimale dans le masque de sous-réseau. Par exemple, si
vous choisissez de diviser en sous-réseaux le réseau [Link] en utilisant 3 bits, vous devez
utiliser le masque de sous-réseau [Link]. Au format binaire, le décimal 224 est 11100000
et la valeur de bit minimale est 32. Elle constitue l'incrément entre chaque adresse de sous-réseau.

2. Déterminer la plage d'adresses d'hôte dans chaque sous-réseau. Vous pouvez calculer la plage
d'adresses d'hôte de chaque sous-réseau en utilisant le processus suivant : le premier hôte
est supérieur d'un chiffre binaire à l'ID du sous-réseau actuel et le dernier hôte est inférieur
de deux chiffres binaires à l'ID du sous-réseau suivant. Par exemple, si le sous-réseau est
[Link]/[Link], la première adresse d'hôte sera [Link]. La dernière adresse
d'hôte sera [Link].

3. Implémenter le modèle d'adressage planifié.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-4 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Discussion : Sélection d'un modèle d'adressage IP

Pendant cette discussion, vous allez concevoir
un modèle d'adressage IPv4 pour les filiales
Wingtip Toys en vous basant sur le schéma
de la diapositive. Les informations relatives
aux filiales Wingtip Toys sont les suivantes :

• Chaque filiale sera connectée via

un routeur au siège social.

• L'adresse de bloc [Link]/20

a été réservée pour votre région.
• La région comprend environ 300 ordinateurs,
avec environ 50 ordinateurs pour chaque
sous-réseau.
• Vous devez concevoir un modèle qui prend en charge le nombre de sous-réseaux et d'hôtes
requis et qui permet aux hôtes de croître de 25 % dans chaque filiale.

• Pour chaque filiale, fournissez les adresses de sous-réseau que vous prévoyez d'utiliser, ainsi
que les adresses IP de début et de fin pour chaque sous-réseau.

Vous n'avez pas à prévoir l'adressage IP du côté entreprise du routeur dans chaque filiale.

Remarque : Pour calculer le nombre de sous-réseaux requis, déterminez le nombre de

sous-réseaux dont vous avez besoin dans votre réseau. Utilisez la formule 2n, où n est le nombre
de bits. Le résultat doit être au moins égal au nombre de sous-réseaux requis par votre réseau.
Vous pouvez calculer le nombre de bits hôtes requis en utilisant la formule 2n-2, où n est le
nombre de bits.

Question : À votre avis, combien de sous-réseaux cette région requiert-elle ?

Question : Combien d'hôtes déploierez-vous dans chaque sous-réseau ?

Question : Quel masque de sous-réseau utiliserez-vous pour chaque filiale ?

Question : Quelles sont les adresses de sous-réseau pour chaque filiale ?

Question : Quelle est la plage d'adresses d'hôte dans chaque filiale ?

Question : Ce scénario requiert-il des adresses IP publiques ?

Question : Quelles autres adresses IP privées pouvez-vous utiliser ?

Question : Quelles autres recommandations pouvez-vous formuler concernant l'allocation

des adresses IP ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-5

Planification du placement des serveurs DHCP

Afin de garantir le bon fonctionnement
de votre réseau, vous devez déployer
les serveurs DHCP convenablement
dans l'infrastructure réseau.

Trois stratégies de placement des serveurs DHCP

sont possibles :
• Distribuée. Lorsque vous sélectionnez
une infrastructure DHCP distribuée, vous
partez du principe qu'aucun relais BOOTP
(DHCP/Bootstrap Protocol) n'est en place.
Par conséquent, un serveur DHCP est
nécessaire pour chaque sous-réseau. Cette
stratégie est peu pratique pour les grandes organisations, car elle requiert un grand nombre
de serveurs DHCP, ce qui est difficile à gérer.

• Centralisée. Une infrastructure DHCP centralisée place les serveurs DHCP dans un emplacement
central et utilise des relais DHCP/BOOTP pour transférer les demandes émanant des sous-réseaux
distants. Cette stratégie fonctionne bien dans un emplacement unique, mais ne convient pas
aux grandes entreprises dotées de nombreuses liaisons de réseau étendu (WAN). La défaillance
d'une liaison WAN peut empêcher certains clients d'obtenir une adresse IP et d'accéder aux
ressources réseau.

• Combinée. De nombreuses organisations utilisent une infrastructure combinée. Chaque

emplacement WAN dispose de sa propre infrastructure centralisée avec un ou plusieurs
serveurs DHCP. Cela permet la gestion centralisée des serveurs DHCP et évite les problèmes
de fiabilité des liaisons WAN.

Planification de la disponibilité des serveurs DHCP

Il existe plusieurs moyens d'accroître la haute
disponibilité de DHCP et, par conséquent,
d'accroître sa tolérance de panne.

Basculement DHCP
Les clients DHCP renouvellent leurs baux
d'adresse IP à intervalles réguliers configurables.
Si le service DHCP échoue, les baux expirent et
les clients n'ont plus d'adresses IP. Auparavant,
le basculement DHCP n'était pas possible car les
serveurs DHCP étaient indépendants et ignoraient
l'existence les uns des autres. La configuration
de deux serveurs DHCP distincts pour distribuer
le même pool d'adresses a donc pu avoir pour conséquence la présence d'adresses en double. En outre,
la mise à disposition de services DHCP redondants vous obligeait à configurer le clustering et à effectuer
un grand nombre de tâches de configuration et d'analyse manuelles.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-6 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

La nouvelle fonctionnalité de basculement DHCP permet à deux serveurs DHCP de fournir des adresses IP
et des configurations facultatives aux mêmes sous-réseaux ou étendues. Par conséquent, vous pouvez
maintenant configurer deux serveurs DHCP pour répliquer les informations de bail. En cas de défaillance
de l'un des serveurs DHCP, l'autre serveur sert les clients pour l'ensemble du sous-réseau.

Remarque : Dans Windows Server® 2012, vous ne pouvez configurer que

deux serveurs DHCP pour le basculement. En outre, vous pouvez uniquement utiliser
le basculement pour les étendues et les sous-réseaux IPv4 (et pas IPv6).

L'utilisation du basculement DHCP constitue généralement le moyen le plus simple d'assurer

la disponibilité des serveurs DHCP.

Étendue fractionnée
La méthode des étendues fractionnées qui permet d'améliorer la disponibilité des serveurs DHCP
nécessite que deux serveurs DHCP servent chaque sous-réseau. L'étendue de ce sous-réseau est ensuite
fractionnée entre les deux serveurs, en général à l'aide d'un fractionnement 80/20 pour les adresses.
Il n'existe aucune coordination entre serveurs et vous devez créer les réservations sur les deux serveurs.
Pour implémenter la règle du « 80/20 », vous devez créer des étendues en double sur chacun des
deux serveurs DHCP ; chaque étendue doit exclure une plage d'adresses distincte. Prenons l'exemple
du sous-réseau [Link]/24 :

• Sur le serveur DHCP 1, déployé dans le sous-réseau [Link]/24 :

o créez une étendue avec une plage d'adresses de [Link] à [Link] ;

o créez une plage d'exclusion comprenant les 20 % supérieurs de la plage d'adresses ;

autrement dit, [Link] à [Link].

• Sur le serveur DHCP 2, déployé dans le sous-réseau [Link]/24 :

o créez une étendue avec une plage d'adresses de [Link] à [Link] ;

o créez une plage d'exclusion comprenant les 80 % inférieurs de la plage d'adresses ;
autrement dit, [Link] à [Link].

• Enfin, vérifiez que vous implémentez un routeur qui prend en charge le relais DHCP pour
le sous-réseau [Link]/24.

Bien que l'utilisation d'une étendue fractionnée ne nécessite aucun matériel spécial et permette
la redondance automatique, elle requiert que vous configuriez les étendues manuellement
et cette configuration peut être complexe.

Clustering avec basculement

Vous pouvez utiliser le clustering avec basculement pour augmenter la disponibilité d'un serveur DHCP.
Si un nœud du cluster échoue, il redémarre sur un autre nœud de serveur. Cependant, le clustering avec
basculement est plus complexe à implémenter qu'une étendue de fractionnement ou qu'un serveur de
secours. L'inconvénient du clustering avec basculement est que le matériel requis peut s'avérer coûteux.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-7

Serveur de secours
Vous pouvez également utiliser un serveur de secours pour augmenter la disponibilité DHCP.
Vous préconfigurez le serveur de secours avec la configuration DHCP nécessaire, puis vous l'activez
manuellement lorsqu'un autre serveur DHCP subit une défaillance. Cependant, avec un serveur de
secours, vous devez configurer la détection de conflit d'adresse côté serveur pour empêcher l'attribution
d'adresses IP dupliquées. En outre, vous devez disposer d'un mécanisme permettant de synchroniser
la configuration entre le serveur de production et le serveur de secours.

Le principal inconvénient de cette méthode est qu'elle requiert une intervention manuelle en cas
de serveur DHCP défectueux. Cela peut être suffisant pour les réseaux de petite taille, mais dans des
environnements plus importants vous préfèrerez peut-être envisager une des solutions précédentes.

Configuration du basculement DHCP

Pour configurer le basculement DHCP, vous
devez établir une relation de basculement entre
les deux services de serveur DHCP. Vous devez
également affecter à cette relation un nom
unique. Le partenaire de basculement échange ce
nom pendant la configuration. Cela permet à un
serveur DHCP unique d'avoir plusieurs relations
de basculement avec d'autres serveurs DHCP,
à condition que tous les serveurs aient des noms
uniques. Pour configurer le basculement, utilisez
l'Assistant de configuration du basculement.
Pour lancer cet Assistant, vous devez cliquer avec
le bouton droit sur le nœud IP ou le nœud de l'étendue, puis cliquer sur Configurer un basculement.

Vous pouvez configurer le basculement DHCP dans un des deux modes suivants :
• Serveur de secours. Dans ce mode, un serveur est le serveur principal et l'autre est un serveur
secondaire. Le serveur principal affecte activement des configurations IP pour l'étendue ou
le sous-réseau. Le serveur DHCP secondaire assure ce rôle uniquement si le serveur principal
devient indisponible.

Un serveur DHCP peut agir simultanément en tant que serveur principal pour une étendue ou un
sous-réseau, et en tant que serveur secondaire pour une autre étendue ou un autre sous-réseau.
Les administrateurs doivent configurer un pourcentage des adresses d'étendue à attribuer au
serveur de secours. Ces adresses sont fournies pendant le délai de transition maximal du client
(MCLT) si le serveur principal est en panne. La valeur MCLT par défaut est une heure. Le serveur
secondaire prend le contrôle de l'intégralité de la plage IP après l'expiration du délai MCLT.

Le mode du serveur de secours est plus adapté aux déploiements dans lesquels un site de
récupération d'urgence se trouve physiquement à un autre endroit. De cette façon, le serveur DHCP
ne sert pas les clients à moins d'une panne du serveur principal.

• Répartition de la charge. Il s'agit du mode par défaut. Dans ce mode, les deux serveurs
fournissent simultanément la configuration IP aux clients. Le serveur qui répond aux demandes
de configuration IP dépend de la façon dont l'administrateur configure le taux de distribution
de la charge. Le taux par défaut est de 50:50.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-8 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Vous pouvez également configurer les options de basculement DHCP suivantes :

• MCLT

• Intervalle de basculement d'état automatique

• Authentification des messages

• Pare-feu

MCLT
L'administrateur configure le paramètre MCLT pour déterminer la durée pendant laquelle un
serveur DHCP doit patienter lorsqu'un partenaire devient indisponible avant de prendre le contrôle
de l'intégralité de la plage d'adresses. Cette valeur ne peut pas être égale à zéro, et le délai par défaut
est d'une heure.

Intervalle de basculement d'état automatique

Quand un serveur perd le contact avec son partenaire, il passe à l'état Communication interrompue.
Étant donné que le serveur ne peut pas déterminer ce qui provoque la perte de communication, il reste
dans cet état jusqu'à ce que l'administrateur le remplace manuellement par l'état Partenaire hors service.
L'administrateur peut également activer la transition automatique vers l'état Partenaire hors service
en configurant l'intervalle de basculement d'état automatique. La valeur par défaut de cet intervalle
est de 10 minutes.

Authentification des messages

Windows Server 2012 vous permet d'authentifier le trafic des messages de basculement entre les
partenaires de réplication. L'administrateur peut établir un secret partagé, qui agit comme un mot
de passe, dans l'Assistant de configuration du basculement pour le basculement DHCP. Cela valide
que le message de basculement provient du partenaire de basculement.

Éléments à prendre en compte en matière de pare-feu

DHCP utilise le port TCP 647 pour écouter le trafic de basculement. L'installation de DHCP crée les règles
de pare-feu entrant et sortant suivantes :

• Microsoft-Windows-DHCP-Failover-TCP-In

• Microsoft-Windows-DHCP-Failover-TCP-Out

Démonstration : Implémentation du basculement DHCP

Cette démonstration montre comment configurer une relation de basculement DHCP.

Procédure de démonstration
1. Sur LON-SVR1, installez le rôle Serveur DHCP à partir du Gestionnaire de serveur.

2. Ouvrez la console DHCP. Notez qu'aucune étendue n'est configurée.

3. Autorisez le serveur.

4. Basculez vers LON-DC1.

5. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DHCP dans la liste déroulante.

6. Dans la console DHCP, lancez l'Assistant de configuration du basculement.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-9

7. Configurez la réplication du basculement avec les paramètres suivants :

o Serveur partenaire : [Link]

o Nom de la relation : Basculement Adatum

o Délai de transition maximal du client (MCLT) : 10 minutes

o Mode : Équilibrage de charge

o Pourcentage d'équilibrage de charge : 50%

o Intervalle de basculement d'état : 60 minutes

o Secret partagé d'authentification des messages : Pa$$w0rd

8. Exécutez l'Assistant de configuration du basculement.

9. Rebasculez vers LON-SVR1, et notez que le nœud IPv4 est actif et que l'étendue Adatum
est configurée.

Prise en charge d'hôtes IPv6 avec DHCP

Tout au long du processus de configuration
automatique, les hôtes IPv6 peuvent passer
par plusieurs états. Il existe plusieurs façons
d'attribuer une adresse IPv6 et d'autres
paramètres de configuration au cours de ces
états. Selon le mode de configuration que vous
choisissez pour le routeur, un client peut utiliser
une configuration sans état (absence de service
DHCPv6), ou une configuration avec état avec
un serveur DHCPv6. Le client utilise l'une de ces
configurations, soit pour attribuer une adresse IP
et d'autres paramètres de configuration, soit pour
attribuer uniquement d'autres paramètres de configuration. Les autres paramètres de configuration
peuvent comprendre des serveurs DNS et des noms de domaine.

Types de configurations automatiques

Les types de configurations automatiques sont présentés ci-dessous.

• Sans état. Avec la configuration automatique sans état, la configuration d'adresse est uniquement
basée sur la réception des messages d'annonce de routeur.

• Avec état. La configuration avec état se base sur l'utilisation d'un protocole de configuration
d'adresse avec état, tel que DHCPv6, pour obtenir des adresses et d'autres options de configuration :

o Un hôte utilise la configuration d'adresse avec état lorsqu'il reçoit l'instruction de faire ainsi
dans les messages d'annonce de routeur.

o Un hôte utilise également un protocole de configuration d'adresse avec état lorsqu'il n'existe
aucun routeur sur la liaison locale.

• Les deux. La configuration est basée à la fois sur la réception des messages d'annonce de routeur
et sur DHCPv6.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-10 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

États des adresses configurées automatiquement

Les adresses configurées automatiquement adoptent un ou plusieurs des états suivants :

• Provisoire. L'adresse est sur le point d'être vérifiée comme élément unique. La détection d'adresses
en double se charge de la vérification. Un nœud ne peut pas recevoir de données du trafic
de monodiffusion sur une adresse provisoire.

• Valide. L'adresse a été vérifiée comme étant unique et peut envoyer et recevoir du trafic
de monodiffusion.

• Préféré. L'adresse permet à un nœud d'envoyer et de recevoir des données du trafic

de monodiffusion.

• Déconseillé. L'adresse est valide mais son utilisation est déconseillée pour une nouvelle
communication.

• Non valide. L'adresse ne permet plus à un nœud d'envoyer ou de recevoir le trafic de monodiffusion.

Pourquoi utiliser la configuration avec état ?

L'utilisation de la configuration avec état permet aux organisations de contrôler la manière dont
les adresses IPv6 sont affectées au moyen du protocole DHCPv6.

S'il existe des options d'étendue spécifiques que vous devez configurer, telles que les adresses IPv6
des serveurs DNS, un serveur DHCPv6 est nécessaire.

Communication avec un serveur DHCP

Lorsque le protocole IPv6 tente de communiquer avec un serveur DHCP, il utilise des adresses
de multidiffusion IPv6 pour communiquer avec le serveur DHCP. Ce comportement diffère
du protocole IPv4 qui utilise des adresses de diffusion IPv4.

Instructions pour la conception d'une solution DHCP

Suivez les instructions ci-dessous lors de
la conception d'une infrastructure DHCP :

• Virtualisez les serveurs DHCP dans le cadre

d'un effort de consolidation de serveurs ;
dans la mesure où ils utilisent peu de
ressources, ils sont tout à fait appropriés
à la virtualisation.

• Planifiez une infrastructure DHCP combinée

en fonction des caractéristiques réseau telles
que les liaisons WAN et leur fiabilité.

• Faites en sorte que DHCP soit un service

à haut niveau de disponibilité dans votre organisation de manière à être certain que les clients
peuvent accéder aux ressources réseau.

• Limitez chaque serveur DHCP à un maximum de 1 000 étendues dans les infrastructure DHCP
centralisées et combinées.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-11

Leçon 2
Planification et implémentation des étendues DHCP
Lorsque vous configurez une étendue DHCP, vous avez le choix entre plusieurs options de configuration.
Vous devez planifier la manière de déterminer la durée des baux, d'implémenter des étendues globales,
d'utiliser des réservations et d'implémenter des options au niveau de la classe DHCP. Ces considérations
simplifieront la gestion de votre infrastructure DHCP.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• expliquer comment déterminer la durée de bail DHCP appropriée ;

• expliquer comment implémenter des étendues globales, le cas échéant ;

• expliquer comment utiliser les réservations DHCP pour prendre en charge des clients spécifiques ;

• décrire les classes d'option DHCP ;

• décrire les attributions basées sur des stratégie DHCP.

Détermination de la durée de bail DHCP

DHCP alloue dynamiquement des configurations
IP aux ordinateurs qui en font la demande ;
ce principe est appelé bail. Lorsque le bail DHCP
atteint 50 % de sa durée totale, l'ordinateur
client essaie de le renouveler. La durée de bail
par défaut pour les clients câblés est de huit jours,
mais vous pouvez configurer cette durée
différemment.

Remarque : Les ordinateurs clients tentent

également de renouveler le bail lors du processus
de démarrage.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-12 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Lorsque vous déterminez la durée des baux, tenez compte des éléments suivants :

• Trafic réseau. Les durées de bail courtes génèrent un trafic réseau supplémentaire dans la mesure
où les clients renouvellent leurs baux plus souvent. Dans la plupart des réseaux, le trafic généré
par les requêtes DHCP est minimal et donc peu susceptible d'affecter les performances. Toutefois,
cela peut être problématique lorsque vous utilisez une infrastructure centralisée sur des liaisons
de réseau étendu.

• Réutilisation des adresses. Les clients itinérants (tels que les ordinateurs portables) obtiennent une
adresse IP qui ne peut être réutilisée par d'autres clients qu'à l'expiration du bail. Dans une situation
où le nombre de clients itinérants est important, cela peut entraîner une diminution rapide d'un
espace d'adressage étendu, même si les clients itinérants n'utilisent plus activement les adresses.

• Modification. Si les clients disposent de baux de longue durée, il peut être plus difficile de modifier
la configuration des adresses IP et les options DHCP. Par exemple, un ordinateur disposant d'un
bail de 60 jours peut conserver ces informations pendant 60 jours sans mise à jour. Cependant,
les nouvelles informations d'adressage sont généralement obtenues à la moitié de la durée
du bail, lorsque le client tente un renouvellement.

Implémentation d'étendues globales

Les étendues globales ne sont pertinentes
que lorsqu'un segment réseau physique unique
comporte plusieurs sous-réseaux. Par exemple,
imaginez un emplacement physique ayant
ajouté des clients et s'étant développé au-delà
du nombre d'adresses disponibles dans un seul
sous-réseau. Si l'adressage IP n'a pas été effectué
convenablement, il se peut qu'il ne soit pas
possible de créer un super-réseau en associant
les deux adresses, auquel cas elles devront
être gérées comme deux réseaux distincts.

Dans ce scénario, vous pouvez utiliser

des étendues globales pour regrouper les étendues sur un seul segment physique. Vous configurez un
serveur DHCP avec une étendue pour chaque sous-réseau, puis associez les étendues dans une étendue
globale unique. Ainsi, le serveur DHCP est configuré de manière à reconnaître que les deux étendues
se trouvent sur un seul segment physique.

Sans étendue globale, le serveur DHCP envoie une offre de bail à chaque étendue. Avec une étendue
globale en place, le serveur DHCP envoie une seule offre de bail.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-13

Utilisation des réservations DHCP

Les réservations DHCP permettent
d'attribuer la même adresse IP à un périphérique
chaque fois qu'il loue une adresse auprès
de DHCP. Dans la réservation, l'adresse MAC
(Media Access Control) du périphérique identifie
le périphérique. Les réservations DHCP vous
permettent d'attribuer une configuration IP
spécifique à un hôte particulier, sans devoir
configurer cet hôte manuellement.

Les réservations sont une alternative à l'utilisation

d'adresses IP statiques pour des périphériques.
Les réservations sont également plus faciles à
gérer que les adresses IP statiques, car vous n'avez pas besoin d'intervenir physiquement sur le
périphérique à configurer pour apporter une modification ; il vous suffit de modifier la réservation et
le périphérique est mis à jour avec les nouvelles informations de configuration IP lors du renouvellement
de bail suivant.

Classes d'options DHCP

Lors de la conception de votre implémentation
DHCP, vous devez déterminer si vous utiliserez
des classes d'options dans votre entreprise.
Vous utilisez des classes d'options pour fournir
des configurations uniques à des types
d'ordinateurs clients spécifiques. L'implémentation
Windows Server 2012 de DHCP prend en charge
deux types de classes d'options : les classes
définies par le fournisseur et les classes définies
par l'utilisateur.

Classes définies par le fournisseur

Un client DHCP peut utiliser des classes définies
par le fournisseur pour identifier son type de fournisseur et pour le configurer sur le serveur DHCP lors
de l'obtention d'un bail. Le client doit inclure l'option d'ID de classe de fournisseur (code d'option 60)
quand il demande ou sélectionne un bail à partir d'un serveur DHCP.

Classes définies par l'utilisateur

Les classes définies par l'utilisateur identifient un client DHCP d'après son type. Le type d'un client fait
référence à des caractéristiques, par exemple une connexion d'accès à distance ou un ordinateur portable.
Configurez des classes définies par l'utilisateur pour gérer les options DHCP que vous voulez attribuer aux
clients qui requièrent une configuration classique. Vous pouvez utiliser les classes définies par l'utilisateur
pour remplacer des options par défaut telles qu'une passerelle par défaut.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-14 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Attribution basée sur la stratégie DHCP

Windows Server 2012 présente une nouvelle
fonctionnalité basée sur la stratégie que vous
pouvez utiliser pour regrouper des ordinateurs
clients en fonction des attributs stockés dans
les paquets de requêtes d'un client DHCP.
Cette fonctionnalité vous permet d'administrer
les clients DHCP de manière plus précise
et plus ciblée.

Vous pouvez utiliser les champs suivants dans

le paquet de requête d'un client DHCP pour
identifier et classer les clients par catégorie :

• Classe de fournisseur
• Classe d'utilisateur

• Adresse MAC

• Identificateur du client
• Informations de l'agent de relais

Après avoir déterminé les caractéristiques de votre client DHCP à partir des données contenues
dans les champs, vous pouvez utiliser votre stratégie pour :
• affecter des adresses d'une plage particulière ;

• attribuer des options DHCP standard ;

• attribuer des options DHCP spécifiques au fournisseur.

L'attribution basée sur des stratégies prend en charge les scénarios classiques suivants :

• Plusieurs types de périphériques. Vous pouvez définir des caractéristiques d'adressage IP en

fonction du type de périphérique. Pour ce faire, créez des stratégies spécifiques qui attribuent
des configurations aux périphériques répondant aux critères de vos stratégies de périphérique.
Par exemple, vous pouvez allouer des plages d'adresses IP spécifiques aux périphériques d'impression.

• Plusieurs rôles. Vous pouvez utiliser l'attribution basée sur des stratégies pour allouer des
configurations IP en fonction du rôle d'un client DHCP. Par exemple, vous pouvez allouer
aux serveurs des baux plus long que ceux que vous allouez aux ordinateurs clients.

• Virtualisation. Si vous souhaitez différencier les ordinateurs physiques et les ordinateurs virtuels
pour l'adressage IP, vous pouvez utiliser l'attribution basée sur la stratégie à cet effet.

La fonctionnalité d'attribution basée sur la stratégie DHCP offre une plus grande flexibilité
et un meilleur contrôle que les classes d'options DHCP.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-15

Leçon 3
Planification et implémentation d'une stratégie
d'approvisionnement IPAM
Les petits réseaux sont relativement faciles à administrer, au moins sur le plan de la gestion de la
configuration IP. Vous pouvez même ne pas avoir besoin d'implémenter de services réseau pour
allouer des adresses IP. Par exemple, lorsqu'un utilisateur connecte un nouvel ordinateur portable à
votre réseau, vous pouvez configurer le point d'accès sans fil pour allouer la configuration IP nécessaire.

Cependant, les réseaux plus importants, en particulier les réseaux d'entreprise, sont différents.
Vous devez gérer l'introduction de nouveaux ordinateurs et périphériques, en particulier l'allocation
de leurs configurations IP. Auparavant, les administrateurs devaient se battre avec un ensemble d'outils
et de procédures manuelles pour gérer ce processus, mais avec Windows Server 2012, vous pouvez
désormais utiliser la fonctionnalité de gestion des adresses IP (IPAM), qui fournit une infrastructure
complète pour toutes les tâches de gestion.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire l'IPAM ;

• décrire l'architecture IPAM ;

• décrire la configuration requise pour les déploiements d'IPAM ;

• décrire les éléments à prendre en compte pour l'implémentation d'IPAM ;

• expliquer comment gérer l'adressage IP à l'aide d'IPAM ;

• expliquer comment gérer et surveiller l'IPAM ;

• installer et configurer l'IPAM.

Qu'est-ce que la gestion des adresses IP (IPAM) ?

La gestion de l'allocation des adresses IP peut
être une tâche complexe dans les réseaux de
grande taille. L'IPAM fournit une infrastructure
qui permet de détecter, auditer et gérer
l'espace d'adressage IP de votre réseau.
Cette fonctionnalité vous permet également
de surveiller et d'administrer DHCP et DNS,
et fournit une vue complète des endroits
où les adresses IP sont utilisées.

Vous pouvez configurer l'IPAM de manière

à recueillir des statistiques des contrôleurs
de domaine et des serveurs de stratégie réseau.
Les données obtenues sont enregistrées dans la base de données interne de Windows®.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-16 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Les avantages d'IPAM sont les suivants :

• planification et allocation de l'espace d'adressage IPv4 et IPv6 ;

• contrôle des statistiques et des tendances d'utilisation de l'espace d'adressage IP ;

• gestion de l'inventaire des IP statiques, gestion de la durée de vie, et création et suppression

d'enregistrements DHCP et DNS ;
• contrôle du service et des zones des services DNS ;

• suivi des baux d'adresses IP et des événements d'ouverture de session ;

• contrôle d'accès basé sur les rôles (RBAC) ;

• prise en charge de l'administration à distance via les outils d'administration de serveur distant (RSAT).

L'IPAM se compose de quatre modules qui offrent les fonctionnalités suivantes :

• Découverte IPAM. Configurez l'IPAM de manière à utiliser les services de domaine Active Directory®
(AD DS) pour découvrir les serveurs exécutant Windows Server 2008, Windows Server 2008 R2
ou Windows Server 2012, et qui sont contrôleurs de domaine ou sur lesquels DNS ou DHCP est
installé. Vous pouvez également ajouter des serveurs manuellement.
• Gestion de l'espace d'adressage IP. Vous pouvez utiliser ce module pour afficher, surveiller et
gérer l'espace d'adressage IP. Vous pouvez émettre dynamiquement ou attribuer statiquement
des adresses. Vous pouvez également suivre l'utilisation des adresses et détecter les étendues DHCP
qui se chevauchent.

• Gestion et surveillance de plusieurs serveurs. Vous pouvez gérer et surveiller plusieurs serveurs DHCP.
Cela permet d'exécuter des tâches sur plusieurs serveurs. Par exemple, vous pouvez configurer
et modifier des propriétés et des étendues de DHCP, et suivre le statut de DHCP et l'utilisation
des étendues. Vous pouvez également surveiller plusieurs serveurs DNS, et surveiller l'intégrité
et le statut des zones DNS dans les serveurs DNS faisant autorité.

• Audit opérationnel et suivi des adresses IP. Vous pouvez utiliser les outils d'audit pour
suivre les éventuels problèmes de configuration. Vous pouvez collecter, gérer et afficher les
détails des modifications de configuration des serveurs DHCP gérés. Vous pouvez également
collecter des informations de suivi des baux d'adresses auprès des journaux de bail DHCP,
et collecter des informations sur les événements de connexion auprès des serveurs NPS et
des contrôleurs de domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-17

Architecture d'IPAM
IPAM comprend les deux composants principaux
suivants :

• Serveur IPAM. Le serveur IPAM exécute la

collecte des données auprès des serveurs
gérés. Il gère également la base de données
interne de Windows et permet de bénéficier
du contrôle d'accès basé sur les rôles.

• Client IPAM. Le client IPAM fournit l'interface

de l'ordinateur client et interagit avec
le serveur IPAM en appelant les applets
de commande Windows PowerShell® pour
effectuer les tâches de configuration DHCP,
de surveillance de DNS et de gestion à distance.

Lorsque vous déployez l'IPAM, vous pouvez choisir parmi les trois topologies suivantes :

• Distribuée. Vous déployez un serveur IPAM sur chaque site dans la forêt.

• Centralisée. Vous déployez un seul serveur IPAM pour l'intégralité de votre forêt.

• Hybride. Outre le serveur IPAM centralisé, vous déployez également un serveur IPAM sur chaque site.

Conditions requises pour le déploiement d'IPAM

Afin de s'assurer de l'implémentation
correcte d'IPAM, l'infrastructure réseau
de votre organisation doit respecter
plusieurs conditions requises :

• Le serveur IPAM doit être un membre

du domaine, mais ne peut pas être
un contrôleur de domaine.

• Le serveur IPAM doit être un serveur dédié.

Vous ne devez pas installer d'autres rôles
réseau, tels que DHCP ou DNS, sur le même
serveur.
• Pour gérer l'espace d'adressage IPv6, IPv6 doit être activé sur le serveur IPAM.

• Connectez-vous au serveur IPAM avec un compte de domaine, et non un compte local.

• Vous devez être membre du groupe de sécurité local IPAM correct sur le serveur IPAM.

• La journalisation des événements d'ouverture de session de compte doit être activée sur le contrôleur
de domaine et les serveurs NPS pour les fonctionnalités de suivi et d'audit des adresses IP d'IPAM.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-18 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Le serveur sur lequel vous prévoyez d'installer l'IPAM doit répondre aux configurations matérielle
et logicielle suivantes :

• processeur double cœur de 2,0 gigahertz (GHz) ou plus ;

• système d'exploitation Windows Server 2012 ;

• 4 gigaoctets (Go) de mémoire vive (RAM) ou plus ;

• 80 Go d'espace disponible sur le disque dur.

Éléments à prendre en compte pour le déploiement d'IPAM

Lorsque vous concevez un déploiement d'IPAM,
prenez en considération les éléments suivants :

• IPAM ne peut gérer qu'une forêt AD DS

unique.

• IPAM ne doit pas être installé sur un

contrôleur de domaine, un serveur DHCP
ou un serveur DNS.

• Les serveurs IPAM ne communiquent

pas entre eux ou ne partagent pas
d'informations sur la base de données.
Si vous déployez plusieurs serveurs IPAM,
vous devez personnaliser l'étendue de la découverte de chaque serveur.
• Vous pouvez définir la portée de la découverte à un sous-ensemble de domaines dans la forêt.

• Un seul serveur IPAM peut prendre en charge jusqu'à :

o 150 serveurs DHCP et 500 serveurs DNS ;

o 6 000 étendues DHCP et 150 zones DNS.

• IPAM stocke trois années de données d'analyse (baux d'adresse IP, adresses hôtes MAC, informations
relatives aux connexions et déconnexions de l'utilisateur) pour 100 000 utilisateurs dans la base
de données interne de Windows. Aucune stratégie de purge de base de données n'est fournie,
et l'administrateur doit vider les données manuellement en fonction des besoins.

• IPAM prend uniquement en charge la base de données interne de Windows. Aucune base
de données externe n'est prise en charge.

• Les tendances d'utilisation des adresses IP sont fournies uniquement pour IPv4.

• La prise en charge des réclamations liées aux adresses IP est assurée uniquement pour IPv4.
• IPAM ne vérifie pas la compatibilité des adresses IP avec les routeurs et les commutateurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-19

Gestion de l'adressage IP à l'aide d'IPAM

La gestion de l'espace d'adressage IP vous
permet de gérer, suivre, auditer et créer des
rapports sur les espaces d'adressage IPv4 et IPv6
de votre organisation. La console de l'espace
d'adressage IP d'IPAM fournit des statistiques
d'utilisation des adresses IP et des données
d'historique des tendances pour vous permettre
de prendre des décisions informées sur la
planification des espaces d'adressage dynamique,
statique et virtuel. Les tâches périodiques d'IPAM
découvrent automatiquement les données
relatives à l'espace d'adressage et à l'utilisation,
comme configuré sur les serveurs DHCP gérés dans IPAM. Vous pouvez également importer
des informations d'adresse IP à partir de fichiers .csv.

IPAM vous permet également de détecter les plages d'adresses IP se chevauchant définies
sur différents serveurs DHCP, de trouver des adresses IP libres dans une plage, de créer
des réservations DHCP, et de créer des enregistrements DNS.

IPAM fournit un certain nombre de façons de filtrer l'affichage de l'espace d'adressage IP.
Vous pouvez personnaliser la façon dont vous affichez et gérez l'espace d'adressage IP à l'aide
de l'un des modes d'affichage suivants :

• Blocs d'adresses IP
• Plages d'adresses IP

• Adresses IP

• Inventaire d'adresses IP
• Groupes de plages d'adresses IP

Blocs d'adresses IP
Les blocs d'adresses IP sont les entités de plus haut niveau au sein d'une organisation d'espace
d'adressage IP. Un bloc IP est un sous-réseau IP marqué par une adresse IP de début et une adresse IP
de fin. Vous pouvez utiliser les blocs d'adresses IP pour créer des plages d'adresses IP et les allouer
au DHCP. Vous pouvez ajouter, importer, modifier et supprimer des blocs d'adresses IP. IPAM mappe
automatiquement les plages d'adresses IP au bloc d'adresses IP approprié selon les limites de la plage.

Plages d'adresses IP
Les plages d'adresses IP sont les entités d'espace d'adressage IP d'un niveau hiérarchique supérieur
aux blocs d'adresses IP. Une plage d'adresses IP est un sous-réseau IP marqué par une adresse IP de début
et une adresse IP de fin. Les plages d'adresses IP correspondent généralement à une étendue DHCP, une
plage d'adresse IPv6 ou IPv4 statique, ou à un pool d'adresses qui est utilisé pour attribuer des adresses
aux hôtes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-20 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Adresses IP
Les adresses IP sont les adresses qui composent la plage d'adresses IP. IPAM permet la gestion de bout
en bout du cycle de vie des adresses IPv4 et IPv6, y compris la synchronisation des enregistrements avec
les serveurs DHCP et DNS. IPAM mappe automatiquement une adresse à la plage appropriée, en fonction
de l'adresse de début et de l'adresse de fin de la plage.

Inventaire d'adresses IP
Le mode Inventaire d'adresses IP vous permet d'afficher la liste de toutes les adresses IP de l'entreprise
avec leurs noms et types de périphériques. L'inventaire d'adresses IP est un groupe logique figurant
dans l'affichage des adresses IP. Ce groupe vous permet de personnaliser la façon dont votre espace
d'adressage s'affiche pour gérer et suivre l'utilisation des IP.

Groupes de plages d'adresses IP

IPAM vous permet d'organiser les plages d'adresses IP en groupes logiques. Par exemple, vous pouvez
organiser les plages d'adresses IP par situation géographique ou par division de l'entreprise. Les groupes
logiques sont définis en sélectionnant les critères de regroupement à partir de champs intégrés
ou personnalisés définis par l'utilisateur.

Surveillance et gestion des serveurs DHCP et DNS

IPAM active la surveillance automatisée et périodique de service des serveurs DHCP et DNS dans
une forêt. La surveillance et la gestion des serveurs DHCP et DNS sont organisées en vues répertoriées
dans le tableau suivant.

Vue Description

Serveurs DNS Par défaut, les serveurs DHCP et DNS gérés sont organisés en
et DHCP fonction de leur interface réseau en sous-réseaux/16 pour IPv4
et sous-réseaux/48 pour IPv6. Vous pouvez sélectionner la vue
de manière à afficher uniquement les propriétés d'étendue DHCP,
uniquement les propriétés de serveur DNS, ou les deux.

Étendues DHCP L'affichage des étendues DHCP permet de surveiller l'utilisation des
étendues. Des statistiques d'utilisation sont collectées périodiquement
et automatiquement auprès d'un serveur DHCP géré. Vous pouvez
suivre les propriétés d'étendue importantes telles que Nom, ID,
Préfixe Longueur et État.

Analyse des L'analyse est activée pour les zones de recherche directe et inversée.
zones DNS L'état de la zone dépend des événements collectés par IPAM.
L'état de chaque zone est résumé.

Groupes de serveurs Vous pouvez organiser vos serveurs DHCP et DNS gérés en groupes
logiques. Par exemple, vous pouvez organiser les serveurs par unité
d'organisation ou zone géographique. Vous définissez les groupes en
sélectionnant les critères de regroupement des champs personnalisés
intégrés ou définis par l'utilisateur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-21

Gestion et surveillance d'IPAM

La fonctionnalité de gestion de l'espace
d'adressage d'IPAM vous permet d'afficher,
de surveiller et de gérer l'espace d'adressage IP
sur le réseau. Cette fonction prend en charge
les adresses IPv4 publiques et privées, et les
adresses IPv6 globales et de monodiffusion

Surveillance de l'utilisation
IPAM gère les données relatives
à l'utilisation pour :

• les plages d'adresses IP ;

• les blocs d'adresses IP ;

• les groupes de plages d'adresses IP.

Vous pouvez configurer des seuils pour le pourcentage de l'espace d'adressage IP utilisé, puis utiliser
ces seuils pour déterminer la sous-utilisation ou la sur-utilisation.

Vous pouvez créer et générer des rapports sur les tendances d'utilisation des plages, des blocs
et des groupes de plages d'adresses IPv4.

Surveillance de DHCP et DNS

Avec IPAM, vous pouvez surveiller les serveurs DHCP et DNS à partir de n'importe quel emplacement
physique de l'entreprise. L'un des principaux avantages d'IPAM est sa capacité à gérer simultanément
plusieurs serveurs DHCP ou étendues DHCP réparties sur un ou plusieurs serveurs DHCP.

L'affichage de la surveillance d'IPAM vous permet de vérifier l'état et l'intégrité d'une sélection
de serveurs DNS et DHCP Windows Server à partir d'une seule console. IL affiche l'état d'intégrité
de base des serveurs et les événements de configuration récents qui se sont produits sur ces serveurs.
Cet affichage vous permet également d'organiser les serveurs gérés en groupes de serveurs logiques.

Pour les serveurs DHCP, l'affichage des serveurs vous permet de suivre divers paramètres de serveur,
les options de serveur, le nombre d'étendues et le nombre de baux actifs configurés sur le serveur. Pour
les serveurs DNS, ce mode d'affichage vous permet de suivre toutes les zones configurées sur le serveur,
ainsi que les informations sur le type de zone. Ce mode d'affichage vous permet également d'afficher
le nombre total de zones configurées sur le serveur, et l'état de l'intégrité générale de la zone provenant
de l'état des zones individuelles sur le serveur.

Gestion du serveur DHCP

À partir de la console IPAM, vous pouvez gérer les serveurs DHCP et exécuter les actions suivantes :

• modifier les propriétés de serveur DHCP ;

• modifier les options de serveur DHCP ;

• créer des étendues DHCP ;

• configurer des options et valeurs prédéfinies ;

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-22 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

• configurer la classe d'utilisateur sur plusieurs serveurs simultanément ;

• créer et modifier les classes d'utilisateur nouvelles et existantes sur plusieurs serveurs simultanément ;

• configurer la classe de fournisseur sur plusieurs serveurs simultanément ;

• démarrer la console de gestion pour un serveur DHCP sélectionné ;

• récupérer les données de serveur de plusieurs serveurs.

Gestion de serveur DNS

Vous pouvez démarrer la console de gestion DNS pour n'importe quel serveur DNS géré d'une
console centrale dans le serveur IPAM, et récupérer des données de serveur de l'ensemble de serveurs
sélectionnés. L'affichage Analyse des zones DNS affiche toutes les zones de recherche directe et de
recherche inversée sur tous les serveurs DNS qu'IPAM gère actuellement. Pour les zones de recherche
directe, IPAM affiche également tous les serveurs qui hébergent la zone et l'intégrité globale de la zone
sur tous ces serveurs et les propriétés de zone.

Catalogue d'événements
Le catalogue d'événements d'IPAM fournit un référentiel centralisé pour auditer toutes les modifications
de configuration qui sont effectuées sur les serveurs DHCP gérés à partir d'une console de gestion
IPAM unique. La console d'événements de configuration d'IPAM rassemble tous les événements de
configuration. Les catalogues d'événements de configuration vous permettent d'afficher, d'interroger
et de générer des rapports sur les modifications de configuration consolidées, ainsi que des détails
spécifiques à chaque enregistrement.

Démonstration : Implémentation d'IPAM

Cette démonstration vous explique également comment :

• installer IPAM ;
• configurer IPAM.

Procédure de démonstration

Installer IPAM
• Sur LON-SVR2, dans le Gestionnaire de serveur, ajoutez la fonctionnalité IPAM et toutes
les fonctionnalités de support requises.

Configurer IPAM
1. Dans le volet Vue d'ensemble d'IPAM, configurez le serveur IPAM en utilisant la stratégie de groupe.

2. Entrez IPAM comme préfixe de nom d'objet de stratégie de groupe (GPO) et configurez IPAM.

3. Dans le volet Vue d'ensemble d'IPAM, configurez la découverte de serveurs pour le domaine Adatum.
4. Dans le volet Vue d'ensemble d'IPAM, démarrez le processus de découverte de serveurs.

5. Dans le volet Vue d'ensemble d'IPAM, ajoutez les serveurs à gérer.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-23

6. Vérifiez que l'accès à IPAM est actuellement bloqué.

7. Utilisez Windows PowerShell pour accorder au serveur IPAM l'autorisation de gérer LON-DC1 à l'aide
de la commande suivante :

Invoke-IpamGpoProvisioning –Domain [Link] –GpoPrefixName IPAM –IpamServerFqdn

[Link] –DelegatedGpoUser Administrateur

8. Définissez le champ État de gérabilité sur Géré pour les deux serveurs.

9. Basculez vers LON-DC1 et forcez la mise à jour de la stratégie de groupe.

10. Basculez vers LON-SVR1 et forcez la mise à jour de la stratégie de groupe.

11. Rebasculez vers LON-SVR2 et actualisez la vue IPv4.

12. Dans le volet Présentation d'IPAM, récupérez les données du serveur géré.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-24 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Atelier pratique : Conception et gestion d'une solution

de gestion d'adresses et de configuration IP
Scénario
Au fil des ans, la configuration et la gestion des adresses IP au sein de la société A. Datum Corporation
a principalement été menée de manière réactive. Un des services a récemment eu besoin d'un nouveau
serveur et une configuration IP a été allouée. Le protocole DHCP a été introduit pour automatiser
et centraliser les allocations d'adresses IP, mais l'introduction de ce service d'infrastructure principal
a souvent été planifiée de façon incorrecte. En conséquence, les configurations IP ont été allouées
aux périphériques de façon peu logique.

Durant la migration planifiée vers Windows Server 2012, le service informatique d'A. Datum a considéré
qu'il s'agissait d'une occasion d'implémentation de la fonctionnalité IPAM avec Windows Server 2012.
Après avoir sélectionné un modèle d'adressage approprié pour le réseau de Contoso, Ltd, vous devez
prévoir la meilleure façon d'utiliser IPAM pour gérer votre stratégie d'adressage IP ; vous devez décider
s'il est préférable de centraliser ou de distribuer la topologie, vous devez choisir les éléments à intégrer
à IPAM (DNS ou DHCP) et décider de la manière de sécuriser au mieux IPAM.
Après avoir sélectionné une configuration adaptée d'IPAM, vous devez également réfléchir à la façon
d'allouer l'adressage IP au serveur et aux ordinateurs clients à l'aide du protocole DHCP. Il est important
que le service DHCP dispose d'un haut niveau de disponibilité.

Objectifs
À la fin de cet atelier pratique, vous serez à même d'effectuer les tâches suivantes :

• concevoir un modèle d'adressage IP ;

• planifier DHCP pour la prise en charge du schéma que vous proposez ;

• planifier un déploiement d'IPAM ;

• implémenter DHCP et IPAM.

Configuration de l'atelier pratique

Durée approximative : 75 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-SVR1
22413B-LON-SVR2

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V®, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions, cliquez
sur Démarrer.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-25

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Ouvrez une session en utilisant les informations d'authentification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

5. Répétez les étapes 2 à 4 pour 22413B-LON-SVR1 et 22413B-LON-SVR2.

Exercice 1 : Conception d'un modèle d'adressage IP pour Contoso

(facultatif)
Scénario
Les acquisitions prévues de Trey Research et de Contoso, Ltd présentent quelques difficultés de
planification pour le service informatique de la société A. Datum. Chaque organisation a implémenté
différemment un modèle d'adressage et de configuration IP. Par conséquent, vous avez été chargé
de réévaluer la conception de Contoso, puis plus tard, de Trey Research.

Étant donné que la société Contoso n'a aucun serveur Windows déployé et qu'elle utilise une
infrastructure entièrement UNIX, vous avez décidé de commencer par évaluer sa configuration IP.

Documentation fournie avec le produit

Réseau de Contoso

Emplacements des concentrateurs régionaux européens

Emplacement Nombre de serveurs Nombre d'utilisateurs Filiales

Paris (siège social) 10 1 800 (le nombre d'utilisateurs 0

prévus est de 4 700)

Munich 2 250 3

Barcelone 2 200 5

Rome 3 250 5

Athènes 2 200 2
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-26 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Filiale européenne/emplacements régionaux de distribution

Emplacement Nombre de serveurs Nombre d'utilisateurs (total) Filiales

Allemagne 1 à chaque emplacement 100 3

Espagne 1 à chaque emplacement 250 5

Italie 1 à chaque emplacement 250 5

Grèce 1 à chaque emplacement 75 2

Modèle d'adressage IP de Contoso

Numéro de référence du document : BS01107/1

Auteur du document Brad Sutton

Date 11 juillet

Présentation des exigences

Conception d'un modèle d'adressage IP pour Contoso, Ltd de manière à atteindre
l'objectif suivant :
• Vous devez sélectionner un modèle d'adressage IP qui couvre le nombre d'hôtes
et d'emplacements existants et prévus au sein de Contoso, et qui s'intègre au modèle
actuellement en place chez A. Datum. Vous n'avez pas besoin de prendre en compte
Trey Research pour le moment.

Informations supplémentaires
• A. Datum implémente actuellement des adresses IP privées dans la plage 172.16/16.
• Des routeurs connectent les sièges sociaux d'A. Datum (Londres), Contoso (Paris)
et Trey Research (Londres).
• Des routeurs connectent les différents concentrateurs régionaux et sièges sociaux chez
Contoso.
• Contoso utilise actuellement une solution d'email hébergé mais prévoit de déployer
prochainement Microsoft® Exchange Server conformément à la stratégie de messagerie
d'A. Datum.
• Chaque concentrateur régional dispose d'une connexion à Internet.
• Les filiales et les centres de distribution régionaux utilisent le concentrateur régional
le plus proche pour la connectivité Internet.
• Les connexions Internet sont protégées au niveau des concentrateurs régionaux
à l'aide de pare-feu trois phases.
• L'administrateur d'A. Datum a proposé d'allouer à Contoso un bloc d'adresses allant
de [Link]/19 à [Link]/19.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-27

(suite)

Modèle d'adressage IP de Contoso

Propositions
1. Quelles ressources requièrent des adresses IPv4 publiques ?

2. Combien d'adresses IPv4 publiques sont requises ?

3. Quelle adresse réseau interne utiliserez-vous ?

4. Quel masque de sous-réseau utiliserez-vous pour les filiales ou les centres de distribution ?

5. Quel masque de sous-réseau utiliserez-vous pour les sites concentrateur régionaux ?

6. Quel masque de sous-réseau utiliserez-vous pour Contoso ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de propositions en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de propositions en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Modèle d'adressage IP de Contoso.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-28 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez sélectionné un modèle d'adressage IP approprié pour
Contoso.

Exercice 2 : Planification du protocole DHCP

(Dynamic Host Configuration Protocol) pour la prise
en charge du modèle proposé
Scénario
Vous devez à présent rechercher le meilleur emplacement pour les serveurs DHCP au sein
de l'organisation Contoso pour la prise en charge du modèle d'adressage proposé.

Documentation fournie avec le produit

Stratégie de déploiement DHCP de Contoso

Numéro de référence du document : BS01107/2

Auteur du document Brad Sutton

Date 11 juillet

Présentation des exigences

Planification d'une stratégie de déploiement DHCP afin que Contoso atteigne les objectifs
suivants :
• Tous les ordinateurs serveur et clients doivent pouvoir obtenir automatiquement une
configuration IPv4.
• Il est important que votre modèle prévoie la haute disponibilité du rôle DHCP. Une défaillance
d'un serveur DHCP n'importe où au sein de l'organisation Contoso ne doit pas empêcher
les clients d'obtenir une adresse IP.

Informations supplémentaires
• Les routeurs sont compatibles DHCP ; ils prennent en charge la propagation du trafic
de diffusion DHCP.
• La prise en charge d'IPv6 n'est pas requise pour le moment.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-29

(suite)

Stratégie de déploiement DHCP de Contoso

Propositions
1. Comment les clients et serveurs du siège social à Paris doivent-ils obtenir une
configuration IP ?

2. Comment les clients des bureaux concentrateur régionaux doivent-ils obtenir

une configuration IP ?

3. Comment fournirez-vous la haute disponibilité pour DHCP dans le bureau de Paris ?

4. Comment fournirez-vous la haute disponibilité pour DHCP dans les sites concentrateur
régionaux ?

5. Combien d'étendues devez-vous configurer sur les serveurs DHCP dans les sites
concentrateur régionaux ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de propositions en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de propositions en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie de déploiement DHCP
de Contoso.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-30 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez planifié DHCP pour la prise en charge du modèle
d'adressage IP de Contoso.

Exercice 3 : Planification d'un déploiement de gestion des adresses IP

(IPAM)
Scénario
La taille et la complexité croissantes du réseau signifie que l'approche historiquement réactive pour la
configuration et la gestion IP n'est plus acceptable. Après avoir conçu avec succès une configuration IP
pour Contoso, vous devez maintenant réfléchir à la manière d'implémenter au mieux IPAM au sein
d'A. Datum, puis de Contoso et de Trey Research. En particulier, vous devez décider si le déploiement
du rôle IPAM doit s'effectuer de façon distribuée ou centralisée.

Documentation fournie avec le produit

Plan de déploiement d'IPAM pour A. Datum

Numéro de référence du document : BS01207/1

Auteur du document Brad Sutton

Date 12 juillet

Présentation des exigences

Planification d'un déploiement d'IPAM de manière à ce qu'A. Datum atteigne les objectifs
suivants :
• La gestion des adresses IP doit être préalablement déployée au sein d'A. Datum.
• Par la suite, Contoso et Trey Research doivent être incluses dans la stratégie.

Informations supplémentaires
• Les serveurs de stratégie réseau sont déployés au sein d'A. Datum afin de prendre en charge
les connexions de réseau privé virtuel (VPN).
• Windows Server 2012 et Windows Server 2008 R2 sont déployés au sein d'A. Datum.
Les contrôleurs de domaine sont tous installés avec Windows Server 2012.
• Windows Server 2008 R2 est déployé au sein de Trey Research dans une forêt AD DS distincte.
• Actuellement, Contoso exécute uniquement UNIX. Les plans sont en place pour déployer
Windows Server 2012 chez Contoso.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-31

(suite)

Plan de déploiement d'IPAM pour A. Datum

Propositions
1. Un modèle centralisé est-il mieux qu'un modèle distribué ?

2. Quels rôles de serveur seront gérés ?

3. Quels éléments AD DS devez-vous prendre en considération pour l'inclusion

des organisations Contoso et Trey Research ?

4. Quelles sont les conditions préalables au déploiement d'IPAM au niveau de l'organisation

et du serveur ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de propositions en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de propositions en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Plan de déploiement d'IPAM
pour A. Datum.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-32 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez planifié une stratégie de déploiement IPAM pour A. Datum.

Exercice 4 : Implémentation de DHCP et d'IPAM

Scénario
Vous devez maintenant déployer les services DHCP et IPAM de Window Server 2012 dans la forêt
A. Datum afin que vos stratégies d'implémentation de DHCP et d'IPAM soient prises en charge.

Les tâches principales de cet exercice sont les suivantes :

1. Installer le rôle serveur DHCP.

2. Configurer une relation de basculement DHCP.

3. Déployer la fonctionnalité IPAM.

4. Configurer IPAM.

 Tâche 1 : Installer le rôle serveur DHCP

1. Si nécessaire, connectez-vous à LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Utilisez le Gestionnaire de serveur pour installer le rôle Serveur DHCP.

3. Ouvrez la console DHCP. Notez qu'aucune étendue n'est configurée.

4. Autorisez [Link].

 Tâche 2 : Configurer une relation de basculement DHCP

1. Basculez vers LON-DC1.

2. Si nécessaire, connectez-vous à LON-DC1 en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.

3. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DHCP dans la liste déroulante.

4. Dans la console DHCP, lancez l'Assistant de configuration du basculement.

5. Configurez la réplication du basculement avec les paramètres suivants :

• Serveur partenaire : [Link]

• Nom de la relation : Basculement DHCP d'Adatum

• Délai de transition maximal du client (MCLT) : 15 minutes

• Mode : Équilibrage de charge

• Pourcentage d'équilibrage de charge : 50%

• Intervalle de basculement d'état : 45 minutes

• Secret partagé d'authentification des messages : Pa$$w0rd

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-33

6. Exécutez l'Assistant de configuration du basculement.

7. Rebasculez vers LON-SVR1 et notez que le nœud IPv4 est actif et que l'étendue Adatum
est configurée.

 Tâche 3 : Déployer la fonctionnalité IPAM

1. Si nécessaire, connectez-vous à LON-SVR2 en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Dans le Gestionnaire de serveur, ajoutez la fonctionnalité IPAM et toutes les fonctions secondaires
requises.

 Tâche 4 : Configurer IPAM

1. Dans le volet de navigation du Gestionnaire de serveur, cliquez sur IPAM.

2. Dans le volet Vue d'ensemble d'IPAM, configurez le serveur IPAM en utilisant la stratégie de groupe.

3. Entrez IPAM dans le champ Préfixe du nom d'objet de stratégie de groupe et configurez IPAM.

4. Dans le volet Vue d'ensemble d'IPAM, configurez la découverte de serveurs pour le domaine Adatum,
puis démarrez le processus de découverte de serveurs.

5. Dans le volet Vue d'ensemble d'IPAM, ajoutez les serveurs à gérer.

6. Vérifiez que l'accès à IPAM est actuellement bloqué.

7. Utilisez Windows PowerShell pour accorder au serveur IPAM l'autorisation de gérer LON-DC1 à l'aide
de la commande suivante :

Invoke-IpamGpoProvisioning –Domain [Link]

–GpoPrefixName IPAM
–IpamServerFqdn
[Link]
–DelegatedGpoUser Administrateur

8. Définissez le champ État de gérabilité sur Géré pour les deux serveurs.

9. Basculez vers LON-DC1.

10. Forcez la mise à jour de la stratégie de groupe.

11. Basculez vers LON-SVR1.

12. Forcez la mise à jour de la stratégie de groupe.

13. Rebasculez vers LON-SVR2 et actualisez la vue IPv4.

14. Dans le volet Présentation d'IPAM, récupérez les données du serveur géré.

Résultats : À la fin de cet exercice, vous aurez déployé DHCP et IPAM pour la prise en charge de vos
propositions.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
3-34 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :
1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 à 4 pour 22413B-LON-SVR1 et 22413B-LON-SVR2.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 3-35

Contrôle des acquis et éléments à retenir

Question(s) de contrôle des acquis
Question : Votre entreprise dispose de deux sous-réseaux et vous souhaitez utiliser DHCP
pour allouer des adresses aux ordinateurs clients sur les deux sous-réseaux. Vous ne
souhaitez pas déployer deux serveurs DHCP. De quels facteurs devez-vous tenir compte ?

Question : Votre entreprise s'est développée et votre étendue IPv4 est presque à court
d'adresses. Que pouvez-vous faire ?

Question : De quelles informations avez-vous besoin pour configurer

une réservation DHCP ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-1

Module 4
Conception et implémentation de la résolution de noms
Table des matières :
Vue d'ensemble du module 4-1

Leçon 1 : Conception d'une stratégie d'implémentation de serveurs DNS 4-2

Leçon 2 : Conception de l'espace de noms DNS 4-8

Leçon 3 : Conception et implémentation de zones DNS 4-12

Leçon 4 : Conception et configuration de la réplication et de la délégation

de zone DNS 4-19

Leçon 5 : Optimisation des serveurs DNS 4-26

Leçon 6 : Conception du système DNS pour la haute disponibilité
et la sécurité 4-30

Atelier pratique : Conception et implémentation de la résolution de noms 4-41

Contrôle des acquis et éléments à retenir 4-53

Vue d'ensemble du module

La résolution de noms est un service fondamental dans les réseaux d'ordinateurs modernes.
Par conséquent, la structure et les emplacements des serveurs des espaces de noms du système DNS
(Domain Name System) peuvent avoir des conséquences significatives sur la disponibilité
et les performances des applications en réseau. Pour optimiser la disponibilité et la performance
des applications en réseau, vous devez concevoir votre infrastructure DNS avec soin. Cela implique
de déterminer les emplacements des serveurs DNS, les types de zones DNS et comment et où stocker
les données des zones DNS.

Lorsque vous avez terminé de concevoir votre système DNS général, vous devez réfléchir à la façon
d'optimiser les requêtes DNS et d'assurer la haute disponibilité et la sécurité du système DNS. En outre,
il peut être nécessaire dans de nombreux environnements d'implémenter la zone GlobalNames DNS
pour prendre en charge les applications NetBIOS.

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• concevoir une stratégie d'implémentation de serveurs DNS ;

• concevoir un espace de noms DNS ;

• concevoir et implémenter une stratégie de zones DNS ;

• concevoir et configurer la réplication et la délégation de zone DNS ;

• optimiser la configuration d'un serveur DNS ;

• concevoir un système DNS pour la haute disponibilité et la sécurité.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-2 Conception et implémentation de la résolution de noms

Leçon 1
Conception d'une stratégie d'implémentation
de serveurs DNS
Le rôle serveur DNS de Windows Server® 2012 peut fournir tous les services DNS sur votre réseau.
Toutefois, pour optimiser votre configuration DNS, vous devez d'abord déterminer le nombre de
serveurs DNS physiques ou virtuels dont vous avez besoin, l'emplacement auquel ces serveurs doivent
se trouver et le rôle fonctionnel spécifique de chacun de ces serveurs. En outre, vous devez vérifier
que vous sécurisez ces serveurs DNS pour protéger à la fois les données de zone DNS et les ressources
réseau vers lesquelles les données de zone DNS pointent. Si vous n'effectuez pas les étapes nécessaires
pour sécuriser votre infrastructure DNS, vous risquez de compromettre à la fois le système DNS
et les applications présentes sur votre réseau qui s'appuie sur ce dernier.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• recueillir des informations appropriées sur votre infrastructure réseau existante concernant
la résolution des noms ;

• décrire les caractéristiques qui déterminent la capacité du serveur DNS ;

• décrire les facteurs qui déterminent l'emplacement du serveur DNS ;

• sélectionner les rôles serveur DNS appropriés ;

• décrire les éléments à prendre en compte en matière de sécurité pour les serveurs DNS ;

• expliquer comment installer le rôle serveur DNS.

Collecte d'informations sur votre infrastructure réseau

Avant de commencer à concevoir votre espace de
noms DNS, vous devez collecter les informations
suivantes sur les emplacements physiques
de votre organisation :

• Le nombre d'emplacements physiques. Étant

donné que presque toutes les applications
réseau utilisent des noms d'hôtes plutôt
que des adresses IP, l'absence d'accès à un
serveur DNS peut empêcher ou au moins
compromettre les communications réseau.
Bien que les petits emplacements puissent
avoir peu d'hôtes réseau, vous devez encore
fournir un mécanisme de résolution des noms et de localisation des services. Par conséquent, chaque
emplacement requiert généralement au moins un serveur DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-3

• Le nombre d'hôtes à chaque emplacement. Le nombre d'hôtes, à savoir le nombre d'ordinateurs

clients et d'ordinateurs serveurs, détermine le nombre de clients DNS que chaque emplacement
doit prendre en charge. Davantage de clients DNS signifient davantage de requêtes DNS, avec
une augmentation correspondante de la charge de travail sur tout serveur DNS que vous configurez
pour prendre en charge ces clients. Par conséquent, pour les emplacements avec un grand nombre
de clients DNS, pensez à déployer des serveurs DNS supplémentaires.

• L'existence de serveurs DNS hérités, tels que des serveurs BIND (Berkeley Internet Name Domain)
ou des serveurs DNS dans le système d'exploitation Microsoft® Windows NT® Server 4.0. Ces serveurs
hérités restreignent l'utilisation de fonctionnalités DNS telles que les transferts de zones incrémentiels.
Si votre infrastructure réseau actuelle s'appuie sur des serveurs DNS antérieurs, vous devez configurer
le système DNS Windows Server 2012 d'une manière particulière pour prendre en charge certains
de ces comportements hérités.

• La présence (actuelle ou programmée) d'une infrastructure de service d'annuaire Active Directory®.

Si vous envisagez d'implémenter AD DS, vous devez prendre en compte ce facteur dans votre
conception de l'espace de noms DNS. Il est possible de configurer les noms de domaine AD DS
pour les faire correspondre aux noms de domaine DNS. Il est également possible de configurer
des deux types de noms pour qu'ils diffèrent les uns des autres. En outre, si vous implémentez AD DS,
vous avez la possibilité d'inclure des zones intégrées à Active Directory dans la conception de votre
système DNS. Cela offre un certain nombre d'avantages, qui sont abordés dans une des rubriques
suivantes.

• L'emplacement de tous les ordinateurs clients NetBIOS. Si vous avez des clients qui ont besoin
d'accéder à une application basée sur NetBIOS, vous devez déterminer si ces clients se trouvent
dans le même domaine de diffusion ou bien dans des domaines de diffusion différents. Étant
donné que NetBIOS s'appuie sur des messages pour inscrire, libérer et résoudre les noms, les
clients NetBIOS doivent résider dans le même segment réseau local ou domaine de diffusion.
Sinon, vous devez permettre aux clients d'inscrire, libérer et résoudre leurs noms NetBIOS. Selon
les besoins et la configuration spécifique de votre réseau, il peut être nécessaire d'implémenter
WINS (Windows® Internet Name Service) ou la zone GlobalNames DNS, ou les deux.

Remarque : Le site Web de téléchargement de Microsoft contient un certain nombre

d'accélérateurs de solutions pour vous aider à effectuer cette collecte d'informations.

Planification des capacités du serveur DNS

Un service de serveur DNS charge entièrement
toutes ses zones configurées dans la mémoire
au démarrage. Si votre serveur opère et charge
un grand nombre de zones et que des mises à
jour dynamiques ont lieu fréquemment pour
les clients de zone, la mémoire supplémentaire
peut améliorer les performances du serveur DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-4 Conception et implémentation de la résolution de noms

La capacité globale d'un serveur DNS est basée sur :

• Le nombre de zones hébergées par un serveur. Il est relativement simple de déterminer le nombre de
zones dont vous avez besoin. Vous avez souvent besoin d'une seule zone pour chaque domaine
de votre espace de noms DNS. Pour les petits réseaux, vous pouvez combiner les domaines en
une zone unique. Par exemple, les enregistrements pour les domaines DNS [Link]
et [Link] peuvent être stockés dans une zone unique nommée [Link].

• Le nombre d'enregistrements dans chaque zone. La détermination du nombre d'enregistrements

dans chaque zone est également un processus simple, mais vous devez inclure le nombre total
d'hôtes de votre zone, notamment les enregistrements de ressources de service (SRV), de texte (TXT)
et de serveur de messagerie (MX), ainsi que les autres enregistrements dédiés.

• Le nombre de requêtes d'enregistrements dans chaque zone. Il est plus difficile à déterminer.
Pour obtenir une évaluation exacte du nombre de requêtes d'enregistrements, pensez à consigner
l'activité de réseau en cours sur votre infrastructure DNS existante. Si vous installez le système DNS
sur un nouveau site sans infrastructure existante, vous devez vous préparer à revenir sur votre
conception DNS sur la base du nombre de requêtes et de la charge qu'il génère que vous constatez
après le déploiement.

Il importe de noter que les ressources nécessaires pour un serveur DNS sont généralement très faibles
et adaptent ainsi les serveurs DNS à la virtualisation.

Détermination de l'emplacement des serveurs DNS

L'emplacement des serveurs DNS affecte les
performances des applications et des clients.
Lorsque vous placez des serveurs DNS dans
votre infrastructure réseau physique, vous
devez tenir compte des facteurs suivants :

• La résolution DNS sur les liaisons WAN

(Wide Area Network) par de nombreux
clients peut générer un trafic réseau
important. En outre, la résolution sur
les liaisons WAN est plus lente que la
résolution de noms locale et peut affecter
les performances des applications suite
à la latence. Lorsque le trafic réseau sur des liaisons WAN pose un problème, pensez à placer
un serveur DNS à l'emplacement du réseau distant pour réduire le trafic basé sur les requêtes.
N'oubliez pas que lorsque vous placez un serveur DNS sur un site distant, bien que cela réduise le
volume du trafic basé sur les requêtes sur la liaison WAN, le serveur lui-même peut générer du trafic
supplémentaire concernant les transferts ou la réplication de zones.

• Si une liaison WAN échoue et que les informations DNS ne sont pas mises en cache ou situées sur
le site actuel, la disponibilité des services peut être affectée. Veillez à ce que chaque emplacement
contienne un serveur DNS local pour assurer le traitement des requêtes clientes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-5

• Vous devez avoir un plan d'urgence pour la redondance de serveur DNS en cas de défaillance
d'un serveur DNS. Vous devez planifier le mode de basculement d'un serveur DNS vers un autre.
Il n'est pas toujours possible de trouver plusieurs serveurs DNS sur de petits sites. Pensez donc
à configurer les clients pour qu'ils utilisent le serveur local comme serveur DNS principal et
un serveur distant comme serveur DNS secondaire.
• Vous devez déterminer les ordinateurs qui peuvent rencontrer des problèmes lorsqu'un
serveur DNS spécifique est indisponible. Vous pouvez ainsi identifier les sources d'erreur
pour résoudre les problèmes qui se produisent.
• Vous devez déterminer les applications qui sont affectées lorsqu'un serveur DNS spécifique est
indisponible ou qu'une partie spécifique de votre espace de noms DNS interne est indisponible.

Lorsque vous placez des serveurs DNS, votre objectif est d'éviter, ou au moins de réduire à un niveau
acceptable, l'indisponibilité du service réseau général que génère l'indisponibilité d'un serveur DNS.

Sélection des rôles serveur DNS

En fonction de vos besoins, vous pouvez
implémenter un serveur DNS dans un rôle
spécifique tel qu'un serveur cache uniquement,
un serveur de redirection, un serveur non
récurrent ou un serveur faisant autorité.

Serveurs cache uniquement et serveurs

de redirection
Un serveur cache uniquement constitue
un moyen simple pour vérifier que des sites
distants ont une copie des enregistrements DNS
couramment utilisés. Lorsqu'un enregistrement est
résolu, le serveur le met en cache localement sans
qu'il soit nécessaire de configurer les transferts de zone ou la réplication. Le serveur de noms local
ne peut pas résoudre la requête du client initiale car le serveur ne contient aucune données de zone.
Par conséquent, le serveur cache uniquement partitionne un autre serveur et met les résultats en cache.
Cela signifie que le serveur sommé doit être disponible. Dans une succursale équipée d'un serveur
cache uniquement local, si la liaison WAN au site qui héberge le serveur faisant autorité est indisponible,
les requêtes non mises en cache échoueront.
Similaires aux serveurs cache uniquement, les serveurs de redirection constituent un cache local
d'enregistrements DNS résolus. Toutefois, vous configurez un serveur de redirection pour transférer
les demandes à un autre serveur spécifique, plutôt que d'utiliser des indications de racine pour
déterminer les serveurs faisant autorité appropriés.

Remarque : Les indications de racine constituent le mécanisme par lequel un serveur DNS
peut localiser ailleurs dans l'espace de noms Internet les enregistrements pour lesquels le serveur
sommé ne fait pas autorité.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-6 Conception et implémentation de la résolution de noms

Un redirecteur conditionnel est un serveur DNS sur un réseau qui transfère des requêtes DNS en fonction
du nom du domaine DNS de la requête. Cela peut être utile lorsqu'une forêt contient plusieurs espaces
de noms DNS.

Par exemple, vous pouvez configurer un serveur DNS afin qu'il transfère toutes les requêtes qu'il reçoit
concernant des noms se terminant par [Link] à l'adresse IP d'un serveur DNS spécifique ou
à plusieurs serveurs DNS. Toutes les autres requêtes sont résolues de la manière habituelle, c'est-à-dire
de façon récurrente de l'espace de noms DNS vers la racine.

Cela vous permet de créer une structure flexible pour la résolution de noms. Par exemple, vous pouvez
transmettre les demandes internes de résolution de noms à un autre serveur DNS interne et transmettre
la demande pour tous les autres domaines à un serveur DNS avec accès Internet.

Utilisez des redirecteurs conditionnels si vous avez plusieurs espaces de noms internes, car cela accélère
la résolution de noms.

Serveurs non récurrents

Un serveur non récurrent ne peut résoudre que les enregistrements DNS hébergés localement. C'est utile
sur les serveurs à accès Internet afin de garantir qu'ils sont utilisés uniquement pour la résolution des
enregistrements publics que vous avez configurés.

Serveurs faisant autorité

Les serveurs de noms faisant autorité sont ceux qui contiennent une copie locale des données de
zone DNS. Ils sont configurés comme le point de contact d'un domaine DNS donné pour les serveurs
de noms DNS situés ailleurs dans l'espace de noms DNS global. Ils contiennent également les
enregistrements DNS qui identifient les serveurs DNS faisant autorité pour les sous-domaines
de l'espace de noms DNS.

Les serveurs DNS faisant autorité peuvent résoudre des requêtes pour la zone DNS locale et sont
configurés avec des indications de racine. Cela leur permet d'exécuter la récursivité de requête
pour les enregistrements DNS pour lesquels ils ne font pas autorité.

Éléments à prendre en compte en matière de sécurité des serveurs DNS

Les serveurs DNS fournissent un service de base
pour vos ordinateurs en réseau. Sans service DNS,
de nombreuses applications peuvent échouer.
Il importe que vous sécurisiez vos serveurs DNS
pour en assurer la disponibilité continue. Si des
utilisateurs malveillants modifient délibérément
des enregistrements de serveur DNS, les
ordinateurs clients peuvent être dirigés vers
des serveurs d'applications en réseau inadéquats.
Pour ces deux raisons, il importe de prendre en
compte la sécurité de vos serveurs DNS avec soin.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-7

Les méthodes de sécurisation des serveurs DNS sont les suivantes :

• Utilisez les pare-feu, notamment le Pare-feu Windows, pour réserver la communication avec
les serveurs DNS uniquement aux plages d'adresses IP autorisées et aux ports autorisés. Cela
empêche un ordinateur qui n'appartient pas à la plage configurée d'accéder aux serveurs DNS.

• Limitez les transferts de zone pour empêcher les prises d'empreinte de réseau en interrogeant une
liste de ressources internes du serveur DNS. Par défaut, les données de zone ne sont pas transférées
des serveurs de noms principaux aux serveurs de noms secondaires si vous n'avez pas configuré
les paramètres nécessaires. Il importe de configurer ces paramètres correctement pour empêcher
le transfert des données à un emplacement inapproprié.

Remarque : Un transfert de zone est le mécanisme par lequel des données de zone sont
copiées entre les serveurs DNS qui prennent en charge cette zone. Les sections suivantes
de ce module présentent les zones et les transferts de zone.

• Utilisez les zones intégrées à Active Directory. Celles-ci transfèrent les données de zone sur
des canaux chiffrés pendant le processus normal de réplication Active Directory, ce qui permet de
garantir que les données de zone restent sécurisées lorsqu'elles sont en transit entre les serveurs DNS.

Remarque : Si vous n'utilisez pas de zones intégrées à Active Directory, pensez

à implémenter la sécurité Internet Protocol (IPsec) pour chiffrer le trafic de transfert de zone
entre serveurs.

• Activez les mises à jour dynamiques sécurisées. Cela permet de garantir que seul l'hôte qui a créé
l'enregistrement DNS dynamique peut le modifier. Les clients peuvent automatiquement inscrire
leurs propres adresses IP et noms d'hôtes sur leur serveur DNS configuré uniquement si le serveur
prend en charge le protocole de mise à jour dynamique. Vous pouvez configurer la sécurité pour
ces mises à jour, ce qui signifie que seul le propriétaire de l'enregistrement peut mettre à jour
l'enregistrement. Le client DNS est en général le propriétaire de ses propres enregistrements DNS
dans la zone DNS. Utilisez les zones intégrées à Active Directory pour sécuriser les mises à jour
dynamiques.

• Utilisez le transfert pour centraliser la résolution de noms dans votre organisation. De cette façon,
vous pouvez restreindre la résolution de noms sur Internet aux serveurs spécifiques.

Démonstration : Installation du rôle de serveur DNS

Cette démonstration vous montre comment installer le rôle de serveur DNS avec le Gestionnaire
de serveur.

Procédure de démonstration
• Sur LON-SVR1, ajoutez le rôle de serveur DNS à l'aide du Gestionnaire de serveur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-8 Conception et implémentation de la résolution de noms

Leçon 2
Conception de l'espace de noms DNS
Lorsque vous implémentez le système DNS, vous devez sélectionner une conception d'espace
de noms. Cela implique de sélectionner les noms de domaine DNS et de déterminer les relations
entre ces domaines. En outre, vous devez prendre en compte comment l'espace de noms DNS
est lié à votre espace de noms AD DS. Après avoir sélectionné votre espace de noms DNS, vous
devez également déterminer comment héberger votre espace de noms sur les serveurs DNS.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les options de l'espace de noms DNS ;

• sélectionner une conception d'espace de noms appropriée ;

• présenter les éléments à prendre en compte pour l'hébergement des espaces de noms.

Scénarios de l'espace de noms DNS

Quand vous commencez à planifier votre espace
de noms DNS, vous devez tenir compte à la
fois des espaces de noms internes et externes.
L'espace de noms interne est l'espace de noms
que les clients et serveurs internes utilisent dans
votre réseau privé. L'espace de noms externe est
l'espace de noms par lequel votre organisation
est référencée sur Internet. Il n'est pas nécessaire
que vous implémentiez en interne le même nom
de domaine DNS que vous avez en externe.

Quand vous implémentez les services de

domaine Active Directory (AD DS), vous devez
utiliser un espace de noms DNS pour héberger des enregistrements AD DS.

Remarque : Examinez soigneusement vos options avant de sélectionner une conception

d'espace de noms pour les services de domaine Active Directory. Bien qu'il soit possible de
modifier un espace de noms après l'implémentation des services de domaine Active Directory,
ce processus est long et complexe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-9

Pour déterminer un espace de noms DNS pour votre environnement, choisissez parmi les scénarios
suivants :

• L'espace de noms interne correspond à l'espace de noms public. Dans ce scénario, les espaces
de noms internes et publics sont identiques mais contiennent différents enregistrements. Bien
que ce scénario soit simple, ce qui en fait souvent un choix idéal pour les petites organisations,
il peut être difficile à gérer pour les réseaux plus grands.

• L'espace de noms interne est différent de l'espace de noms public. Dans ce scénario, les espaces de
noms internes et publics sont totalement différents, sans aucune liaison entre eux. Cela permet une
séparation évidente dans l'espace de noms. Dans les réseaux complexes comprenant de nombreuses
applications avec accès par Internet, l'utilisation d'un nom différent présente de la clarté lors de
la configuration de ces applications. Par exemple, les serveurs Edge que vous placez sur un réseau
de périmètre ont souvent besoin de plusieurs cartes d'interface réseau (NIC), notamment une
connectée au réseau privé et une destinée à la maintenance des demandes provenant du réseau
public. Si chaque carte d'interface réseau a un nom de domaine différent, il est souvent plus facile
d'effectuer la configuration du serveur.

• L'espace de noms interne est un sous-domaine de l'espace de noms public. Dans ce scénario, l'espace
de noms interne est lié à l'espace de noms public, mais il n'y a aucune superposition entre eux. Ceci
fournit une approche hybride. Le nom interne est différent, ce qui permet la séparation de l'espace
de noms. De plus, le nom interne est également lié au nom public, ce qui offre de la simplicité.
Cette approche est la plus simple à implémenter et à gérer, mais si vous ne pouvez pas utiliser
un sous-domaine de l'espace de noms public pour les services de domaine AD, vous devez utiliser
des espaces de noms uniques.

Remarque : Dans la plupart des situations, les ordinateurs inclus dans un domaine AD DS
ont un suffixe DNS principal qui correspond au nom de domaine DNS. Dans certaines situations,
vous pouvez avoir besoin que ces noms soient différents, par exemple après une fusion ou
pendant une acquisition. Lorsque les noms diffèrent, cela s'appelle un espace de noms disjoint.
Un scénario d'espace de noms disjoint est un scénario dans lequel le suffixe DNS principal d'un
ordinateur ne correspond pas au nom de domaine DNS où réside cet ordinateur. Un ordinateur
disjoint est l'ordinateur dont le suffixe DNS principal ne correspond pas. Un autre scénario
d'espace de noms disjoint se produit si le nom de domaine NetBIOS d'un contrôleur de domaine
ne correspond pas au nom de domaine DNS.

Sélection d'une conception d'espace de noms

L'utilisation du même espace de noms en interne
et en externe simplifie l'accès aux ressources
du point de vue des utilisateurs, mais elle
augmente également la complexité de gestion.
Les enregistrements DNS internes ne doivent
pas être mis à disposition en externe, mais
une synchronisation des enregistrements
est généralement requise pour les ressources
externes. Par exemple, vos espaces de noms
internes et externes peuvent utiliser le nom
[Link].
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-10 Conception et implémentation de la résolution de noms

L'utilisation des espaces de noms uniques pour les espaces de noms internes et publics fournit une
définition claire entre le système DNS interne et externe et supprime la nécessité de synchroniser
des enregistrements entre les espaces de noms. Cependant, dans certains cas, avoir plusieurs espaces
de noms peut semer la confusion chez les utilisateurs. Par exemple, vous pouvez choisir l'espace de
noms externe [Link] et l'espace de noms interne [Link]. Notez que si vous implémentez
une configuration d'espace de noms unique, vous n'êtes plus contraint d'utiliser des noms de domaine
enregistrés.

L'utilisation d'un sous-domaine de l'espace de noms public pour les services de domaine AD supprime
la nécessité de synchroniser les enregistrements entre les serveurs DNS internes et externes. Puisque
les espaces de noms sont liés, les utilisateurs trouvent généralement cette structure facile à comprendre.
Par exemple, si votre espace de noms public est [Link], vous pouvez choisir d'implémenter votre
espace de noms interne comme sous-domaine Active Directory ou [Link].

Examen de la configuration DNS mixte

Alors que la correspondance entre l'espace de noms DNS interne et externe peut poser certains
problèmes, la configuration DNS mixte peut résoudre ces problèmes. Par exemple, dans une
configuration DNS non mixte pour le domaine [Link], vous pouvez avoir une zone DNS
qui ressemble à l'exemple suivant.

Hôte Type d'enregistrement Adresse IP

www hôte (A) [Link]

Relais hôte (A) [Link]

Webserver1 hôte (A) [Link]

Exchange1 hôte (A) [Link]

Quand un ordinateur client sur Internet souhaite accéder au relais SMTP à l'aide du nom publié de
[Link], il interroge le serveur DNS qui renvoie le résultat [Link]. Le client établit
alors une connexion via SMTP à cette adresse IP.
Cependant, les ordinateurs clients sur le réseau intranet de l'entreprise utilisent également le nom
publié de [Link]. Le serveur DNS renvoie le même résultat, qui est une adresse IP publique
[Link]. Le client tente à présent d'établir une connexion à l'adresse IP retournée à l'aide de
l'interface externe de l'ordinateur de publication. Selon la configuration du client, l'opération peut
aboutir ou ne pas aboutir.

Pour éviter ce problème, configurez deux zones pour le même nom de domaine : une sur chacun
des deux serveurs DNS. La zone interne pour [Link] ressemblerait désormais aux informations
figurant dans le tableau suivant.

Hôte Type d'enregistrement Adresse IP

www alias (CNAME) [Link]

Relais alias (CNAME) [Link]

Webserver1 hôte (A) [Link]

Exchange1 hôte (A) [Link]

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-11

La zone externe pour [Link] ressemblerait désormais aux informations figurant dans
le tableau suivant.

Hôte Type d'enregistrement Adresse IP

www hôte (A) [Link]

Relais hôte (A) [Link]

Relais serveur de messagerie (MX) [Link]

Les ordinateurs clients dans les réseaux internes et externes peuvent désormais résoudre le nom
[Link] à l'adresse IP interne ou externe appropriée.

Éléments à prendre en compte pour l'hébergement des espaces de noms

Les petites organisations peuvent peut-être
envisager d'implémenter leur conception
complète du système DNS pour l'espace de
noms interne et externe sur un seul serveur.
Bien que cette solution présente l'avantage
d'être simple, elle pose des risques pour
la sécurité, étant donné avant tout que
les enregistrements internes peuvent être
accessibles à l'extérieur de l'organisation.

Pour améliorer la sécurité DNS, pensez

à une conception de configuration DNS mixte
car celle-ci implique des serveurs DNS distincts
pour héberger les enregistrements DNS internes et externes. Cela améliore ensuite la sécurité
en empêchant des utilisateurs externes de contacter des serveurs DNS avec des enregistrements
DNS internes.

Vous pouvez encore améliorer la sécurité de votre conception de DNS mixte en envisageant d'utiliser
un « split-split » DNS. Il s'agit d'une amélioration de la structure DNS mixte, par laquelle deux serveurs
distincts effectuent la résolution de noms externe. Un serveur DNS externe résout les noms locaux
uniquement et l'autre serveur DNS externe effectue la résolution de noms Internet récursive pour
les serveurs DNS internes.

Remarque : Les petites organisations peuvent profiter de cette approche de

DNS mixte à deux serveurs distincts. Pensez à configurer les enregistrements DNS internes
sur un serveur DNS local tandis que les enregistrements DNS externes sont hébergés
par le fournisseur de services Internet (ISP) de l'organisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-12 Conception et implémentation de la résolution de noms

Leçon 3
Conception et implémentation de zones DNS
Une zone DNS héberge l'intégralité ou une partie d'un domaine et ses sous-domaines. En plus de
sélectionner les emplacements des serveurs DNS et de choisir une conception d'espace de noms
appropriée, vous devez aussi déterminer comment implémenter les zones DNS pour prendre en charge
ces choix de conception. Vous devez déterminer les types de zone que vous utiliserez et l'emplacement
auquel vous stockerez les données de zone.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les différents types de zone DNS ;

• décrire comment les serveurs DNS Windows Server stockent les données de zone ;

• sélectionner une stratégie de zone DNS ;

• décrire les éléments à prendre en compte dans la résolution de noms NetBIOS ;

• expliquer comment créer des zones dans DNS.

Types de zone DNS

Vous pouvez répliquer les données de zone sur
plusieurs serveurs. Cette réplication ajoute de la
redondance à une zone parce que les informations
nécessaires pour rechercher des ressources dans
la zone existent alors sur deux serveurs. Une
des raisons de créer des zones est d'atteindre
ce niveau de redondance. Si vous avez une zone
qui héberge des enregistrements de ressources
de serveurs critiques, il est probable que cette
zone possède un niveau de redondance plus
élevé qu'une zone qui définit des périphériques
non critiques.

Certaines sociétés créent une zone DNS pour les stations de travail et une autre pour les serveurs.
Les administrateurs peuvent alors choisir différentes stratégies lorsqu'ils définissent le mode de réplication
des zones.

Un serveur DNS gère les données de zone et les stocke de l'une des deux manières suivantes :

• dans un fichier de zone plat qui contient des listes de correspondance ;

• intégrées à AD DS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-13

Un serveur DNS fait autorité pour une zone s'il héberge les enregistrements de ressources correspondant
aux noms et aux adresses IP que les clients demandent dans le fichier de zone.

Les quatre types de zones DNS sont :

• principale,

• secondaire,
• stub,

• intégrée à Active Directory.

Zone principale
Lorsqu'un serveur DNS héberge une zone principale, le serveur DNS est la source principale des
informations sur cette zone et il stocke la copie principale des données de zone dans un fichier local
ou dans les services de domaine Active Directory (AD DS). Lorsque le serveur DNS stocke la zone dans
un fichier, le fichier de la zone principale est nommé par défaut zone_name.dns et se trouve sur le
serveur dans le dossier %windir%\System32\Dns. Lorsque la zone n'est pas stockée dans les services
AD DS, il s'agit du seul serveur DNS qui dispose d'une copie de la base de données accessible en écriture.

Zone secondaire
Lorsqu'un serveur DNS héberge une zone secondaire, ce serveur DNS est une source secondaire pour
les informations de cette zone. Le serveur DNS doit obtenir les données de zone d'un autre serveur DNS
distant qui héberge également la zone. Le serveur DNS qui héberge la zone secondaire doit avoir
un accès réseau au serveur DNS distant pour recevoir les informations de la zone mises à jour. Étant
donné qu'une zone secondaire est une copie d'une zone principale qui est hébergée par un autre serveur,
elle ne peut pas être stockée dans AD DS. Les zones secondaires peuvent s'avérer utiles si vous devez
répliquer des données de zone vers ou depuis des zones DNS non Windows.

Zone de stub
Une zone de stub est une copie répliquée d'une zone qui contient uniquement les enregistrements
de ressources nécessaires à l'identification des serveurs DNS faisant autorité pour la zone en question.

Remarque : Windows Server 2003 a introduit les zones de stub, qui ont permis de résoudre
plusieurs problèmes liés aux grands espaces de noms DNS et aux forêts multi-arborescentes.
Une forêt multi-arborescente est une forêt Active Directory qui contient deux noms de domaine
différents.

Une zone de stub résout des noms entre les espaces de noms DNS distincts. Cela peut être nécessaire
lorsqu'une fusion d'entreprises a besoin que les serveurs DNS de deux espaces de noms DNS distincts
résolvent les noms des clients dans les deux espaces de noms.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-14 Conception et implémentation de la résolution de noms

Une confusion peut naître concernant les situations dans lesquelles il faut utiliser des redirecteurs
conditionnels plutôt que des zones de stub, car ces deux fonctionnalités DNS permettent à un
serveur DNS de répondre à une requête par une référence à un autre serveur DNS ou en la transférant
à un autre serveur DNS. Pourtant, ces paramètres ont des objectifs différents :

• un paramètre de redirecteur conditionnel configure le serveur DNS afin qu'il transfère une requête
qu'il reçoit à un serveur DNS en fonction du nom DNS contenu dans la requête ;

• une zone de stub garantit que le serveur DNS qui héberge une zone parent est tenu informé
de tous les serveurs DNS faisant autorité sur une zone enfant.
Utilisez des zones de stub lorsque vous voulez qu'un serveur DNS qui héberge une zone parent soit tenu
informé des serveurs DNS faisant autorité sur l'une de ses zones enfants. Si le même serveur DNS héberge
la zone parent et la zone de stub d'une zone enfant, il reçoit la liste de tous les nouveaux serveurs DNS
faisant autorité sur la zone enfant lorsqu'il demande une mise à jour au serveur maître de la zone de stub.
Cette méthode de mise à jour du serveur DNS qui héberge la zone parent garantit que le serveur DNS
met à jour la liste des serveurs DNS faisant autorité sur la zone enfant.

Zone intégrée à Active Directory

Si les services AD DS stockent la zone, le serveur DNS peut tirer parti du modèle de réplication
multimaître pour répliquer la zone principale. Cela vous permet de modifier des données de zone
sur plusieurs serveurs DNS. Vous pouvez répliquer les données d'une zone intégrée à Active Directory sur
des contrôleurs de domaine même si vous n'installez pas le rôle DNS sur le contrôleur de domaine.

Emplacement des données de zone

Lorsque vous choisissez d'utiliser une zone DNS
traditionnelle, le serveur DNS stocke les données
de zone dans un fichier texte sur le disque.
Dans ce scénario, vous utilisez une seule zone
principale contenant plusieurs zones secondaires.
Avec les zones secondaires traditionnelles, vous
pouvez synchroniser des zones à partir de zones
principales non Windows. En outre, n'oubliez
pas que vous pouvez implémenter le stockage
sur disque sur tout serveur du système
d'exploitation Windows Server.
Les zones intégrées à Active Directory stockent
les informations DNS dans AD DS. Les informations de zone se répliquent ensuite automatiquement
sur tous les contrôleurs de domaine et tout contrôleur de domaine peut mettre ces informations à jour.
Tout contrôleur de domaine qui a le DNS installé commence à mettre automatiquement à disposition
les zones intégrées à Active Directory.

Les zones intégrées à Active Directory se comportent comme des zones principales allant jusqu'à
des zones secondaires traditionnelles. Toutefois, à la différence des zones principales traditionnelles,
il peut exister plusieurs zones intégrées à Active Directory.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-15

Discussion : Conception d'une stratégie de zone DNS

La société Northwind Traders possède
cinq emplacements, comme indiqué sur la
diapositive. Les informations suivantes sont
fournies sur le réseau de Northwind Traders :

• AD DS est implémenté sur le réseau ;

• le nom de domaine DNS pour la racine

de forêt AD DS est [Link]. ;

• toutes les succursales sont implémentées

comme faisant partie du même domaine ;

• les zones intégrées à Active Directory

ne sont pas utilisées ;

• il existe deux serveurs de noms au siège social : NWT-NS1 et NWT-NS2 ;

• la zone principale [Link] est enregistrée sur NWT-NS1. Toutefois, NWT-NS2 héberge
une zone secondaire pour [Link]. ;

• il n'existe actuellement aucun serveur de noms ailleurs ;

• le siège social prend en charge plus de 2 000 utilisateurs ;

• les succursales 1 et 2 prennent en charge environ 25 utilisateurs chacune ;

• les succursales 3 et 4 prennent en charge plusieurs centaines d'utilisateurs chacune.

Examinez la configuration actuelle, puis à l'aide des informations contenues dans les rubriques
précédentes, déterminez comment vous pourriez concevoir le système DNS. Pour vous aider
dans le processus de conception, considérez les questions suivantes :
Question : Comment modifieriez-vous la conception du système DNS pour ce scénario ?

Question : Où placeriez-vous les serveurs de noms supplémentaires, le cas échéant ?

Question : Quels rôles serveurs DNS proposeriez-vous de déployer ?

Question : À supposer que toute la connectivité Internet passe par le siège social, comment
proposez-vous de concevoir le transfert ?

Question : Comment concevriez-vous les zones DNS ?

Question : Les zones Active Directory sont-elles indiquées ?

Question : Comment concevriez-vous des transferts de zone ?

Question : Northwind Traders vient d'être racheté par Contoso, Ltd. Cela affecte-t-il
vos décisions de conception DNS ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-16 Conception et implémentation de la résolution de noms

Éléments à prendre en compte pour la résolution de noms NetBIOS

NetBIOS est un protocole de gestion de session
qui est utilisé dans les versions antérieures des
systèmes d'exploitation réseau de Microsoft.
La plupart des applications modernes ne
s'appuient plus sur NetBIOS pour établir
et gérer des sessions entre les ordinateurs,
bien que Windows 8 et Windows Server 2012
continuent à assurer la prise en charge
de NetBIOS. Toutefois, les organisations
qui s'appuient souvent sur des applications
sectorielles (LOB) plus anciennes et
personnalisées peuvent encore avoir besoin
de prendre en charge NetBIOS. C'est pourquoi il importe que vous compreniez quand et comment
assurer la résolution de noms NetBIOS dans le cadre de votre conception de services de résolution
de noms.

Un nom NetBIOS représente un ordinateur unique ou un groupe d'ordinateurs. Les applications utilisent
un nom NetBIOS contenant jusqu'à 16 caractères au maximum pour identifier la ressource NetBIOS
hébergée sur le réseau local.

Remarque : NetBIOS utilise les 15 premiers caractères pour le nom d'un ordinateur
spécifique et le seizième caractère identifie une ressource ou un service sur cet ordinateur.
LON-SVR2[20h] est un exemple de nom NetBIOS et représente le service Serveur sur
l'ordinateur LON-SVR2.

Les ordinateurs prenant en charge les applications NetBIOS doivent inscrire leurs noms NetBIOS pour
éviter d'être en conflit avec d'autres ordinateurs basés sur NetBIOS, et si nécessaire, résolvent d'autres
noms NetBIOS en adresses IP pour les communications de niveau inférieur.

Éléments WINS à prendre en compte

WINS fournit une base de données centralisée qui permet d'inscrire les mappages dynamiques des
noms NetBIOS d'un réseau. Windows Server 2012 conserve la prise en charge de WINS pour assurer
la compatibilité descendante.

Remarque : Le composant Serveur WINS assure la prise en charge de WINS.

En plus d'utiliser WINS, vous pouvez résoudre les noms NetBIOS en utilisant les méthodes suivantes :

• Des messages de diffusion. Les messages de diffusion ne fonctionnent pas bien sur les réseaux
de grande envergure, car les routeurs ne transmettent en général pas les diffusions.

• Le fichier Lmhosts sur tous les ordinateurs. L'utilisation d'un fichier Lmhosts pour la résolution
de noms NetBIOS est une solution qui requiert une maintenance élevée, car vous devez
maintenir le fichier manuellement sur tous les ordinateurs.

WINS résout les noms NetBIOS en adresses IP. Cela réduit le trafic de diffusion NetBIOS et permet
aux clients de résoudre les noms NetBIOS d'ordinateurs situés sur des sous-réseaux différents.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-17

Considérations relatives à la zone GlobalNames

La zone GlobalNames (GNZ) assure la résolution de noms en une partie pour les réseaux de grandes
entreprises qui ne déploient pas le service WINS. Certains réseaux peuvent avoir besoin de résoudre
des enregistrements globaux statiques portant des noms en une partie que le service WINS fournit
actuellement. Ces noms en une partie se rapportent aux serveurs réputés et très utilisés avec les
adresses IP statiquement attribuées. Vous créez une zone GNZ créée manuellement et elle n'est
pas disponible pour l'inscription dynamique des enregistrements. Le système GNZ est destiné
à aider les clients à migrer vers le système DNS pour tout type de résolution de noms. Le rôle
de serveur DNS dans Windows Server 2012 prend en charge la fonctionnalité GNZ.

Elle est destinée à faciliter la migration à partir de WINS. Toutefois, ce n'est pas une solution
de remplacement de WINS. Elle n'a pas pour fonction de prendre en charge la résolution des
noms en une partie des enregistrements inscrits dynamiquement auprès du service WINS ou
de ceux qui ne sont pas habituellement gérés par des administrateurs informatiques. La prise
en charge de ces enregistrements inscrits dynamiquement n'est pas évolutive, notamment
pour les clients de grande taille dotés de plusieurs domaines et/ou forêts.

Le déploiement GNZ recommandé utilise une zone intégrée à Active Directory appelée GlobalNames
qui est distribuée globalement.

Faut-il utiliser le système WINS ou GNZ ?

La méthode que vous choisissez pour assurer la résolution de noms NetBIOS dépend en grande partie
du nombre de clients NetBIOS que vous avez et du volume résultant d'inscriptions, de libérations
et de requêtes de noms NetBIOS que vous recevez.

Si votre organisation implémente NetBIOS, vous pouvez choisir l'une des stratégies suivantes :

• Implémenter WINS. Si votre organisation s'appuie énormément sur les applications NetBIOS,
continuez d'utiliser WINS.

• Implémenter GNZ. Si votre organisation utilise seulement quelques applications NetBIOS ou lorsque
vous avez désaffecté la plupart de vos applications NetBIOS, utilisez GNZ pour gérer les noms en
une partie statiques.

• Combiner DNS et WINS. Au lieu d'utiliser GNZ, vous pouvez choisir de configurer l'intégration DNS
et WINS. Pour cela, configurez les propriétés de zone DNS afin d'effectuer des recherches WINS
pour les noms conformes à NetBIOS. L'avantage de cette méthode est que vous pouvez configurer
des ordinateurs clients pour utiliser seulement un service de nom unique, DNS, tout en continuant
à résoudre des noms NetBIOS.

Démonstration : Création de zones DNS

Cette démonstration vous explique également comment :

• créer une zone de recherche inversée principale ;

• créer une nouvelle zone de recherche directe secondaire.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-18 Conception et implémentation de la résolution de noms

Procédure de démonstration

Créer une zone de recherche inversée principale

1. Sur LON-DC1, ouvrez la console DNS.

2. Créez une nouvelle zone de recherche inversée intégrée à Active Directory avec les propriétés
suivantes :

• Type : Zone Principale

• Nom : Zone de recherche inversée IPv4

• ID réseau : 172.16.0
• N'autoriser que les mises à jour dynamiques sécurisées

Créer une nouvelle zone de recherche directe secondaire

1. Basculez vers LON-SVR1.
2. Ouvrez DNS.

3. Créez une nouvelle zone de recherche directe avec les propriétés suivantes :

• Type de zone : Zone Secondaire

• Nom de la zone : [Link]

• Serveur maître : [Link]

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-19

Leçon 4
Conception et configuration de la réplication
et de la délégation de zone DNS
Vous pouvez synchroniser les informations de zone entre plusieurs serveurs DNS à l'aide du transfert de
zone ou de la réplication de zone selon que la zone est intégrée à Active directory ou non. Pour concevoir
la réplication de zone, vous devez prendre en compte quand utiliser des zones secondaires et comment
vous souhaitez que la réplication de zone s'effectue. Enfin, vous devez examiner si la délégation est utile
pour votre conception.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• déterminer le moment où il convient d'implémenter les zones secondaires ;

• décrire les transferts de zone et la réplication des données de zone ;

• atténuer les risques de sécurité lors de la planification des transferts de zone ;

• décrire comment intégrer les espaces de noms ;

• expliquer comment configurer les transferts de zone.

Quand implémenter des zones secondaires

L'ajout de serveurs DNS assure la redondance
de zone, qui autorise la résolution de noms DNS
pour les clients même si un serveur principal
de la zone ne répond plus. Plus vous avez de
serveurs faisant autorité pour une zone spécifique,
moins il est probable que les requêtes restent
sans réponse pour les ressources situées dans
cette zone.

Si vous placez des serveurs près de grandes

populations de clients ou près de réseaux isolés,
vous pouvez réduire la densité du trafic de
requête qui doit s'écouler à travers des liaisons
WAN potentiellement coûteuses et lentes.

Vous pouvez utiliser des serveurs secondaires supplémentaires pour réduire les charges sur un serveur
principal pour une zone. Par exemple, vous pouvez diriger les clients vers les serveurs secondaires que
le service interroge uniquement depuis des clients locaux mais pas depuis les clients de toute l'entreprise.

Remarque : Les serveurs secondaires sont généralement implémentés uniquement

dans les zones qui ne sont pas intégrées à Active Directory. Si votre zone est intégrée
à Active Directory, les transferts de zone s'effectuent automatiquement dans le cadre
de la réplication AD DS entre tous les contrôleurs de domaine, selon la configuration.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-20 Conception et implémentation de la résolution de noms

Délégation de zone
Le système DNS est hiérarchique et la délégation de zone relie les couches DNS entre elles.
Une délégation de zone pointe vers le niveau hiérarchique inférieur suivant et identifie les serveurs
de noms responsables du domaine de niveau inférieur.

Pour décider si l'espace de noms DNS doit être divisé pour créer des zones supplémentaires, examinez si :

• Vous avez besoin de déléguer la gestion d'une partie de l'espace de noms DNS à un autre
emplacement ou département de votre organisation. Dans ce cas, implémentez plusieurs zones
et déléguez la responsabilité des zones enfants aux administrateurs de services appropriés.

• Vous devez diviser une grande zone en petites zones pour distribuer les charges de trafic
entre plusieurs serveurs. Cela améliore les performances de résolution de noms DNS et crée
un environnement DNS qui tolère mieux les pannes.

• Vous avez besoin d'étendre l'espace de noms en ajoutant simultanément de nombreux sous-
domaines pour prendre en charge l'ouverture d'une nouvelle succursale ou d'un nouveau site.

Remarque : Vous pouvez implémenter le domaine DNS [Link] comme

nouvelle zone avec un nom correspondant. Cette nouvelle zone aurait ses propres serveurs
de noms et administrateurs, ainsi que les enregistrements appropriés dans la zone parente
qui identifient les serveurs de noms faisant autorité. Sinon, l'administrateur [Link]
peut créer un enregistrement de sous-domaine appelé Training dans la zone [Link].
Dans ce cas, il n'existe aucun serveur de noms pour le domaine enfant et aucune délégation.

Transferts et réplication de zone

Étant donné que les zones sont un aspect
important de DNS, il importe qu'elles soient
présentes sur plusieurs serveurs DNS du
réseau afin de procurer une disponibilité
et une tolérance de panne adéquates lors
de la résolution des requêtes de noms.
Les transferts de zone s'effectuent dans
une zone DNS traditionnelle. La réplication
de zone se produit dans une zone intégrée
à Active Directory.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-21

Transferts de zone
Les transferts de zone sont toujours initialisés sur le serveur secondaire d'une zone et sont ensuite envoyés
aux serveurs maîtres configurés qui agissent comme la source de leur zone. Un serveur maître peut être
tout autre serveur DNS qui charge la zone, tel que le serveur principal de la zone ou un autre serveur
secondaire. Lorsque le serveur maître reçoit la demande de zone, il peut répondre par un transfert partiel
ou complet de la zone au serveur secondaire. Les types de transferts de zone comprennent :

• Transfert de zone complet. Un transfert de zone complet se produit lorsque vous copiez
la zone entière d'un serveur DNS vers un autre. Un transfert de zone complet est appelé AXFR
(All Zone Transfer).

• Transfert de zone incrémentiel. Un transfert de zone incrémentiel se produit lorsqu'une mise à jour
du serveur DNS est effectuée et que seuls les enregistrements de ressources modifiés sont répliqués
sur l'autre serveur. Il s'appelle transfert de zone incrémentiel (IXFR, Incremental Zone Transfer).

• Transfert de zone rapide Les serveurs DNS Windows effectuent également des transferts rapides,
qui correspondent à un type de transfert de zone qui utilise la compression et envoie plusieurs
enregistrements de ressources dans chaque transmission.

Toutes les implémentations de serveurs DNS ne prennent pas en charge les transferts de zone
incrémentiels et rapides. Lors de l'intégration d'un serveur DNS Windows Server 2012 avec un
serveur DNS BIND (Berkeley Internet Name Domain), vous devez vérifier que les fonctionnalités
dont vous avez besoin sont prises en charge par la version BIND installée.

Le tableau suivant répertorie les fonctionnalités que les différents serveurs DNS prennent en charge.

Transfert de zone Transfert de zone

Serveur DNS Transfert rapide
complet (AXFR) incrémentiel (IXFR)

BIND antérieur à 4.9.4 Pris en charge Non pris en charge Non pris en charge

BIND versions 4.9.4 à 8.1 Pris en charge Non pris en charge Pris en charge

BIND 8.2 Pris en charge Pris en charge Pris en charge

Windows Server 2003 (R2) Pris en charge Pris en charge Pris en charge

Windows Server 2008 et R2 Pris en charge Pris en charge Pris en charge

Windows Server 2012 Pris en charge Pris en charge Pris en charge

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-22 Conception et implémentation de la résolution de noms

Réplication de zone
La réplication Active Directory offre un avantage par rapport à la réplication DNS standard.
Avec la réplication DNS standard, seul le serveur principal d'une zone peut modifier cette zone.
Avec la réplication Active Directory, tous les contrôleurs de domaine pour le domaine peuvent
modifier la zone puis répliquer les modifications aux autres contrôleurs de domaine. Ce processus
de réplication est appelé la réplication multimaître, car plusieurs contrôleurs de domaine ou maîtres
peuvent mettre la zone à jour.

Les zones intégrées à Active Directory se répliquent via une réplication multimaître. Cela signifie
que tout contrôleur de domaine standard qui détient également le rôle DNS peut mettre à jour
les informations de zone DNS, qui se répliquent ensuite sur tous les serveurs DNS qui hébergent
la zone DNS.

Remarque : DNS Notify est une mise à jour de la spécification d'origine du protocole DNS
qui permet d'informer les serveurs secondaires lorsqu'une zone est modifiée. Cette mise à jour
s'avère utile dans un environnement où le temps est crucial et où l'exactitude des données est
importante.

Planification de la sécurité du transfert de zone

Les informations de zone fournissent les données
d'organisation. Vous devez donc prendre des
précautions pour assurer qu'elles sont protégées
contre tout accès d'utilisateur malintentionné
et qu'il n'est pas possible de les remplacer par
des données erronées (ce processus est appelé
empoisonnement DNS).

Une façon dont vous pouvez protéger

l'infrastructure DNS est de spécifier la liste
des serveurs de transfert de zone DNS autorisés
ou non autorisés. Par défaut, les transferts
de zone sont désactivés.

Bien que l'option spécifiant les serveurs autorisés à demander des données de zone garantisse leur
sécurité en limitant les destinataires de ces données, elle ne sécurise pas ces données pendant leur
transmission. Si vos informations de zone sont hautement confidentielles, nous vous recommandons
d'utiliser une stratégie de sécurité du protocole Internet (IPsec, Internet Protocol Security) pour
sécuriser la transmission ou de répliquer les données de zone sur un tunnel de réseau privé virtuel
(VPN, Virtual Private Network). Vous empêchez ainsi la détection de paquets d'identifier des
informations contenues dans la transmission des données.

L'utilisation de zones intégrées à Active Directory permet de répliquer les données de zone dans le cadre
des réplications AD DS normales. Étant donné que l'ensemble du trafic de réplication AD DS est chiffré
et authentifié avec le protocole Kerberos version 5, la sécurité de vos données de zone DNS est assurée
au cours du transit.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-23

Intégration des espaces de noms

Lors de l'intégration des espaces de noms, vous
devez examiner comment configurer au mieux
les indications de racine et le comportement
de transfert dans votre infrastructure DNS.

Indications de racine
Les indications de racine correspondent à la liste
des serveurs sur Internet que votre serveur DNS
utilise s'il ne parvient pas à résoudre une
requête DNS en utilisant un redirecteur DNS
ou son propre cache. Les indications de racine
correspondent aux serveurs les plus élevés dans la
hiérarchie DNS et peuvent fournir les informations
nécessaires à un serveur DNS pour qu'il exécute une requête itérative sur la couche inférieure suivante
de l'espace de noms DNS.

Lorsque vous installez le rôle DNS, la liste des indications de racine s'installe automatiquement. Elles
sont copiées à partir du fichier [Link] inclus dans les fichiers d'installation du rôle DNS. Vous pouvez
également ajouter des indications de racine à un serveur DNS pour prendre en charge des recherches
de domaines non contigus dans une forêt.
Lorsqu'un serveur DNS communique avec un serveur d'indications de racine, il utilise uniquement une
requête itérative. Si vous sélectionnez l'option Désactiver la récursivité, le serveur ne sera pas en mesure
d'exécuter des requêtes sur les indications de racine. Si vous configurez le serveur à l'aide d'un redirecteur,
il essaiera d'envoyer une requête récursive à son serveur de redirection. Si le serveur de redirection
ne répond pas à cette requête, le serveur répondra que l'hôte est introuvable.

Remarque : Il importe de comprendre que la récursivité sur un serveur DNS et les requêtes
récursives ne sont pas la même chose. La récursivité sur un serveur signifie que le serveur utilise
ses indications de racine pour essayer de résoudre une requête DNS.

Redirection
Un redirecteur est un serveur DNS de réseau qui transfère des requêtes DNS de noms DNS externes
aux serveurs DNS situés à l'extérieur de ce réseau. Vous pouvez également utiliser des redirecteurs
conditionnels pour transférer des requêtes en fonction de noms de domaine spécifiques.

Un serveur DNS de réseau est appelé redirecteur lorsque d'autres serveurs DNS de ce réseau
lui transfèrent les requêtes qu'ils ne savent pas résoudre localement. En utilisant un redirecteur,
vous pouvez gérer la résolution des noms situés à l'extérieur de votre réseau, tels que des noms
sur Internet, et améliorer l'efficacité de la résolution de noms pour les ordinateurs de votre réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-24 Conception et implémentation de la résolution de noms

Le serveur qui transfère les demandes sur le réseau doit être capable de communiquer avec le
serveur DNS situé sur Internet. Cela signifie que vous devez le configurer afin de transférer les demandes
à un autre serveur DNS ou qu'il utilisera des indications de racine pour communiquer.

Utilisez un serveur DNS de redirection central pour la résolution de noms Internet. Il permet d'améliorer
les performances, de simplifier la résolution des problèmes et constitue une méthode conseillée pour
assurer la sécurité. Vous pouvez isoler le serveur DNS de redirection dans un réseau de périmètre, lequel
garantit qu'aucun serveur au sein du réseau ne communique directement avec Internet.

Éléments à prendre en compte en matière de redirection conditionnelle

pour intégrer les espaces de noms
Si vous souhaitez que les clients DNS de réseaux distincts résolvent leurs noms respectifs sans avoir
à interroger les serveurs DNS sur Internet, notamment dans le cas d'une fusion d'entreprises, vous
devez configurer les serveurs DNS de chaque réseau pour qu'ils redirigent les requêtes de noms de
l'autre réseau. Les serveurs DNS d'un réseau redirigent les noms des clients de l'autre réseau vers un
serveur DNS spécifique qui crée un cache volumineux contenant les informations relatives à l'autre
réseau. Cette redirection vous permet de créer un point de contact direct entre les serveurs DNS
des deux réseaux, ce qui réduit le besoin de récursivité.

Les zones de stub n'apportent pas le même avantage de serveur à serveur car un serveur DNS qui
héberge une zone de stub dans un réseau répond aux requêtes de noms de l'autre réseau par la liste
de tous les serveurs DNS qui font autorité sur la zone contenant ce nom, plutôt que les serveurs
DNS spécifiques que vous avez désignés pour traiter ce trafic. Cette configuration complique tous
les paramètres de sécurité que vous voulez établir entre les serveurs DNS spécifiques qui s'exécutent
dans chacun des réseaux.

Éléments à prendre en compte pour la zone de stub pour intégrer les espaces
de noms
Utilisez des zones de stub lorsque vous voulez qu'un serveur DNS qui héberge une zone parent soit tenu
informé des serveurs DNS faisant autorité sur l'une de ses zones enfants. Si le même serveur DNS héberge
la zone parent et la zone de stub d'une zone enfant, il reçoit la liste de tous les nouveaux serveurs DNS
faisant autorité sur la zone enfant lorsqu'il demande une mise à jour au serveur maître de la zone de stub.
Cette méthode de mise à jour du serveur DNS qui héberge la zone parente conserve la liste actuelle
des serveurs DNS faisant autorité sur la zone enfant.

Un redirecteur conditionnel ne constitue pas une méthode efficace pour maintenir un serveur DNS
hébergeant une zone parente informé des serveurs DNS faisant autorité sur une zone enfant. En effet,
chaque fois que les serveurs DNS faisant autorité sur la zone enfant changent, vous devez configurer
manuellement le paramètre du redirecteur conditionnel sur le serveur DNS hébergeant la zone parente
à l'aide de l'adresse IP de chaque nouveau serveur DNS faisant autorité sur la zone enfant.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-25

Démonstration : Configuration de transferts de zones

Cette démonstration vous explique également comment :

• activer les transferts de zone sur une zone ;

• effectuer un transfert de zone.

Procédure de démonstration

Activer les transferts de zone sur une zone

1. Basculez vers LON-DC1, puis vers la console DNS.

2. Modifiez les propriétés de la zone [Link].

3. Autorisez les transferts de zone sur les serveurs répertoriés dans l'onglet Serveurs de noms.

4. Configurez le serveur LON-SVR1 de la liste de notification.

5. Ajoutez le serveur [Link] en tant que serveur nommé dans l'onglet Serveurs
de noms.

Effectuez un transfert de zone

1. Basculez vers LON-SVR1, puis vers la console DNS.

2. Actualisez la zone [Link].

3. Rebasculez vers LON-DC1 et, dans la console DNS, ajoutez un nouvel enregistrement de ressource
Nouvel alias (CNAME).

4. Rebasculez vers LON-SVR1 et forcez un transfert de zone pour afficher le nouvel enregistrement.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-26 Conception et implémentation de la résolution de noms

Leçon 5
Optimisation des serveurs DNS
Lorsque le service DNS fonctionne de façon optimale, il peut contribuer à améliorer les performances
des applications sur votre réseau et donc améliorer l'expérience de l'utilisateur. Lors de la conception
de votre infrastructure de résolution de noms, vous devez pouvoir choisir les configurations DNS
appropriées adaptées aux besoins particuliers de votre organisation.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• optimiser la récursivité DNS ;

• optimiser les indications de racine DNS ;

• optimiser les fonctionnalités du serveur DNS ;

• optimiser les zones intégrées à Active Directory.

Optimisation de la récursivité DNS

Lorsqu'un client DNS, également appelé une
résolution DNS, partitionne son serveur DNS
configuré, il utilise un des deux types de requête
suivants : une requête itérative ou une requête
récursive.

Requête itérative
Lorsqu'un serveur DNS reçoit une requête
itérative, il répond avec la réponse à la requête
ou une référence à un autre serveur DNS qui
fait autorité pour l'enregistrement faisant l'objet
de la requête. Tous les serveurs DNS prennent
initialement en charge les requêtes itératives,
et ils les utilisent pour résoudre des noms existant ailleurs dans l'espace de noms DNS Internet.

Requête récursive
Une requête DNS récursive est une requête dans laquelle le serveur DNS pétitionné résout un nom
d'hôte non locale pour le compte d'un client DNS. Lorsqu'un client utilise une requête récursive, il
attend en retour une réponse ou une erreur indiquant que le serveur ne peut pas résoudre la requête.
Le serveur DNS n'est pas autorisé à répondre avec une référence à un autre serveur DNS qui peut faire
autorité pour l'enregistrement faisant l'objet de la requête.
Vous n'avez pas besoin de configurer des serveurs DNS pour prendre en charge la récursivité, car les
ordinateurs clients utilisent généralement les requêtes récursives de leurs serveurs DNS configurés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-27

Si vous désactivez la récursivité, un serveur DNS n'utilisera pas d'indications de racine ou de

redirecteurs pour résoudre des requêtes pour les clients. Vous devez désactiver la récursivité sur tous
les serveurs DNS qui n'ont pas besoin de cette fonctionnalité. Les serveurs DNS internes requièrent en
général que vous activiez la récursivité alors qu'un serveur DNS qui héberge un espace de noms DNS
externe doit généralement faire désactiver la récursivité. Cela empêche les clients Internet d'utiliser
ce serveur pour résoudre les noms DNS.

En empêchant les clients d'Internet d'effectuer des requêtes récursives sur votre serveur DNS externe,
vous pouvez réduire la charge sur votre serveur et vous pouvez empêcher les attaques par déni de service.

Remarque : Vous pouvez désactiver la récursivité en activant la case à cocher Désactiver

la récursivité (désactive également les redirecteurs) dans l'onglet Avancé de la boîte
de dialogue Propriétés du serveur DNS.

Optimisation des indications de racine DNS

Lorsqu'un serveur DNS reçoit une requête
d'enregistrement récursive issue d'un domaine
DNS pour lequel il ne fait pas autorité, il doit
pouvoir résoudre cette requête. En configurant
chaque domaine dans l'espace de noms DNS
avec les informations qui identifient les sous
domaines et les serveurs faisant autorité pour
ces sous-domaines, les serveurs DNS peuvent
interroger le serveur DNS approprié pour un
sous-domaine donné.

Toutefois, lorsque la requête concerne

un domaine situé ailleurs dans l'espace de noms
DNS, le serveur DNS interrogé doit encore déterminer le serveur DNS qui fait autorité pour le domaine
interrogé, mais doit commencer par explorer l'arborescence DNS jusqu'à sa racine. Les serveurs racine
contiennent des informations sur les sous-domaines à partir de la racine et ces informations peuvent
être fournies au serveur DNS qui interroge pour lui permettre de continuer à rechercher les serveurs
de noms faisant autorité dans l'espace de noms.

Les indications de racine sont une liste d'enregistrements de ressources préliminaires que le service DNS
interrogé peut utiliser pour localiser d'autres serveurs DNS faisant autorité pour la racine de
l'arborescence de l'espace de noms de domaine DNS. Par conséquent, les serveurs DNS configurés
avec des indications de racine peuvent rapidement localiser et interroger les serveurs racines pour
accélérer leur requête.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-28 Conception et implémentation de la résolution de noms

Si vous supprimez le fichier d'indications de racine du serveur DNS, vous empêchez ce serveur de
contacter directement un serveur qui fait autorité pour la racine de l'infrastructure DNS. Dans ce cas,
vous devez configurer des serveurs afin de transférer les demandes à un autre serveur qui a un fichier
d'indications de racine. Le chemin d'accès utilisé pour les recherches DNS Internet dans votre organisation
est ainsi contrôlé.

Remarque : Le fichier d'indications de racine [Link] se trouve dans le dossier

%SystemRoot%\System32\Dns.

Si le réseau n'est pas connecté à Internet, vous devez créer un domaine racine pour l'utiliser en interne
pour la résolution de noms. Sur les serveurs qui font autorité pour le domaine racine, vous pouvez en
toute sécurité supprimer les informations d'indications de racine, car ces serveurs n'utilisent pas le fichier
d'indications de racine. Vous devez ensuite supprimer les enregistrements de ressources par défaut sur
les autres serveurs de votre organisation et les remplacer par des enregistrements de ressources pour
votre organisation.

Remarque : Vous pouvez configurer les indications de racine dans l'onglet Indications
de racine de la boîte de dialogue Propriétés du serveur DNS.

Optimisation des fonctionnalités des serveurs DNS

En examinant soigneusement la façon
dont vous implémentez des zones DNS
(en particulier les transferts de zone), et
en déterminant comment utiliser au mieux
les serveurs DNS cache uniquement, vous
pouvez mieux optimiser vos serveurs DNS.

Éléments à prendre en compte

dans les transferts de zone
Le rôle serveur Windows Server 2012 et d'autres
implémentations récentes de DNS non Microsoft
utilisent des transferts de zone incrémentiels. Les
transferts de zone incrémentiels ne comprennent
pas un transfert de zone complet, mais uniquement les modifications apportées aux zones DNS.
Dans de nombreux cas, cela signifie que les transferts de zone consomment très peu de capacité
réseau et n'ont pas besoin d'être optimisés.

Toutefois, pour optimiser les transferts de zone, vous pouvez contrôler la fréquence à laquelle
les transferts de zone ont lieu, la rapidité à laquelle le serveur DNS tente à nouveau un transfert
après une tentative infructueuse précédente et la rapidité à laquelle les données de zone expirent
lorsqu'elles ne sont pas actualisées. Par défaut, les transferts de zone se produisent toutes les
15 minutes, et si un transfert de zone échoue, une nouvelle tentative a lieu au bout de 10 minutes.

Remarque : Par défaut, si le serveur DNS ne peut pas contacter le serveur maître avec
la zone principale, les données d'une zone secondaire expire au bout de 24 heures.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-29

Éléments à prendre en compte pour les serveurs cache uniquement

Les serveurs cache uniquement effectuent la résolution de noms pour les clients, puis ils mettent les
résultats en cache ou les stockent. Ce type de serveur ne fait pas autorité pour une zone et ne stockent
donc pas les zones principales standard ou les zones secondaires standard. Par conséquent, un serveur
cache uniquement ne participe pas aux transferts de zone, ce qui réduit le trafic réseau.

Le cache contient les noms les plus fréquemment requis. L'utilisation d'un serveur cache uniquement
est un moyen simple de fournir quelques fonctions de résolution de noms DNS locaux sans configurer
de zones.
Pour déterminer si vous devez utiliser des serveurs cache uniquement, n'oubliez pas que même
si le serveur ne participe pas aux zones de transfert, il doit effectuer des requêtes pour tout
enregistrement DNS qui n'est pas actuellement en cache et que cela génère une charge sur le réseau.
Par conséquent, il importe que vous équilibriez les avantages offerts par le fait d'éviter le trafic de
transfert de zone DNS et l'augmentation des requêtes DNS.

Optimisation des zones intégrées à Active Directory

Si vous implémentez AD DS, vous pouvez
choisir d'implémenter les zones intégrées
à Active Directory.

Ces zones intégrées à Active Directory sont

enregistrées dans les partitions d'applications
spécialisées suivantes dans AD DS :

• La partition ForestDNSZones est répliquée sur

tous les contrôleurs de domaine de la forêt.

• La partition DomainDNSZones de chaque

domaine réplique sur tous les contrôleurs
de domaine exécutant le rôle serveur DNS
dans le domaine.

Remarque : Le sous-domaine _msdcs est situé dans ForestDNSZones par défaut,

car il contient des enregistrements pour tous les domaines AD DS. Dans la plupart des
cas, les autres zones répliquent seulement dans le domaine local.

Lorsque vous configurez vos zones intégrées à Active Directory, sélectionnez la partition appropriée.
Choisissez uniquement la partition ForestDNSZones lorsqu'il est essentiel que tous les serveurs DNS
de la forêt aient des copies de toutes les autres zones DNS.

En plus de sélectionner la partition appropriée, vous devez également vous assurer qu'AD DS est
lui-même optimisé. Par exemple, l'utilisation des sites AD DS vous permet de contrôler la réplication
entre des emplacements physiques, y compris la réplication des données de zone DNS.

De plus, au niveau du serveur individuel, placez la base de données et les journaux AD DS sur les
partitions de disques physiques dédiées pour augmenter les performances AD DS pour les requêtes
et les modifications.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-30 Conception et implémentation de la résolution de noms

Leçon 6
Conception du système DNS pour la haute disponibilité
et la sécurité
Étant donné l'importance de DNS, vous devez concevoir votre infrastructure de résolution de noms
pour garantir que les services de résolution de noms soient disponibles pour toutes les parties
de votre réseau, même si une partie de votre infrastructure de résolution de nom DNS échoue.

Vous devez également avoir une connaissance approfondie des risques de sécurité que votre
infrastructure de résolution de noms rencontre et concevoir votre implémentation DNS pour
contribuer à atténuer ces risques.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
• décrire les meilleures pratiques pour rendre le DNS hautement disponible ;

• déterminer si vous devez implémenter l'équilibrage de la charge réseau dans votre

infrastructure DNS ;
• décrire les risques de sécurité DNS courants ;

• sélectionner une stratégie de sécurité DNS ;

• sélectionner des paramètres de sécurité supplémentaires ;

• décrire le fonctionnement de DNSSEC ;

• déterminer un modèle de sécurité DNS approprié.

Meilleures pratiques pour rendre le DNS hautement disponible

Pour optimiser vos services de résolution de
noms DNS pour obtenir la haute disponibilité,
examinez comment les clients résoudraient les
noms en cas de défaillance des divers éléments
d'infrastructure réseau, notamment les serveurs
de noms. Par exemple, dans une succursale,
comment s'effectuerait la résolution de noms
si une liaison avec le siège social n'était pas
disponible ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-31

Pour examiner la disponibilité de DNS, tenez compte des instructions suivantes :

• Disposez d'au moins deux serveurs DNS faisant autorité pour chaque zone. Cela garantit
que si un serveur DNS n'est pas disponible, le serveur DNS restant peut encore servir la zone.
Selon votre conception, plus de deux serveurs DNS peuvent être nécessaires.

• Placez au moins un serveur DNS dans chaque sous-réseau ou emplacement physique distinct, selon
la configuration spécifique. En plaçant un serveur DNS à chacun emplacement physique distinct,
vous garantissez qu'aucune défaillance de liaison WAN n'affecte la résolution de noms. Placer des
serveurs DNS dans des sous-réseaux distincts réduit également la possibilité que des problèmes
de routage n'affectent la résolution de noms.

• Placez au moins un serveur DNS dans chaque site AD DS. DNS est essentiel pour AD DS. Placer
un serveur DNS dans chaque site AD DS contribue à éviter qu'aucune défaillance de liaison WAN
n'affecte AD DS. Dans la plupart des cas, vous devez configurer deux serveurs DNS pour chaque
site AD DS.

• Configurez les clients avec deux serveurs DNS. Pour obtenir une tolérance de pannes, vous
devez configurer les clients avec deux serveurs DNS. Si les clients ne peuvent pas contacter
le premier serveur DNS, ils contacteront automatiquement le second serveur DNS.

Comment utiliser l'équilibrage de la charge réseau pour assurer

la disponibilité de DNS
L'équilibrage de charge des services réseau
vous permet de répartir la charge de travail
du serveur sur plusieurs serveurs disponibles.
En plus de réduire la charge de travail sur
un serveur individuel, cela ajoute l'avantage
d'assurer la continuité du service en cas
de défaillance d'un ou plusieurs serveurs
du cluster d'équilibrage de charge.

Vous pouvez implémenter l'équilibrage

de charge dans vos services de résolution
de noms pour assurer la disponibilité et
l'évolutivité de la résolution DNS. Dans ce
scénario, plusieurs serveurs DNS physiques partagent une adresse IP virtuelle unique et les clients
communiquent avec cette adresse IP virtuelle pour la résolution de noms.

Vous pouvez augmenter les performances en ajoutant des nœuds supplémentaires au cluster
d'équilibrage de charge. Si un seul nœud du cluster connaît une défaillance, les nœuds restants
continuent de répondre aux requêtes DNS.

Tous les nœuds du cluster d'équilibrage de charge doivent être situés sur le même sous-réseau car
ils partagent une adresse IP virtuelle unique sur ce sous-réseau. Lorsque tous les nœuds appartiennent
à un sous-réseau unique, un cluster d'équilibrage de la charge réseau (NLB) ne peut pas protéger
contre une défaillance de la liaison réseau. Par conséquent, cette solution haute disponibilité
est adaptée à l'implémentation centralisée de DNS si vous avez pris en considération et atténué
les risques de défaillance de la liaison réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-32 Conception et implémentation de la résolution de noms

Attaques de sécurité DNS courantes

Votre infrastructure DNS est vulnérable aux
attaques en raison de la nature des données
qu'elle contient et de l'importance du processus
de résolution de noms. Les données qu'une
zone DNS contient sont intéressantes pour les
intrus, car ils peuvent récupérer les données de
zone à des fins malveillantes. De plus, en raison
de la nature critique des services de résolution
de noms, si des intrus peuvent perturber DNS,
d'autres applications importantes peuvent
échouer.

Par conséquent, il importe que, lorsque vous

concevez votre infrastructure DNS, vous accordiez une attention particulière aux problèmes de sécurité
pour contribuer à protéger vos données de zone et à garantir la disponibilité de DNS.

Les attaques DNS courantes comprennent :

• Prise d'empreintes, Il s'agit de la création d'un diagramme ou de la prise d'empreintes d'une
infrastructure DNS en capturant des données de zone DNS. Les personnes malveillantes qui peuvent
récupérer une liste d'hôtes et d'adresses IP sur votre réseau peuvent obtenir des informations
précieuses qu'ils peuvent ensuite utiliser pour lancer des attaques contre des services spécifiques.

• Déni de service. Cette attaque tente de rendre des services réseau indisponibles en inondant un ou
plusieurs serveurs DNS du réseau avec des requêtes récursives. L'utilisation ciblée de l'unité centrale
des serveurs peut atteindre leur maximum et le service Serveur DNS devient indisponible.

• Modification des données. Ce type d'attaque utilise l'usurpation d'adresse IP pour modifier les
données de zone. En modifiant les données de zone, les personnes malveillantes peuvent rediriger
les utilisateurs pour truquer les serveurs Web ou rediriger les courriers électroniques vers un serveur
contrôlé par des personnes malveillantes.

• Attaque de redirection. Les personnes malveillantes redirigent les requêtes de noms DNS vers
les serveurs qu'elles contrôlent. Une méthode de redirection implique de corrompre le cache DNS
d'un serveur avec des données erronées qui dirigent les requêtes futures vers les serveurs contrôlés
par la personne malveillante.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-33

Sélection d'une stratégie de sécurité DNS

Les configurations de sécurité peuvent avoir des
conséquences involontaires. Plus vous sécurisez
un composant, moins il devient utilisable et/ou
plus il devient difficile à administrer.

Lorsque vous examinez les menaces éventuelles

que rencontre votre infrastructure de résolution
de noms et les solutions que vous proposez
pour atténuer ces menaces, vous devez prendre
minutieusement en compte les conséquences
involontaires potentielles. Souvent vous
devez concevoir des paramètres de sécurité
qui impliquent un compromis. Les paramètres
doivent être assez sécurisés pour contribuer à protéger contre la plupart des menaces perçues,
mais pas assez pour que le service devienne inutilisable ou moins maniable.

Sélection d'une stratégie de sécurité DNS

En implémentant certaines fonctionnalités et en configurant les paramètres spécifiques DNS, vous pouvez
configurer la sécurité DNS dans un des niveaux de sécurité suivants :

• Sécurité par défaut. La stratégie de sécurité DNS par défaut est appropriée lorsqu'il n'y a aucun
souci concernant l'intégrité des données ou lorsqu'un réseau privé n'a aucune connectivité externe.
Lorsque vous utilisez les paramètres de sécurité par défaut, tous les serveurs DNS de votre réseau :

o effectuent la résolution standard DNS ;

o sont configurés avec des indications de racine qui pointent vers les serveurs racine pour Internet ;

o autorisent les transferts de zone vers un serveur ;

o sont configurés pour écouter sur toutes leurs adresses IP.

De plus, n'oubliez pas qu'avec le paramètre de sécurité DNS par défaut :

o sécuriser le cache contre la pollution est désactivé sur tous les serveurs DNS ;

o la mise à jour dynamique est autorisée pour toutes les zones DNS ;
o le port UDP et TCP/IP 53 est ouvert sur le pare-feu pour votre réseau pour les adresses source
et de destination.

• Sécurité équilibrée. Pour protéger les données de zone, cette configuration désactive les mises
à jour dynamiques et limite les transferts de zone, mais les zones intégrées à Active Directory ne
sont pas requises. Les serveurs DNS internes sont isolés d'Internet à l'aide d'un proxy. Lorsque vous
implémentez les paramètres de sécurité équilibrée, l'infrastructure DNS de votre organisation est
exposée de manière limitée à Internet et tous les serveurs DNS :

o utilisent des redirecteurs qui pointent vers une liste spécifique de serveurs DNS internes lorsqu'ils
ne peuvent pas résoudre des noms localement ;

o limitent les transferts de zone aux serveurs répertoriés dans les enregistrements de ressources
de serveur de noms (NS) dans leurs zones ;

o écoutent sur les adresses IP spécifiées.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-34 Conception et implémentation de la résolution de noms

De plus, n'oubliez pas qu'avec le paramètre de sécurité équilibrée :

o sécuriser le cache contre la pollution est activé sur tous les serveurs DNS ;

o la mise à jour dynamique sécurisée est autorisée pour toutes les zones DNS ;

o les serveurs DNS internes communiquent avec les serveurs DNS externes via le pare-feu
qui contient ;
o une liste limitée des adresses source et de destination autorisées ;

o les serveurs DNS externes devant votre pare-feu sont configurés avec des indications de racine
qui pointent vers les serveurs racine pour Internet ;

o l'ensemble de la résolution de noms Internet est effectuée à l'aide de serveurs proxy

et de passerelles.

• Sécurité renforcée. Cette configuration requiert l'utilisation de zones intégrées à Active Directory pour
implémenter des mises à jour dynamiques sécurisées. Seuls les contrôleurs de domaine peuvent être
configurés comme serveurs DNS. En outre, la sécurité est configurée pour réserver la modification du
système DNS aux personnes spécifiques. Lorsque vous implémentez des paramètres de sécurité DNS
renforcée, l'infrastructure DNS de votre organisation n'effectue aucune communication Internet via
les serveurs DNS internes, et

o votre réseau utilise une racine interne DNS et l'espace de noms DNS, où toute l'autorité pour
les zones DNS est interne ;

o les serveurs DNS qui sont configurés avec des redirecteurs utilisent uniquement des adresses IP
internes de serveur DNS ;

o tous les serveurs DNS limitent les transferts de zone aux adresses IP spécifiées ;

o les serveurs DNS sont configurés pour écouter sur les adresses IP spécifiées ;

o Sécuriser le cache contre la pollution est activé sur tous les serveurs DNS ;
o les serveurs DNS internes sont configurés avec des indications de racine qui pointent vers les
serveurs DNS internes qui hébergent la zone racine de votre espace de noms interne ;

o la mise à jour dynamique sécurisée est configurée pour toutes les zones DNS, excepté les zones
de niveau supérieur et les zones racine, qui n'autorisent pas du tout les mises à jour dynamiques ;

o tous les serveurs DNS s'exécutent sur les contrôleurs de domaine ; une liste de contrôle d'accès
(ACL) est configurée sur le service Serveur DNS pour permettre uniquement aux personnes
spécifiques d'effectuer des tâches d'administration sur les serveurs DNS ;

o toutes les zones DNS sont stockées dans Active Directory. Une liste de contrôle d'accès est
configurée pour permettre uniquement à des personnes spécifiques de créer, supprimer
ou modifier des zones DNS ;

o des listes de contrôle d'accès sont configurées dans les enregistrements de ressources DNS
pour permettre uniquement à des personnes spécifiques de créer, supprimer ou modifier
des données DNS.

Remarque : Il importe de comprendre que ces niveaux de sécurité ne représentent pas

une option unique et configurable mais plutôt une approche pour sécuriser vos paramètres
de sécurité DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-35

Sélection des paramètres de sécurité supplémentaires

En plus des paramètres de sécurité génériques
présentés dans la rubrique précédente, vous
pouvez activer et configurer les fonctionnalités
de sécurité suivantes :

• Liste rouge de requêtes globale.

La fonctionnalité de mise à jour
dynamique DNS de Windows Server
permet aux ordinateurs de résolution DNS
d'enregistrer et de mettre à jour
dynamiquement leurs enregistrements de
ressources avec leur serveur DNS configuré
chaque fois que cela est nécessaire. Toutefois,
ce comportement pratique peut également autoriser un utilisateur malveillant à s'approprier
un nom spécial et détourner certains types de trafic réseau vers son ordinateur. Pour empêcher
cette récupération, le rôle Serveur DNS de Windows Server 2012 inclut une liste rouge de requêtes
globale qui peut empêcher un utilisateur malveillant de s'approprier des noms DNS avec qui
ont une importance spéciale.

• Extensions de sécurité DNS (DNSSEC). Les zones DNS de Windows Server 2012 prennent en charge
le protocole DNSSEC. Cela signifie que vous pouvez signer et héberger des zones signées DNSSEC
pour assurer une sécurité supplémentaire pour votre infrastructure de résolution de noms.
Les DNSSEC sont des extensions du protocole DNS. Ces extensions ajoutent l'autorité d'origine,
l'intégrité des données et le déni d'existence authentifié à DNS. Ces modifications permettent
aux zones DNS et aux enregistrements qu'elles contiennent d'être signés numériquement.

• Verrouillage de cache DNS. Les serveurs DNS Windows Server 2012 prennent en charge
le verrouillage de cache DNS. Lorsque vous activez le verrouillage de cache, le serveur DNS
n'autorise pas le remplacement des enregistrements mis en cache pendant la valeur de la durée
de vie (TTL, Time to Live). Le verrouillage du cache fournit une sécurité améliorée contre les attaques
par empoisonnement du cache.

• Pool de sockets DNS. Les serveurs DNS Windows Server 2012 prennent en charge le pool de sockets
DNS. Au lieu d'utiliser un port source prédéterminé (TCP ou User Datagram Protocol (UDP) 53) lors
de l'émission de requêtes, le serveur DNS utilise un numéro de port aléatoire qu'il choisit dans
un pool, appelé le pool de sockets. Le pool de sockets rend les attaques par empoisonnement
du cache plus difficiles car un utilisateur malveillant doit deviner correctement à la fois le port
source d'une requête DNS et l'ID de transaction aléatoire pour exécuter correctement une attaque.

Remarque : Vous pouvez configurer ces options de sécurité dans l'onglet Avancé
de la boîte de dialogue Propriétés du serveur DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-36 Conception et implémentation de la résolution de noms

DNSSEC de Windows Server 2012

Une méthode d'attaque courante consiste à
intercepter et falsifier la réponse à une requête
DNS d'une organisation. Lorsqu'une personne
malveillante modifie la réponse d'un serveur
DNS ou envoie une réponse falsifiée afin de
diriger les ordinateurs clients vers ses propres
serveurs, elle peut accéder à des informations
sensibles. Tous les services qui s'appuient sur
DNS pour la connexion initiale, tels que les
serveurs Web d'e-commerce et les serveurs
de messagerie, sont vulnérables. DNSSEC est
conçu pour protéger les clients qui effectuent
des requêtes DNS en les empêchant d'accepter de fausses réponses DNS.

Lorsqu'un serveur DNS qui héberge une zone numériquement signée reçoit une requête, il renvoie les
signatures numériques avec les enregistrements demandés. Un résolveur ou un serveur différent peut
obtenir la clé publique de la paire clé publique/clé privée d'une ancre d'approbation, puis confirmer
que les réponses sont authentiques et n'ont pas été falsifiées. Pour cela, le résolveur ou le serveur doit
être configuré avec une ancre d'approbation pour la zone signée ou pour un parent de la zone signée.

Ancres d'approbation
Une ancre d'approbation est une entité faisant autorité représentée par une clé publique. La zone
TrustAnchors enregistre les clés publiques préconfigurées qui sont associées à une zone spécifique.
Dans DNS, l'ancre d'approbation est l'enregistrement de ressource DNSKEY or Delegation Signer (DS).
Les ordinateurs clients utilisent ces enregistrements pour générer des chaînes d'approbation. Une ancre
d'approbation de la zone doit être configurée sur chaque serveur DNS de domaine pour valider les
réponses de cette zone signée. Si le serveur DNS est un contrôleur de domaine, les zones intégrées
à Active Directory peuvent distribuer les ancres d'approbation.

Table de stratégie de résolution des noms

La table de stratégie de résolution des noms (NRPT) contient les règles qui contrôlent le comportement
des clients DNS en ce qui concerne l'envoi de requêtes DNS et le traitement des réponses à ces requêtes.
Par exemple, une règle DNSSEC invite l'ordinateur client à vérifier la validation de la réponse pour un
suffixe de domaine DNS particulier. Il est recommandé d'utiliser la stratégie de groupe pour configurer
le NRPT. En cas d'absence de NRPT, l'ordinateur client accepte des réponses sans les valider.

Déploiement de DNSSEC
Pour déployer DNSSEC :

1. Installez Windows Server 2012 dans l'environnement et attribuez le rôle DNS au serveur ; En général,
un contrôleur de domaine agit également en tant que serveur DNS. Cependant, ce n'est pas une
obligation.

2. Signez la zone DNS à l'aide de l'Assistant Configuration de DNSSEC situé dans la console DNS.

3. Configurez les points de distribution d'ancres d'approbation.

4. Configurez le NRPT sur les ordinateurs clients.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-37

Attribution du rôle de serveur DNS

Pour attribuer le rôle de serveur DNS, utilisez l'Assistant Ajout de rôles et de fonctionnalités à partir
du tableau de bord du Gestionnaire de serveur. Vous pouvez également ajouter ce rôle lorsque
vous ajoutez le rôle AD DS. Configurez ensuite les zones principales sur le serveur DNS. Une fois
qu'une zone est signée, tous les nouveaux serveurs DNS ajoutés dans Windows Server 2012 reçoivent
automatiquement les paramètres de DNSSEC.

Signature de la zone
Les options de signature suivantes sont disponibles :

• Configurer les paramètres de signature de zone. Cette option vous guide tout au long des étapes
et vous permet de définir toutes les valeurs de clé de signature de clé (KSK) et de clé de signature
de zone (ZSK).

• Signer la zone avec les paramètres d'une zone existante. Cette option vous permet de conserver
les mêmes valeurs et options qu'une autre zone signée.

• Utiliser les paramètres recommandés. Cette option signe la zone à l'aide des valeurs par défaut.

Remarque : Les signatures des zones peuvent également être effacées à l'aide
de l'interface utilisateur de gestion DNSSEC.

Configuration des points de distribution d'ancres d'approbation

Si la zone est intégrée à Active Directory et que tous les contrôleurs de domaine exécutent
Windows Server 2012, vous pouvez choisir des points de distribution pour distribuer les ancres
d'approbation à tous les serveurs de la forêt. Soyez prudent si vous faites ce choix, car l'Assistant
active la validation DNSSEC. Si vous activez les ancres d'approbation de DNS sans effectuer un test
minutieux, vous pourriez provoquer des pannes de DNS. Si des ancres d'approbation sont requises
sur des ordinateurs qui ne sont pas joints au domaine, par exemple, un serveur DNS du réseau de
périmètre (également appelé sous-réseau filtré), vous devez activer la substitution de clé automatisée.

Remarque : Une substitution de clé consiste à remplacer une paire de clés par une autre
à la fin de la période de validité d'une clé.

Configuration de NRPT sur des ordinateurs clients

L'ordinateur client DNS exécute uniquement la validation DNSSEC sur les noms de domaine où
l'ordinateur client DNS est configuré pour le faire par la table NRPT. Un ordinateur client exécutant
Windows® 7 prend en charge DNSSEC, mais n'exécute pas la validation. À la place, il compte sur
le serveur DNS orienté sécurité pour exécuter la validation en son nom.

Nouveautés de DNSSEC dans Windows Server 2012

Windows Server 2012 a simplifié l'implémentation de DNSSEC. Bien que DNSSEC était pris en charge
dans Windows Server 2008 R2, vous deviez effectuer la majeure partie des tâches de configuration
et d'administration manuellement et les zones étaient signées alors qu'elles étaient hors connexion.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-38 Conception et implémentation de la résolution de noms

Assistant Signature de zone DNSSEC

Windows Server 2012 inclut un Assistant Signature de zone DNSSEC pour simplifier le processus de
configuration et de signature et permettre la signature en ligne. Vous pouvez utiliser l'Assistant pour
choisir les paramètres de signature de zone. Si vous choisissez de configurer les paramètres de signature
de zone au lieu d'utiliser les paramètres d'une zone existante ou les valeurs par défaut, vous pouvez
utiliser l'Assistant pour configurer des paramètres tels que :

• Options KSK

• Options ZSK

• Options de distribution d'ancres d'approbation

• Paramètres de signature et d'interrogation

Nouveaux enregistrements de ressources

La validation des réponses DNS est effectuée en associant une paire de clés privée et publique
(générée par l'administrateur) à une zone DNS et en définissant des enregistrements de ressources
DNS supplémentaires pour signer et publier des clés. Les enregistrements de ressources distribuent
la clé publique, tandis que la clé privée reste sur le serveur. Lorsque le client demande une validation,
DNSSEC ajoute des données à la réponse, qui permettent au client d'authentifier cette réponse.

Le tableau suivant décrit les nouveaux enregistrements de ressources dans Windows Server 2012.

Enregistrement
Rôle
de ressource

DNSKEY Cet enregistrement publie la clé publique de la zone. Il vérifie l'autorité

d'une réponse par rapport à la clé privée conservée sur le serveur DNS.
Ces clés requièrent le remplacement périodique par substitution de clé.
Windows Server 2012 prend en charge les substitutions de clé automatisées.
Chaque zone possède plusieurs enregistrements DNSKEY qui sont ensuite
divisés en clés ZSK et clés KSK.

Delegation Il s'agit d'un enregistrement de délégation qui contient le hachage de la clé

Signer (DS) publique d'une zone enfant. Cet enregistrement est signé par la clé privée de
la zone parente. Si une zone enfant d'une zone parente signée est également
signée, vous devez ajouter manuellement les enregistrements DS de la zone
enfant à la zone parente pour créer une chaîne d'approbation.

Resource Record Cet enregistrement contient une signature pour un jeu d'enregistrements DNS.
Signature Il permet de vérifier l'autorité d'une réponse.
(RRSIG)

Next Secure Lorsque la réponse DNS ne contient aucune donnée à fournir au client,
(NSEC) cet enregistrement authentifie le fait que l'hôte n'existe pas.

NSEC3 Cette version hachée de l'enregistrement NSEC est conçue pour empêcher
les attaques alphabétiques en énumérant la zone.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-39

Autres nouvelles améliorations

Les autres améliorations pour Windows Server 2012 comprennent :

• prise en charge des mises à jour dynamiques de DNS dans les zones signées DNSSEC ;

• distribution automatisée d'ancres d'approbation par AD DS ;

• interface de ligne de commande basée sur Windows PowerShell® pour la gestion et les scripts.

Discussion : Instructions relatives à la conception de la sécurité DNS

La société Northwind Traders possède
trois emplacements, comme indiqué sur
la diapositive. Le réseau de Northwind Traders
est configuré comme suit :

• Il existe actuellement deux contrôleurs

de domaine : NWT-DC1 au siège social
et NWT-BR-DC2 dans la grande succursale.
Le personnel informatique estime que la
deuxième succursale, qui est plus petite,
n'a pas besoin d'un contrôleur de domaine.

• Il existe deux serveurs de noms DNS,

NWT-NS1 et NWT-NS2, qui sont situés
dans l'emplacement du siège social.

• Il y a un serveur de noms, NWT-BR-NS1, qui est installé dans la succursale plus petite.

• Le réseau de périmètre, lequel est séparé du réseau du siège social par un pare-feu convenablement
configuré, contient un serveur Web et deux serveurs de nom DNS : NWT-PER-NS1 et NWT-PER-NS2.

• Des liaisons WAN ultra-rapides connectent tous les emplacements.

• Les succursales et les emplacements du siège social sont configurés en tant que sites AD DS distincts
à l'aide de la configuration par défaut de la réplication AD DS.

• Le rôle Serveur DNS n'est installé sur aucun contrôleur de domaine.

• Le siège social prend en charge plusieurs centaines d'utilisateurs, tandis que la succursale 2
prend en charge 100 utilisateurs ; La succursale 1 est plus petite, avec environ 25 utilisateurs.

• Une zone principale appelée [Link] est configurée sur le serveur

de noms NWT-NS1. Une zone secondaire est configurée sur les serveurs de noms NWT-NS2
et NWT-BR-NS1. Dans les deux instances, le maître est configuré comme NWT-NS1.

• NWT-PER-NS1 héberge une zone principale [Link] pour les utilisateurs externes, alors
que NWT-PER-NS2 transfère les requêtes sortantes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-40 Conception et implémentation de la résolution de noms

Examinez la configuration actuelle, puis à l'aide des informations contenues dans les rubriques
précédentes, déterminez comment vous pouvez optimiser la configuration DNS. Pour vous aider,
utilisez les questions suivantes :

Question : Comment pourriez-vous renforcer la sécurité d'une infrastructure DNS interne ?

Question : Quelles modifications de configuration seraient nécessaires pour soutenir

vos propositions ?

Question : Comment recommanderiez-vous de configurer des mises à jour sur votre

serveur DNS ?

Question : Quel niveau de stratégie de sécurité DNS avez-vous choisi ?

Question : Existe-t-il d'autres critères de sécurité liés à la conception de DNS ?

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-41

Atelier pratique : Conception et implémentation

de la résolution de noms
Scénario
A. Datum Corporation a connu une croissance rapide et son passage à Windows Server 2012 lui
fournit l'occasion idéale de valider, et si nécessaire, reconcevoir et reconfigurer l'infrastructure DNS.
Dans le cadre de ce processus, vous avez été invité à examiner l'infrastructure DNS dans
Contoso, Ltd., un partenaire actuel qui doit être racheté de manière imminente. Vous devez
examiner la conception DNS, et si nécessaire, suggérer d'y apporter des modifications.

Les modules suivants fournissent quelques informations supplémentaires sur les différents emplacements
réseau chez Contoso.

Concentrateurs régionaux et siège social

Emplacement Fonction Caractéristiques

Paris, France Siège social. Le rôle planifié est le Nombre d'employés actuel : 1 800
centre commercial, de marketing (Nombre d'employés planifié : 4 700)
et de distribution pour l'Europe

Rome, Italie Bureau concentrateur régional Nombre d'employés : 250

Barcelone, Espagne Bureau concentrateur régional Nombre d'employés : 200

Munich, Allemagne Bureau concentrateur régional Nombre d'employés : 200

Athènes, Grèce Bureau concentrateur régional Nombre d'employés : 200

Succursales régionales et centres de distribution

Nombre d'utilisateurs
Emplacement Nombre de serveurs Filiales
(total de toutes les succursales)

Allemagne 1 dans chaque succursale 100 3

Espagne 1 dans chaque succursale 250 5

Italie 1 dans chaque succursale 250 5

Grèce 1 dans chaque succursale 75 2

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-42 Conception et implémentation de la résolution de noms

Objectifs
À la fin de cet atelier pratique, vous serez à même d'effectuer les tâches suivantes :

• concevoir une stratégie de résolution de noms ;

• concevoir une stratégie de placement de serveurs DNS ;

• planifier des zones DNS et la réplication de ;

• implémenter DNS.

Configuration de l'atelier pratique

Durée approximative : 90 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-SVR1

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.
2. Dans le Gestionnaire Hyper-V®, cliquez sur 22413B-LON-DC1, et, dans le volet Actions, cliquez
sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Ouvrez une session en utilisant les informations d'authentification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

• Répétez les étapes 2 à 4 pour 22413B-LON-SVR1.

Exercice 1 : Conception d'une stratégie de résolution de noms DNS

Scénario
Contoso, Ltd, une organisation partenaire sur le point d'être rachetée, n'a aucun serveur Windows Server
installé. Actuellement, son réseau multisite est pris en charge par les hôtes UNIX et une combinaison
d'ordinateurs clients Windows. UNIX fournit des services de résolution de noms.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-43

Documentation supplémentaire

Remarque : Le message électronique suivant est présenté sous la forme d'un véritable
message électronique avec les messages initiaux à la fin du thread de messages. Vous devez lire
le thread de bas en haut.

Courrier électronique de Charlotte Weiss de Contoso :

De : Charlotte Weiss [Charlotte@[Link]]

Envoyé : 04 août 09:05

À: Brad@[Link]

Objet : Objet : Conception du DNS Contoso

Pièces jointes : [Link]

Brad,

Oui, je suis responsable d'une partie de l'infrastructure informatique de Contoso, y compris de DNS.
Voici ce que je peux vous dire :
• Nous avons un seul nom de domaine inscrit, [Link], qui est utilisé en interne et en externe.

• Cela est géré comme une zone DNS unique, les serveurs secondaires étant distribués aux bureaux
concentrateurs régionaux.

• Les succursales et les centres de distribution (15 au total en Europe) n'ont aucun serveur DNS local
actuellement.

• Tous les clients situés dans ces bureaux sont configurés pour utiliser un serveur DNS au concentrateur
régional le plus proche.

• Contoso a des enregistrements DNS externes qui sont synchronisés manuellement avec
la structure DNS interne.

• Ces enregistrements sont modifiés à une fréquence moyenne d'une fois par an. Le tableau ci-après
répertorie ces enregistrements.

Enregistrements DNS externes Rôle

[Link] Site Web public

[Link] Site Web sécurisé pour les clients

[Link] Serveur VPN utilisé par le personnel itinérant

[Link] Serveur de messagerie Internet

[Link] Serveur DNS externe

[Link] Serveur DNS externe

J'ai attaché un schéma de l'infrastructure réseau actuelle. J'espère que cela vous servira.

Cordialement,

Charlotte
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-44 Conception et implémentation de la résolution de noms

----- Message d'origine -----

De : Brad Sutton [Brad@[Link]]

Envoyé : 03 août 08:45

À: Charlotte@[Link]

Objet : Contoso Conception du DNS

Bonjour Charlotte,

Le rôle de regrouper une infrastructure DNS pour Contoso m'a été attribué. Je sais que vous avez
participé au déploiement du DNS à Paris. Je me demande si vous pouvez envoyer les informations
relatives à ce déploiement existant.

Merci,

Brad

Diagramme de réseau des emplacements de Contoso ([Link])

Le diagramme de réseau des emplacements de Contoso est le suivant :

Document de la proposition
Stratégie de résolution de noms DNS Contoso

Numéro de référence du document : BS00806/1

Auteur du document Brad Sutton

Date 6 août

Présentation des exigences

Pour concevoir une nouvelle stratégie de résolution de noms DNS :
• La tolérance de pannes et les performances de la résolution de noms sont importantes.
• Le plan doit prendre en charge toute croissance ou toutes modifications anticipées
de l'infrastructure réseau.
• Il est très probable qu'AD DS soit implémenté chez Contoso lorsque cette organisation sera
rachetée prochainement. Toute conception DNS doit intégrer cette modification.
• Même si la fusion prévue entre A Datum, Trey Research et Contoso n'a pas encore eu lieu, les
utilisateurs partagent déjà les ressources entre ces organisations. Un contrôle récent du réseau a
montré que le volume des requêtes de résolution de noms pour [Link] et [Link]
a augmenté considérablement. La conception doit intégrer ce fait.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-45

(suite)

Stratégie de résolution de noms DNS Contoso

Informations supplémentaires
• Il y a environ 30 à 50 ordinateurs clients et un serveur dans chacune des petites succursales
régionales.
• Une croissance importante est prévue au siège social dans un avenir proche.
• Les hôtes UNIX qui fournissent le DNS exécutent BIND 9.6.
• Il n'y a aucun Service de domaine Active Directory (AD DS) déployé dans Contoso, mais des plans
sont imminents pour les déployer dans Contoso.
• Chaque concentrateur régional a un seul serveur DNS. Toutefois, le siège social
a deux serveurs DNS pour la résolution interne.
• Les petites succursales n'ont pas de serveur DNS local et utilisent leur concentrateur régional
le plus proche pour la résolution de noms.
• Le même nom de domaine ([Link]) est utilisé en interne et en externe.

Propositions
1. L'utilisation du même nom ([Link]) représente-t-elle une approche raisonnable ?

2. Comment recommanderiez-vous que Contoso gère son espace de noms interne pour DNS ?

3. La configuration DNS mixte serait-elle appropriée ?

4. Quel espace de noms DNS recommandez-vous à Contoso d'utiliser pour AD DS ?

5. Quels sont les éléments à prendre en compte lorsque vous envisagez de reconfigurer un espace
de noms DNS existant ?

6. Comment intégreriez-vous les exigences de tolérance de pannes ?

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-46 Conception et implémentation de la résolution de noms

(suite)

Stratégie de résolution de noms DNS Contoso

Propositions
7. Comment proposeriez-vous de gérer la croissance prévue du réseau ?

8. Comment recommanderiez-vous de configurer la résolution de noms au vu des noms de

domaine des partenaires commerciaux de Contoso, [Link] et [Link] ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie de résolution
de noms DNS.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez créé une conception de résolution de noms DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-47

Exercice 2 : Planification d'une stratégie de placement de serveurs DNS

Scénario
Lorsqu'on choisit le nouvelle conception DNS, le placement des serveurs DNS est important pour réduire
le trafic WAN et garantir la haute disponibilité du service de résolution de noms. Vous devez déterminer
les emplacements qui auront des serveurs DNS selon l'infrastructure réseau et le nombre d'utilisateurs.
En outre, une liaison WAN défaillante ne doit pas provoquer l'échec de la résolution de noms.

Documentation fournie avec le produit

Document de la proposition
Stratégie de placement des serveurs DNS Contoso

Numéro de référence du document : BS00810/2

Auteur du document Brad Sutton

Date 10 août

Présentation des exigences

Pour planifier une nouvelle stratégie de placement des serveurs DNS :
• La tolérance de pannes et les performances de la résolution de noms sont importantes.
• Le plan doit prendre en charge toute croissance ou toutes modifications anticipées
de l'infrastructure réseau.
• Il est très probable qu'AD DS soit implémenté chez Contoso lorsque cette organisation
sera rachetée prochainement. Tout plan DNS doit intégrer cette modification.

Informations supplémentaires
• Il y a environ 30 à 50 ordinateurs clients et un serveur dans chacune des petites succursales
régionales.
• Une croissance importante est prévue au siège social dans un avenir proche.
• Les hôtes UNIX qui fournissent le DNS exécutent BIND 9.6.
• Il n'y a aucun Service de domaine Active Directory (AD DS) déployé dans Contoso, mais des plans
sont imminents pour les déployer dans Contoso.
• Chaque concentrateur régional a un seul serveur DNS. Toutefois, le siège social
a deux serveurs DNS pour la résolution interne.
• Les petites succursales n'ont pas de serveur DNS local et utilisent leur concentrateur régional
le plus proche pour la résolution de noms.
• Le même nom de domaine ([Link]) est utilisé en interne et en externe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-48 Conception et implémentation de la résolution de noms

(suite)

Stratégie de placement des serveurs DNS Contoso

Propositions
1. Combien de serveurs DNS envisagez-vous au siège social à Paris ?

2. Des serveurs DNS sont-ils requis dans les emplacements des succursales ? Quels éléments
devez-vous prendre en considération ?

3. Des serveurs DNS supplémentaires sont-ils requis dans chaque site concentrateur régional ?

4. Comment l'implémentation imminente d'AD DS modifie-t-elle votre plan de placement

des serveurs DNS ?

5. Existe-t-il des points de défaillance que votre plan n'englobe pas ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie de placement
des serveurs DNS de Contoso.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : Après avoir terminé cet exercice, vous aurez déterminé où placer les serveurs DNS de Contoso
pour prendre en charge votre conception initiale de DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-49

Exercice 3 : Planification de zones DNS et réplication de zone DNS

Scénario
Après avoir déterminé l'emplacement des serveurs DNS, vous devez déterminer comment diviser l'espace
de noms DNS et effectuer la réplication. Le DNS de chaque domaine AD DS doit être géré séparément.
Chaque zone DNS doit pouvoir effectuer des mises à jour dynamiques sécurisées pour les ordinateurs
du domaine local.

Documentation fournie avec le produit

Document de la proposition
Zones DNS Contoso et stratégie de réplication de zone

Numéro de référence du document : BS00812/2

Auteur du document Brad Sutton

Date 12 août

Présentation des exigences

Pour planifier une nouvelle zone DNS et une stratégie de transfert de zone :
• La tolérance de pannes et les performances de la résolution de noms sont importantes.
• Le plan doit prendre en charge toute croissance ou toutes modifications anticipées
de l'infrastructure réseau.
• Il est très probable qu'AD DS soit implémenté chez Contoso lorsque cette organisation sera
rachetée prochainement. Tout plan DNS doit intégrer cette modification.

Informations supplémentaires
• Vous pouvez supposer que vos plans de conception de DNS et de placement des serveurs
ont été acceptés par la direction.

Propositions
1. Quelles zones devez-vous créer sur les serveurs DNS internes ?

2. Quelles zones devez-vous créer sur les serveurs DNS externes ?

3. Comment configurerez-vous la réplication ou les transferts de zone pour chaque zone ?

4. Comment l'implémentation AD DS affecterait-elle votre conception ?

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-50 Conception et implémentation de la résolution de noms

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie de zones DNS Contoso
et de réplication de zones.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées ci-dessus.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez obtenu une conception de zone DNS utilisable pour
implémenter DNS.

Exercice 4 : Implémentation de DNS

Scénario
Pour la préparation du déploiement et de la configuration de DNS chez Contoso, vous avez été affecté
à une équipe de projet qui déploie actuellement des serveurs DNS supplémentaires chez A. Datum.

Les tâches principales de cet exercice sont les suivantes :

1. Installer le rôle serveur DNS.

2. Créer et configurer des zones secondaires.

3. Configurer les options DNS.

4. Activer la prise en charge de la zone GlobalNames.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-51

 Tâche 1 : Installer le rôle serveur DNS

1. Basculez vers LON-SVR1.

2. Si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

3. Dans le Gestionnaire de serveur, ajoutez le rôle Serveur DNS avec les valeurs par défaut.

4. Laissez le Gestionnaire de serveur et la console DNS ouverts.

 Tâche 2 : Créer et configurer des zones secondaires

1. Sur LON-SVR1, ouvrez Windows PowerShell en tant qu'administrateur.

2. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

add-dnsserversecondaryzone –masterservers [Link] –Name [Link] –Zonefile

C:\windows\system32\dns\[Link]

3. Ouvrez DNS et vérifiez que la zone est créée.

4. Basculez vers LON-DC1. Si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

5. Ouvrez DNS et modifiez les propriétés de la zone [Link].

6. Autorisez les transferts de zone sur les serveurs répertoriés dans l'onglet Serveurs de noms.

7. Configurez le serveur LON-SVR1 dans la liste Notifier à l'aide de l'adresse IP : [Link].

8. Ajoutez le serveur [Link] en tant que serveur nommé dans l'onglet Serveurs
de noms.

9. Basculez vers LON-SVR1.

10. Ouvrez DNS.

11. Vérifiez que la zone [Link] existe et contient des enregistrements.

 Tâche 3 : Configurer les options DNS

• Sur LON-SVR1, dans le Gestionnaire DNS, procédez comme suit :

o configurez LON-DC1 en tant que redirecteur DNS de ce serveur DNS ;

o désactivez le tourniquet DNS ;

o supprimez tous les enregistrements dans les indications de racine.

 Tâche 4 : Activer la prise en charge de la zone GlobalNames

1. Basculez vers LON-DC1.

2. Ouvrez Windows Powershell en tant qu'administrateur.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
4-52 Conception et implémentation de la résolution de noms

3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

set-dnsserverglobalnamezone
–enable $true

Cette commande autorise la prise en charge de la zone GlobalNames.

4. Dans le Gestionnaire DNS, créez une nouvelle zone principale sur LON-DC1 avec les propriétés
ci-dessous :

o Type de zone : Zone Principale

o Étendue de la zone de réplication de Active Directory : Vers tous les serveurs DNS exécutés
sur des contrôleurs de domaine dans cette forêt : [Link]
o Nom de la zone : GlobalNames

o Mise à jour dynamique : Accepter les valeurs par défaut

Résultats : À la fin de cet exercice, vous aurez implémenté correctement DNS.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-SVR1.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 4-53

Contrôle des acquis et éléments à retenir

Question(s) de contrôle des acquis
Question : Quelle est la différence entre un sous-domaine dans une zone DNS et une zone
déléguée ?

Question : Contoso a créé un service Ventes régional. Une partie du personnel de vente
se trouve dans les centres de ventes régionaux où il n'y a qu'environ 10 ordinateurs.
Les ordinateurs du personnel de vente doivent pouvoir accéder aux mêmes applications
et ressources que le reste du personnel Contoso. Comment implémenteriez-vous
le service DNS dans ces petites succursales ?

Question : Si la conception doit être tolérante aux défaillances de liaison entre

les succursales et les sites hub, comment cela affecterait-il votre conception ?

Question : Vrai ou faux ? Vous devez désactiver la récursivité sur tous les serveurs DNS
internes.

Question : Pourquoi n'est-il pas recommandé de désactiver la rotation circulaire sur tous
les serveurs DNS ?

Question : Quand configureriez-vous un serveur cache uniquement ?

Question : Pour déterminer la résolution de noms NetBIOS, quand choisirez-vous WINS

sur GNZ ?

Question : Vous êtes préoccupé par la sécurité des données de zone lorsqu'elle sont en
transit sur le réseau pendant un transfert de zone. Tous vos serveurs DNS sont également
des contrôleurs de domaine. Quelles sont les deux stratégies que vous pouvez implémenter
pour atténuer les menaces sur la sécurité perçues ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-1

Module 5
Conception et implémentation d'une infrastructure de forêt
et de domaine pour les services de domaine Active Directory
Table des matières :
Vue d'ensemble du module 5-1

Leçon 1 : Conception d'une forêt AD DS 5-3

Leçon 2 : Conception et implémentation d'approbations de forêt AD DS 5-10

Atelier pratique A : Conception et implémentation d'une infrastructure

de forêt pour les services de domaine Active Directory 5-16

Leçon 3 : Conception et implémentation de domaines AD DS 5-24

Leçon 4 : Conception d'espaces de noms DNS dans
les environnements AD DS 5-31

Leçon 5 : Conception d'approbations de domaine AD DS 5-35

Atelier pratique B : Conception et implémentation d'une infrastructure
de domaine AD DS 5-42

Contrôle des acquis et éléments à retenir 5-47

Vue d'ensemble du module

Pour concevoir l'infrastructure d'une forêt de services de domaine Active Directory® (AD DS) pour
votre organisation, vous devez d'abord déterminer les exigences organisationnelles et administratives,
puis choisir la conception à utiliser. Plusieurs conceptions sont possibles, chacune d'entre elle exigeant
un certain degré de compromis.

En fonction des besoins de votre organisation, vous devez déterminer le type de forêt et de domaine
racine de forêt AD DS dont vous avez besoin. Vous devez également déterminer si votre organisation
nécessite plusieurs forêts et planifier des approbations entre celles-ci.

Après avoir sélectionné une conception forêt AD DS appropriée, vous devez concevoir le modèle
de domaine ; cette étape implique de déterminer les besoins de votre organisation, de sélectionner
l'emplacement des contrôleurs de domaine, puis de déployer ces derniers. Après la création de
l'infrastructure de domaine AD DS, vous intégrez les espaces de noms DNS (Domain Name System)
internes et externes au domaine AD DS à l'aide des serveurs DNS. Enfin, si votre conception comporte
plusieurs domaines, vous créez des approbations de domaine pour permettre la communication
d'un domaine à l'autre.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-2 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• concevoir une forêt AD DS ;

• concevoir et implémenter des approbations de forêt AD DS ;

• concevoir et implémenter des domaines AD DS ;

• concevoir des espaces de noms DNS dans un environnement AD DS ;

• concevoir et implémenter des approbations de domaine AD DS.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-3

Leçon 1
Conception d'une forêt AD DS
Lorsque vous concevez votre forêt AD DS, la sélection d'une conception basée sur une forêt
unique offre une intégration et une simplicité optimales. Cette méthode prend également
en charge des fonctionnalités telles qu'une liste des adresses globales unique (GAL) dans
Microsoft® Exchange Server 2010. Cependant, dans certains cas, les organisations ont besoin de
plusieurs racines de forêt pour faire face aux questions de sécurité, aux problèmes de gouvernance
ou aux exigences d'isolation administratives. Dans cette leçon, vous allez découvrir les critères qui vous
aideront à choisir la meilleure manière d'implémenter une forêt AD DS au sein de votre organisation.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les forêts AD DS ;

• décrire les modèles de conception de forêt AD DS ;

• décrire les avantages et inconvénients du modèle de forêt unique ;

• décrire les éléments à prendre en compte pour l'implémentation de plusieurs forêts ;

• décrire les instructions de conception d'une infrastructure de forêt AD DS ;

• sélectionner une conception de forêt appropriée.

Qu'est-ce qu'une forêt AD DS ?

Une forêt AD DS est l'objet conteneur de niveau
supérieur dans la hiérarchie AD DS. Ce conteneur
est conçu pour n'importe quel domaine de votre
organisation.

Une forêt AD DS présente les caractéristiques

suivantes :

• Tous les objets contenus dans une forêt

partagent un schéma AD DS commun.
Le schéma est la collection des types
d'objets et de leurs attributs respectifs.

• La forêt possède un catalogue global unique.

Ce catalogue global est partagé par tous les contrôleurs de domaine auxquels le rôle de catalogue
global a été attribué.

• La forêt possède un seul groupe nommé Administrateurs de l'entreprise. Les membres de ce groupe
appartiennent, indirectement, aux groupes Administrateurs du domaine des domaines membres. Les
administrateurs de l'entreprise peuvent effectuer des tâches administratives en tout point de la forêt.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-4 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

En raison de ces caractéristiques, vous pouvez considérer une forêt comme une unité d'administration
unique comportant un catalogue global et un schéma commun.

Remarque : Une forêt AD DS possède un domaine racine unique ; ce domaine racine

contient deux rôles de maître d'opérations à l'échelle de la forêt : le contrôleur de schéma
et le maître d'opérations des noms de domaine.

Modèles de forêt AD DS
Il est important que vous choisissiez un modèle
de conception de forêt approprié dès le début
de la conception et de la planification de votre
infrastructure. En effet, il peut être compliqué
et fastidieux d'en changer par la suite. Vous avez
le choix entre les modèles de conception suivants :

• Modèle de forêt unique. Dans ce modèle

de conception, tous les comptes d'utilisateurs
et ressources figurent dans un ou plusieurs
domaines regroupés dans une forêt AD DS
unique. Il s'agit du modèle de conception
de forêt le plus courant et le plus facile
à implémenter et à prendre en charge. En outre, il répond aux besoins de la plupart
des organisations.

• Modèle de forêt basé sur l'organisation. Dans ce modèle de conception, les administrateurs
conçoivent une forêt en tenant compte de différents facteurs propres aux besoins d'une
organisation, notamment de sa structure administrative, de ses sites physiques et de ses
critères d'entreprise. Souvent, ces besoins organisationnels l'emportent sur les autres
considérations de conception. Dans ce modèle de conception, la forêt regroupe les
comptes d'utilisateurs et les ressources, que vous gérez indépendamment. Par conséquent,
l'administrateur crée généralement plusieurs forêts dans une seule organisation, chacune
étant administrativement distincte et autonome. Si les utilisateurs de l'une des forêts basées
sur l'organisation doit accéder à des ressources situées dans d'autres forêts, vous pouvez
créer des relations d'approbation entre la forêt basée sur l'organisation et ces autres forêts.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-5

• Modèle de forêt basé sur les ressources. Parfois, dans un environnement comportant une application,
un dossier partagé, ou toute autre ressource système particulièrement critique ou sécurisée, les
administrateurs créent une forêt spécifiquement pour les utilisateurs qui doivent accéder à cette
ressource. Habituellement, ce type de forêt, connu sous le nom de forêt basée sur les ressources,
est une forêt nouvelle ou supplémentaire au sein d'une organisation, et vous établissez ensuite
des approbations pour y accéder. Les forêts basées sur les ressources contiennent uniquement
les comptes d'utilisateurs qui sont requis pour assurer l'administration du service et un accès
distinct aux ressources contenues dans la forêt. Vous pouvez établir des approbations de forêt
de sorte que les utilisateurs d'autres forêts puissent accéder aux ressources de la forêt basée
sur les ressources. Les forêts basées sur les ressources permettent l'isolation de service, laquelle
contribue à protéger les zones du réseau qui doivent être hautement disponibles. Par exemple,
si votre société dispose d'un département stratégique qui doit rester opérationnel même lorsque
le reste du réseau présente des problèmes, vous pouvez créer une forêt basée sur les ressources
distincte pour les services de ce département.

• Modèle de forêt à accès restreint. Une forêt distincte comprend les comptes d'utilisateurs et
les données que vous devez isoler du reste de l'organisation. Les utilisateurs d'autres forêts ne
peuvent pas accéder aux données restreintes, car il n'existe aucune approbation. Dans ce modèle,
les utilisateurs disposent d'un compte dans une forêt basée sur l'organisation qui leur permet
d'accéder aux ressources générales de l'organisation, ainsi que d'un compte distinct dans la forêt
à accès restreint qui leur permet d'accéder aux données confidentielles. Ces utilisateurs doivent
utiliser deux stations de travail distinctes : une connectée à la forêt basée sur l'organisation, l'autre
à la forêt à accès restreint. Cela contribue à éviter qu'un administrateur de services d'une forêt puisse
accéder à une station de travail de la forêt restreinte. Dans les cas extrêmes, vous pouvez conserver
la forêt à accès restreint sur un réseau physique distinct. Les organisations qui travaillent sur des
projets classés secret défense conservent parfois des forêts à accès restreint sur des réseaux
distincts pour répondre aux exigences de sécurité.

Avantages d'un modèle de forêt unique

Lorsque vous faites votre choix entre les quatre
modèles de forêt, nous vous recommandons
d'envisager l'utilisation du modèle de forêt
unique en premier recours. En effet, le modèle
de forêt unique offre plusieurs avantages :

• Ensemble de composants communs. Une forêt

AD DS unique fournit différents composants
qui sont partagés par tous les contrôleurs de
la forêt. Certains de ces composants incluent
une partition d'annuaire de schéma unique,
une partition d'annuaire de configuration
unique, ainsi que des informations de
catalogue global. En outre, chaque forêt AD DS comporte un ensemble d'administrateurs (le groupe
Administrateurs de l'entreprise intégré) qui peut se charger de l'administration au niveau de la forêt,
notamment de l'ajout ou de la suppression de domaines dans la forêt.

• Conception simple. Une forêt AD DS unique est moins complexe. Étant donné qu'il comporte
plusieurs composants communs (utilisés par tous les domaines de la forêt), le modèle de forêt
unique est plus simple à concevoir que les autres modèles.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-6 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

• Accès centralisé au service d'annuaire. Dans le modèle de forêt unique, les applications telles
que Microsoft Exchange Server peuvent bénéficier d'un accès centralisé au service d'annuaire.
Exchange Server utilise les données de l'ensemble de la forêt situées dans les partitions
de schéma et de configuration, de sorte que vous puissiez implémenter une organisation
Exchange Server unique pour gérer tous les domaines de la forêt et servir les utilisateurs
de ces derniers. La collaboration s'en trouve facilitée, car tout le monde peut facilement
voir la liste d'adresses globale et le statut des utilisateurs (libre/occupé).

• Accès rapide aux ressources. Avec une forêt unique, les utilisateurs peuvent accéder facilement
aux ressources, car tous les domaines de la forêt s'approuvent mutuellement par défaut. Par
conséquent, l'administrateur d'un domaine peut facilement autoriser les utilisateurs des autres
domaines de la même forêt à accéder aux ressources.

Inconvénients d'un modèle de forêt unique

Le modèle de forêt unique présente quelques désavantages :

• Risque sécuritaire. Du point de vue de la sécurité, n'oubliez pas qu'à l'intérieur de la forêt, il
n'existe aucune limite de sécurité réelle ; par conséquent, vous ne pouvez pas isoler les domaines
les uns des autres. Toutefois, vous pouvez isoler certains comptes liés à la forêt, tels que les comptes
Administrateurs de l'entreprise et Administrateurs du schéma, en créant un domaine racine de forêt
dédié vide. Un domaine racine de forêt dédié est un domaine AD DS que vous créez exclusivement
pour faire office de domaine racine de la forêt ; sous le domaine racine de forêt dédié, vous créez
des domaines contenant des ressources et des comptes. Le domaine racine de forêt ne contient
aucun compte d'utilisateur final. Si vous utilisez un domaine racine de forêt dédié, vous pouvez
séparer les comptes des administrateurs de services de la forêt de ceux des administrateurs
de services du domaine.

• Implémentation complexe des modifications de schéma. Dans les grandes entreprises, il est
souvent difficile d'implémenter des modifications au niveau de la forêt, telles que des modifications
de schéma. Cette implémentation est encore plus difficile si vous utilisez une forêt unique. Chaque
service au sein de l'organisation peut se demander en quoi les modifications de schéma peuvent
l'affecter. De plus, il peut arriver que seul un service de l'entreprise nécessite une modification
à l'échelle de la forêt.

• Processus de gouvernance entraînant un retard dans l'implémentation des modifications.

Si une entreprise déploie une forêt unique, elle doit créer un processus de gouvernance
approprié qui implique toutes les parties prenantes. En raison de ce processus de
gouvernance, l'implémentation des modifications à l'échelle de la forêt peut être ralentie.

Éléments à prendre en compte pour l'implémentation de plusieurs forêts

Bien qu'une forêt AD DS unique constitue
généralement le meilleur compromis en termes
de conception, dans certains cas, les exigences
administratives ou sécuritaires de l'entreprise
peuvent vous conduire à implémenter
plusieurs forêts.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-7

Voici quelques raisons qui justifient l'implémentation de plusieurs forêts :

• Votre société fusionne avec une autre organisation, et la fusion des deux forêts en une entité unique
peut générer des coûts prohibitifs.

• Votre société comporte un service qui doit être isolé pour des raisons de sécurité ou administratives.
Une exigence d'isolation est l'une des raisons les plus courantes justifiant le recours à plusieurs forêts.

• Vous souhaitez placer des serveurs AD DS dans un réseau de périmètre. Dans ce cas, vous avez
besoin d'une forêt AD DS distincte pour pouvoir isoler les données et séparer l'authentification
et l'autorisation des ressources internes vis-à-vis des ressources de périmètre. Ce scénario est
un cas particulier d'une exigence d'isolation générale.

Remarque : Dans ces circonstances, envisagez d'autres solutions, notamment

l'implémentation d'AD LDS (Active Directory Lightweight Directory Services) sur le réseau
de périmètre afin de tenir compte de vos exigences.

• Vous avez besoin d'un contrôle granulaire sur les modifications apportées au niveau de la forêt.
L'implémentation des modifications de schéma dans le modèle de forêt unique peut être difficile,
voire impossible, et si vous avez besoin de contrôler précisément ce processus, vous devez
implémenter plusieurs forêts.

Éléments à prendre en compte pour l'implémentation de plusieurs forêts

Si vous implémentez plusieurs forêts, vous devez prendre en considération d'autres facteurs liés
à l'administration et à la dénomination. Chaque forêt doit avoir un espace de noms unique pouvant
être résolu par tout utilisateur qui a besoin d'accéder à la forêt. Cela signifie que vous devez également
planifier la résolution de noms et la conception de DNS. En outre, si vous supposez que les utilisateurs
de chaque forêt ont besoin d'accéder aux ressources situées dans une autre forêt, vous devez
implémenter des approbations de forêt.

Inconvénients des forêts multiples

L'implémentation de plusieurs forêts présente les inconvénients suivants :

• L'implémentation de plusieurs forêts implique des coûts de conception, d'implémentation,

matériels et administratifs bien plus élevés que pour une forêt unique.

• Vous devez établir des approbations si vous voulez partager des ressources réseau.

• Les requêtes de catalogue global portent uniquement sur les objets contenus dans la forêt locale.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-8 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Instructions pour la conception d'une infrastructure de forêt AD DS

Suivez les instructions ci-dessous lorsque vous
concevez votre infrastructure de forêt AD DS :

• Déterminez et documentez les exigences

de l'entreprise, sécuritaires et administratives.
Ces exigences déterminent généralement
le modèle de forêt le plus approprié. Elles
définissent également les fonctionnalités
que vous devez implémenter. Une fois que
vous connaissez parfaitement les exigences,
il est judicieux de les faire correspondre
à un modèle de forêt AD DS. Dans certains
cas, vous risquez de ne pas trouver
de solution idéale. Vous devrez alors sélectionner le modèle de forêt qui répond à la plupart de vos
exigences ou à vos exigences les plus importantes.

• Dans la mesure du possible, utilisez une forêt AD DS unique plutôt que plusieurs forêts.
L'infrastructure sera moins complexe à prendre en charge et offrira tous les avantages précédemment
évoqués pour plusieurs forêts. En outre, les coûts seront probablement inférieurs et vous aurez besoin
de moins de personnel informatique pour assurer la maintenance et l'administration du système.

• Utilisez le moins de forêts possible. Plus vous déployez de forêts, plus les infrastructures AD DS
indépendantes que vous devez prendre en charge et dont vous devez assurer la maintenance
sont nombreuses. En outre, l'infrastructure d'approbation et la gestion de l'accès aux ressources
seront plus complexes.

• Envisagez d'ajouter des domaines à une forêt plutôt que de créer plusieurs forêts pour répondre
aux exigences d'entreprise et de sécurité. Plusieurs domaines appartenant à une forêt unique
requièrent beaucoup moins de travail administratif que plusieurs forêts. Si vous avez besoin
d'assurer une isolation administrative, mais souhaitez conserver certaines parties d'infrastructure
communes, vous devez envisagez d'utiliser plusieurs domaines et un domaine racine de forêt dédié.

Discussion : Choix d'une conception de forêt adéquate

Wingtip Toys envisage de fusionner
avec Tailspin Toys, un ancien concurrent.
Les informations suivantes ont été collectées
au sujet des infrastructures informatiques
respectives des deux organisations :

• Wingtip Toys a implémenté une

forêt AD DS Windows Server® 2012
composée d'un domaine unique.

• Tailspin Toys dispose d'une

forêt AD DS unique reposant sur
Windows Server 2008 R2 et comportant
plusieurs domaines : [Link],
[Link] (la racine de la forêt) et [Link].
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-9

• Des liaisons haut débit connectent les sites respectifs de chacune des organisations. La planification
implique de déployer des liens supplémentaires entre les sites des deux organisations.

• Tailspin Toys utilise une application personnalisée qui exigeait des modifications de schéma
pour le déploiement. Cette application gère les processus de fabrication critiques.

• Les deux organisations implémentent des systèmes de messagerie sur site.

• Les deux organisations produisent des jouets sous des marques mondialement connues.
Il est important que ces marques soient conservées en cas de modification informatique.

• Il est important que le coût de toute restructuration soit limité au minimum.

Examinez la configuration actuelle, puis en vous servant de ces informations, déterminez de quelle
manière vous pouvez concevoir l'infrastructure de forêt AD DS de l'organisation fusionnée. Pour
vous aider dans le processus de conception, tenez compte des questions suivantes.

Question : Combien de forêts sont requises pour intégrer les deux organisations ?

Question : Comment recommanderiez-vous d'intégrer les deux organisations ?

Question : Quelle est la pertinence des modifications de schéma de la forêt de Tailspin Toys
pour la conception que vous pouvez envisager ?

Question : Comment les noms de domaine externes existants utilisés affectent-ils votre
conception ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-10 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Leçon 2
Conception et implémentation d'approbations
de forêt AD DS
Lors du déploiement de plusieurs forêts, à des fins de collaboration, vous devrez peut-être implémenter
des approbations entre ces forêts. Lorsque vous concevez des approbations, vous pouvez utiliser des
approbations externes ou des approbations de forêt, en fonction des besoins de votre entreprise.
Vous pouvez également lier deux forêts séparées à l'aide d'une approbation transitive. En outre,
vous devez choisir une méthode telle que le routage de suffixe de nom d'utilisateur principal (UPN)
ou l'authentification sélective pour sécuriser les approbations de forêt.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les caractéristiques d'une approbation de forêt ;

• décrire les éléments de sécurité à prendre en compte lors de la planification des approbations
de forêt ;
• expliquer le fonctionnement de l'accès aux ressources dans les approbations de forêt ;

• décrire les instructions de conception des approbations de forêt ;

• créer une approbation de forêt.

Caractéristiques des approbations de forêt

Lorsque vous avez besoin de faire collaborer
deux organisations distinctes utilisant deux
forêts distinctes, envisagez d'implémenter une
approbation de forêt. Une approbation de forêt
est une relation d'approbation unidirectionnelle
ou bidirectionnelle entre les domaines racine
de deux forêts. Une seule relation d'approbation
de forêt suffit pour permettre aux utilisateurs
authentifiés par un domaine d'une forêt d'accéder
aux ressources situées dans une autre forêt. Les
contrôleurs de domaine de la forêt d'approbation
peuvent authentifier les utilisateurs de n'importe
quel domaine de la forêt approuvée.
Les approbations de forêt sont nettement plus faciles à établir, maintenir et administrer que les
relations d'approbation distinctes entre les différents domaines des différentes forêts. Les approbations
de forêt sont particulièrement utiles dans les scénarios qui impliquent une collaboration entre plusieurs
organisations, ou des fusions et acquisitions, ou au sein d'une même organisation comportant plusieurs
forêts dans lesquelles les données et les services AD DS doivent être isolés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-11

Dans AD DS sous Windows Server 2012, vous pouvez lier deux forêts AD DS pour former une relation
d'approbation unidirectionnelle ou bidirectionnelle. Vous pouvez utiliser une approbation de forêt
bidirectionnelle pour établir une relation d'approbation transitive entre chaque domaine des deux forêts,
même si vous ne pouvez pas étendre l'approbation implicitement à une troisième forêt. Par conséquent,
si vous créez une approbation de forêt entre la forêt 1 et la forêt 2, puis créez une approbation de forêt
entre la forêt 2 et la forêt 3, la forêt 1 n'a pas d'approbation implicite avec la forêt 3.

Les approbations de forêt sont utiles pour les entités suivantes :

• fournisseurs de services d'application ;

• sociétés procédant à des fusions ou acquisitions ;

• extranets d'entreprise collaboratifs ;

• sociétés recherchant une solution offrant une autonomie administrative.

Avantages des approbations de forêt

Les approbations de forêt présentent les avantages suivants :

• gestion simplifiée des ressources entre deux forêts AD DS grâce à la réduction du nombre
d'approbations externes nécessaires pour le partage des ressources ;

• relations d'approbation bidirectionnelle complètes avec chaque domaine de chaque forêt ;

• utilisation de l'authentification du nom de l'utilisateur principal (UPN) entre deux forêts ;

• utilisation des protocoles d'authentification Kerberos version 5 (V5) et NTLM pour améliorer
la fiabilité des données d'autorisation transférées entre les forêts ;

• souplesse d'administration répondant à la nécessité d'effectuer des tâches administratives

pouvant être uniques pour chaque forêt.

Vous devez répondre à plusieurs exigences avant de pouvoir implémenter une approbation de forêt.
Le niveau fonctionnel de forêt doit notamment être configuré sur Windows Server 2003 ou une version
plus récente, et vous devez disposer d'une résolution de noms fonctionnelle entre les forêts.

Éléments à prendre en compte concernant la sécurité des approbations

de forêt
Dans certains cas, les approbations de forêt
peuvent entraîner des problèmes de sécurité.
En outre, si une approbation de forêt est mal
configurée, les utilisateurs appartenant à
une autre forêt peuvent accéder à certaines
ressources qui ne leur sont pas destinées.
Toutefois, il existe plusieurs technologies
pour vous aider à contrôler et gérer la sécurité
d'une approbation de forêt.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-12 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Filtrage SID
Par défaut, quand vous établissez une approbation de forêt, vous activez une quarantaine de domaine,
également appelée filtrage par identificateur de sécurité (SID). Quand un utilisateur s'authentifie dans un
domaine approuvé, il fournit des données d'autorisation incluant les SID de tous les groupes auxquels
il appartient. En outre, les données d'autorisation de l'utilisateur comprennent les identificateurs
de sécurité des autres attributs de l'utilisateur et des groupes de l'utilisateur.

AD DS définit le filtrage SID par défaut pour empêcher que les utilisateurs bénéficiant d'un accès
au domaine ou au niveau administrateur de l'entreprise dans une forêt approuvée puissent s'octroyer
(ou octroyer à d'autres comptes d'utilisateur de leur forêt) des droits d'utilisateur élevés à une forêt
d'approbation. Le filtrage SID empêche l'utilisation abusive des attributs contenant les SID sur les
principaux de sécurité (notamment inetOrgPerson) de la forêt approuvée. Un exemple classique
d'attribut contenant un SID est l'attribut Historique SID (sIDHistory) sur un objet de compte
d'utilisateur. Les administrateurs de domaine utilisent en général l'attribut Historique SID pour
migrer d'un domaine à un autre les comptes de l'utilisateur et du groupe détenus par un principal
de sécurité. Toutes les activités de filtrage SID sont effectuées en arrière-plan et les administrateurs
n'ont besoin d'aucune configuration explicite, sauf s'ils souhaitent désactiver le filtrage SID.

Lorsque des principaux de sécurité sont créés dans un domaine, le SID du principal inclut le SID
du domaine pour vous permettre d'identifier le domaine dans lequel il a été créé. Le domaine SID
est important, car le sous-système de sécurité Windows l'utilise pour vérifier l'identité du principal
de sécurité, lequel détermine à son tour les ressources du domaine auquel le principal de sécurité
peut accéder.

Authentification sélective
Quand vous créez une approbation externe ou une approbation de forêt, vous pouvez contrôler
l'étendue de l'authentification des principaux de sécurité approuvés. Il existe deux modes
d'authentification pour une approbation externe ou de forêt :

• Authentification sélective.

• Authentification pour l'ensemble du domaine (dans le cas d'une approbation externe)

ou authentification pour l'ensemble de la forêt (dans le cas d'une approbation de forêt).

Si vous choisissez l'authentification pour l'ensemble du domaine ou de la forêt, gardez à l'esprit que
ce type d'authentification permet à tous les utilisateurs approuvés de s'authentifier pour accéder à des
services sur tous les ordinateurs du domaine d'approbation. Par conséquent, les utilisateurs approuvés
peuvent être autorisés à accéder à toutes les ressources du domaine d'approbation. Si vous utilisez ce
mode d'authentification, vous devez pouvoir vous fier aux procédures de sécurité de votre entreprise
et aux administrateurs qui implémentent ces procédures, afin que les utilisateurs ne puissent pas
accéder à des services qui ne leur sont pas destinés. Souvenez-vous, par exemple, que les utilisateurs
d'un domaine ou d'une forêt approuvés sont considérés comme des utilisateurs authentifiés dans
le domaine d'approbation. Aussi, si vous choisissez l'authentification pour l'ensemble du domaine
ou de la forêt, toute ressource bénéficiant des autorisations accordées aux utilisateurs authentifiés
est accessible immédiatement aux utilisateurs approuvés du domaine.

Si, toutefois, vous choisissez l'authentification sélective, tous les utilisateurs du domaine approuvé sont
des identités approuvées. Cependant, ils ne sont autorisés à s'authentifier que pour les services sur les
ordinateurs que vous spécifiez. Par exemple, imaginez que vous avez une approbation externe avec le
domaine d'une organisation partenaire. Vous souhaitez vous assurer que seuls les utilisateurs du groupe
Marketing de l'organisation partenaire puissent accéder à des dossiers partagés sur un seul de vos
nombreux serveurs de fichiers. Vous pouvez configurer l'authentification sélective pour la relation
d'approbation, puis octroyer aux utilisateurs approuvés le droit de s'authentifier pour ce serveur
de fichiers uniquement.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-13

Routage de suffixes de noms

Le routage de suffixes de noms est un mécanisme de gestion du routage des requêtes d'authentification
à travers les forêts AD DS qui sont liées entre elles par des approbations de forêt. Pour simplifier
l'administration des requêtes d'authentification, quand vous créez une approbation de forêt, AD DS
route par défaut tous les suffixes de noms uniques. Un suffixe de nom unique est un suffixe de nom
dans une forêt (tel qu'un suffixe UPN), un suffixe de nom de principal de service (SPN), une forêt DNS
ou le nom d'une arborescence de domaine qui n'est subordonné à aucun autre suffixe de nom. Par
exemple, le nom de forêt DNS [Link] est un suffixe de nom unique dans la forêt [Link].

AD DS route tous les noms subordonnés aux suffixes de nom unique implicitement. Par exemple, si
la forêt utilise [Link] comme suffixe de nom unique, les demandes d'authentification pour tous
les domaines enfants de [Link] ([Link]) sont routées, car les domaines enfants
font partie du suffixe de nom de [Link]. Les noms enfants apparaissent dans le composant logiciel
enfichable Domaines et approbations Active Directory. Si vous souhaitez exclure des membres d'un
domaine enfant de l'authentification dans la forêt spécifiée, vous pouvez désactiver le routage de suffixe
de nom pour ce nom. Vous pouvez également désactiver le routage pour le nom de forêt lui-même.

Accès aux ressources

Si vous implémentez des approbations de forêt,
vous pouvez autoriser les utilisateurs d'une forêt
à accéder aux ressources d'une autre forêt en
les ajoutant à la liste de contrôle d'accès (ACL)
de la ressource cible. Si un utilisateur tente
d'accéder aux ressources d'une forêt
approuvée,.AD DS doit préalablement
[Link] ressources. Ensuite,
l'[Link].être authentifié et
autorisé.à.accéder aux ressources.

L'exemple suivant décrit la manière dont

un ordinateur client localise et accède à
une ressource dans une autre forêt AD DS :

1. Un utilisateur qui est connecté au domaine [Link] tente d'accéder à un dossier

partagé de la forêt [Link]. L'ordinateur de l'utilisateur contacte le contrôleur de domaine
d'[Link] et demande un ticket de service en utilisant le SPN de l'ordinateur
sur lequel résident les ressources. Un nom SPN peut être le nom DNS d'un hôte ou d'un domaine
ou le nom unique d'un objet point de connexion de service.

2. Les ressources ne se trouvant pas dans [Link], le contrôleur de domaine

d'[Link] demande donc au catalogue global de vérifier si elles se trouvent dans
un autre domaine de la forêt. Étant donné qu'un catalogue global ne contient que des informations
relatives à sa propre forêt, il ne trouve pas le nom SPN. Il recherche alors dans sa base de données
les informations relatives à des approbations de forêt qui ont été établies avec sa forêt. S'il en
trouve une, il compare les suffixes de noms répertoriés dans l'objet domaine approuvé (TDO) de
l'approbation de forêt au suffixe du nom SPN cible. S'il trouve une correspondance, le catalogue
global fournit au contrôleur de domaine d'[Link] les informations de routage
permettant de localiser les ressources.

3. Le contrôleur de domaine d'[Link] envoie une référence à son domaine parent,

[Link], à l'ordinateur de l'utilisateur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-14 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

4. L'ordinateur de l'utilisateur contacte un contrôleur de domaine de [Link] pour obtenir

une référence à un contrôleur de domaine du domaine racine de la forêt [Link].

5. Grâce à la référence renvoyée par le contrôleur de domaine de [Link], l'ordinateur

de l'utilisateur contacte un contrôleur de domaine de la forêt [Link] afin d'obtenir un ticket
de service pour le service demandé.

6. Les ressources ne se trouvent pas dans le domaine racine de la forêt [Link], le contrôleur
de domaine contacte donc son catalogue global pour trouver le SPN. Le catalogue global trouve
une correspondance pour le SPN, puis envoie ce dernier au contrôleur de domaine.

7. Le contrôleur de domaine envoie une référence à [Link] à l'ordinateur de l'utilisateur.

8. L'ordinateur de l'utilisateur contacte le centre de distribution de clés (Key Distribution Center ou KDC)
sur le contrôleur de domaine de [Link], puis négocie un ticket permettant à l'utilisateur
d'accéder aux ressources du domaine [Link].

9. L'ordinateur de l'utilisateur envoie le ticket de service de serveur à l'ordinateur sur lequel les
ressources partagées sont situées. L'ordinateur lie les informations d'authentification de sécurité
de l'utilisateur, puis établit un jeton d'accès qui permet à l'utilisateur d'accéder aux ressources.

Instructions pour la conception d'approbations de forêt

Tenez compte des instructions suivantes lors
de la conception de votre approbation de forêt :

• Veillez à configurer DNS correctement afin

que la résolution de noms entre les forêts
fonctionne correctement. La résolution de
noms est requise de sorte que DNS puisse
résoudre les adresses IP des contrôleurs
de domaine dans les deux forêts. Chaque
DNS de forêt doit avoir un redirecteur
conditionnel ou une zone de stub qui
pointe vers un autre espace de noms de forêt.

• Assurez-vous que le niveau fonctionnel

de la forêt est défini sur Windows Server 2003 au minimum. Les niveaux fonctionnels de forêt des
versions antérieures ne prennent pas en charge les approbations de forêt. Si vous ne disposez pas
du niveau fonctionnel de forêt de Windows Server 2003 ou version ultérieure, vous pouvez utiliser
une approbation externe.

• Ne créez pas d'approbation de forêt si vous devez simplement établir une relation d'approbation
entre deux domaines spécifiques dans deux forêts.
• Utilisez l'authentification sélective pour spécifier l'étendue de l'authentification des utilisateurs qui
s'authentifient via des approbations de forêt. En optant pour l'authentification sélective, vous pouvez
spécifier les utilisateurs et groupes d'une forêt approuvée qui sont autorisés à s'authentifier auprès
de serveurs de ressources spécifiques dans une forêt d'approbation.

• Réfléchissez aux solutions alternatives aux approbations de forêt. Si un client doit uniquement
accéder à une application ou un service Web situé(e) dans une autre forêt, vous pouvez implémenter
des services AD LDS ou AD FS (Active Directory Federation Services). Cela vous permet d'authentifier
les clients et de leur octroyer un accès sans avoir à établir d'approbation de forêt.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-15

Démonstration : Création d'une approbation de forêt

Dans cette démonstration, vous allez apprendre à :

• définir les conditions préalables à la création d'une approbation de forêt ;

• créer une approbation de forêt.

Procédure de démonstration

Définir les conditions préalables à la création d'une approbation de forêt

1. Basculez vers LON-DC1.

2. Dans le Gestionnaire de serveur, ouvrez DNS, puis créez un redirecteur conditionnel

avec les paramètres suivants :

• Domaine DNS : [Link]

• Adresse IP : [Link]

3. Ouvrez une invite de commandes et vérifiez que vous pouvez résoudre des noms dans
le domaine DNS cible :
• Nslookup [Link]

4. Basculez vers TREY-DC1.

5. Au besoin, connectez-vous en tant que Treyresearch\Administrateur avec le mot

de passe Pa$$w0rd.

6. Ouvrez DNS, puis créez un redirecteur conditionnel avec les paramètres suivants :

• Domaine DNS : [Link]

• Adresse IP : [Link]

7. Ouvrez une invite de commandes et vérifiez que vous pouvez résoudre des noms dans
le domaine DNS cible :
• Nslookup [Link]

Créer une approbation de forêt

1. Basculez vers LON-DC1.

2. À partir du Gestionnaire de serveur, ouvrez Domaines et approbations Active Directory.

3. Affichez les propriétés du domaine [Link].

4. Créez une approbation de forêt présentant les propriétés suivantes :

• Nom de l'approbation : [Link]

• Type d'approbation : Approbation de la forêt

• Direction : Bidirectionnel

• Sens de l'approbation : Ce domaine et le domaine spécifié

• Authentification : Authentification à l'échelle de la forêt

• Confirmer l'approbation sortante : Oui

• Confirmer l'approbation entrante : Oui

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-16 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Atelier pratique A : Conception et implémentation

d'une infrastructure de forêt pour les services
de domaine Active Directory
Scénario
L'environnement AD DS actuel d'A. Datum Corporation se compose d'une forêt AD DS unique
comportant exclusivement des contrôleurs de domaine exécutant Windows Server 2008 R2. Tous
les contrôleurs de domaine sont déployés sur un site AD DS unique basé dans le centre de données
du siège social de Londres.

A. Datum souhaite intégrer Contoso, Ltd et Trey Research, deux sociétés qu'elle vient d'acquérir, au sein
du groupe. Contoso utilise actuellement UNIX ; Trey Research pour sa part, utilise actuellement AD DS
sous Windows Server 2008 R2.
A. Datum envisage également d'augmenter le nombre d'employés du bureau de Contoso basé à Paris,
car ce dernier va devenir le principal bureau chargé des ventes, du marketing et des expéditions dans
le cadre de l'expansion de la société sur les marchés européens.
En outre, A. Datum envisage de déployer quelques applications et services pour des clients externes.
Ces ressources seront situées dans un réseau de périmètre, et doivent être indépendantes de la
forêt AD DS de la société. Cependant, les mêmes administrateurs administreront les ressources
du réseau de périmètre.

Objectifs
À la fin de cet atelier pratique, vous serez à même d'effectuer les tâches suivantes :
• concevoir une infrastructure de forêt AD DS ;

• implémenter une approbation de forêt AD DS.

Configuration de l'atelier pratique

Durée approximative : 45 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-TREY-DC1
22413B-CON-SVR

Nom d'utilisateur ADATUM\Administrateur

TreyResearch\Administrateur
.\Administrateur

Mot de passe Pa$$w0rd

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-17

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V®, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions, cliquez
sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Ouvrez une session en utilisant les informations d'authentification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

5. Dans le gestionnaire Hyper-V, cliquez sur 22413B-TREY-DC1, et dans le volet Actions, cliquez
sur Démarrer.

6. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

7. Ouvrez une session en utilisant les informations d'authentification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : TreyResearch

8. Dans le gestionnaire Hyper-V, cliquez sur 22413B-CON-SVR, et dans le volet Actions, cliquez
sur Démarrer.

9. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

10. Ouvrez une session en utilisant les informations d'authentification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

Exercice 1 : Concevoir une infrastructure de forêt AD DS

Scénario
L'exigence la plus importante concernant l'intégration des nouvelles entreprises acquises est la facilité
de collaboration. Trey Research dispose actuellement d'un environnement de forêt unique, et Contoso
et Trey Research utilisent actuellement des systèmes de messagerie hébergés. Dans la mesure du possible,
tous les utilisateurs au sein des sociétés fusionnées doivent pouvoir interagir les uns avec les autres
en utilisant diverses technologies. Une deuxième exigence liée à l'intégration des trois sociétés est
la possibilité de réaliser des économies.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-18 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Documentation supplémentaire

Remarque : Le message électronique suivant est présenté sous la forme d'un véritable
message électronique avec les messages initiaux à la fin du thread de messages. Vous devez
lire le thread de bas en haut.

Courrier électronique de Patricia Doyle de Trey Research :

Brad Sutton

De : Patricia Doyle [Patricia@[Link]]

Envoyé : 12 Sep 10:15

À: Brad@[Link]
Objet : Objet : Conception de la forêt de Trey Research

Brad,

Je suis ravie de pouvoir vous aider. Voici le contexte.

Trey Research est basé à Londres, à Cambridge et à Boston aux États-Unis. Le tableau suivant
pourrait vous être utile. Il présente la répartition des utilisateurs entre nos trois sites :

Site Fonction Caractéristiques

Londres, Angleterre Siège social Nombre d'employés actuel : 1 200

(Nombre d'employés planifié : 2 000)

Cambridge, Angleterre Site de recherche Nombre d'employés : 750

Boston, États-Unis Site de recherche Nombre d'employés : 1 250

Nous sommes spécialisés dans la recherche pharmaceutique. Une partie de nos recherches
est extrêmement confidentielle. Il est capital pour nous (et la loi nous impose) que les données
de recherche ne soient accessibles à personne en dehors des utilisateurs autorisés au sein de
Trey Research. Par conséquent, le service Recherche de Trey Research dispose de son propre
sous-domaine : [Link].

Nous utilisons Windows Server 2008 R2 pour les services de fichiers et d'impression standard,
et notre infrastructure de forêt et de domaine existante repose sur des contrôleurs de domaine
Windows Server 2008 R2.

Autre élément important : une de nos applications de recherche a nécessité quelques modifications
de schéma Active Directory. Je ne sais pas s'il cela peut avoir une incidence sur les décisions que
vous pouvez pendre concernant l'aspect technique de la fusion.

Dans l'attente de votre visite la semaine prochaine,

Patricia
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-19

----- Message d'origine -----

De : Brad Sutton [Brad@[Link]]

Envoyé : 11 Sep 17:05

À: Patricia@[Link]

Objet : Conception de la forêt de Trey Research

Patricia,

Comme je vous l'ai dit au téléphone, nous venons juste de commencer la première phase de conception
du projet d'intégration entre notre société et Trey Research. Je suis en train de faire quelques recherches.
Pourriez-vous me fournir quelques détails concernant Trey Research, l'organisation de ses ressources et
toute autre chose que vous jugeriez utile ? Je dois me rendre dans vos bureaux de Cambridge la semaine
prochaine. Normalement, d'ici là, je serai en mesure de vous fournir des informations complémentaires
quant à notre vision de l'évolution de cette fusion, du moins du point de vue technique.

Merci,

Brad
Courrier électronique de Charlotte Weiss de Contoso :

Brad Sutton

De : Charlotte Weiss [Charlotte@[Link]]

Envoyé : 11 Sep 12:02

À: Brad@[Link]

Objet : Objet : Implémentation d'Active Directory chez Contoso

Brad,
Oui, j'avais connaissance du déploiement imminent d'Active Directory. Je dois vous informer
de ce qui suit concernant Contoso :

• Nous utilisons toujours le nom de domaine unique [Link], mais conformément à votre
conception DNS, nous allons utiliser [Link] en externe et [Link] en interne.

• Nous gérons principalement notre infrastructure informatique de manière centralisée à partir

des bureaux de Paris, mais parfois également avec l'aide du personnel informatique de nos
centres régionaux de Rome, Barcelone, Munich et Athènes.

• Notre personnel informatique vient de commencer une formation en classe et en ligne portant
sur Windows Server et Active Directory, mais il lui faudra un peu de temps avant de disposer
des compétences nécessaires.

• La suggestion de la direction, qui propose que nous fournissions certains services de messagerie
électronique en interne au lieu de les héberger exclusivement, est favorablement accueillie.
Sachant qu'[Link] a investi dans un environnement Exchange Server sur site, j'imagine
que nous devrions aller dans ce sens.

Je ne peux pas vraiment vous en dire plus, mais si vous avez d'autres questions, appelez-moi.

Cordialement,

Charlotte
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-20 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

----- Message d'origine -----

De : Brad Sutton [Brad@[Link]]

Envoyé : 10 Sep 17:40

À: Charlotte@[Link]

Objet : Implémentation d'Active Directory chez Contoso

Bonjour Charlotte,

Merci pour votre aide sur le projet DNS. Comme vous le savez, les choses avancent concernant les fusions,
et nous devons réfléchir à une conception Active Directory pour votre partie de l'organisation. Je voulais
juste vous informer du lancement de projet.

Brad

Stratégie d'intégration des forêts d'A. Datum, Trey Research et Contoso

Numéro de référence du document : BS00913/1

Auteur du document Brad Sutton

Date 13 Sep

Présentation des exigences

Pour concevoir une infrastructure de forêt répondant aux besoins d'A. Datum et de ses
deux acquisitions à venir, Trey Research et Contoso, Ltd :
• La conception doit être simple.
• Elle doit correspondre aux besoins en assistance informatique des différentes parties
de l'entité A. Datum fusionnée.
• Le coût de la restructuration doit être réduit au minimum.
• La sécurité de Trey Research ne doit pas être compromise. Seul le personnel autorisé des services
de recherche doit pouvoir accéder aux ressources de recherche.

Synthèse des informations

• A. Datum :
o Dispose d'un déploiement d'AD DS reposant sur une forêt unique (Windows Server 2012).
o Dispose d'un déploiement hybride d'Exchange Server avec des éléments hébergés et déployés
sur les différents sites d'A. Datum.
o Le réseau de périmètre contient des rôles serveur Exchange Server Edge Transport qui exigent
de connaître les objets AD DS, notamment les adresses électroniques des utilisateurs et d'autres
propriétés relatives à Exchange Server.
• Trey Research :
o Dispose d'un déploiement d'AD DS reposant sur une forêt unique (Windows Server 2008 R2).
o Le schéma a été modifié pour répondre aux besoins d'une application de recherche métier
capitale pour l'entreprise.
o Dispose de compétences internes concernant AD DS.
o Exige que Trey Research soit administrativement isolé.
o Ne dispose d'aucune application compatible avec AD DS, toutefois il est possible de déployer
Exchange Server (actuellement, la messagerie électronique est exclusivement hébergée).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-21

(suite)

Stratégie d'intégration des forêts d'A. Datum, Trey Research et Contoso

Synthèse des informations

• Contoso :
o Ne dispose d'aucun déploiement d'AD DS.
o Ne dispose pas de compétences concernant AD DS, mais le personnel est en cours de
formation. L'environnement devrait être géré depuis Londres dans un premier temps.
o Ne dispose d'aucune application compatible avec AD DS, toutefois il est possible de déployer
Exchange Server (actuellement, la messagerie électronique est exclusivement hébergée).

Propositions
1. De combien de forêts le déploiement actuel se compose-t-il ?

2. Ce nombre est-il suffisant ?

3. Quelle conception de forêt et quelle conception d'approbation de forêt permettront

la collaboration entre A. Datum Corporation, Contoso Ltd et Trey Research ? Existe-t-il
des exigences spéciales concernant ce scénario ?

4. Comment pouvez-vous répondre à la nécessité de protéger les données confidentielles

de Trey Research contre tout accès non autorisé ?

5. Comment devez-vous planifier la configuration du serveur de périmètre

d'A. Datum Corporation ?

6. Existe-t-il des solutions alternatives à la conception de forêt que vous envisagez d'utiliser ?

7. Quels sont les avantages et inconvénients d'une conception alternative, le cas échéant ?

8. Représentez la conception de forêt AD DS proposée sous forme de schéma dans l'espace fourni.

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de propositions en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-22 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de propositions en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie d'intégration
des forêts d'A. Datum, Trey Research et Contoso.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : Une fois cet exercice terminé, vous aurez créé une conception de forêt intégrant A. Datum,
Trey Research et Contoso, Ltd.

Exercice 2 : Implémenter des approbations de forêt AD DS

Scénario
Vous devez maintenant implémenter une partie spécifique de votre conception de forêt AD DS, à savoir
la conception qui intègre les forêts d'A. Datum et de Trey Research. Vous devez configurer le type de
l'approbation, sa direction, ainsi que le type d'authentification des relations d'approbation entre les
deux sociétés. Pour commencer, vous devez créer des redirecteurs conditionnels entre les domaines
[Link] et [Link]. Ensuite, vous devez configurer l'approbation de forêt conformément
à votre conception.

Les tâches principales de cet exercice sont les suivantes :

1. Configurer DNS pour prendre en charge les approbations de forêt.

2. Créer les approbations de forêt requises entre A. Datum et Trey Research.

 Tâche 1 : Configurer DNS pour prendre en charge les approbations de forêt

1. Basculez vers LON-DC1 et, si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

2. Ouvrez DNS, puis créez un redirecteur conditionnel avec les paramètres suivants :

• Domaine DNS : [Link]

• Adresse IP : [Link]

3. Ouvrez une invite de commandes et vérifiez que vous pouvez résoudre des noms dans
le domaine DNS cible :
• Nslookup [Link]

Remarque : La requête doit aboutir et retourner l'adresse IP [Link].

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-23

4. Basculez vers TREY-DC1.

5. Au besoin, connectez-vous en tant que Treyresearch\Administrateur avec le mot

de passe Pa$$w0rd.

6. Ouvrez DNS, puis créez un redirecteur conditionnel avec les paramètres suivants :

• Domaine DNS : [Link]

• Adresse IP : [Link]

7. Ouvrez une invite de commandes et vérifiez que vous pouvez résoudre des noms dans
le domaine DNS cible :

• Nslookup [Link]

Remarque : La requête doit aboutir et retourner l'adresse IP [Link].

 Tâche 2 : Créer les approbations de forêt requises entre A. Datum et Trey Research
1. Basculez vers LON-DC1.
2. À partir du Gestionnaire de serveur, ouvrez Domaines et approbations Active Directory.

3. Affichez les propriétés du domaine [Link].

4. Créez une approbation de forêt présentant les propriétés suivantes :

• Nom de l'approbation : [Link]

• Type d'approbation : Approbation de la forêt

• Direction : Bidirectionnel
• Sens de l'approbation : Ce domaine et le domaine spécifié

• Authentification : Authentification à l'échelle de la forêt

• Confirmer l'approbation sortante : Oui

• Confirmer l'approbation entrante : Oui

Résultats : Une fois cet exercice terminé, vous aurez implémenté une partie de la stratégie
d'infrastructure de forêt que vous avez conçue.

 Pour préparer l'atelier suivant

• Laissez tous les ordinateurs virtuels en cours d'exécution.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-24 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Leçon 3
Conception et implémentation de domaines AD DS
Lorsque vous concevez vos domaines AD DS, vous devez décider si un domaine unique suffit pour
répondre à toutes les exigences de votre organisation. Un modèle de domaine unique est plus facile
à implémenter et requiert moins de tâches administratives que plusieurs domaines. Cependant, vous
pouvez déployer plusieurs domaines pour réduire le trafic de réplication et offrir un degré de séparation
des rôles d'administration plus élevé. Vous devez également vous demander si votre organisation tirera
profit du déploiement d'un domaine racine de forêt.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les modèles de conception de domaines AD DS ;

• décrire les raisons qui incitent à déployer plusieurs domaines AD DS ;

• décrire les éléments à prendre en compte pour le déploiement des domaines racines de forêt dédiés ;

• décrire les instructions de conception de domaines AD DS ;

• décrire l'implémentation d'un domaine AD DS.

Modèles de domaine AD DS
Vous devez choisir la meilleure conception
de domaine AD DS pour votre organisation
dès le début du processus de conception.
Lorsque vous choisissez le modèle de
conception que vous souhaitez utiliser pour
votre domaine AD DS, vous devez tenir compte
de plusieurs facteurs, notamment des suivants :
• nombre d'utilisateurs au sein de votre
organisation ;

• besoins administratifs ;
• structure organisationnelle de votre société ;

• débit réseau entre les sites, le cas échéant.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-25

Vous devez également connaître les limites des domaines AD DS :

• Un domaine est une limite pour la réplication des partitions de domaine AD DS.

• Un domaine est également une limite pour l'application de la stratégie de groupe.

• Les domaines fournissent les limites d'administration, car l'administrateur d'un domaine d'une
forêt ne peut pas administrer un autre domaine de la forêt s'il n'est pas promu dans le groupe
des Administrateurs de l'entreprise.

Remarque : Les domaines ne fournissent pas de limites de sécurité, car tous les domaines
d'une forêt s'approuvent mutuellement. En outre, le compte Administrateurs de l'entreprise
qui réside dans le domaine racine de la forêt dispose de privilèges d'administration sur tous
les domaines de la forêt.

Remarque : Même si vous pouvez renommer les domaines, la procédure n'est pas aisée.
Par conséquent, veillez à spécifier correctement les noms de domaines lorsque vous commencez
à déployer ces derniers.

Modèles de domaine
Les modèles de conception de domaine utilisés le plus fréquemment par les entreprises sont les suivants :

• Domaine unique. Le modèle de domaine unique se compose d'une forêt comportant un seul
domaine. Tout contrôleur de domaine peut authentifier n'importe quel utilisateur de la forêt, et
tous les contrôleurs de domaine peuvent être des serveurs de catalogue global. Dans ce modèle,
toutes les données AD DS sont répliquées dans tous les emplacements qui hébergent des contrôleurs
de domaine. Le modèle de domaine unique est la conception de domaine la plus simple, car il est
plus facile à administrer et moins coûteux à gérer. Cependant, le modèle de domaine unique génère
beaucoup de trafic de réplication, notamment lorsqu'une organisation installe des contrôleurs
de domaine sur plusieurs sites.
• Arborescence de domaine unique. Ce modèle se compose d'une forêt comportant un ou plusieurs
domaines AD DS qui partagent le même espace de noms. Tous les domaines que vous ajoutez
à l'arborescence de domaine deviennent des domaines enfants du domaine racine de la forêt.
Par exemple, en supposant que vous disposiez d'un domaine parent nommé [Link], vous
pouvez ajouter des domaines avec des noms DNS tels que [Link] et [Link].

• Arborescences de domaines multiples. Ce modèle se compose d'une forêt comportant

plusieurs arborescences de domaine qui ont leurs propres espaces de noms AD DS. L'utilisation
d'arborescences de domaine supplémentaires n'apporte pas de fonctionnalités supplémentaires,
car les domaines se comportent de la même manière que vous utilisiez un espace de noms unique
ou plusieurs espaces de noms. Une arborescence de domaine permet simplement d'organiser et
de nommer les domaines de la forêt. Par exemple, vous pouvez avoir les arborescences de domaine
[Link] et [Link] dans la même forêt. Une arborescence de domaine AD DS contient
au moins un domaine. Les arborescences de domaine peuvent avoir des domaines enfants
supplémentaires.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-26 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

• Domaine régional. Le modèle de domaine régional se compose d'une forêt comportant une
ou plusieurs arborescences de domaine régionales, chacune d'entre elles représentant un site
géographique au sein d'une organisation. Les régions qui définissent chaque domaine dans
le modèle de domaine général représentent généralement des éléments statiques, tels que
des pays ou des continents. La connectivité réseau est un facteur clé lors de la planification de
l'utilisation d'un modèle de domaine régional. Le modèle de domaine régional est plus complexe
à concevoir et nécessite une analyse précise de la connectivité du réseau étendu (WAN) et de
nombre d'utilisateurs de chaque région. Cependant, étant donné que tous objets de données
au sein d'un domaine sont répliqués sur tous les contrôleurs du domaine en question, l'utilisation
de domaines régionaux peut réduire le trafic réseau sur le lien WAN.

• Domaine basé sur les ressources. Les domaines basés sur les ressources stockent les ressources
de la société, telles que les serveurs et les imprimantes. Ils ne contiennent généralement pas de
comptes d'utilisateurs. Le système d'exploitation Microsoft Windows NT® fait fortement usage
des domaines basés sur les ressources. Toutefois, l'utilisation des domaines basés sur les ressources
a décliné avec l'introduction des services AD DS.

Remarque : Les stratégies de verrouillage de compte et de mot de passe affinées peuvent

également affecter le modèle de conception de domaine sélectionné. Dans les versions de
Windows antérieures à Windows Server 2008, vous ne pouviez appliquer qu'une seule stratégie
de verrouillage de compte et de mot de passe à tous les utilisateurs du domaine en la spécifiant
dans la stratégie de domaine par défaut du domaine. En conséquence, vous pouviez créer des
paramètres de mot de passe et de verrouillage de compte différents pour différents groupes
d'utilisateurs, mais vous deviez créer un filtre de mot de passe ou déployer plusieurs domaines.
Depuis le lancement de Windows Server 2008, vous pouvez utiliser des stratégies de mot
de passe affinées pour spécifier plusieurs stratégies de mot de passe et appliquer différentes
restrictions de mot de passe et stratégies de verrouillage de compte à différents groupes
d'utilisateurs au sein d'un même domaine.

Raisons motivant le déploiement de plusieurs domaines

Il existe plusieurs raisons de déployer plusieurs
domaines AD DS dans votre organisation. Par
exemple, vous pouvez vouloir utiliser plusieurs
domaines AD DS dans les situations suivantes :

• Vous souhaitez réduire le trafic de

réplication entre des emplacements
physiques. La partition d'annuaire de
domaine est répliquée sur tous les
contrôleurs d'un domaine. Si vous
avez des utilisateurs dans des régions
géographiques distinctes avec des liens WAN
au réseau, il est judicieux de déployer un
domaine distinct pour ces utilisateurs. Cela contribue à réduire le trafic de réplication, car les
contrôleurs de domaine répliquent uniquement le contenu dans les partitions de configuration
et de schéma AD DS. Les modifications dans ces partitions sont relativement rares ; le trafic de
réplication est donc réduit.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-27

• Le protocole SMTP (Simple Mail Transfer Protocol) est la seule méthode disponible pour la
réplication entre les sites. Vous ne pouvez pas utiliser la réplication SMTP pour procéder à la
réplication entre les contrôleurs de domaine du même domaine. Utilisez la réplication SMTP
uniquement pour la réplication inter-site, la réplication inter-domaine, ainsi que la réplication
partielle du catalogue global, du schéma et de la configuration. La réplication inter-site à l'aide
de SMTP n'est pas prise en charge pour les contrôleurs de domaine qui sont des réplicas du
même domaine. Par conséquent, si SMTP est le seul protocole disponible pour la réplication
entre les sites, vous devez déployer des domaines distincts dans chaque site.

• Vous souhaitez répondre à la nécessité d'utiliser des stratégies de mot de passe et de verrouillage de
compte différentes au niveau du domaine. Bien que Windows Server 2008 et Windows Server 2012
prennent en charge plusieurs stratégies de mot de passe et de verrouillage de compte pour les
utilisateurs situés dans le même domaine AD DS, dans certaines occasions, des stratégies différentes
peuvent être requises au niveau du domaine.

• Vous souhaitez répondre à certaines exigences administratives. Par exemple, une organisation peut
avoir un ensemble d'administrateurs AD DS pour une région spécifique et être amenée à limiter
leur étendue à ces régions uniquement. En utilisant plusieurs domaines, vous pouvez ajouter ces
administrateurs au groupe Administrateurs du domaine pour leurs domaines spécifiques.

Éléments à prendre en compte pour déterminer le nombre de domaines à utiliser

À moins que vous n'implémentiez le modèle de conception de domaine unique, vous devez déterminer
le nombre de domaines dont votre organisation a besoin. Ce nombre varie selon le modèle de conception
de domaine sélectionné. Lorsque vous déterminez le nombre de domaines dont vous avez besoin, vous
devez également tenir compte du nombre d'utilisateurs et de la bande passante disponible entre les sites
physiques de votre société. Ces facteurs peuvent grandement influencer votre décision de déployer un
ou plusieurs domaines. Les facteurs suivants déterminent le nombre maximal d'utilisateurs qu'une forêt
de domaine unique peut contenir :

• liaison la plus lente devant assurer la réplication entre les contrôleurs de domaine ;
• bande passante disponible que vous souhaitez allouer à AD DS.

Le tableau suivant présente le nombre maximum d'utilisateurs recommandé qu'un domaine peut contenir
pour une forêt de domaine unique, la vitesse de la liaison la plus lente, ainsi que le pourcentage de bande
passante que vous souhaitez réserver pour la réplication.

Liaison la plus lente Nombre maximum Nombre maximum Nombre maximum

avec un contrôleur d'utilisateurs si 1 % d'utilisateurs si 5 % d'utilisateurs si 10 %
de domaine en Kilobits de la bande passante de la bande passante de la bande passante
par seconde (Kbit/sec) est disponible est disponible est disponible
28,8 10 000 25 000 40 000

32 10 000 25 000 50 000

56 10 000 50 000 100 000

64 10 000 50 000 100 000

128 25 000 100 000 100 000

256 50 000 100 000 100 000

512 80 000 100 000 100 000

1.500 100 000 100 000 100 000

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-28 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Éléments à prendre en compte pour le déploiement de domaines racines

de forêt dédiés
Un domaine racine de forêt dédié est un
domaine AD DS que vous créez exclusivement
pour faire office de domaine racine de la forêt.
Un domaine racine de forêt dédié ne contient
généralement pas de comptes d'utilisateur final, à
l'exception de quelques comptes d'administrateur
nécessaires pour effectuer des tâches à l'échelle
de la forêt, telles que la modification du schéma
et l'ajout de nouveaux domaines.

Le premier domaine que vous déployez dans

une forêt AD DS est le domaine racine de la forêt.
Une fois déployé, le domaine racine de la forêt
conserve ce statut pour toute la durée de ce déploiement AD DS. Vous ne pouvez pas modifier
le domaine racine de la forêt et vous ne pouvez désigner aucun autre domaine AD DS comme
domaine racine de la forêt. C'est pourquoi il est particulièrement important de réfléchir à la conception
de votre domaine racine de forêt lors des phases de conception et de planification de votre projet.

La conception du domaine racine de la forêt implique de déterminer si vous devez déployer un domaine
racine de forêt dédié. Autrement dit, vous devez décider si vous déploierez un domaine supplémentaire
pour les utilisateurs et les ressources afin de conserver le domaine racine de la forêt uniquement pour
les tâches et les ressources à l'échelle de la forêt.

Les avantages du déploiement d'un domaine racine de forêt dédié sont les suivants :

• Les administrateurs de service de la forêt et les administrateurs de service du domaine sont séparés.
• Les modifications d'organisation n'affectent généralement pas les domaines racines de forêt dédiés.

• Vous avez la possibilité de placer les contrôleurs de domaine qui ont des rôles de maître d'opérations
à l'échelle de la forêt dans plusieurs centres de données. Ces rôles étant uniques et stratégiques,
vous pouvez les distribuer à plusieurs emplacements, ce qui facilite la récupération d'urgence.
De plus, comme le domaine racine de forêt dédié ne contient pas d'utilisateurs finaux, de groupes
ou d'ordinateurs, la réplication des partitions de domaine n'utilise pas beaucoup de bande passante.

• Vous pouvez configurer des applications à l'échelle de la forêt, telles qu'Exchange Server, dans
le domaine racine de la forêt. Plus particulièrement, vous créez des groupes administratifs pour
Exchange Server ou Microsoft Lync® dans le domaine racine de la forêt.

Cependant, l'utilisation d'un domaine racine de forêt dédié entraîne une charge de gestion
supplémentaire.

Si vous choisissez de ne pas utiliser de domaine racine de forêt dédié, vous devez sélectionner
un domaine régional qui fera office de domaine racine de la forêt. Ce domaine régional sera
le premier domaine de la forêt que vous déploierez. L'utilisation d'un domaine régional en tant que
domaine racine de la forêt ne génère pas de charge de gestion supplémentaire, car vous ne devez pas
prendre en charge de domaine supplémentaire en tant que domaine racine de la forêt.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-29

Instructions pour la conception de domaines AD DS

Lorsque vous concevez votre infrastructure,
la conception de vos domaines AD DS
représente une étape importante.
De nombreux facteurs peuvent influencer
la conception de domaine AD DS ; par
conséquent, vous devez procéder à une analyse
et une planification détaillées avant de
commencer votre déploiement.

Lors de la conception de domaines AD DS,

suivez les instructions ci-dessous :

• Étudiez les exigences d'entreprise, techniques

et administratifs de votre organisation.
Ces exigences pouvant considérablement influencer la conception de domaine, vous devez les inclure
dès les premières phases.

• Consignez la structure géographique du réseau et le nombre d'utilisateurs sur chaque site.

Vous devez disposer d'informations détaillées sur la structure physique du réseau, la bande
passante disponible entre les sites et le nombre d'utilisateurs sur chaque site. Ces facteurs
déterminent si vous devez déployer des domaines distincts pour chaque site et comment placer
les contrôleurs de domaine.

• Si vous déployez plusieurs domaines, limitez-en le nombre au minimum. Sachant qu'un nombre
élevé de domaines entraîne une charge administrative supplémentaire, vous devez tenter de
réduire le nombre de domaines qui requièrent une prise en charge.

• Utilisez des domaines régionaux quand la topologie du réseau comporte divers sites géographiques.
Si vous avez suffisamment de personnel informatique sur chaque site géographique, et si vous avez
disposez d'une bande passante limitée entre les sites, déployez le modèle de domaine régional.

• Déployez un domaine racine de forêt dédié si le modèle d'administration nécessite de séparer

les administrateurs de service de la forêt des administrateurs de service du domaine.

• Utilisez des stratégies de mot de passe affinées pour définir les exigences de mot de passe. Au lieu
de déployer un autre domaine à cet effet, il est plus facile d'utiliser une stratégie de mot de passe
affinée pour définir les exigences de mot de passe des différents groupes ou utilisateurs d'AD DS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-30 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Démonstration : Implémentation d'un domaine AD DS

Cette démonstration montre comment :

• ajouter le rôle serveur AD DS ;

• créer un domaine dans une forêt existante.

Procédure de démonstration

Ajouter le rôle serveur AD DS

1. Basculez vers CON-SVR et, si nécessaire, connectez-vous en tant qu'administrateur local.
Cet ordinateur est un serveur autonome exécutant Windows Server 2012.

2. Ajoutez les rôles DNS et AD DS en utilisant les valeurs par défaut.

Créer un domaine dans une forêt existante

1. Dans le Gestionnaire de serveur, exécutez l'option Promouvoir ce serveur en contrôleur
de domaine.

2. Dans l'Assistant Configuration des services de domaine Active Directory, dans la page Configuration
de déploiement, cliquez sur Ajouter un nouveau domaine à une forêt existante. Spécifiez
les paramètres suivants :

• Type de domaine : Domaine de l'arborescence

• Nom de forêt : [Link]

• Nouveau nom de domaine : [Link]

• Nom d'utilisateur : ADATUM\Administrateur

• Mot de passe : Pa$$w0rd

• Mot de passe de récupération : Pa$$w0rd

3. Votre ordinateur redémarre. À l'invite, connectez-vous en tant que Contoso\Administrateur

avec le mot de passe Pa$$w0rd.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-31

Leçon 4
Conception d'espaces de noms DNS
dans les environnements AD DS
Dans le cadre de la conception de domaine AD DS, vous devez réfléchir à la manière dont cette dernière
s'intégrera à l'espace de noms DNS public. Vous devez déterminer si les espaces de noms internes et
externes seront identiques ou différents pour le domaine AD DS. En outre, si vous implémentez des
serveurs DNS dans votre organisation, vous devez veiller à ce que les espaces de noms internes et
externes soient hébergés sur des serveurs DNS distincts.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire l'intégration d'AD DS et de DNS ;

• décrire les options de conception d'un espace de noms AD DS ;

• décrire les éléments à prendre en compte lors de la conception des partitions d'application DNS ;

• décrire les instructions d'implémentation de serveurs DNS dans les environnements AD DS.

Intégration d'AD DS et de DNS

AD DS est étroitement associé à DNS. Par
conséquent, vous devez avoir installé DNS pour
pouvoir installer et utiliser AD DS. L'interaction
de DNS et d'AD DS est primordiale, car tous
les clients et serveurs doivent utiliser DNS
pour localiser un contrôleur de domaine
de sorte que les utilisateurs puissent se
connecter à un domaine et utiliser les services
Active Directory. Les ordinateurs localisent
les contrôleurs de domaine et les services
à l'aide des éléments suivants :

• Enregistrements de ressources hôtes (A).

L'enregistrement de ressources hôte (A) contient le nom de domaine complet (FQDN) et l'adresse IP
du contrôleur de domaine.

• Enregistrements de ressources de service (SRV). L'enregistrement de ressources de service (SRV)

contient le nom complet (FQDN) du contrôleur de domaine, ainsi que le nom du service fourni
par le contrôleur de domaine.

Lorsque vous installez un contrôleur de domaine AD DS, DNS s'installe également de manière
automatique. Cette intégration entre AD DS et DNS implique de planifier à la fois la conception
de DNS et celle du domaine AD DS. Le nombre et le positionnement des serveurs DNS peuvent
considérablement influencer les fonctionnalités et les performances d'AD DS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-32 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Une des décisions les plus importantes que vous devez prendre lorsque vous planifiez DNS est la méthode
de stockage des données de zone DNS. Après l'installation d'AD DS, utilisez l'une des méthodes suivantes
pour enregistrer et répliquer vos zones lorsque vous utilisez le serveur DNS sur le nouveau contrôleur
de domaine :

• Stockage de zone standard, à l'aide d'un fichier texte.

• Stockage de zone intégré à l'annuaire, à l'aide de la base de données Active Directory.

Pour les réseaux déployant DNS afin de prendre en charge AD DS, la meilleure pratique consiste à utiliser
une zone principale intégrée à l'annuaire, laquelle offre les avantages suivants :

• disponibilité de la mise à jour multimaître et de la sécurité avancée reposant sur les fonctionnalités
d'Active Directory ;

• possibilité de répliquer et de synchroniser automatiquement les zones sur les nouveaux contrôleurs
de domaine à chaque fois que vous ajoutez un nouveau contrôleur de domaine à un domaine
Active Directory ;

• possibilité de rationaliser la planification des réplications de la base de données pour votre réseau ;

• réplication d'annuaire plus rapide et plus efficace que la réplication DNS standard.

Options pour la conception d'un espace de noms AD DS

Un domaine AD DS doit avoir un nom de
domaine DNS. Puisque vous utilisez également
le système DNS comme espace de noms basé
sur des normes globalement disponible, vous
devez soigneusement étudier l'endroit où
vous allez positionner votre domaine AD DS.
Actuellement, la séparation entre les réseaux
internes et externes est relativement limitée.
Pour cette raison, il est souvent difficile de
maintenir la séparation des espaces de noms,
et celle-ci est moins intéressante que dans les
itérations précédentes d'AD DS. Par conséquent,
de nombreuses organisations utilisent le nom de domaine le plus courant (le nom de domaine public)
pour les espaces de noms internes et externes. Le nom de domaine public est plus étroitement associé
à une organisation et est généralement plus facile à saisir. Vous devez prendre certaines mesures pour
prendre en charge cette configuration, mais son coût est généralement bien inférieur aux avantages
qu'elles procure.

Indépendamment de l'espace de noms que vous choisissez, vous devez gérer la résolution des noms,
la protection du périmètre et la sécurité. Par conséquent, les efforts administratifs requis pour orienter
le choix de l'espace de noms sont équivalents. Vous devez donc utiliser un nom DNS facile à saisir
et à mémoriser pour les utilisateurs.
Dans les versions antérieures d'AD DS, les organisations utilisaient parfois un domaine de niveau supérieur
personnalisé, tel que .msft, ou le domaine de niveau supérieur .local pour le domaine AD DS. En raison
des évolutions dans l'univers des réseaux (parmi lesquelles l'apparition d'IPv6 et l'interconnectivité accrue),
n'envisagez ces options qu'après avoir scrupuleusement étudié les avantages qu'elles peuvent offrir, leurs
coûts en termes d'administration et d'assistance aux utilisateurs, ainsi que leur capacité à répondre aux
exigences de votre entreprise.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-33

Conception de partitions d'application DNS

Le processus d'installation de DNS crée
deux partitions d'application par défaut :
la partition d'application domainDNSzones
et la partition d'application forestDNSzones.
Les contrôleurs de domaine au sein d'un
domaine pour lesquels le service DNS est
automatiquement installé reçoivent une copie
de la partition d'application domainDNSzones.
Tous les contrôleurs de domaine de la forêt
(à condition que le service DNS soit installé)
reçoivent une copie de la partition d'application
forestDNSzones. En revanche, si vous avez déjà
implémenté DNS dans votre environnement et que vous utilisez les serveurs DNS existants pour AD DS,
l'installation d'Active Directory ne crée pas les partitions d'application par défaut.

Vous pouvez créer des partitions d'application supplémentaires pour stocker des informations. Lorsque
vous créez une partition d'application, vous devez définir les contrôleurs de domaine de la forêt
qui participeront à sa réplication. Pour créer des partitions d'application et permettre aux serveurs
de les répliquer, utilisez l'outil [Link] ou l'outil AD DS en ligne de commande [Link].
Lorsque vous utilisez des zones intégrées à Active Directory, vous pouvez contrôler les contrôleurs
de domaine qui reçoivent une zone à l'aide des partitions AD DS. Vous pouvez également définir
les contrôleurs de domaine au sein de votre forêt AD DS qui reçoivent une copie d'une partition
d'application donnée. Cela contribue à réduire le trafic de réplication en permettant à AD DS de répliquer
les données de zone uniquement sur les contrôleurs de domaine qui ont besoin des informations.

Spécification de l'étendue de réplication

Vous pouvez spécifier l'étendue de réplication lorsque vous créez une zone intégrée à Active Directory,
ou la modifier ultérieurement. Vous pouvez procéder à la réplication sur :

• Tous les serveurs DNS de la forêt Active Directory. La partition d'application forestDNSzones stocke
la zone. Tous les contrôleurs de domaine de la forêt (à condition que DNS soit installé) reçoivent une
copie de la zone. Nous recommandons cette configuration pour les zones auxquelles tous les clients
doivent pouvoir accéder via la forêt Active Directory. Par exemple, la zone _msdcs comprend des
informations sur les serveurs de catalogue global et les contrôleurs de domaine, auxquels les hôtes
situés n'importe où dans la forêt peuvent avoir besoin d'accéder. Vous pouvez stocker cette zone
dans la partition forestDNSzones si la forêt comprend plusieurs domaines et sites.

• Tous les serveurs DNS du domaine Active Directory. La partition d'application domainDNSzones
stocke cette zone. Seuls les contrôleurs de domaine situés dans le même domaine et sur lesquels
vous installez le service DNS reçoivent une copie de la zone.

• Tous les contrôleurs du domaine Active Directory. La partition de domaine stocke cette zone,
et tous les contrôleurs du domaine reçoivent une copie de celle-ci, même si vous n'installez
pas le service DNS sur les contrôleurs. Cela peut provoquer un trafic de réplication indésirable.
• Tous les contrôleurs de domaine spécifiés dans l'étendue de réplication de la partition d'annuaire
d'application spécifiée. Les contrôleurs de domaine qui reçoivent une copie de la partition
d'application recevront une copie de la zone. Vous devez créer la partition d'application à l'avance.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-34 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Instructions pour l'implémentation de serveurs DNS

dans les environnements AD DS
Nous vous recommandons d'utiliser des
serveurs DNS Windows Server 2012 dans
la mesure du possible et de configurer les
zones AD DS et DNS en tant que zones intégrées
à Active Directory. Cela vous évite d'avoir à
configurer une topologie de réplication DNS
distincte qui utilise les transferts de zone DNS
ordinaires, car toutes les données de zone
sont répliquées automatiquement au moyen
de la réplication AD DS. L'utilisation de zones
intégrées à Active Directory simplifie également
le processus de déploiement de DNS, car plusieurs
maîtres sont créés pour la réplication DNS, ce qui offre les avantages suivants :
• Tout contrôleur du domaine qui exécute le service de serveur DNS peut écrire des mises à jour dans
les zones intégrées à Active Directory pour le nom de domaine pour lequel il dispose d'une autorité.
Vous n'avez pas besoin d'une topologie de transfert de zone DNS distincte.

• Les zones intégrées à Active Directory prennent en charge les mises à jour dynamiques sécurisées.
Ces mises à jour dynamiques permettent à un administrateur de définir quels ordinateurs mettront
à jour quels noms et d'éviter que des ordinateurs non autorisés ne remplacent les noms existants
dans DNS.

• Les zones intégrées à Active Directory comprennent les zones ForestDNSZones et DomainDNSZones.
Vous devez veiller à utiliser ces partitions, car elles permettent de réduire le trafic de réplication
et la quantité de données que le catalogue global doit stocker.

Si vous avez déjà une infrastructure DNS et devez l'utiliser, assurez-vous qu'elle prend en charge
les enregistrements de ressources de service (SRV) dont AD DS et les services et applications associés
ont besoin.

Nous recommandons d'héberger les espaces de noms DNS internes et les espaces de noms DNS externes
sur des serveurs DNS distincts. Ainsi, vos enregistrements DNS internes ne sont pas visibles sur Internet
et ne risquent pas d'être compromis par des intervenants externes.

Remarque : L'exposition des enregistrements DNS internes sur Internet présente un risque
de sécurité significatif. Les éventuelles personnes malveillantes peuvent utiliser ces informations
pour repérer les serveurs internes qu'elles tenteront d'attaquer. Par exemple, les personnes
malveillantes peuvent utiliser ces informations pour identifier des serveurs de base de données
ou des contrôleurs de domaine, puis planifier des attaques sur ces derniers.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-35

Leçon 5
Conception d'approbations de domaine AD DS
Les approbations de domaine AD DS permettent aux utilisateurs d'un domaine d'accéder aux ressources
d'un autre domaine. Lorsque vous installez plusieurs domaines dans la même forêt, une configuration
d'approbation par défaut lie tous les domaines. Vous pouvez configurer des relations d'approbation
supplémentaires en implémentant des raccourcis d'approbation dans une forêt, ainsi que des
approbations externes entre les domaines de forêts distinctes. Pour votre conception de domaine
AD DS, vous devez choisir l'approbation de domaine qui répond aux exigences de votre organisation.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les relations d'approbation ;

• décrire les raccourcis d'approbation ;

• décrire les approbations externes et approbations de domaine Kerberos ;

• décrire les instructions de conception d'approbations de domaine AD DS.

Relations d'approbation
Lorsque vous implémentez un scénario
impliquant au moins deux domaines AD DS,
vous utilisez généralement des relations
d'approbation, ou approbations. Avant de
concevoir des approbations entre les domaines
d'une même forêt ou entre les domaines
de forêts distinctes, vous devrez comprendre
l'utilité, la fonctionnalité et la configuration
des relations d'approbation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-36 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Relations d'approbation au sein d'un domaine

Vous ne devez pas nécessairement établir une relation d'approbation entre deux domaines ou
deux forêts. Souvent, les organisations établissent des approbations uniquement entre des ordinateurs
et des domaines.

Dans un groupe de travail, l'ordinateur gère un magasin d'identités situé dans la base de données du
Gestionnaire des comptes de sécurité (SAM). L'ordinateur authentifie les utilisateurs grâce à ce magasin
d'identités et sécurise les ressources système uniquement à l'aide des identités de la base de données du
Gestionnaire des comptes de sécurité. Quand l'ordinateur est ajouté à un domaine, il forme une relation
d'approbation avec le domaine. Par conséquent, l'ordinateur permet aux services d'authentification et
à la banque d'identités du domaine AD DS d'authentifier les utilisateurs, au lieu de recourir au système
local et à son magasin d'identités local.

Le membre du domaine vous permet également d'utiliser des identités de domaine pour sécuriser les
ressources système. Par exemple, vous pouvez ajouter des utilisateurs du domaine au groupe Utilisateurs
local afin d'autoriser ces derniers à se connecter localement au système. En outre, vous pouvez ajouter
des comptes de groupes et d'utilisateurs aux listes de contrôle d'accès (ACL) sur les fichiers, les dossiers,
les clés de Registre et les imprimantes du système. Tous les membres du domaine ont des relations
d'approbation similaires avec le domaine, permettant ainsi à ce dernier de tenir le rôle de magasin
d'identités central et de service centralisé assurant l'authentification.

Relations d'approbation entre les domaines

Vous pouvez étendre le concept des relations d'approbation à d'autres domaines. Une relation
d'approbation entre deux domaines permet à un domaine d'approuver le service d'authentification
et le magasin d'identités d'un autre domaine afin d'utiliser ces identités pour sécuriser les ressources.
En effet, une relation d'approbation est un lien logique établi entre des domaines pour permettre
une authentification directe.

Chaque relation d'approbation comporte deux domaines : un domaine d'approbation et un domaine

approuvé. Le domaine approuvé contient le magasin d'identités et assure l'authentification des utilisateurs
situés dans ce magasin d'identités. Le domaine d'approbation est un domaine qui approuve le magasin
d'identités et les services d'authentification du domaine approuvé. Lorsqu'un utilisateur de l'annuaire
du domaine approuvé se connecte à un système dans le domaine d'approbation, ce dernier ne peut
pas authentifier cet utilisateur car il ne figure pas dans son magasin de données. Par conséquent, il passe
l'authentification à un contrôleur de domaine du domaine approuvé. Ensuite, le domaine d'approbation
approuve le domaine approuvé afin d'authentifier l'identité de l'utilisateur. Le domaine d'approbation
étend l'approbation aux services d'authentification et au magasin d'identités du domaine approuvé.

Étant donné que le domaine d'approbation approuve les identités du domaine approuvé, il peut
utiliser les identités approuvées pour autoriser l'accès aux ressources. Il peut accorder certains droits
aux utilisateurs du domaine approuvé, notamment celui de se connecter aux postes de travail situés
dans le domaine d'approbation. En outre, il peut ajouter des utilisateurs et des groupes globaux du
domaine approuvé aux groupes locaux du domaine d'approbation et accorder des autorisations sur les
dossiers partagés en ajoutant les identités aux listes de contrôle d'accès dans le domaine d'approbation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-37

Par exemple, si le domaine A approuve le domaine B, le domaine A devient le domaine d'approbation

et le domaine B devient le domaine approuvé. Si un utilisateur du domaine B se connecte à un ordinateur
du domaine A, le domaine A passe la demande d'authentification à un contrôleur de domaine du
domaine B. Le domaine A peut également utiliser les identités du domaine B (utilisateurs et groupes,
par exemple) pour octroyer des droits et l'accès aux ressources du domaine A. Par conséquent, vous
pouvez ajouter un utilisateur ou un groupe du domaine B à une liste de contrôle d'accès dans un
dossier partagé du domaine A, ou ajouter un utilisateur ou un groupe du domaine B à un groupe
local de domaine du domaine A.

Dans une forêt, tous les domaines s'approuvent mutuellement, car le domaine racine de chaque
arborescence d'une forêt approuve le domaine racine de la forêt et chaque domaine enfant approuve
son domaine parent. Vous ne devez jamais supprimer d'approbations créées automatiquement,
car elles sont transitives et bidirectionnelles. En conséquence, un domaine approuve les magasins
d'identités et les services d'authentification de tous les autres domaines de sa forêt. Le domaine peut :

• ajouter aux groupes locaux du domaine des utilisateurs, des groupes globaux et des groupes
universels issus de n'importe quel domaine de la forêt ;

• octroyer des droits aux utilisateurs, groupes globaux et groupes universels de n'importe quel
domaine de la forêt ;

• ajouter des utilisateurs, des groupes globaux et des groupes universels issus de n'importe quel
domaine de la forêt aux listes de contrôle d'accès sur les ressources de n'importe quel autre
domaine de la forêt.
Vous devez établir manuellement les approbations avec d'autres forêts et domaines situés en dehors
de la forêt.

Raccourcis d'approbation
Lors de la conception des approbations dans
un environnement multi-domaine, vous devez
comprendre le chemin d'accès d'approbation
entre deux domaines, notamment lorsque vous
disposez de deux arborescences de domaine
au sein d'une même forêt.

Quand un utilisateur d'un domaine d'une

arborescence de domaine au sein d'une forêt
souhaite accéder aux ressources d'un domaine
situé dans une autre arborescence de domaine
de la même forêt, de nombreuses étapes sont
nécessaires pour accorder le ticket de session
permettant l'accès aux ressources du domaine cible. La plupart de ces étapes impliquent des références
aux domaines sur le chemin d'accès d'approbation entre le domaine de l'utilisateur et le domaine
du dossier partagé. Quand un utilisateur d'un domaine se connecte à un ordinateur situé dans un
autre domaine, la demande d'authentification doit également être transmise via le chemin d'accès
d'approbation. Cela peut affecter les performances et, si un contrôleur de domaine n'est pas disponible
dans un domaine le long du chemin d'accès d'approbation, le client ne pourra pas s'authentifier auprès
du service ou y accéder.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-38 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Les raccourcis d'approbation vous permettent de surmonter ce problème en créant une relation
d'approbation directement entre les domaines enfants dans le chemin d'accès d'approbation de la
forêt. Toutefois, vous devez savoir que les raccourcis d'approbation n'augmentent pas la réactivité,
sauf si le réseau physique sous-jacent prend en charge le chemin d'accès de raccourci.

Les raccourcis d'approbation optimisent les demandes de ticket de session et d'authentification entre les
domaines dans une forêt multidomaine. En éliminant le chemin d'accès d'approbation, elles permettent
de gagner du temps en évitant d'avoir à parcourir tout le chemin d'accès d'approbation, ce qui peut
améliorer sensiblement les performances des demandes de ticket de session.

Raccourcis d'approbation unidirectionnels ou bidirectionnels

Les raccourcis d'approbation peuvent être uni- ou bidirectionnels. Dans les deux cas, l'approbation
est transitive. L'illustration de la diapositive montre un raccourci d'approbation unidirectionnel
grâce auquel [Link] approuve [Link].

Lorsqu'un utilisateur d'[Link] se connecte à un ordinateur de [Link] ou

demande une ressource figurant dans [Link], la demande est transférée directement à un
contrôleur de domaine du domaine approuvé, [Link]. Toutefois, l'inverse n'est pas vrai.
Si un utilisateur de [Link] se connecte à un ordinateur d'[Link], la demande
d'authentification parcourt le chemin d'accès d'approbation jusqu'à [Link], puis jusqu'à
[Link].

La diapositive montre également un raccourci d'approbation bidirectionnel entre [Link]

et [Link]. Puisque les utilisateurs des deux domaines peuvent être authentifiés par
et peuvent demander des ressources à partir des ordinateurs de l'autre domaine, le chemin d'accès
du raccourci d'approbation est utilisé.

Approbations externes et approbations de domaine Kerberos

Approbations externes
Lorsque vous devez travailler dans un domaine
qui ne figure pas dans votre forêt, vous pouvez
être amené à créer une approbation externe.
Une approbation externe est une relation
d'approbation entre un domaine de votre forêt
et un domaine Windows Server situé en dehors
de votre forêt.

La diapositive affiche une représentation d'une

approbation unidirectionnelle entre le domaine
[Link] et le domaine
[Link]. Le domaine « europe » approuve le domaine « sales », par conséquent
les utilisateurs du domaine « sales » peuvent se connecter aux ordinateurs ou aux ressources
du domaine « europe ».
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-39

L'illustration montre également une approbation bidirectionnelle entre le domaine

[Link] et le domaine [Link]. Les utilisateurs de chaque domaine
peuvent accéder aux ressources de l'autre domaine. Techniquement, toutes les approbations
externes sont non transitives et unidirectionnelles. Lorsque vous créez une approbation externe
bidirectionnelle, vous créez en fait deux approbations unidirectionnelles (une dans chaque direction).
Lorsque vous créez une approbation externe sortante, AD DS crée un objet principal de sécurité externe
pour chaque principal de sécurité du domaine approuvé. Vous pouvez ensuite ajouter ces utilisateurs,
groupes et ordinateurs aux groupes locaux de domaine ou listes de contrôle d'accès sur les ressources
du domaine d'approbation.

Approbations de domaine Kerberos

Lorsque vous avez besoin d'une interopérabilité multi-plateforme avec des services de sécurité
basés sur d'autres implémentations du protocole d'authentification Kerberos V5, vous pouvez établir
une approbation de domaine Kerberos entre votre domaine et un domaine UNIX Kerberos V5. Les
approbations de domaine Kerberos sont unidirectionnelles, mais vous pouvez établir des approbations
unidirectionnelles dans les deux directions pour créer une approbation bidirectionnelle. Par défaut,
les approbations de domaine Kerberos sont non transitives, mais vous pouvez les rendre transitives.

Si un domaine Kerberos V5 ne reposant pas sur Windows Server approuve votre domaine, ce domaine
Kerberos approuve tous les principaux de sécurité de votre domaine. Si votre domaine approuve
un domaine Kerberos V5 ne reposant pas sur Windows Server, les utilisateurs du domaine Kerberos
pourront accéder aux ressources de votre domaine. Toutefois, le processus est indirect. Lorsqu'un
domaine Kerberos ne reposant pas sur Windows authentifie des utilisateurs, les tickets Kerberos ne
contiennent pas toutes les données d'autorisation dont Windows Server a besoin. Par conséquent,
vous devez utiliser un système de mappage de compte. Avec un système de mappage de compte,
vous créez des principaux de sécurité dans le domaine Windows, puis les mappez à l'identité Kerberos
externe dans le domaine Kerberos non-Windows approuvé. Le domaine Windows utilise uniquement
ces comptes proxy pour évaluer l'accès aux objets domaine comportant des descripteurs de sécurité.
Vous pouvez utiliser tous les comptes proxy de Windows Server figurant dans les groupes et sur les listes
de contrôle d'accès pour contrôler l'accès au nom du principal de sécurité du serveur non-Windows.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-40 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Instructions pour la conception d'approbations de domaine AD DS

Lorsque vous administrez des approbations
de domaine et de forêt, les meilleures pratiques
suivantes permettent d'augmenter la disponibilité,
garantissent des opérations sans problème
et facilitent les tâches administratives :

• Utilisez des approbations de domaine

externes plutôt que des approbations
de forêt lorsque vous voulez établir
une relation d'approbation uniquement
entre deux domaines spécifiques situés
dans des forêts distinctes. Cette approche
limite sensiblement les risques de sécurité,
car elle se concentre uniquement sur deux domaines spécifiques dans deux forêts distinctes.
De même, utilisez l'authentification sélective pour sécuriser les relations d'approbation.

La création d'une approbation externe ou d'une approbation de forêt entre deux forêts permet
essentiellement le transfert des authentifications entre la forêt approuvée et la forêt d'approbation.
L'approbation de forêt autorisant toutes les communications sécurisées via ce chemin, l'action
proprement dite ne menace pas nécessairement les forêts. Cependant, elle expose davantage la
forêt approuvée aux attaques des utilisateurs malveillants. Vous pouvez définir une authentification
sélective sur les approbations entre les forêts pour limiter cette exposition aux attaques. Lorsque
vous choisissez l'authentification sélective, tous les utilisateurs du domaine approuvé sont des
identités approuvées. Toutefois, ils peuvent uniquement s'authentifier auprès des services sur les
ordinateurs que vous spécifiez. Par exemple, supposez que vous avez établi une approbation externe
avec un domaine d'une organisation partenaire, et que vous souhaitez vous assurer que seuls les
utilisateurs du groupe Marketing de l'organisation partenaire puissent accéder aux dossiers partagés
situés sur un seul de vos nombreux serveurs de fichiers. Vous pouvez configurer l'authentification
sélective pour la relation d'approbation, puis octroyer aux utilisateurs approuvés le droit de
s'authentifier pour ce serveur de fichiers uniquement.

• Implémentez le filtre SID (également appelé Quarantaine de domaine). Dans un scénario de

domaine approuvé, un administrateur malveillant peut utiliser les informations d'authentification
administratives du domaine approuvé pour charger, dans l'attribut sIDHistory d'un utilisateur,
des SID identiques à ceux des comptes privilégiés dans votre domaine. Cet utilisateur dispose alors
de niveaux d'accès inappropriés sur les ressources de votre domaine. Le filtrage SID empêche cette
situation en permettant au domaine d'approbation de filtrer les SID du domaine approuvé qui ne
sont pas les SID principaux des principaux de sécurité. Chaque SID comprend le SID du domaine
d'origine. Par conséquent, quand un utilisateur d'un domaine approuvé présente la liste des SID
de l'utilisateur et des SID des groupes d'utilisateurs, le filtrage SID donne la consigne au domaine
d'approbation d'ignorer tous les SID qui ne comportent pas le SID de domaine du domaine
approuvé. La quarantaine de domaine est activée par défaut pour toutes les approbations
sortantes vers des domaines ou forêts externes.

• Lorsque votre forêt contient des arborescences de domaine comportant de nombreux domaines
enfants, si d'importants retards d'authentification des utilisateurs se produisent entre les domaines
enfants, vous pouvez optimiser le processus d'authentification des utilisateurs entre les domaines
enfants. Pour cela, vous pouvez créer des raccourcis d'approbation vers les domaines de niveau
intermédiaire dans la hiérarchie de l'arborescence de domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-41

Voici quelques meilleures pratiques supplémentaires :

• Conservez une liste actualisée des relations d'approbation pour vous y référer ultérieurement.

• Effectuez régulièrement des sauvegardes des contrôleurs de domaine pour conserver toutes
les relations d'approbation dans un domaine particulier.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-42 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

Atelier pratique B : Conception et implémentation

d'une infrastructure de domaine AD DS
Scénario
Pendant le processus de conception de la forêt AD DS chez A. Datum Corporation, les membres
de l'équipe de conception ont décidé qu'ils devront maintenir une forêt distincte pour le domaine
[Link] afin de répondre aux exigences d'isolation du service de recherche. Cependant, l'équipe
de conception réfléchit actuellement à la meilleure manière d'intégrer l'organisation Contoso, Ltd dans
l'infrastructure réseau d'A. Datum. Pour le moment, Contoso n'a pas déployé AD DS.

Objectifs
À la fin de cet atelier pratique, vous serez à même d'effectuer les tâches suivantes :

• concevoir une infrastructure de domaine AD DS ;

• implémenter une infrastructure de domaine AD DS.

Configuration de l'atelier pratique

Durée approximative : 60 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-TREY-DC1
22413B-CON-SVR

Nom d'utilisateur ADATUM\Administrateur

TreyResearch\Administrateur
.\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :
1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions, cliquez
sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Ouvrez une session en utilisant les informations d'authentification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

5. Dans le gestionnaire Hyper-V, cliquez sur 22413B-TREY-DC1, et dans le volet Actions, cliquez
sur Démarrer.

6. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-43

7. Ouvrez une session en utilisant les informations d'authentification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : TreyResearch

8. Dans le gestionnaire Hyper-V, cliquez sur 22413B-CON-SVR, et dans le volet Actions, cliquez
sur Démarrer.

9. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

10. Ouvrez une session en utilisant les informations d'authentification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

Exercice 1 : Concevoir une infrastructure de domaine AD DS

Scénario
Contoso, Ltd, un ancien partenaire d'A. Datum Corporation, est basé uniquement en Europe et son
siège social se trouve à Paris. L'objectif premier de l'achat de Contoso est l'intégration des deux lignes
de produits des entreprises. Vous devez examiner le scénario pour décider de la meilleure manière de
déployer AD DS chez Contoso et d'intégrer Contoso dans la structure organisationnelle d'A. Datum.

Stratégie d'intégration AD DS de Contoso

Numéro de référence du document : BS00915/1

Auteur du document Brad Sutton

Date 15 Sep

Présentation des exigences

La conception de l'infrastructure de domaine AD DS doit prendre en charge les objectifs suivants :
• Les services Ventes, Marketing et Production des deux entreprises travailleront très étroitement
et doivent donc être en mesure d'échanger facilement des informations.
• Les utilisateurs du domaine [Link] et de l'organisation Contoso doivent pouvoir accéder
à certaines informations contenues dans la forêt [Link]. En outre, ils doivent accéder
à des boîtes de réception utilisateur sur des serveurs Exchange qui seront déployés à Londres,
ainsi qu'aux fichiers situés sur le serveur de partage de fichiers LON-SVR1 basé à Londres.
Les utilisateurs ne doivent pas être obligés de se connecter à plusieurs comptes pour accéder
aux fichiers.
• Certains utilisateurs de l'organisation Contoso ont besoin d'accéder aux ressources
de l'organisation Trey Research. Votre plan doit le permettre. La solution ne doit pas
compromettre la sécurité de la forêt [Link].
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-44 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

(suite)

Stratégie d'intégration AD DS de Contoso

Informations supplémentaires
• A. Datum envisage également de recruter un grand nombre d'employés supplémentaires à Paris.
Ces nouveaux employés travailleront dans les services Ventes, Marketing et Distribution à Paris.
• Contoso n'a pas d'administrateurs AD DS, mais le personnel de la société suit actuellement
une formation dans ce domaine.
• Le bureau de Paris est connecté à celui de Londres via une liaison de 6 mégabits
par seconde (Mbits/s) qui est utilisée pour toutes les communications et le partage de
données. L'équipe réseau d'A. Datum est préoccupée par l'utilisation de la bande passante
entre Paris et Londres.
• A. Datum a également implémenté une solution de conférence VoIP (voix sur IP) reposant sur
Lync Server 2010 et envisage de développer ce déploiement afin d'inclure ses serveurs de Londres.
L'équipe réseau souhaite s'assurer que le nouveau déploiement AD DS utilise le moins de bande
passante possible pour le trafic spécifique à AD DS.

Propositions
1. Devez-vous créer une forêt distincte pour prendre en charge l'organisation Contoso ?

2. Si vous décidez d'implémenter Contoso dans le cadre de la forêt A. Datum existante, vaut-il
mieux implémenter Contoso en tant que domaine distinct ou en tant qu'unité d'organisation
du domaine A Datum existant ?

3. En supposant que vous choisissiez de recourir à un domaine distinct pour Contoso, quel nom
de domaine AD DS devrez-vous utiliser pour Contoso ? (Contoso utilise déjà [Link]
pour DNS.)

4. Quel est le domaine racine de la forêt ?

5. Est-il judicieux de déployer des contrôleurs de domaine supplémentaires du domaine

[Link] à Paris ? Expliquez pourquoi.

6. Comment envisagez-vous de procéder pour que les utilisateurs de Contoso puissent accéder
aux ressources de l'organisation Trey Research ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-45

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie d'intégration AD DS
de Contoso.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : Une fois cet exercice terminé, vous aurez conçu une stratégie d'infrastructure de domaine
pour l'intégration de Contoso dans l'organisation A. Datum.

Exercice 2 : Implémenter une infrastructure de domaine AD DS

Scénario
La direction d'A. Datum Corporation a approuvé votre stratégie d'intégration de Contoso, Ltd.
Vous devez maintenant déployer un contrôleur de domaine au sein de Contoso, puis ajouter
le domaine [Link] en tant que nouveau domaine dans une forêt existante.

Les tâches principales de cet exercice sont les suivantes :

1. Vérifier que les conditions préalables à l'ajout un nouveau domaine sont satisfaites.

2. Ajouter CON-SVR en tant que contrôleur de domaine à un nouveau domaine d'une forêt existante.

 Tâche 1 : Vérifier que les conditions préalables à l'ajout un nouveau domaine

sont satisfaites
1. Basculez vers CON-SVR et, si nécessaire, connectez-vous en tant qu'Administrateur avec le mot
de passe Pa$$w0rd. Cet ordinateur est un serveur autonome exécutant Windows Server 2012.

2. À partir du Gestionnaire de serveur, ajoutez les rôles DNS et AD DS en utilisant les paramètres
par défaut.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
5-46 Conception et implémentation d'une infrastructure de forêt et de domaine pour les services de domaine Active Directory

 Tâche 2 : Ajouter CON-SVR en tant que contrôleur de domaine

à un nouveau domaine d'une forêt existante
1. Dans le Gestionnaire de serveur, dans AD DS, exécutez l'option Promouvoir ce serveur
en contrôleur de domaine.

2. Dans l'Assistant Configuration des services de domaine Active Directory, dans la page Configuration
de déploiement, cliquez sur Ajouter un nouveau domaine à une forêt existante.

3. Spécifiez les paramètres suivants :

• Type de domaine : Domaine de l'arborescence

• Nom de forêt : [Link]

• Nouveau nom de domaine : [Link]

• Nom d'utilisateur : ADATUM\Administrateur

• Mot de passe : Pa$$w0rd

• Mot de passe de récupération : Pa$$w0rd

4. Votre ordinateur redémarre. À l'invite, connectez-vous en tant que Contoso\Administrateur
avec le mot de passe Pa$$w0rd.

Résultats : Une fois cet exercice terminé, vous aurez implémenté une partie de la stratégie
d'infrastructure de domaine que vous avez conçue.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 à 4 pour 22413B-TREY-DC1 et 22413B-CON-SVR.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 5-47

Contrôle des acquis et éléments à retenir

Question(s) de contrôle des acquis
Question : Quel est le rôle du modèle de forêt basé sur les ressources ?

Question : Quel niveau fonctionnel de forêt devez-vous définir dans AD DS pour pouvoir
établir une approbation de forêt ?

Question : Si vous souhaitez intégrer plusieurs espaces de noms internes,

quelles technologies devez-vous utiliser ?

Question : Un utilisateur de Contoso tente d'accéder à un dossier partagé dans le domaine

Tailspin Toys et reçoit une erreur d'accès refusé. Une relation d'approbation est établie entre
ces deux domaines. Que devez-vous faire pour autoriser l'utilisateur à accéder au dossier ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-1

Module 6
Conception et implémentation d'une infrastructure
d'unités d'organisation Active Directory
Table des matières :
Vue d'ensemble du module 6-1

Leçon 1 : Planification du modèle de délégation des tâches

d'administration Active Directory 6-2

Leçon 2 : Conception de la structure d'unités d'organisation 6-9

Leçon 3 : Conception et implémentation d'une stratégie

de groupe Active Directory 6-21

Atelier pratique : Conception et implémentation d'une infrastructure

et d'un modèle de délégation d'unités d'organisation Active Directory 6-30

Contrôle des acquis et éléments à retenir 6-45

Vue d'ensemble du module

Dans un domaine Active Directory®, vous pouvez créer une structure d'unités d'organisation
vous permettant de créer une infrastructure de gestion dans laquelle vous pouvez séparer les tâches
d'administration, déléguer des autorisations d'administration et appliquer des objets de stratégie
de groupe (GPO). La conception d'une structure d'unités d'organisation et d'un modèle de délégation
de tâches d'administration Active Directory peut constituer un réel défi. Il existe de nombreuses
conceptions possibles et souvent de nombreux services administratifs, tels que l'administration de
domaine, les opérateurs de serveur et d'application, les administrateurs de virtualisation, le service
d'assistance technique aux utilisateurs et les services décentralisés. En outre, vous pouvez être amené
à modifier votre structure d'unités d'organisation lorsque les besoins de l'entreprise ou les structures
organisationnelles changent.

Outre la création de la structure d'unités d'organisation appropriée, vous devez également déterminer
quels services administratifs ou utilisateurs doivent avoir un contrôle sur quels attributs et objets et
à quel niveau. Si vous reconcevez la structure d'unités d'organisation, vous devez également décider
comment placer les objets de la structure actuelle dans la nouvelle structure. Ensuite, vous devez planifier
le modèle de délégation des tâches d'administration, décider comment l'implémenter et déterminer quels
groupes créer pour déléguer les tâches. Enfin, vous devez vous assurer que tout fonctionne comme prévu
et définir des processus pour les modifications futures.

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• planifier un modèle de délégation des tâches d'administration Active Directory ;

• concevoir une structure d'unités d'organisation ;

• concevoir et implémenter une stratégie de groupe AD DS.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-2 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Leçon 1
Planification du modèle de délégation des tâches
d'administration Active Directory
Lorsque vous concevez votre structure d'unités d'organisation, la planification du modèle de
délégation des tâches d'administration Active Directory est essentielle. Bien que vous puissiez
utiliser des unités d'organisation pour appliquer des stratégies de groupe, partitionner des objets
et représenter la structure de votre organisation, le point le plus important à prendre en compte
en matière de conception pour la structure d'unités d'organisation est le modèle de délégation
des tâches d'administration, lequel dépend des processus et des exigences administratives dans
votre organisation.

Dans cette leçon, vous découvrirez quels composants sont importants dans un modèle de délégation
des tâches d'administration Active Directory et quelles informations vous devez recueillir lors de la
conception d'une structure d'unités d'organisation Active Directory et d'un modèle de délégation
des tâches d'administration.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire un modèle de délégation classique des tâches d'administration Active Directory ;

• décrire un modèle d'administration informatique classique ;

• décrire les informations que vous devez collecter pour concevoir la structure d'unités d'organisation
et le modèle de délégation des tâches d'administration Active Directory ;

• décrire comment concevoir et implémenter un modèle de délégation des tâches

d'administration Active Directory ;

• décrire les éléments à prendre en compte pour la délégation en filiale.

Qu'est-ce qu'un modèle de délégation des tâches

d'administration Active Directory ?
Le modèle de délégation des tâches
d'administration Active Directory décrit quels
groupes peuvent effectuer quelles tâches, à quel
niveau. À la différence des structures de forêt et
de domaine, la structure d'unités d'organisation
peut séparer les responsabilités administratives
au sein d'un même domaine. Par exemple, vous
pouvez configurer des groupes d'administration
comme suit :

• Séparez l'administration des objets, tels que

les utilisateurs, les groupes et les ordinateurs,
de l'administration de l'infrastructure (en vous
assurant qu'AD DS et la réplication fonctionnent).

• Autorisez les comptes de service à posséder les droits minimaux requis.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-3

• Autorisez une architecture mutualisée dans un domaine Active Directory unique.

• Autorisez les administrateurs d'applications à gérer automatiquement les appartenances aux groupes
pour leurs applications.

• Autorisez les propriétaires de listes de distribution à gérer automatiquement les membres.

• Déléguez les informations d'emplacement ou les numéros de téléphone au personnel administratif

local dans la filiale.

• Autorisez les administrateurs de filiale à réinstaller les clients et à les joindre à nouveau au domaine.

Dans un domaine Active Directory, vous pouvez déléguer les tâches d'administration et les responsabilités.
Puisque chaque unité d'organisation contient des paramètres de sécurité, vous devez déterminer avec
précautions à qui vous accorderez des autorisations (à des utilisateurs individuels ou de préférence
à des groupes), pour les autoriser à administrer des objets ou des attributs d'objets au sein d'une
unité d'organisation spécifique. Les utilisateurs à qui vous accordez des autorisations ne doivent pas
nécessairement être des administrateurs de domaine, des opérateurs de serveur, ni tout autre groupe
de sécurité intégré et doté de privilèges élevés.
Voici quelques exemples de tâches que vous pouvez déléguer :

• exercer un contrôle total sur un certain type d'objet (p. ex., utilisateurs ou groupes) ;

• créer certains objets, tels que des utilisateurs, des ordinateurs ou des groupes ;
• modifier un attribut spécifique d'objets spécifiques (par exemple, seulement l'attribut numéro
de téléphone des objets utilisateur ou l'attribut membres des objets de groupe) ;

• supprimer certains objets, tels que des ordinateurs ;

• lier ou séparer des objets de stratégie de groupe d'une unité d'organisation spécifique ;

• définir des droits Envoyer en tant que pour des comptes d'utilisateurs à extension messagerie ;

• définir des autorisations Lecture sur des attributs Active Directory qui ne peuvent pas être lus
par défaut, tels que des clés de récupération de chiffrement de lecteur Windows® BitLocker® ;

• définir les autorisations Auto, qui définissent quelles informations les utilisateurs ou les ordinateurs
peuvent mettre à jour sur leurs propres comptes, tels que l'emplacement ou les numéros de
téléphone mobile.

Vous devez surveiller et valider le modèle des tâches d'administration Active Directory régulièrement
et l'ajuster lorsque les besoins de l'entreprise et les processus changent.

Documentation supplémentaire : Pour plus d'informations sur les meilleures pratiques

pour déléguer l'administration d'Active Directory, consultez les deux liens suivants :

• [Link]

• [Link]
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-4 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Modèles d'administration informatique classiques

Lorsque vous concevez un modèle de tâches
d'administration Active Directory et une structure
d'unités d'organisation, vous devez considérer
plusieurs modèles d'administration informatique,
en fonction de vos stratégies d'entreprise.
Il est courant de rechercher des mélanges
de ces modèles et, souvent, deux sociétés
ne disposent pas du même modèle. Voici
les types les plus courants de modèles
d'administration informatique :

• Modèle d'administration informatique

centralisé. Dans ce modèle, toute
l'administration est centralisée autant que possible. Lorsqu'il y a des sites décentralisés, il n'y a
aucune administration ou seulement une administration limitée. Chaque demande de modification
ou problème transite par l'administration centrale.

• Modèle d'administration informatique décentralisé. Parfois, les sociétés disposent de sites autonomes
qui partagent un domaine Active Directory commun. Chaque site possède son propre personnel
administratif et fonctionne séparément dans les unités d'organisation qui lui ont été attribuées.
Des décisions de conception globale, telles que des modifications de schéma ou d'autres mises
à jour importantes de l'infrastructure, requièrent une approbation sur l'ensemble de ces entités.

• Modèle d'administration informatique externalisé. Lorsque l'administration Active Directory est

externalisée ou qu'une société héberge plusieurs organisations dans un domaine Active Directory
unique, il est important de distinguer les responsabilités administratives entre l'infogérant et la
société d'infogérance. Parfois, l'infogérant est responsable de l'exploitation de l'infrastructure
Active Directory, tandis que la société d'infogérance est chargée de gérer les données dans AD DS
(telles que les utilisateurs, les ordinateurs et les groupes). Parfois, c'est l'inverse, ou l'administration
de l'infrastructure et l'administration des données peuvent être toutes les deux externalisées.

• Informatique centralisée avec modèle administratif de délégation. Il s'agit d'un modèle très courant
dans lequel l'informatique centralisée est chargée de gérer l'infrastructure, ainsi que plusieurs
tâches d'administration. Les groupes d'administration délégués effectuent les tâches d'administration
restantes, qui peuvent comprendre les tâches suivantes :

o Les administrateurs décentralisés sont responsables de l'accès aux services de fichiers locaux
pour des groupes spécifiques.
o Les administrateurs décentralisés peuvent déverrouiller ou réinitialiser les mots de passe
des utilisateurs dans leur filiale.

o Les administrateurs décentralisés peuvent joindre des ordinateurs clients dans leurs unités
d'organisation.

o Le groupe central Virtualization Admins est chargé de joindre des ordinateurs virtuels au
domaine, puis d'attribuer des droits à des groupes spécifiques pour qu'ils puissent utiliser
ces ordinateurs virtuels.

o Les opérateurs d'applications peuvent créer et gérer des groupes pour contrôler l'accès
à leurs applications, telles que les sites Microsoft® Office SharePoint®.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-5

Outre le type de modèle d'administration, vous devez prendre en considération des exigences
commerciales ou techniques supplémentaires lors de la conception du modèle des tâches
d'administration Active Directory. Celles-ci comprennent des applications, telles que les applications
de télécopie ou d'appareils mobiles qui requièrent les droits Envoyer en tant que, les applications
VoIP (Voice over IP) (qui doivent mettre à jour certaines informations dans AD DS) et les comptes
de service pour d'autres applications qui requièrent des droits dans le domaine Active Directory.

Collecte d'informations sur les structures administratives actuelles

Avant de concevoir votre modèle des tâches
d'administration Active Directory, vous devez
recueillir les informations requises. Parfois,
vous devez d'abord définir ce que sont ces
informations. Les commanditaires du projet
peuvent décider avec autorité quelles entités
administratives doivent être responsables
de quelles tâches.

Dans la structure administrative actuelle,

vous devez recueillir les informations suivantes :

• Exigences en matière d'organisation.

La structure de votre organisation affecte
la conception de l'administration de domaine. Vous devez rassembler des informations sur chaque
emplacement géographique : le nombre d'utilisateurs et d'ordinateurs, s'ils hébergent des serveurs,
quels services y résident, ainsi que la présence d'un personnel informatique local.
• Besoins opérationnels. Votre organisation peut avoir des besoins professionnels spécifiques
pour la sécurité et pour l'isolement de ressources spécifiques. Vous pouvez disposer d'un
réseau de périmètre (également appelé DMZ, zone démilitarisée ou sous-réseau filtré) dans
lequel les applications et les serveurs fournissent des services aux utilisateurs, aux clients ou aux
fournisseurs en dehors de votre réseau d'entreprise. Certaines applications dans l'environnement
peuvent requérir des droits spécifiques, ou certains utilisateurs ou groupes sont autorisés à utiliser
en libre-service des applications ou des listes de distribution.

• Exigences de conformité juridiques ou réglementaires. Selon le type d'activité, votre société peut
être tenue de respecter des exigences de conformité juridiques ou réglementaires, telles que la
loi HIPPA (Health Insurance Portability Accountability Act). Ces obligations réglementent l'accès à
certaines informations ou le temps nécessaire pour récupérer suite à des défaillances. Des obligations
légales s'appliquent à la plupart des sociétés, notamment dans les secteurs de la santé, des finances
et de l'administration, mais également à toutes les sociétés qui utilisent des données externes.

• Anticipations sur la conception future. Lorsqu'il vous est demandé de concevoir ou de reconcevoir
une structure administrative, il existe des attentes relatives aux objectifs que la nouvelle conception
doit atteindre ou aux problèmes auxquels elle doit remédier, ainsi qu'aux conditions qu'elle doit
respecter. Ces exigences peuvent inclure la croissance de l'organisation, des fusions, des besoins
professionnels changeants, des fonctions administratives ou des réorganisations d'entreprise.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-6 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Collecte d'informations sur les ressources organisationnelles

Lors de la conception de la structure
administrative pour le domaine Active Directory,
vous devez rassembler des informations sur les
ressources organisationnelles. Ces ressources
peuvent affecter directement les objets
Active Directory.

Le tableau ci-dessous répertorie les ressources

clés sur lesquelles vous devez recueillir
des informations.

Ressources Objets Active Directory

Périphériques physiques, y compris les serveurs, Objets d'ordinateur et imprimantes

les stations de travail et les imprimantes

Employés, groupes de l'organisation, équipes de Unités d'organisation, utilisateurs, groupes

projet, exigences de sécurité et de libre-service et autorisations

Emplacements géographiques et topologie Unités d'organisation, sites, sous-réseaux

du réseau et objets de réplication

Après avoir recueilli des informations sur les ressources organisationnelles, vous devez les regrouper
selon leur pertinence administrative :
• Groupes d'administration. Vous devez identifier les différents groupes qui exécutent les tâches
d'administration. Ce ne sont pas nécessairement des groupes Active Directory à ce stade, mais
des groupes de personnes qui doivent posséder les mêmes droits administratifs sur les mêmes
objets Active Directory à un même niveau.

• Ressources administrées de façon égale. Vous devez identifier les objets qui sont administrés de
façon égale, c.-à-d., administrés par le même groupe de personnes. Ces objets sont susceptibles
d'être placés dans une même unité d'organisation ultérieurement.

• Étendue d'administration. Vous pouvez créer une liste d'étendues administratives dans
lesquelles les mêmes droits administratifs sont requis pour un groupe particulier, telles que
des filiales, des types d'ordinateur (portables, ordinateurs de bureau), des types de serveur
(Internet Information Services (IIS), Microsoft SQL Server® ou contrôleurs de domaine) ou des types
de groupe (groupes de projet, groupes de service, groupes de distribution par emplacement,
ou des groupes accordant des droits et des autorisations).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-7

Collecte d'informations sur les processus d'administration

La plupart des organisations possèdent
de nombreuses entités administratives.
Une équipe autre que le personnel informatique
peut exploiter l'infrastructure de forêt et de
domaine Active Directory, responsable de la
gestion des utilisateurs et des groupes. Des
ordinateurs de virtualisation, de sauvegarde,
de stockage, réseau et clients peuvent également
être utilisés par différents services. Les serveurs
d'applications, ainsi que les groupes permettant
de gérer les droits sur les serveurs d'applications,
peuvent être la propriété de l'administrateur
d'application. Certains groupes, tels que les propriétaires de site SharePoint, les propriétaires
de liste de distribution ou les chefs de projet, peuvent autogérer l'accès à leurs ressources.

Lorsque vous concevez votre modèle des tâches d'administration Active Directory, vous devez
comprendre clairement qui est et qui doit être responsable de l'administration des différentes
ressources. Vous pouvez établir des processus administratifs en utilisant les informations décrites
dans les rubriques précédentes et en les appliquant à une conception pratique pour votre modèle
de tâches d'administration AD DS, votre structure d'unités d'organisation et votre stratégie de groupe.

Les processus d'administration incluent la détermination des aspects suivants de l'administration

de domaine Active Directory :
• Qui crée et assure la maintenance des objets Active Directory ?

• Comment gérer et assurer la maintenance des objets Active Directory ?

• Comment attribuer des autorisations et des attributs aux objets ?

Meilleures pratiques pour les processus d'administration

Lorsque vous recueillez des informations sur les processus d'administration, comparez les meilleures
pratiques suivantes à vos processus actuels et gardez à l'esprit les meilleures pratiques lorsque vous
implémentez ou modifiez votre modèle et vos processus de tâches d'administration :

• Utilisez des comptes personnalisés mais distincts à des fins d'administration. Si un utilisateur
possède des droits administratifs en plus de ses droits d'utilisateur, créez un deuxième compte
dédié clairement aux fonctions administratives. Demandez à l'utilisateur d'utiliser le compte
administratif pour accomplir des tâches d'administration, mais d'utiliser le compte classique pour
les tâches quotidiennes standard telles que la lecture du courrier électronique et l'accès à Internet.
• Accordez des autorisations administratives uniquement aux comptes administratifs.

• Évitez d'attribuer des autorisations à des individus. À la place, regroupez tous les comptes dotés
de la même étendue et des mêmes droits administratifs, puis attribuez des autorisations à ce groupe
global. Il est préférable de créer un groupe à un seul membre et de lui attribuer des autorisations.
Cela simplifie la gestion des autorisations quand une personne quitte la société ou change de rôle,
et qu'une autre personne la remplace.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-8 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

• Dans votre structure d'unités d'organisation, placez les groupes d'administration et les
comptes administratifs dans des parties distinctes de la structure. Vous souhaitez éviter une
situation dans laquelle des personnes autres que les administrateurs de domaine gèrent les
autorisations dans AD DS. En plaçant des groupes d'administration ou des comptes administratifs
dans la même partie de la structure d'unités d'organisation où des utilisateurs administratifs dotés
de privilèges moindres peuvent obtenir des droits délégués, vous risquez d'avoir du personnel
non autorisé qui élève ses propres droits.

• Placez ensemble des objets correspondant à des comptes d'utilisateurs, des groupes, des ordinateurs
et des serveurs standard dans des unités d'organisation s'ils sont gérés par les mêmes administrateurs.

• Quand vous attribuez des autorisations à des objets, accordez toujours les privilèges minimaux requis.
Les utilisateurs et les groupes doivent uniquement avoir les privilèges dont ils ont besoin sur un objet
ou une unité d'organisation spécifique, sans plus. Le même principe s'applique en particulier aux
comptes techniques. Souvent, vous travaillez avec des éditeurs d'applications qui insistent sur
les droits de haut niveau, tels que les administrateurs de domaine. Cependant, de nombreuses
applications peuvent utiliser les privilèges minimaux requis.

• Attribuez toujours les autorisations au niveau le plus haut dans la structure d'unités d'organisation
Active Directory, afin de pouvoir tirer profit de l'héritage des autorisations dans la hiérarchie
de la structure. Toutefois, n'oubliez pas le principe des privilèges minimaux requis.

Éléments à prendre en compte pour la délégation en filiale

Vous devez contrôler avec précautions certains
domaines de gestion des utilisateurs, tels que le
déverrouillage des utilisateurs qui ont verrouillé
leurs comptes personnels ou la modification
d'informations sur les bureaux ou les bâtiments
dans lesquels ces utilisateurs travaillent. Voici
des exemples de pratiques de contrôle :

• Contrôler certaines parties de la gestion

des groupes, telles que les groupes qui
attribuent des autorisations aux serveurs
de fichiers locaux ou des autorisations
d'objet imprimante.

• Disposer d'autorisations administratives locales sur les ordinateurs clients pour prendre en charge
les utilisateurs qui ont des problèmes avec leurs ordinateurs.

• Installer ou réinstaller les ordinateurs clients. Ceci requiert des autorisations pour créer et supprimer
des objets d'ordinateur dans l'unité d'organisation de la filiale locale.

• Gérer la mise en réseau et d'autres problèmes de connectivité avec les serveurs locaux.

• Gérer les sauvegardes si des sauvegardes décentralisées doivent être effectuées.

Pour concevoir votre modèle de délégation des tâches d'administration AD DS, il est très important
de comprendre quelles tâches sont effectuées par le personnel administratif de la filiale.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-9

Leçon 2
Conception de la structure d'unités d'organisation
Vous pouvez partitionner et organiser les objets dans votre domaine Active Directory en créant une
structure hiérarchique des unités d'organisation. Votre structure d'unités d'organisation est l'élément
clé permettant d'établir votre modèle de délégation des tâches d'administration. Vous pouvez également
utiliser votre conception pour appliquer des objets de stratégie de groupe à certains utilisateurs ou
ordinateurs. Votre conception vous aide également à structurer les différents types d'objets et leurs
rôles organisationnels. Si vous concevez votre structure d'unités d'organisation correctement, vous
pouvez rationaliser les processus d'administration et économiser le temps du personnel administratif
dans le cadre de la gestion de son domaine Active Directory.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
• décrire les avantages et les inconvénients des différentes stratégies d'unités d'organisation ;

• décrire les options de délégation administrative ;

• décrire les différents types d'activités susceptibles d'être délégués ;

• décrire l'héritage des stratégies de groupe et son impact sur la conception des unités d'organisation ;

• décrire l'héritage des autorisations et les scénarios où l'héritage par défaut peut être tenu
de changer ;

• expliquer comment protéger les unités d'organisation contre des suppressions accidentelles ;

• expliquer comment implémenter les unités d'organisation.

Stratégies de conception des unités d'organisation

En tant que composants principaux de
votre domaine Active Directory, les unités
d'organisation vous permettent de partitionner
et d'organiser tous les objets du domaine
en une structure hiérarchique.
Les unités d'organisation vous aident
dans les tâches suivantes :

• Déléguer des droits aux groupes

d'administration, en leur permettant
d'administrer certains objets ou attributs
d'objets sous une unité d'organisation.
• Appliquer des stratégies de groupe aux objets utilisateur et d'ordinateur sous une unité
d'organisation.

• Créer une hiérarchie vous permettant d'administrer rapidement les objets figurant dans le domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-10 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Vous pouvez utiliser plusieurs stratégies pour concevoir des structures d'unités d'organisation.
Les stratégies de conception d'unités d'organisation suivantes sont les plus courantes :

• Stratégie basée sur l'emplacement. Cette stratégie utilise des emplacements pour chaque unité
d'organisation de niveau supérieur à la racine du domaine. Ces unités d'organisation basées sur
l'emplacement constituent l'élément organisationnel principal de la structure d'unités d'organisation.
Par exemple, A. Datum Corporation peut utiliser une stratégie basée sur l'emplacement pour créer
des unités d'organisation pour chacun de ses emplacements physiques, situés à Londres, à Toronto
et à Sydney, puis peut créer des unités d'organisation supplémentaires pour leur petite division
de centres de distribution. Chaque ressource AD DS (telle que les utilisateurs, les groupes et les
ordinateurs) figure dans l'unité d'organisation qui correspond à l'emplacement où la ressource
réside. La stratégie basée sur l'emplacement est communément utilisée lorsque chaque emplacement
fonctionne de manière relativement indépendante ou lorsque de nombreuses tâches sont déléguées
à des administrateurs décentralisés. Par exemple, le personnel administratif basé à Londres peut
remplir les fonctions administratives principales. Les administrateurs à Sydney ou à Toronto qui
possèdent certains droits délégués peuvent accéder rapidement à leurs utilisateurs, groupes et
ordinateurs. Il est avantageux pour le personnel local d'exercer certaines fonctions administratives
couvrant différents types d'objets dans la même filiale. En outre, vous n'êtes pas tenu de déplacer
des objets fréquemment entre les unités d'organisation de niveau supérieur, à moins que les objets
soient déplacés vers un autre emplacement physique. Ceci requiert probablement le déplacement
des dossiers de base ou des boîtes aux lettres Microsoft Exchange Server. La stratégie basée sur
l'emplacement fonctionne bien pour les organisations qui envisagent de se développer dans
de nouveaux emplacements, car vous pouvez ajouter facilement de nouveaux emplacements
à la structure d'unités d'organisation.
• Stratégie basée sur les ressources. Cette stratégie est élaborée autour des fonctions des ressources
qui figurent dans la structure d'unités d'organisation. En général, vous séparez les ressources
par fonction (ou les objets par type) et vous créez des unités d'organisation pour représenter
ces fonctions. Par exemple, des unités d'organisation de niveau supérieur courantes sont Servers,
Workstations, Groups et Users et correspondent respectivement aux serveurs, stations de travail,
groupes et utilisateurs. Vous utilisez en général cette stratégie basée sur les ressources dans les
organisations de petite taille ou dans les organisations gérées de manière centralisée par un même
personnel administratif, et où la délégation administrative s'appuie sur le type d'objet plutôt que
sur l'emplacement ou le service. Des exemples de tels groupes d'administration incluent le service
d'assistance technique aux utilisateurs, le support client, l'administration de la virtualisation et le
support spécifique aux applications. Dans les grandes entreprises, il est probable que ces unités
d'organisation de niveau supérieur soient définies plus en détail au niveau subordonné suivant.
Par exemple, l'unité d'organisation Servers peut contenir des unités d'organisation enfants
nommées conformément à leurs applications, telles qu'Exchange Server ou SQL Server.

• Stratégie basée sur l'organisation. Cette stratégie reflète la structure de la logique métier d'une
organisation. Les unités d'organisation de niveau supérieur représentent les services figurant
dans l'organisation. Par exemple, les unités d'organisation Sales, Research et Finance représentent
respectivement le service commercial, le service de recherche et le service financier. Cette stratégie
fonctionne bien si les ressources se déplacent fréquemment ou si elles ne sont pas affiliées à un
emplacement physique, et s'il y a peu de changements d'employés entre les services. Vous devriez
envisager cette stratégie quand les tâches d'administration sont déléguées sur la base du service
plutôt que sur la base de l'emplacement. Par exemple, une organisation avec des équipes de
vente itinérantes et d'autres unités non liées à l'emplacement tirerait parti d'une stratégie basée
sur l'organisation. Toutefois, cette stratégie n'est pas un choix judicieux pour les organisations
qui réalignent fréquemment leur modèle d'entreprise ou qui encouragent leurs employés
à basculer entre les rôles.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-11

• Stratégie basée sur une architecture mutualisée. Cette stratégie convient aux sociétés qui fournissent
l'infrastructure en tant que service (IaaS) Active Directory à d'autres sociétés. Il peut s'agir d'un
groupe de sociétés affiliées qui partagent le même domaine, un environnement hébergé, un
environnement externalisé ou même un fournisseur de services cloud privé ou public. Cette
stratégie est appropriée quand une société est responsable de la maintenance de l'infrastructure
Active Directory, alors qu'une autre société est déléguée pour gérer certains objets Active Directory,
ou si la première société s'appuie complètement sur l'administration de la société d'hébergement.
Par exemple, A. Datum peut gérer la maintenance d'AD DS pour Trey Research et Contoso, Ltd.
Trey Research souhaite éventuellement administrer ses unités d'organisation Users, Groups et
Computers (correspondant aux utilisateurs, groupes et ordinateurs) de manière indépendante,
mais ne souhaite pas gérer la réplication Active Directory ni le service DNS (Domain Name System),
alors que Contoso s'appuie entièrement sur le personnel informatique d'A. Datum pour toutes ces
tâches. Dans ce scénario, A. Datum doit créer une unité d'organisation de niveau supérieur pour
les services informatiques, dans laquelle tous les groupes et les comptes administratifs seront gérés,
ainsi que des unités d'organisation de niveau supérieur nommées ADatum, Contoso et TreyResearch
pour chacune des sociétés gérées. Sous ces unités d'organisation, un utilisateur standard, un groupe,
des stations de travail, voire peut-être des comptes de serveur sont représentés en tant que niveaux
plus profonds. Le personnel informatique de Trey Research serait délégué pour gérer la maintenance
de ses propres comptes, tels qu'ils ont été conçus. Dans la stratégie basée sur une architecture
mutualisée, il est possible d'autoriser différents locataires à collaborer ou à créer des paramètres
de confidentialité afin que chaque organisation voie uniquement ses propres ressources. Dans
cette stratégie, il peut s'avérer plus simple d'inclure ou de séparer les nouvelles entreprises.

• Stratégie hybride. Cette stratégie utilise une combinaison des unités d'organisation basées sur
l'emplacement, sur l'organisation et sur les ressources. La stratégie basée sur une architecture
mutualisée est également une stratégie hybride. D'autres stratégies hybrides pourraient attribuer
l'emplacement au niveau supérieur et les différents types d'objet au niveau suivant. Les stratégies
hybrides peuvent être complètement mixtes, selon les besoins organisationnels. Par exemple,
l'unité d'organisation Servers peut contenir des unités d'organisation pour les serveurs de fichiers,
IIS, SQL Server, Exchange Server et d'autres serveurs d'applications. L'unité d'organisation Users peut
contenir les unités d'organisation relatives aux emplacements et aux services, l'unité d'organisation
Workstations peut faire la distinction entre les ordinateurs de bureau et les ordinateurs portables,
et l'unité d'organisation Groups peut incorporer des groupes spécifiques aux services, emplacements,
projets et applications.

Indépendamment de la stratégie que vous utilisez pour concevoir votre structure d'unités d'organisation,
n'oubliez pas que l'objectif principal est de permettre l'implémentation d'un modèle de tâches
d'administration Active Directory, alors qu'une priorité secondaire s'applique éventuellement aux
stratégies de groupe. Nous recommandons également de séparer les groupes et comptes administratifs
par rapport aux groupes et comptes d'utilisateurs standard susceptibles d'être administrés par des
administrateurs délégués.

Question : Quelle est la structure d'unités d'organisation que vous utilisez sur votre lieu
de travail ? Pourquoi est-elle conçue ainsi ? Quels problèmes rencontrez-vous actuellement
avec votre modèle d'unités d'organisation ?

Abordez ces questions avec les autres stagiaires et votre instructeur.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-12 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Options pour la délégation du contrôle administratif

Vous implémentez le modèle des tâches
d'administration Active Directory en fusionnant
la conception des unités d'organisation avec
les autorisations sur les unités d'organisation.
Ceci permet aux administrateurs délégués
d'effectuer les tâches d'administration. Pour
créer le modèle de tâches d'administration
et concevoir la structure d'unités d'organisation
permettant de le prendre en charge, vous
devez comprendre comment la délégation
administrative Active Directory fonctionne,
ainsi que les options de délégation
du contrôle administratif.

Comment les utilisateurs obtiennent-ils des autorisations ?

Lorsque les utilisateurs se connectent à un domaine Active Directory, ils reçoivent un jeton, soit
une liste d'identificateurs de sécurité (SID) de leur compte individuel, de leurs comptes historiques,
s'ils ont été migrés, et de chaque groupe auquel ils appartiennent (même de manière récursive).
Si un groupe quelconque a été migré à partir d'un autre domaine, il est probable que les utilisateurs
reçoivent également les SID historiques de ce groupe dans le domaine précédent.

Dans les systèmes d'exploitation Windows, de nombreux objets (tels que les fichiers, les dossiers,
les clés de Registre, les processus et les objets Active Directory) contiennent un descripteur de sécurité.
En fonction du SID, le descripteur de sécurité définit les droits qui sont accordés ou refusés, et à qui.

Quand un utilisateur parcourt des fichiers et des dossiers, des clés de Registre ou la structure de domaine
Active Directory, la liste des SID dans le jeton est comparée à la liste des SID inclus dans le descripteur
de sécurité. Si des SID correspondent, le système valide le type d'accès et autorise ou interdit l'opération
en cours.

Autorisations des unités d'organisation Active Directory

Dans Active Directory, le modèle d'autorisation est plus complexe que dans la plupart des autres services
du système d'exploitation Windows. Les paramètres de sécurité sur le domaine Active Directory sont
hérités hiérarchiquement dans la structure d'unités d'organisation de ce domaine. À un point quelconque
de la structure, vous pouvez configurer des paramètres de sécurité supplémentaires qui pourraient être
hérités dans l'ensemble de la hiérarchie, en fonction de l'étendue d'héritage définie dans le paramètre
de sécurité et du blocage éventuel de l'héritage à un niveau inférieur. Les nouveaux objets obtiennent
les paramètres de sécurité par défaut (définis dans la classe de schéma) et héritent des paramètres
de sécurité de leurs parents. Par exemple, dans la définition de schéma des unités d'organisation,
les opérateurs de compte obtiennent les droits complets pour créer et supprimer des objets pour
les comptes d'ordinateurs, les comptes d'utilisateurs, les objets de groupe et les objets inetOrgPerson.
Par conséquent, si vous supprimez le groupe Account Operators par défaut des autorisations de
sécurité d'une unité d'organisation, puis créez une unité d'organisation enfants, cette dernière
conserve les paramètres de sécurité explicites des opérateurs de compte.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-13

Descripteurs de sécurité des objets Active Directory

Un descripteur de sécurité d'un objet Active Directory contient les éléments suivants :

• Le propriétaire de l'objet. Le propriétaire peut réinitialiser les paramètres de sécurité même lorsqu'il
les a configurés par erreur pour n'avoir aucune autorisation sur l'objet.

• Le groupe principal du propriétaire (SID).

• Champ de contrôle qui spécifie si la liste de contrôle d'accès discrétionnaire (DACL) et la liste
de contrôle d'accès de sécurité (SACL) sont présentes et/ou bloquent l'héritage.

• Une liste DACL facultative. La liste DACL facultative contient des autorisations pour accorder
ou refuser l'accès.

• Une liste SACL facultative. La liste SACL facultative contient les autorisations d'audit lorsque l'audit
des succès ou des échecs est activé.

Les listes DACL et SACL sont des conteneurs qui contiennent une ou plusieurs entrées de contrôle
d'accès (ACE). Une entrée de contrôle d'accès (ACE) stocke les informations suivantes :

• à qui (à quelle entité de sécurité, telle qu'un utilisateur ou un groupe) l'accès est-il accordé ou refusé ;
• pour la lecture, l'écriture, la création ou la suppression ;

• de quels objets ou attributs d'objet ;

• à quels sous-niveaux (au niveau de l'unité d'organisation uniquement, uniquement sur les objets
dans l'unité d'organisation ou sur les objets dans toute sous-unité d'organisation) ?

Dans les propriétés d'une unité d'organisation, utilisez l'onglet Sécurité et en particulier la boîte
de dialogue Sécurité avancée dans les propriétés d'une unité d'organisation, pour vérifier ou régler
les paramètres de sécurité. L'Assistant Délégation de sécurité facilite certaines tâches courantes, mais
ne peut pas être utilisé pour examiner les paramètres de sécurité.

Conception d'unités d'organisation pour déléguer le contrôle administratif

La conception de votre modèle de tâches
d'administration et d'unités d'organisation
Active Directory est un élément clé favorisant
une administration sécurisée et efficace de votre
domaine. La délégation doit être effectuée pour
les groupes d'administration et les comptes de
service pour les applications, telles que VoIP
ou les applications de messagerie mobile, qui
requièrent également des droits dans AD DS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-14 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Méthodes de contrôle de délégation

Lorsque vous déléguez le contrôle de structures partielles dans votre unité d'organisation Active Directory,
vous devez prendre en compte deux facteurs : à qui vous accordez les autorisations et où. Dans AD DS,
vous pouvez accorder des droits spécifiques sur les ressources. Vous pouvez autoriser la création ou
la suppression de certains types d'objet uniquement ou vous pouvez sélectionner les personnes qui
disposent de droits sur un attribut particulier d'un type d'objet spécifique, tel que les descriptions
de compte de groupe ou leurs membres.

À l'exception de quelques cas rares (comme des comptes de service), vous devez toujours accorder
le contrôle administratif à des groupes plutôt qu'à des utilisateurs. Même si le groupe contient un
seul utilisateur, cette personne peut quitter la société et il sera plus difficile de déterminer où cette
personne détenait ses autorisations que de modifier les appartenances aux groupes appropriées.

Voici deux méthodes pour déléguer le contrôle administratif sur les ressources du domaine
Active Directory :

• Délégation de type objet. Dans ce modèle de délégation, vous pouvez déléguer différents niveaux
de contrôle aux groupes, en fonction des objets que ces groupes contrôlent. Par exemple, une
délégation de type objet est utilisée si vous avez délégué le contrôle au groupe Toronto Admins
pour les objets figurant dans l'unité d'organisation Toronto. Dans ce cas, les membres du groupe
Toronto Admins sont probablement responsables de la majorité des tâches d'administration au
sein de l'unité d'organisation Toronto.

La délégation de type objet est généralement utilisée pour un nombre réduit d'administrateurs ou si
une délégation mineure est requise. Ce type de délégation fonctionne bien également si de nombreux
administrateurs requièrent un même niveau de contrôle, généralement sur la majeure partie de la
structure de domaine.
La délégation de type objet n'est pas recommandée dans un environnement où des utilisateurs
différents requièrent différents niveaux de contrôle sur des objets différents. Ceci est dû au fait qu'il
peut être difficile de déterminer quel niveau de contrôle est accordé aux différents utilisateurs pour
un objet spécifique.

• Délégation basée sur les rôles. Ce modèle de délégation implique la création de plusieurs
groupes spécifiques auxquels vous déléguez le contrôle administratif. Ces groupes se rapportent
habituellement à une ressource spécifique (ou à des ressources) et vous pouvez nommer des
groupes pour le niveau de contrôle que vous leur attribuez. À la différence de la délégation basée
sur les objets, la délégation basée sur les rôles implique d'accorder des autorisations pour modifier
uniquement certains attributs d'un objet. Par exemple, vous pouvez créer le groupe basé sur les rôles
Changer le mot de passe utilisateur du service financier puis attribuer des autorisations à ce groupe
pour modifier les mots de passe de tous les utilisateurs figurant dans l'unité d'organisation Finance.

Pour vous assurer que votre délégation basée sur les rôles est efficace, toutes les fonctions et tous les
rôles figurant dans la structure de domaine Active Directory doivent avoir un groupe associé. Ce niveau
de spécificité peut vous aider à déterminer quel niveau de contrôle vous avez attribué à un utilisateur
individuel, car vous examinez simplement les groupes basés sur les rôles auxquels l'utilisateur appartient.

La délégation basée sur les rôles peut être plus longue à implémenter que la délégation de type
objet. Cependant, si vous concevez correctement la structure d'unités d'organisation et de groupes,
la délégation basée sur les rôles permet d'économiser les efforts d'administration et de réduire
les frustrations, notamment dans le cas des grandes entreprises.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-15

Conception de la délégation du contrôle administratif

Vous devriez tenir compte des points suivants lorsque vous concevez votre structure d'unités
d'organisation pour déléguer le contrôle administratif :

• Déléguez le contrôle aussi haut que possible dans la structure d'unités d'organisation, pour
garantir son héritage. Utilisez une hiérarchie d'unités d'organisation lorsque cela est approprié.

• Déléguez uniquement les privilèges administratifs nécessaires. Cela peut vous obliger à créer
plus d'unités d'organisation pour séparer encore plus les objets. Par exemple, si toutes les stations
de travail dans votre organisation figurent dans une unité d'organisation appelée Workstations
et que vous souhaitez déléguer le contrôle sur les ordinateurs rejoignant le domaine seulement
pour les stations de travail dans une filiale unique, vous devez reconcevoir votre structure d'unités
d'organisation pour séparer les stations de travail par filiale (probablement sous l'unité d'organisation
Workstations).

Envisagez d'utiliser la délégation basée sur les rôles et un plus grand nombre d'unités d'organisation
spécifiques, si vous avez besoin de nombreux administrateurs dotés de niveaux de contrôle différents
dans le domaine.

Conception des unités d'organisation pour appliquer des objets

de stratégie de groupe
Un autre point important à prendre en compte
lors de la conception de votre structure d'unités
d'organisation est l'application des objets de
stratégie de groupe. Dans la structure de
domaine Active Directory, vous pouvez lier des
objets de stratégie de groupe aux objets suivants :

• Objet de domaine Active Directory, lorsque

la stratégie de domaine par défaut est liée
par défaut. Les stratégies liées à ce niveau
s'appliquent à tous les objets du domaine.

• Objet de site Active Directory. Les stratégies

liées à cet objet s'appliquent à tous les
objets du site.

• Unité d'organisation Active Directory. Des stratégies peuvent être liées à n'importe quel niveau
d'une unité d'organisation et, par défaut, seront héritées dans les unités d'organisation aux
niveaux inférieurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-16 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

En outre, vous pouvez configurer de paramètres de sécurité (appelés filtrage de sécurité) sur
l'objet de stratégie de groupe pour permettre uniquement à certains utilisateurs ou ordinateurs
d'appliquer cet objet de stratégie de groupe. Vous pouvez également filtrer à l'aide de filtres WMI
(Windows Management Instrumentation), par exemple pour appliquer un objet de stratégie de groupe
uniquement aux ordinateurs d'un certain fabricant de matériel. Il est très important que vous conceviez
votre structure d'unités d'organisation pour prendre en compte l'utilisation et l'application des objets
de stratégie de groupe.

Dans la plupart des cas, vous concevez la structure d'unités d'organisation à deux niveaux ou plus.
Vous utilisez les premières unités d'organisation de niveau supérieur pour déléguer l'administration
et pour attribuer des autorisations aux objets du domaine Active Directory. Vous créez en général
ces unités d'organisation en fonction de l'emplacement, du service ou de la ressource.

Si vous utilisez les modèles basés sur l'emplacement ou sur le service, vous utilisez généralement
un deuxième niveau d'unités d'organisation pour séparer les ressources en unités logiques alignées
avec la structure informatique. Vous appliquez en général des objets de stratégie de groupe à ces
unités d'organisation. Par exemple, Contoso, Ltd peut avoir des unités d'organisation pour chacun
de ses emplacements : New York, Toronto et Tokyo. Dans ces unités d'organisation, vous créez un
deuxième niveau qui sépare les ressources par type. Vous nommez ensuite ces unités d'organisation
par rapport aux ressources, telles que les serveurs, les stations de travail et imprimantes (respectivement
Servers, Workstations et Printers). Pour de nombreuses organisations, ces deux niveaux fournissent
l'infrastructure nécessaire pour déléguer le contrôle et pour appliquer les objets de stratégie de groupe.
Dans des scénarios plus complexes, il peut s'avérer nécessaire d'implémenter d'autres niveaux pour
activer un modèle de délégation granulaire ou permettre une implémentation granulaire des objets
de stratégie de groupe.
Si vous avez besoin de plus de granularité, vous pouvez décomposer encore plus les unités d'organisation
basées sur les ressources. Par exemple, l'unité d'organisation Servers peut avoir des unités d'organisation
enfants nommées Exchange Servers, SQL Servers, Domain Controllers et File Servers, respectivement
pour les serveurs Exchange, les serveurs SQL, les contrôleurs de domaine et les serveurs de fichiers.
Vous pouvez alors appliquer des objets de stratégie de groupe propres à ces différents types de serveur
aux unités d'organisation ainsi classées.

Les applications d'objet de stratégie de groupe, par défaut, utilisent l'héritage dans la structure
d'unités d'organisation, de sorte que si vous appliquez un objet de stratégie de groupe à l'unité
d'organisation Servers, AD DS applique par défaut l'objet de stratégie de groupe aux unités d'organisation
Exchange Servers, SQL Servers et File Servers.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-17

Éléments à prendre en compte pour concevoir des hiérarchies

d'unités d'organisation
Lorsque vous planifiez les fonctionnalités
Active Directory, vous devez tenir compte des
aspects primordiaux suivants de la conception
des unités d'organisation :

• La structure d'unités d'organisation

doit être alignée principalement
avec les objectifs administratifs,
tels que votre modèle de délégation
de tâches Active Directory et vos
objets de stratégie de groupe. Évitez
de reproduire l'organigramme de la
société, à moins que cela soit dans l'intérêt
du modèle d'administration. Ceci tient au fait que les organigrammes changent plus fréquemment
que vous souhaitez modifier votre structure d'unités d'organisation. Si vous avez des demandes pour
des objets de stratégie de groupe spécifiques au service, il peut être préférable de refléter ces services
à un niveau inférieur de la structure d'unités d'organisation. Toutefois, il est également probable
que vous ayez un groupe de sécurité et de distribution pour refléter les utilisateurs dans ce service,
et vous pouvez utiliser à la place le filtrage de sécurité dans ce but. Les utilisateurs et les gestionnaires
ne voient habituellement pas la structure d'unités d'organisation, de sorte qu'il n'y aucun avantage
à y répertorier les hiérarchies d'entreprise. Si vous souhaitez que les utilisateurs puissent parcourir
la structure organisationnelle, veillez à spécifier l'attribut gestionnaire des objets utilisateur, ce qui
permet aux utilisateurs d'utiliser les versions actuelle et précédentes de Microsoft Office Outlook®
en association avec une infrastructure de messagerie Exchange Server, Microsoft Office 365™
ou Microsoft SharePoint Server pour naviguer dans la structure organisationnelle. L'unité
d'organisation est utilisée à des fins administratives uniquement.
• L'héritage est un aspect important des fonctionnalités des unités d'organisation, à la fois pour
la délégation du contrôle et l'application des objets de stratégie de groupe. Concevez la structure
d'unités d'organisation pour inclure les objets qui requièrent le même contrôle administratif ou
les mêmes paramètres de stratégie de groupe au sein d'une même structure d'unités d'organisation.
De cette façon, vous pouvez affecter la délégation du contrôle ou le paramètre d'objet de stratégie
de groupe une seule fois à un niveau supérieur dans la structure d'unités d'organisation, plutôt
qu'individuellement à chaque niveau enfant. Souvenez-vous que vous pouvez bloquer l'héritage
pour certaines unités d'organisation enfants si vous ne voulez pas qu'AD DS applique les paramètres
pour un niveau d'unité d'organisation plus élevé à certaines unités d'organisation enfants.

• Concevez votre structure d'unités d'organisation pour prendre en charge les évolutions. Après avoir
implémenté une structure d'unités d'organisation, il peut être difficile de changer, notamment si
vous modifiez également les stratégies de conception, par exemple en passant d'une conception
basée sur l'organisation à une conception basée sur les ressources. Assurez-vous que votre
structure d'unités d'organisation laisse de l'espace pour la croissance de l'organisation
et un niveau raisonnable de modifications structurelles.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-18 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Protection des unités d'organisation contre des suppressions accidentelles

Les suppressions accidentelles représentent
l'une des principales causes des restaurations
Active Directory. Par conséquent,
Windows Server® 2008 a introduit
la fonctionnalité de protection des
unités d'organisation contre des suppressions
accidentelles. Lorsque vous concevez votre
structure d'unités d'organisation ou que
vous migrez votre domaine AD DS à partir
de versions antérieures de Windows Server vers
Windows Server 2012, nous vous recommandons
d'utiliser cette fonctionnalité pour protéger toutes
les unités d'organisation contre des suppressions accidentelles.

Les unités d'organisation qui sont protégées contre des suppressions accidentelles partagent
les avantages suivants :
• Les unités d'organisation ne peuvent pas être supprimées par erreur. Si un administrateur
souhaite supprimer volontairement une unité d'organisation, il doit supprimer la protection
avant de supprimer l'unité d'organisation.
• Les unités d'organisation ne peuvent pas être déplacées par erreur.

• Les unités d'organisation qui sont créées à l'aide du Centre d'administration Active Directory
ou du composant Utilisateurs et ordinateurs Active Directory dans Windows Server 2008 ou
version ultérieure sont protégées automatiquement contre des suppressions accidentelles.

Toutefois, vous devez également tenir compte des points suivants :

• Les unités d'organisation qui ont été créées avant que le domaine soit migré ont peu de chances
d'être protégées. À titre de recommandation, vous devriez les protéger après la migration.
L'exécution de Best Practice Analyzer dans Windows Server 2012 peut également vous indiquer
si des unités d'organisation ne sont pas protégées.

• Les unités d'organisation créées à l'aide d'un script personnalisé ou de versions antérieures des
outils d'administration ont également peu de chances d'être protégées contre des suppressions
accidentelles.
• La protection contre des suppressions accidentelles ne fonctionne pas si une unité d'organisation
non protégée de niveau supérieur est supprimée de force, même si des unités d'organisation
inférieures dans la hiérarchie sont protégées. Par conséquent, nous recommandons de protéger
toutes les unités d'organisation contre des suppressions accidentelles.

Vous pouvez configurer la protection contre des suppressions accidentelles dans le Centre
d'administration Active Directory, dans les propriétés de l'unité d'organisation. Vous pouvez également
utiliser Utilisateurs et ordinateurs Active Directory, après avoir activé Affichage\Affichage avancé,
sous l'onglet Objet de la boîte de dialogue Propriétés : OU.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-19

Protection des unités d'organisation contre des suppressions accidentelles à l'aide

de Windows PowerShell
Vous pouvez également utiliser l'interface de ligne de commande Windows PowerShell® pour rechercher
les unités d'organisation non protégées contre des suppressions accidentelles. Utilisez les applets de
commande Windows PowerShell suivantes pour identifier les unités d'organisation non protégées.

Get-ADOrganizationalUnit –filter * -properties ProtectedFromAccidentalDeletion | where

{$_.ProtectedFromAccidentalDeletion –eq $false}

Vous pouvez également utiliser des applets de commande dans Windows PowerShell pour identifier
toutes les unités d'organisation non protégées contre des suppressions accidentelles, puis les protéger.

Get-ADOrganizationalUnit –filter * -properties ProtectedFromAccidentalDeletion | where

{$_.ProtectedFromAccidentalDeletion –eq $false} | Set-ADOrganizationalUnit –
protectedFromAccidentalDeletion $true

Question : Que pensez-vous de la structure d'unités d'organisation utilisée dans votre

organisation ? Y a-t-il des choses que vous souhaitez modifier ?

Démonstration : Implémentation d'unités d'organisation

Dans cette démonstration, vous allez apprendre à :

• créer une unité d'organisation ;

• vérifier que cette unité d'organisation est protégée contre des suppressions accidentelles ;

• examiner les paramètres de sécurité par défaut de l'unité d'organisation ;

• supprimer une unité d'organisation protégée.

Procédure de démonstration
Créer une unité d'organisation
• Sur LON-DC1, ouvrez le Centre d'administration Active Directory et créez une nouvelle
unité d'organisation de niveau racine avec les paramètres suivants :

o Nom : Contoso-IT

o Description : Unité d'organisation destinée à contenir des comptes/groupes

à des fins administratives

Vérifier que cette unité d'organisation est protégée contre des suppressions
accidentelles
1. Dans le Gestionnaire de serveur, ouvrez Utilisateurs et ordinateurs Active Directory.

2. Activez la vue Fonctionnalités avancées.

3. Affichez les propriétés de l'unité d'organisation Contoso-IT.

4. Sous l'onglet Objets, vérifiez que l'unité d'organisation est protégée contre des suppressions
accidentelles.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-20 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Examiner les paramètres de sécurité par défaut de l'unité d'organisation

1. Revenez au Centre d'administration Active Directory.

2. Ouvrez les propriétés de l'unité d'organisation Contoso-IT.

3. Dans Paramètres de sécurité avancés, passez en revue les paramètres de sécurité par défaut.

Supprimer une unité d'organisation protégée

1. Dans le Centre d'administration Active Directory, ouvrez la boîte de dialogue
Propriétés de : Contoso-IT.

2. Désactivez la case à cocher Protéger contre la suppression accidentelle.

3. Supprimez l'unité d'organisation Contoso-IT.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-21

Leçon 3
Conception et implémentation d'une stratégie de groupe
Active Directory
Les groupes Active Directory constituent l'objet fondamental qui vous permet de contrôler l'accès
aux ressources Active Directory et à d'autres applications de sécurité Windows dans votre forêt et
votre domaine Active Directory. Lorsque vous concevez l'administration d'un domaine Active Directory,
vous devez prendre en compte la stratégie de groupe. Pour implémenter une stratégie de groupe
Active Directory efficace, vous devez comprendre les types et les étendues de groupe disponibles,
ainsi que la façon dont ils interagissent. En outre, vous devez observer des stratégies d'emplacement
et d'affectation de noms afin de simplifier l'administration et l'utilisation de votre groupe. Enfin,
vous devez utiliser diverses meilleures pratiques, telles que l'imbrication de groupes.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• résumer les différents types de groupes Active Directory dans Windows Server 2012 ;
• expliquer comment développer une stratégie d'affectation de noms aux groupes Active Directory ;

• décrire des stratégies d'utilisation des groupes Active Directory pour accéder aux ressources ;

• décrire les éléments à prendre en compte pour planifier l'administration des groupes
Active Directory ;

• décrire les instructions à suivre pour concevoir une stratégie de groupe Active Directory ;

• montrer comment créer et gérer des groupes.

Groupes Active Directory dans Windows Server 2012

Un groupe Active Directory est un objet
figurant dans un domaine Active Directory
ou sur un ordinateur local. Il peut contenir des
utilisateurs et des ordinateurs, et il permet aux
administrateurs d'accorder des autorisations au
niveau du groupe plutôt que sur chaque compte
individuel. Les groupes peuvent être caractérisés
par un type et une étendue.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-22 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Types de groupe
Windows Server 2012 prend en charge deux types de groupe :

• Groupe de sécurité. Utilisez un groupe de sécurité pour attribuer des droits et des autorisations
d'utilisateur à un groupe d'utilisateurs et d'ordinateurs.

• Groupe de distribution. Utilisez des groupes de distribution avec certaines applications de messagerie,
telles qu'Exchange Server, afin de pouvoir envoyer du courrier électronique à un groupe d'utilisateurs.

Remarque : Vous pouvez convertir des groupes de sécurité en groupes de distribution et

inversement. Vous pouvez activer l'extension messagerie d'un groupe de sécurité, mais vous ne
pouvez pas accorder des autorisations de sécurité à un groupe de distribution. Si vous accordez
des autorisations à un groupe de sécurité, puis convertissez ce dernier en groupe de distribution,
les autorisations demeurent mais ne prennent pas effet.

Étendue de groupe
L'étendue d'un groupe définit si le groupe peut avoir des membres d'autres domaines ou si le groupe
peut être autorisé à accéder à des ressources dans d'autres domaines. L'étendue du groupe définit
également comment vous attribuez des autorisations aux membres du groupe.
Les groupes peuvent avoir les étendues suivantes :

• Groupes globaux. Vous pouvez utiliser des groupes avec une étendue globale pour accorder
des droits dans des domaines approuvés. Cependant, les groupes globaux peuvent contenir
uniquement des membres d'un même domaine.

• Groupes locaux de domaine. Vous pouvez utiliser des groupes avec une étendue locale de
domaine uniquement, pour accorder des droits dans le domaine local. Cependant, les groupes
locaux de domaine peuvent contenir des membres d'autres domaines approuvés.

• Groupes universels. Les groupes universels peuvent se voir accorder des autorisations dans n'importe
quel domaine approuvé et peuvent contenir des membres de n'importe quel domaine approuvé.
Ils sont conçus pour consolider des groupes provenant de domaines différents qui requièrent l'accès
aux mêmes ressources.

Question : Discutez avec les stagiaires de la stratégie de groupe utilisée dans votre
organisation. Quels problèmes rencontrez-vous actuellement dans votre environnement
par rapport à votre stratégie de groupe ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-23

Développement d'une stratégie d'affectation de noms

aux groupes Active Directory
Pour développer votre stratégie d'affectation
de noms aux groupes Active Directory, utilisez
une convention universelle d'affectation de
noms pour garantir que les personnes dans
votre organisation pourront facilement identifier
les groupes. Dans le cas contraire, votre structure
Active Directory risque de devenir désorganisée
et mal comprise au sein de l'organisation.

Les noms que vous sélectionnez doivent faciliter

la gestion des groupes et de l'entreprise.
La meilleure pratique consiste à utiliser une
convention d'affectation de noms qui identifie
le type d'un groupe et sa fonction, comme suit :

• Groupes de rôles. Ils identifient les personnes regroupées selon une logique métier. Utilisez
un nom simple et unique, tel que Sales, Marketing ou Finance.

• Groupes de ressources. Vous utilisez en général des groupes de ressources pour attribuer
des autorisations spécifiques à des ressources spécifiques dans le domaine. Il est recommandé
d'identifier les fonctionnalités de ces groupes dans leurs noms.

Par exemple, ACL_SalesFolders_Read possède les éléments suivants :

• Préfixe. Le préfixe identifie la fonction de gestion du groupe. Dans cet exemple, ACL indique
que le groupe apparaît dans la liste de contrôle d'accès (ACL) des ressources partagées.

• Identificateur de ressource. Celui-ci identifie de façon unique la ressource que le groupe

gère et à laquelle il a accès. Dans cet exemple, l'identificateur de ressource est Sales Folders
(dossiers des ventes).

• Suffixe. Le suffixe définit plus en détail les droits d'accès que l'appartenance au groupe permet
d'obtenir. Pour les groupes de gestion d'accès aux ressources, le suffixe définit le niveau d'accès
dont disposent les membres du groupe. Dans cet exemple, le suffixe est Lecture, ce qui indique
que le groupe dispose des autorisations de Lecture.

• Séparateur. Ceci doit être un marqueur cohérent, tel qu'un trait de soulignement (_), qui sépare
le préfixe, l'identificateur et le suffixe. N'utilisez pas le séparateur ailleurs dans le nom ; utilisez-le
uniquement pour séparer ces paramètres dans votre stratégie d'affectation de noms. Notez que vous
ne devez pas utiliser le séparateur entre les mots Sales et Folders. Les noms de groupes peuvent
inclure des espaces, mais vous devez placer ces noms de groupes entre guillemets si vous y faites
référence dans des commandes ou des scripts. Vous pouvez faciliter l'audit et la création de rapports
en créant des scripts. Vous pouvez également ajuster les structures d'unités d'organisation ou
d'autres besoins de l'entreprise en créant des scripts qui utilisent le séparateur pour déconstruire
les noms des groupes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-24 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Souvenez-vous que les utilisateurs non techniques utilisent souvent des groupes de rôles qui définissent
les rôles des utilisateurs. Par exemple, vous pouvez activer l'extension messagerie du groupe Sales
de sorte que les personnes dans votre organisation puissent utiliser ce groupe en tant que liste de
distribution de courrier électronique. Par conséquent, maintenez votre convention d'affectation de noms
simple et directe pour les groupes de rôles. En d'autres termes, votre convention d'affectation de noms
pour les groupes de rôles ne doit pas utiliser de trop les préfixes, les suffixes ni les séparateurs, mais
plutôt affecter des noms explicites et conviviaux. Dans les grandes entreprises, il peut être judicieux
d'utiliser des préfixes ou des suffixes simples, comme dans les exemples suivants :

• US_Sales ou UK_Marketing pour faire une distinction entre les pays ou les emplacements.

• Sales_Hardware, Sales_Software et Sales_All pour faire une distinction entre les rôles de vente.

Stratégies d'utilisation de groupes pour accéder aux ressources

Les groupes constituent la méthode principale
pour contrôler l'accès aux ressources dans
votre forêt et votre domaine Active Directory.
Lorsque vous implémentez des groupes
dans AD DS, vous devez prendre en compte
plusieurs aspects du comportement des groupes.

Imbrication de groupes
Dans quasiment tous les cas, vous devez utiliser
des groupes pour contrôler l'accès aux ressources
au lieu d'accorder des autorisations à des comptes
d'utilisateurs individuels. Le placement de groupes
dans des groupes (également appelé imbrication
de groupes) représente une part importante de la conception et de l'utilisation de groupes pour contrôler
l'accès aux ressources. Si vous imbriquez des groupes, vous pouvez gérer plusieurs comptes et groupes
simultanément, et vous pouvez fournir une structure de groupes plus modulaire et plus flexible.

Il existe différentes méthodes d'imbrication, selon que l'étendue du groupe est globale, locale de domaine
ou universelle. Le tableau ci-dessous répertorie ce que chaque groupe peut inclure comme membres.

Étendue de groupe Membres

Globale • Comptes du même domaine que le groupe global

• Groupes globaux du même domaine que le groupe global

Locale de domaine • Comptes de n'importe quel domaine

• Groupes globaux de n'importe quel domaine
• Groupes universels de n'importe quel domaine
• Groupes locaux de domaine, mais seulement d'un même domaine

Universelle • Comptes de n'importe quel domaine au sein de la forêt

• Groupes globaux de n'importe quel domaine au sein de la forêt
• Groupes universels de n'importe quel domaine au sein de la forêt
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-25

Meilleures pratiques d'imbrication de groupes

Les meilleures pratiques d'imbrication de groupes sont généralement définies par l'acronyme AGDLP.
AGDLP définit l'ordre dans lequel l'imbrication de groupes doit se produire.

• Les comptes (Accounts) d'utilisateur et d'ordinateur sont membres de :

o groupes Globaux, qui représentent des rôles métier, par exemple Sales (ventes). Les groupes
globaux sont membres de :

o groupes locaux de domaine (Domain Local groups), qui représentent les règles de gestion,
par exemple, pour déterminer qui dispose des autorisations de Lecture sur un ensemble
spécifique de dossiers. Les groupes locaux de domaine se voient accorder une :

o autorisation (Permission) pour accéder à des ressources. Dans le cas d'un dossier partagé,
l'accès est accordé en ajoutant le groupe local de domaine à la liste de contrôle d'accès
du dossier, avec une autorisation qui fournit le niveau d'accès approprié.

Exemple AGDLP
Cette meilleure pratique pour implémenter l'imbrication de groupes s'applique efficacement même
dans les scénarios à plusieurs domaines, comme indiqué dans l'illustration suivante.

Examinez la figure suivante, qui illustre un scénario AGDLP :

Cette illustration représente une implémentation de groupes qui reflète le point de vue technique
des meilleures pratiques de gestion des groupes (AGDLP) et le point de vue commercial de la gestion
basée sur les rôles et sur les règles.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-26 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Considérons le scénario suivant :

Le personnel de vente chez Contoso, Ltd vient de terminer son exercice comptable. Les documents
des ventes de l'année précédente se trouvent dans un dossier nommé Sales. Le personnel de vente
a besoin d'un accès en Lecture au dossier Sales. Une équipe d'auditeurs de Woodgrove Bank,
investisseur potentiel, ont besoin d'un accès en Lecture au dossier Sales pour effectuer un audit.

La procédure ci-dessous est requise pour implémenter la sécurité pour ce scénario :

1. Affectez les utilisateurs dotés de responsabilités professionnelles ou d'autres caractéristiques

commerciales communes à des groupes de rôles, que vous implémenterez ensuite comme
groupes globaux de sécurité. Procédez ainsi dans chaque domaine séparément. Ajoutez le
personnel de vente de Contoso au groupe de rôles Sales et les auditeurs de Woodgrove Bank
au groupe de rôles Auditors.

2. Créez un groupe doté de l'autorisation Lecture pour gérer l'accès aux dossiers Sales. Vous devez
implémenter ceci dans le domaine contenant la ressource que vous gérez, par exemple le serveur
de fichiers où réside le dossier Sales ; dans ce cas, le dossier Sales réside dans le domaine Contoso.
En outre, créez le groupe de règles pour la gestion de l'accès aux ressources en tant que groupe
local de domaine, ACL_SalesFolders_Read.

3. Ajoutez les groupes de rôles au groupe de règles pour la gestion de l'accès aux ressources afin de
pouvoir représenter la règle de gestion. Ces groupes de rôles peuvent provenir de n'importe quel
domaine de la forêt ou d'un domaine approuvé, tel que Woodgrove Bank. Les groupes globaux
issus de domaines externes approuvés, ou de n'importe quel domaine de la même forêt, peuvent
être membres d'un groupe local de domaine.

4. Attribuez l'autorisation qui implémente le niveau d'accès requis. Dans ce cas, accordez l'autorisation
Autoriser la lecture au groupe local de domaine.

Cette stratégie crée des points uniques de gestion, réduisant ainsi la charge de gestion. Un point de
gestion définit qui appartient au personnel de vente et qui est auditeur. Bien entendu, ces rôles sont
susceptibles d'avoir accès à diverses ressources au-delà du dossier Sales. Il existe un autre point unique
de gestion pour déterminer qui a accès en Lecture au dossier Sales et ce dossier peut ne pas simplement
être un dossier unique sur un serveur unique. Ce pourrait être un ensemble de dossiers sur plusieurs
serveurs, attribuant chacun l'autorisation Autoriser la lecture au groupe local de domaine unique.

Groupes universels et AGUDLP

Une forêt à plusieurs domaines contient également des groupes universels, situés entre les groupes
globaux et les groupes locaux de domaine. AD DS réplique les groupes universels dans toute la forêt
et ceux-ci peuvent contenir des membres n'importe où au sein de la forêt. Vous utilisez souvent des
groupes universels pour consolider des groupes globaux issus de plusieurs domaines. Dans le scénario
d'imbrication de groupes, vous pouvez placer ce groupe universel dans des groupes locaux de domaine
situés dans plusieurs domaines. Vous pouvez vous souvenir de l'imbrication des groupes universels
à l'aide de l'acronyme AGUDLP, où U signifie Universel.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-27

Éléments à prendre en compte pour planifier l'administration des groupes

Bien que la fonction principale des groupes dans
AD DS soit de regrouper des utilisateurs pour
leur attribuer des autorisations d'accès à des
ressources, vous devez également prendre
en compte la manière d'administrer les objets
de groupe eux-mêmes. Ceci inclut la manière
dont vous créez et supprimez des groupes, ainsi
que la manière dont vous gérez l'appartenance
aux groupes et les autorisations. Dans AD DS,
la conception d'une stratégie de gestion
de groupe se rapporte principalement
à la structuration des objets de groupe.
Lorsque vous planifiez l'administration des groupes, vous pouvez utiliser les stratégies suivantes :

• Placez les objets de groupe dans l'unité d'organisation qui contient les comptes de groupes.
Avec cette stratégie, vous pouvez déléguer la gestion des utilisateurs et des groupes sous une
même unité d'organisation. Vous pouvez utiliser cette stratégie lorsque les comptes d'utilisateurs
de service et leurs groupes sont administrés par un seul administrateur par service.

• Placez les objets de groupe dans l'unité d'organisation qui contient la ressource. Cette stratégie
vous permet de gérer des ressources et l'accès à ces ressources sous un même groupe de délégation.
Cependant, cette méthode n'est pas très répandue ni pratique. Par exemple, il est généralement
inutile d'administrer des objets d'ordinateur pour les serveurs, si ce n'est la réinstallation ou la
modification d'une description administrative dans AD DS. Si vous gérez des groupes pour une
application sur le serveur, il est probablement préférable que le même groupe d'administration
ait des droits administratifs localement sur le serveur, ce qui est différent du fait d'avoir des droits
sur l'objet d'ordinateur du serveur.

• Placez tous les objets de groupe de manière centralisée dans un même emplacement, dans AD DS.
Cette stratégie fonctionne bien pour un environnement Active Directory de petite taille. Elle place
l'ensemble de vos groupes dans un même conteneur, mais ils sont maintenus à l'écart des autres
ressources AD DS. Cette stratégie peut être utile si vous souhaitez uniquement déléguer le contrôle
des groupes à un ou plusieurs utilisateurs.

• Placez les objets de groupe dans des unités d'organisation distinctes. Ceci est utile si le nombre
de groupes est important ou si vous déléguez la gestion de plusieurs groupes à différentes équipes
d'administration.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-28 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

• Autogestion des groupes. Cette approche permet aux membres d'un groupe d'ajouter d'autres
membres dans leur groupe ou de s'extraire du groupe. Cela s'avère utile pour les groupes de
distribution communautaires ou les projets communautaires dans une organisation, qui ne s'appuient
pas sur la structure d'organisation et n'ont pas d'influence sur la sécurité. Dans Windows Server 2012,
l'onglet Géré par dans Utilisateurs et ordinateurs Active Directory et la section Géré par dans les
propriétés de groupe dans le Centre d'administration Active Directory incluent tous les deux une
case à cocher que le gestionnaire de groupe peut activer pour mettre à jour les membres du groupe.

• Scénarios hybrides. Ce type de scénario est le plus courant dans les grandes entreprises. Selon la
fonction du groupe, vous pouvez choisir différentes stratégies de scénarios hybrides. Les groupes
qui reflètent la structure d'organisation sont administrés par une entité administrative centrale.
Les groupes qui accordent l'accès à une application ou à un site SharePoint sont administrés par
le propriétaire de l'application ou le propriétaire du site SharePoint. Les groupes qui collaborent
dans des communautés sont autogérés.

Lorsque vous décidez du positionnement des groupes, vous devez prendre en compte qui gère et
administre les groupes. Vous pouvez affecter un gestionnaire de groupe pour chaque groupe ou laisser
cette tâche à un administrateur de domaine ou à un groupe délégué désigné qui assurera l'ensemble
de la gestion des groupes. La première approche fournit une administration plus décentralisée, tandis
que la seconde permet uniquement à des utilisateurs spécifiques privilégiés de gérer les groupes.

Consignes de conception d'une stratégie de groupe Active Directory

Prenez en compte les consignes suivantes
lorsque vous concevez une stratégie
de groupe Active Directory :
• Accordez des autorisations uniquement
à des groupes, et non pas à des utilisateurs
individuels, même si un seul utilisateur
requiert un accès. Si vous attribuez des
autorisations directement à un compte
d'utilisateur et que ce compte est supprimé
ultérieurement, cela laisse des entrées
orphelines dans les listes de contrôle
d'accès (ACL) pour les objets auxquels
les autorisations s'appliquent.

• Créez des groupes en fonction des exigences administratives. Si vous créez un groupe basé sur une
fonction professionnelle et qu'une autre personne endosse cette fonction, il vous suffit de modifier
l'appartenance aux groupes ; vous n'avez pas à modifier toutes les autorisations qui ont été accordées
au compte d'utilisateur individuel.

• Si vous avez plusieurs groupes auxquels vous pouvez ajouter des comptes d'utilisateurs, ajoutez
les comptes d'utilisateurs au groupe qui présente le plus de restrictions.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-29

• Soyez prudent avec les groupes par défaut. Dans la plupart des cas, ces groupes possèdent
des droits prédéfinis. Cela peut permettre un accès plus large que l'accès requis. Cela s'applique
particulièrement au groupe Account Operators, lequel possède les droits de création et de
suppression d'objets sur chaque unité d'organisation, ainsi que le contrôle total sur les objets
utilisateur, de groupe, d'ordinateur et inetOrgPerson. Toutefois, lorsque vous implémentez une
structure d'unités d'organisation, vous pouvez avoir des unités d'organisation distinctes pour
ces types d'objet. Vous ne souhaitez pas permettre à quiconque de créer des ordinateurs où
des comptes d'utilisateurs sont censés résider et vice-versa.

• Utilisez l'imbrication de groupes chaque fois que cela est possible, afin de simplifier l'administration.

• Évitez de dupliquer des groupes. Par exemple, lorsque vous possédez des groupes de service
et que vous souhaitez avoir un groupe qui contrôle l'accès aux dossiers partagés du service et
un autre groupe pour une liste de distribution, envisagez d'utiliser un même groupe de rôles
et d'activer son extension messagerie. Si vous avez deux groupes contenant les mêmes membres,
il est probable qu'au fil du temps ces groupes seront administrés de manière distincte et qu'ils
contiendront des membres différents. En outre, vous augmentez la taille des jetons, ce qui peut
générer des problèmes lorsque l'infrastructure croît.

• Utilisez le groupe Authenticated Users à la place du groupe Everyone pour octroyer des droits
d'utilisateur et des autorisations à l'ensemble des utilisateurs. Le groupe Authenticated Users
limite l'accès aux utilisateurs connectés au domaine Active Directory, tandis que le groupe
Everyone peut inclure des utilisateurs anonymes.
• Limitez le nombre d'utilisateurs dans les groupes Administrators, Domain Administrators et
Enterprise Admins. Les autorisations pour ces groupes ont une longue portée et un utilisateur
individuel a rarement besoin de l'ensemble de ces autorisations. Pour garantir un environnement
plus sécurisé, vous pouvez créer des groupes d'administration distincts qui possèdent uniquement
les autorisations nécessaires.

Démonstration : Création et gestion de groupes

Adam Barr est un employé du service Marketing de l'entreprise A. Datum Corporation, qui réside
à Londres. En dehors du travail, Adam aime pratiquer différents types de sports. Ainsi, il a décidé de
créer un groupe Sports In London chez A. Datum pour rassembler des collègues partageant le même
intérêt pour la pratique du sport à Londres. En raison du faible risque de sécurité, les administrateurs
chez A. Datum ont décidé que les membres du groupe doivent gérer leur propre liste de distribution
pour leur communauté.

Dans cette démonstration, vous allez apprendre à :

• créer une unité d'organisation ;

• créer un groupe, puis configurer la gestion de ce groupe ;

• ajouter un utilisateur à un groupe ;

• vérifier que le groupe communautaire peut s'autogérer.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-30 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Procédure de démonstration

Créer une unité d'organisation

• Sur LON-DC1, ouvrez le Centre d'administration Active Directory et créez une nouvelle unité
d'organisation de niveau racine :

o Nom : SelfService

o Description : Unité d'organisation pour les groupes qui s'autogèrent

Créer un groupe, puis en configurer la gestion

1. Dans le Centre d'administration Active Directory, créez un groupe dans l'unité d'organisation
SelfService avec les paramètres suivants :

o Nom : SportsInLondon

o Adresse de messagerie : SportsInLondon@[Link]

o Description : Autogéré. Groupe local de domaine qui contiendra les membres
de la communauté Sports In London

2. Configurez le groupe pour qu'il s'autogère.

Ajouter un utilisateur dans le groupe

1. Dans le Centre d'administration Active Directory, dans l'unité d'organisation Marketing,
dans le volet d'informations, cliquez sur Adam Barr.

2. Définissez Adam comme membre du groupe SportsInLondon.

Vérifier que le groupe communautaire peut s'autogérer

1. Déconnectez-vous de LON-DC1.
2. Connectez-vous de nouveau à LON-DC1 avec le nom d'utilisateur Adatum\Adam et le mot
de passe Pa$$w0rd.

3. Dans le Centre d'administration Active Directory, ajoutez Pat Coleman dans

le groupe SportsInLondon.

4. Déconnectez-vous de LON-DC1.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-31

Atelier pratique : Conception et implémentation

d'une infrastructure et d'un modèle de délégation
d'unités d'organisation Active Directory
Scénario
Auparavant, A. Datum Corporation utilisait une approche fortement centralisée pour gérer son
infrastructure informatique. Cependant, comme la société s'est développée dans d'autres pays,
cette approche centralisée n'est plus efficace. Par conséquent, la direction informatique souhaite
que l'équipe de conception AD DS recommande comment modifier la structure d'administration
Active Directory pour répondre aux nouvelles exigences.

Objectifs
À la fin de cet atelier pratique, vous serez à même d'effectuer les tâches suivantes :

• concevoir une infrastructure d'unités d'organisation ;

• implémenter la conception des unités d'organisation ;

• concevoir et implémenter un modèle d'autorisations AD DS.

Configuration de l'atelier pratique

Durée approximative : 120 minutes

Ordinateur virtuel 22413B-LON-DC1

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V®, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions, cliquez
sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-32 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Exercice 1 : Conception d'une infrastructure d'unités d'organisation

Scénario
A. Datum Corporation a développé son activité par l'intermédiaire d'acquisitions. La direction
informatique envisage de fournir AD DS en tant que service pour garantir que les fonctions critiques
de résolution des noms et de réplication Active Directory fonctionnent entre les sociétés, tandis
que l'administration locale gère l'administration des objets Active Directory.

Dans cet exercice, vous concevez une structure d'unités d'organisation répondant à ces nouveaux besoins
professionnels et organisationnels.

Documentation fournie avec le produit

Brad Sutton
De : Bill Malone [Bill@[Link]]
Envoyé : 25 septembre 09:05
À: Brad@[Link]
Objet : Nouvelle conception Active Directory
Pièces jointes : Corporate Domains and [Link]

Bonjour Brad,
Active Directory est un service très important pour nous. Nous souhaitons éviter dans l'ensemble de notre
environnement d'entreprise les pannes découlant d'erreurs évitables, notamment depuis que nous avons
acquis Trey Research et Contoso, Ltd. Nous devons nous assurer de pouvoir collaborer aussi efficacement
que possible.

Lorsque vous étiez à Cambridge la semaine passée, notre équipe de gestion a réfléchi à la possibilité
de proposer AD DS en tant que service central en dehors d'A. Datum, et peut-être même de fusionner
Trey Research et Contoso dans notre domaine à moyen terme. Nous pourrons discuter ultérieurement
des exigences à moyen terme.

Pour le moment, j'aimerais qu'avec Charlotte vous proposiez une structure d'unités d'organisation et
d'administration qui réponde aux exigences que j'ai soulignées dans le modèle de proposition ci-joint.

Dans un premier temps, j'aimerais que vous mettiez à jour la documentation relative à cette proposition.
Ensuite, j'aimerais que vous créiez la structure d'unités d'organisation, mais que vous conserviez l'ancienne
jusqu'à ce que nous ayons testé le scénario et obtenu l'approbation de la direction quant à la migration.

Cordialement,

Bill
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-33

Proposition de reconception des unités d'organisation A. Datum

Numéro de référence du document : BS00925/1

Auteur du document Brad Sutton

Date 25 sept.

Présentation des exigences

Concevez une structure d'unités d'organisation répondant aux exigences suivantes :
• À des fins d'administration, utilisez uniquement les comptes administratifs personnalisés.
• Le groupe Administrators dans A. Datum doit être le seul groupe d'utilisateurs capable d'apporter
des modifications à l'échelle du domaine, comme configurer des sites Active Directory, créer des
unités d'organisation de niveau supérieur, gérer des contrôleurs de domaine ou créer et gérer
des comptes et des groupes d'utilisateurs administratifs.
• Facilitez l'intégration future dans la structure d'unités d'organisation de Contoso et Trey Research
(à l'exception du domaine [Link]). Les services d'infrastructure et de réplication
Active Directory doivent être dirigés par l'équipe centrale A. Datum. Cependant, il appartient
à Trey Research et à Contoso de déterminer quels niveaux d'administration quotidienne des
utilisateurs, des groupes et des ordinateurs conserver.
• Un seul groupe d'administrateurs dans le bureau de Londres doit être en mesure de créer et
supprimer tous les comptes d'utilisateurs et de groupes standard dans le domaine [Link].
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-34 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

(suite)

Proposition de reconception des unités d'organisation A. Datum

Présentation des exigences

Concevez une structure d'unités d'organisation répondant aux exigences suivantes :
• Chaque bureau de centre régional doit avoir un groupe d'administrateurs locaux chargés de
résoudre les problèmes informatiques locaux et de soutenir leurs utilisateurs dans leur région
respective. Les administrateurs locaux doivent avoir un accès total à tous les serveurs dans leurs
bureaux (autres que les contrôleurs de domaine) et ils doivent être en mesure de prendre
en charge les problèmes des utilisateurs sur ces ordinateurs clients.
• Chaque service possède un groupe Administrators local, qui peut réinitialiser les mots de passe
de ses utilisateurs.
• L'équipe A. Datum chargée de gérer les serveurs d'applications à l'échelle de l'entreprise doit
gérer l'accès aux applications et aux ressources que ces serveurs hébergent. Planifiez les trois
rôles suivants pour ces serveurs : SQL, WEB et APP.
• Les utilisateurs figurant dans le domaine [Link] et les utilisateurs issus de tous les autres
bureaux doivent être en mesure d'accéder aux fichiers stockés sur un serveur de fichiers à Paris.
• Les processus permettant d'ajouter simultanément plusieurs comptes d'utilisateurs, de modifier
les attributs d'un grand nombre de comptes d'utilisateurs et d'ordinateurs, et de gérer les groupes
doivent être automatisés.

Synthèse des informations

• A. Datum :
o est responsable de l'infrastructure Active Directory ;
o gère les comptes administratifs et les groupes associés ;
o contient trois emplacements principaux : Londres, Toronto et Sydney (les emplacements
plus petits ne doivent pas être inclus dans la conception préliminaire) ;
o fournit certains serveurs à l'échelle de l'entreprise ;
o possède une équipe dédiée pour créer et supprimer tous les utilisateurs ;
o possède des administrateurs de service responsables de l'assistance aux utilisateurs,
telle que la réinitialisation des mots de passe ;
o possède des administrateurs de centres régionaux responsables de la gestion
des ordinateurs clients et des serveurs locaux.
• Trey Research :
o fusionnera ultérieurement dans le domaine [Link], ce que la structure d'unités
d'organisation doit permettre ;
o n'intègrera pas le domaine [Link].
• Contoso :
o fusionnera ultérieurement dans le domaine [Link], ce que la structure d'unités
d'organisation doit permettre ;
o possède un serveur de fichiers qui fournit des services à tous les utilisateurs figurant
dans l'entreprise.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-35

(suite)

Proposition de reconception des unités d'organisation A. Datum

Propositions
1. Selon vous, quel modèle de conception d'unités d'organisation fonctionnerait dans cette
situation ?

2. Comment l'administration centralisée à Londres affecte-t-elle la conception globale des unités

d'organisation ?

3. Comment placer les objets Active Directory dans la structure d'unités d'organisation ?

4. Quelles unités d'organisation suggérez-vous pour le niveau supérieur d'unités d'organisation ?

5. Quelles unités d'organisation devez-vous créer afin de pouvoir déléguer l'administration ?

6. Quelles unités d'organisation devez-vous créer afin de pouvoir gérer les serveurs et ordinateurs
clients locaux ?

7. Quelles unités d'organisation devez-vous créer afin de pouvoir gérer la réinitialisation des mots
de passe des utilisateurs ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-36 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

(suite)

Proposition de reconception des unités d'organisation A. Datum

Propositions
8. Quelles unités d'organisation devez-vous créer pour gérer les serveurs d'applications
d'entreprise ?

9. Créez un schéma de conception préliminaire.

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Proposition de reconception
des unités d'organisation A. Datum.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez créé une conception d'unités d'organisation reflétant
le modèle de tâches d'administration d'A. Datum Corporation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-37

Exercice 2 : Implémentation de la conception des unités d'organisation

Scénario
Vous allez maintenant implémenter votre conception d'unités d'organisation tout en conservant
l'ancienne structure d'unités d'organisation comme sauvegarde. Il s'agit d'un scénario courant
dans les sociétés qui modifient leur structure d'unités d'organisation :

1. Implémentez la nouvelle structure.

2. Liez des objets de stratégie de groupe dans la nouvelle structure.

3. Placez les objets dans la nouvelle structure.

4. Vérifiez que tout fonctionne comme prévu.

5. Supprimez l'ancienne structure d'unités d'organisation.

Dans la tâche suivante, nous effectuerons la migration inverse pour revenir au scénario par défaut.

Les tâches principales de cet exercice sont les suivantes :

1. Créer la nouvelle structure d'unités d'organisation.

2. Migrer les comptes d'utilisateurs et de groupes vers les nouvelles unités d'organisation.

 Tâche 1 : Créer la nouvelle structure d'unités d'organisation

1. Basculez vers LON-DC1 et, si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

Remarque : Pour les étapes suivantes, vous pouvez également utiliser l'applet de
commande Windows PowerShell New-ADOrganizationalUnit. La syntaxe est la suivante :
New-ADOrganizationalUnit –name OU-Name –path “parentDN”,
like “ou=users,dc=adatum,dc=com”.

2. Ouvrez le Centre d'administration Active Directory et créez les unités d'organisation suivantes
à la racine du domaine :

o Nom : Central-IT

o Description : Groupes et comptes administratifs pour la délégation. Administrés à partir

du groupe DOMAIN ADMINS UNIQUEMENT

o Nom : Enterprise

o Description : Objets gérés à l'échelle de l'entreprise

o Nom : ADatum

o Description : Objets standard pour A. Datum

o Nom : Contoso

o Description : Objets standard pour Contoso

o Nom : TreyResearch

o Description : Objets standard pour Trey Research

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-38 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

3. Exécutez le script Windows PowerShell E:\Labfiles\Create-SubOUs.ps1 pour créer les sous-unités

d'organisation.

Utilisez le script Windows PowerShell fourni pour créer les sous-unités d'organisation.

Create-SubOUs.ps1

$subous = @(`
("Admin-Accounts","ou=Central-IT,dc=adatum,dc=com","Admin-accounts uniquement"),`
("Groups","ou=Central-IT,dc=adatum,dc=com","Groupes pour la délégation de tâches
d'administration"),`
("Servers","ou=Enterprise,dc=adatum,dc=com","Serveurs gérés à l'échelle de
l'entreprise"),`
("SQL","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),`
("WEB","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),`
("APP","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),`
("Users","ou=ADatum,dc=adatum,dc=com","Comptes d'utilisateurs normaux ADatum"),`
("Groups","ou=ADatum,dc=adatum,dc=com","Comptes de groupes normaux ADatum"),`
("Clients","ou=ADatum,dc=adatum,dc=com","Clients d'ADatum"),`
("Servers","ou=ADatum,dc=adatum,dc=com","Serveurs ADatum"),`
("Marketing","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("Sales","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("Development","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("IT","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("Research","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("London","ou=Clients,ou=ADatum,dc=adatum,dc=com",""),`
("Sydney","ou=Clients,ou=ADatum,dc=adatum,dc=com",""),`
("Toronto","ou=Clients,ou=ADatum,dc=adatum,dc=com",""),`
("London","ou=Servers,ou=ADatum,dc=adatum,dc=com",""),`
("Sydney","ou=Servers,ou=ADatum,dc=adatum,dc=com",""),`
("Toronto","ou=Servers,ou=ADatum,dc=adatum,dc=com",""))

$subous | %{New-ADOrganizationalUnit -Name $_[0] -Path $_[1] -Description $_[2]}

4. Vérifiez que les unités d'organisation ont été créées.

 Tâche 2 : Migrer les comptes d'utilisateurs et de groupes vers

les nouvelles unités d'organisation
1. Sur LON-DC1, basculez vers Windows PowerShell ISE.

2. Pour les services Marketing, Sales, IT, Development et Research, exécutez le script
Windows PowerShell E:\Labfiles\Move-ADatumUserGroups.ps1 pour placer les comptes
d'utilisateurs et de groupes dans leurs nouvelles unités d'organisation.

Utilisez le script Windows PowerShell fourni pour placer les utilisateurs et les groupes dans leurs
nouvelles unités d'organisation.

Move-ADatumUserGroups.ps1

("Marketing","Sales","IT","Development","Research") | %{(Get-ADUser -filter

{department -eq $_} | Move-ADObject -TargetPath
"ou=$_,ou=Users,ou=ADatum,dc=adatum,dc=com");(Get-ADGroup -filter {name -eq $_} |
Move-ADObject -TargetPath "ou=Groups,ou=ADatum,dc=adatum,dc=com")}

3. Revenez au Centre d'administration Active Directory et vérifiez que les objets utilisateur et de groupe
ont été déplacés.

Résultats : À la fin de cet exercice, vous aurez implémenté une partie de la conception des unités
d'organisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-39

Exercice 3 : Conception et implémentation d'un modèle d'autorisations

Active Directory
Scénario
Après avoir conçu la structure d'unités d'organisation qui prendra en charge le futur modèle de tâches
d'administration Active Directory pour A. Datum, vous êtes chargé de déterminer comment implémenter
les groupes et la délégation dans la nouvelle structure d'unités d'organisation.

Documentation fournie avec le produit

Brad Sutton
De : Bill Malone [Bill@[Link]]
Envoyé : 27 septembre 11:27
À: Brad@[Link]
Objet : Objet : Nouvelle conception Active Directory – Effectuée
Bonjour Brad,

Vous avez fait vite, je vous en remercie. La conception d'unités d'organisation me paraît satisfaisante.
Elle est conforme à nos souhaits et nous pourrons la modifier ultérieurement pour fournir Active Directory
en tant que service à Contoso et Trey Research à partir de notre équipe centrale.

Nous vous saurions gré d'établir une documentation de proposition. Vous pourriez ensuite implémenter
des exemples dans la nouvelle structure d'unités d'organisation, illustrant le fonctionnement du modèle
de délégation des tâches d'administration. Je suis vraiment curieux de voir le résultat.

S'il vous reste un peu de temps, l'équipe de gestion se demandait hier si nous devrions autoriser
l'autogestion des « groupes communautaires et des listes de distribution » créés par notre équipe
centrale. Elle ne présente pas d'exigences de sécurité et les membres de la communauté devraient
pouvoir s'autogérer. Ceci a une priorité faible, mais serait très apprécié car les membres de la
communauté souhaitent utiliser Office Outlook pour ajouter des membres supplémentaires
à leur communauté. J'aimerais discuter de cette option avec vous.

Merci et félicitations pour le travail accompli à ce stade,

Bill
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-40 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

----- Message d'origine -----

De : Brad Sutton [Brad@[Link]]
Envoyé : 27 septembre 08:45
À: Bill@[Link]
Objet : Nouvelle conception Active Directory – Effectuée
Pièce jointe : A. Datum OU Redesign [Link]

Bonjour Bill,

Charlotte et moi venons de terminer la proposition. Nous pensons que c'est là, la meilleure approche
pour bénéficier d'une nouvelle structure flexible d'unités d'organisation qui maintienne l'infrastructure
actuelle tout en permettant une extension lorsqu'il sera temps de migrer Contoso et Trey Research
vers notre domaine.

Merci de nous dire ce que vous en pensez.

Brad

Modèle de délégation de tâches d'administration d'unités d'organisation A. Datum

Numéro de référence du document : BS00927/1

Auteur du document Brad Sutton

Date 27 sept.

Présentation des exigences

Cette documentation de proposition est une extension du document BS00915/1, qui décrit la
structure d'unités d'organisation et explique comment implémenter le modèle de délégation
de tâches d'administration pris en charge par la structure d'unités d'organisation.
Alors que la proposition précédente portait principalement sur la conception des unités
d'organisation, cette proposition décrit comment la délégation administrative sera utilisée
dans ce modèle.
Les exigences relatives à ces deux tâches sont les suivantes :
• À des fins d'administration, utilisez uniquement les comptes administratifs personnalisés.
• Le groupe Administrators dans A. Datum doit être le seul groupe d'utilisateurs capable d'apporter
des modifications à l'échelle du domaine, comme configurer des sites Active Directory, créer des
unités d'organisation de niveau supérieur, gérer des contrôleurs de domaine ou créer et gérer
des comptes et des groupes d'utilisateurs administratifs.
• Facilitez l'intégration future de Contoso et Trey Research (à l'exception du domaine
[Link]) dans la structure d'unités d'organisation. Les services d'infrastructure
et de réplication AD DS doivent être dirigés par l'équipe centrale A. Datum. Toutefois, il appartient
à Trey Research et à Contoso de décider quels niveaux d'administration quotidienne des
utilisateurs, des groupes et des ordinateurs ils souhaitent gérer.
• Un seul groupe d'administrateurs dans le bureau de Londres doit être en mesure de créer et
supprimer tous les comptes d'utilisateurs et de groupes standard dans le domaine [Link].
• Chaque bureau de centre régional possèdera un groupe d'administrateurs locaux chargés de
résoudre les problèmes informatiques locaux et de soutenir leurs utilisateurs dans leur région
respective. Les administrateurs locaux doivent avoir un accès total à tous les serveurs dans leurs
bureaux (autres que les contrôleurs de domaine) et ils doivent être en mesure de prendre en
charge les problèmes des utilisateurs sur ces ordinateurs clients.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-41

(suite)

Modèle de délégation de tâches d'administration d'unités d'organisation A. Datum

Présentation des exigences

• Chaque service possède un groupe Administrators local, qui peut réinitialiser les mots de passe
de ses utilisateurs.
• A. Datum possède une équipe dédiée chargée de gérer nos serveurs d'applications à l'échelle de
l'entreprise. Elle doit gérer l'accès aux applications et aux ressources que ces serveurs hébergent.
Planifiez à présent les trois rôles suivants pour ces serveurs : SQL, WEB et APP.
• Les utilisateurs issus du domaine [Link] et de tous les autres bureaux doivent accéder aux
fichiers stockés sur un serveur de fichiers situé à Paris.
• À mesure que le nombre d'utilisateurs chez A. Datum augmente, les administrateurs souhaitent
automatiser l'ajout simultané de plusieurs comptes d'utilisateurs, la modification des attributs
pour un grand nombre de comptes d'utilisateurs et d'ordinateurs, ainsi que la gestion des groupes.

Synthèse des informations

• A. Datum :
o doit être responsable de l'infrastructure Active Directory ;
o gère les comptes administratifs et les groupes associés ;
o contient trois emplacements principaux : Londres, Toronto et Sydney (les emplacements
plus petits ne doivent pas être inclus dans la conception préliminaire) ;
o fournit certains serveurs à l'échelle de l'entreprise ;
o possède une équipe dédiée qui crée et supprime tous les utilisateurs ;
o possède des administrateurs de service pour l'assistance aux utilisateurs, telle que
la réinitialisation des mots de passe ;
o possède des administrateurs de centres régionaux pour la gestion des clients et pour
la gestion des serveurs locaux.
• Trey Research :
o sera éventuellement placé dans le domaine [Link], ce que la structure d'unités
d'organisation doit permettre ;
o [Link] ne doit pas être intégré.
• Contoso :
o sera éventuellement placé dans le domaine [Link], ce que la structure d'unités
d'organisation doit permettre ;
o possède un serveur de fichiers qui fournit des services à tous les utilisateurs figurant
dans l'entreprise.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-42 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

(suite)

Modèle de délégation de tâches d'administration d'unités d'organisation A. Datum

Propositions
1. Quels comptes d'utilisateurs administratifs devez-vous créer pour faciliter le respect
des impératifs de haut niveau ?

2. Quels groupes devez-vous créer pour faciliter le respect des impératifs de haut niveau ?

3. Quelles délégations devez-vous configurer ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.
5. Créer les groupes requis.

6. Déléguer des autorisations aux groupes de gestion.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Modèle de délégation de tâches
d'administration d'unités d'organisation A. Datum.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-43

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

 Tâche 5 : Créer les groupes requis

1. Sur LON-DC1, basculez vers le Centre d'administration Active Directory, accédez à l'unité
d'organisation Central-IT\Groups, puis créez les groupes de rôles suivants :

• Nom : London-UserGroupprovisioning

o Type : Global/Sécurité

• Nom : Enterprise-ServerOps

o Type : Global/Sécurité

• Nom : Marketing-Admins

o Type : Global/Sécurité

• Nom : London-Admins

o Type : Global/Sécurité
2. Dans l'unité d'organisation Central-IT\Groups, créez les groupes de ressources suivants :

• Nom : acl_adatum-users_ccdc

o Type : Domaine local/Sécurité

o Membres : London-UserGroupProvisioning

• Nom : acl_adatum-groups_ccdc

o Type : Domaine local/Sécurité

o Membres : London-UserGroupProvisioning

• Nom : acl_enterprise-serveroperator

o Type : Domaine local/Sécurité

o Membres : Enterprise-ServerOps

• Nom : acl_Users-Marketing_resetpwd

o Type : Domaine local/Sécurité

o Membres : Marketing-Admins

• Nom : acl_clients-London_computer_ccdc

o Type : Domaine local/Sécurité

o Membres : London-Admins

• Nom : acl_servers-London_computer_ccdc

o Type : Domaine local/Sécurité

o Membres : London-Admins
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-44 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

 Tâche 6 : Déléguer des autorisations aux groupes de gestion

Remarque : Vous pouvez éventuellement réaliser cet exercice en utilisant l'outil en ligne
de commande [Link]. Par exemple, pour accorder des droits de création ou de suppression
des objets de groupe, la syntaxe est la suivante :

dsacls ou=… /G adatum\acl_...:CCDC;group

Pour obtenir de l'aide sur l'outil dsacls, à une invite de commandes,
tapez dsacls /?.

1. Revenez au Centre d'administration Active Directory.

2. Pour les unités d'organisation suivantes, accordez les autorisations aux groupes dans
la boîte de dialogue Sécurité avancée des propriétés de l'unité d'organisation :

o Unité d'organisation : ADatum\Users

Groupe : acl_adatum-users_ccdc
Autorisations : Créer des objets Utilisateur, Suppr. des objets Utilisateur

Remarque : En utilisant l'outil dsacls, vous pouvez effectuer la même tâche à l'aide
de la commande suivante :

dsacls ou=users,ou=adatum,dc=adatum,dc=com /G adatum\acl_adatum-users_ccdc:CCDC;group

Pour obtenir de l'aide sur l'outil dsacls, à une invite de commandes,
tapez dsacls /?.

o Unité d'organisation : ADatum\Groups

Groupe : acl_adatum-groups_ccdc
Autorisations : Créer des objets Groupe, Suppr. des objets Groupe

o Unité d'organisation : ADatum\Users\Marketing

Groupe : acl_users-Marketing_resetPwd,
S'applique à : Objets Utilisateur descendants
Autorisations : Réinitialiser le mot de passe
o Unité d'organisation : ADatum\Clients\London
Groupe : acl_clients-London_computer_ccdc
Autorisations : Créer des objets Ordinateur, Suppr. des objets Ordinateur
o Unité d'organisation : ADatum\Servers\London
Groupe : acl_servers-London_computer_ccdc
Autorisations : Créer des objets Ordinateur, Suppr. des objets Ordinateur
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 6-45

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

Résultats : À la fin de cet exercice, vous aurez conçu et implémenté un modèle d'autorisations
administratives.

Question : Quelle conception d'unités d'organisation avez-vous suggérée ? Quelles sont

les raisons sous-tendant vos décisions de conception ?

Question : L'atelier pratique vous a fait utiliser Windows PowerShell pour déplacer
des objets utilisateur selon un certain attribut. Pouvez-vous imaginer d'autres manières
de procéder ?

Question : Bill a suggéré l'autogestion pour certains groupes. Comment l'implémenteriez-

vous ? Quels sont les avantages et les risques associés à cette recommandation ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
6-46 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Contrôle des acquis et éléments à retenir

Méthode conseillée
• Utilisez le modèle AG(U)DLP lors de la conception de votre stratégie de groupe. Les comptes
sont regroupés en groupes globaux correspondant aux rôles métier. Si nécessaire, vous pouvez
consolider ces groupes sur plusieurs domaines dans un groupe universel. Les groupes de rôles
sont alors attribués par l'intermédiaire de groupes locaux de domaine qui accordent l'accès
à la ressource spécifique.

• Concevez votre modèle de tâches d'administration Active Directory en ayant à l'esprit les privilèges
minimaux. Comme meilleure pratique, dressez la liste des tâches dans votre organisation, puis
attribuez chaque tâche à une équipe spécifique. Si une équipe souhaite les autorisations, elle
est responsable des tâches correspondantes.

• Utilisez des scripts pour implémenter votre conception. Passez en revue les applets de
commande Windows PowerShell et l'outil dsacls permettant de définir des autorisations.

Problèmes courants et conseils relatifs à la résolution des problèmes

Problème courant Conseil relatif à la résolution des problèmes

Lorsque vous utilisez l'Assistant Délégation de

sécurité pour définir des autorisations, quand
l'Assistant s'ouvre à nouveau, les autorisations
ne s'affichent pas.

Comment déterminer quels attributs doivent

être délégués ?

Comment pouvez-vous modifier les paramètres

de sécurité d'un attribut qui n'est pas affiché
dans la boîte de dialogue Sécurité avancée ?

Question(s) de contrôle des acquis

Question : Pourquoi est-il judicieux d'implémenter les privilèges minimaux requis
lors de la délégation des tâches d'administration ?

Question : Pourquoi est-il préférable d'utiliser des comptes administratifs et de

les enregistrer dans un emplacement différent des comptes d'utilisateurs standard ?

Question : Que devez-vous prendre en compte lorsque vous souhaitez migrer

votre structure d'unités d'organisation vers un nouveau modèle ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-1

Module 7
Conception et implémentation d'une stratégie d'objet
de stratégie de groupe
Table des matières :
Vue d'ensemble du module 7-1

Leçon 1 : Collecte des informations requises pour la conception

d'un objet de stratégie de groupe 7-2

Leçon 2 : Conception et implémentation des objets de stratégie de groupe 7-7

Leçon 3 : Conception du traitement des objets de stratégie de groupe 7-18

Leçon 4 : Planification de la gestion des stratégies de groupe 7-25

Atelier pratique : Conception et implémentation d'une stratégie
d'objet de stratégie de groupe 7-31

Contrôle des acquis et éléments à retenir 7-39

Vue d'ensemble du module

L'environnement de stratégie de groupe dans une infrastructure de services de domaine Active Directory®
(AD DS) constitue la technologie intégrée à Active Directory qui vous permet de configurer et gérer les
clients et les serveurs membres de votre domaine. Une conception de stratégie de groupe efficace vous
offre un environnement plus normalisé et plus gérable dans lequel vous pouvez effectuer de nombreuses
tâches d'administration.

Ce module présente les concepts clés relatifs à la conception d'une stratégie de groupe en matière
de planification, d'exécution et de gestion dans AD DS. Il décrit également les meilleures pratiques
en matière de conception d'objets de stratégie de groupe (GPO) et d'héritage d'objets de stratégie
de groupe.

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• collecter et analyser les informations requises pour faciliter la conception d'objets de stratégie
de groupe ;

• créer une conception d'objets de stratégie de groupe et l'implémenter ;

• créer une conception du traitement des objets de stratégie de groupe ;

• planifier la gestion des objets de stratégie de groupe.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-2 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Leçon 1
Collecte des informations requises pour la conception
d'un objet de stratégie de groupe
Lors de l'examen des modifications de conception ou des tâches de planification des services AD DS de
votre organisation, il est important de configurer les ressources AD DS correctement et de les sécuriser
de façon optimale. Cela est important pour votre environnement de stratégie de groupe, et vous permet
de gérer la configuration utilisateur et ordinateur de votre domaine AD DS.

Avant de concevoir un environnement de stratégie de groupe, vous devez avoir une idée claire
de ce dont votre organisation a besoin dans cet environnement. Par ailleurs, vous devez comprendre
votre structure AD DS et déterminer comment vous pouvez tirer parti de cette structure à l'aide de
l'implémentation de votre stratégie de groupe.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• expliquer comment collecter des informations sur l'organisation ;

• expliquer comment collecter des informations sur les exigences de sécurité ;

• expliquer comment collecter des informations sur les exigences de gestion du poste de travail ;

• expliquer comment collecter des informations sur les processus d'administration.

Question : Comment la stratégie de groupe est-elle utilisée dans votre organisation ?

Quels sont les problèmes que vous rencontrez ou avez rencontrés dans votre organisation
en matière de stratégie de groupe ? Présentez les paramètres ou les tâches que vous
n'arrivez pas à gérer avec les objets de stratégie de groupe.

Collecte des informations sur l'organisation

Dans la structure AD DS, la stratégie de groupe
permet d'administrer facilement la configuration
des environnements relatifs aux utilisateurs
et aux ordinateurs. Vous pouvez également
utiliser la stratégie de groupe pour appliquer
les aspects techniques relatifs aux stratégies
et aux exigences légales de l'organisation.
La collecte d'informations pertinentes sur
votre organisation est la première étape de
la planification d'une conception de stratégie
de groupe efficace.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-3

Lorsque vous commencez votre processus de conception d'une stratégie de groupe, vous devez collecter
les informations suivantes sur l'organisation :

• Emplacements relatifs à la société et sites AD DS en fonction de l'emplacement. La structure

géographique de votre organisation et votre topologie réseau sont des éléments importants.
Les besoins de chacun de vos emplacements et la configuration de vos sites AD DS influencent
les objets de stratégie de groupe que vous concevez et créez, ainsi que la façon dont vous liez
et appliquez ces objets de stratégie de groupe dans la structure AD DS.

• Structure de l'organisation et modèle économique. À l'instar de la structure géographique,

la structure de l'organisation a également un impact important sur votre conception des objets
de stratégie de groupe. Dans de nombreux cas, la structure de votre unité d'organisation reflète
le modèle d'administration de votre organisation. Par ailleurs, vous devez appliquer les objets
de stratégie de groupe que vous créez pour répondre aux exigences de chaque composant du
modèle économique. Par exemple, si chaque service de votre organisation a un ensemble distinct
de paramètres de postes de travail, vous devez concevoir la structure de votre unité d'organisation
de manière à implémenter ces paramètres.

• Exigences en matière de sécurité. La sécurité est l'un des domaines les plus importants
que vous configurez à l'aide de la stratégie de groupe. En principe, vous utilisez la stratégie
de groupe dans l'environnement Active Directory pour configurer les exigences relatives aux
stratégies de mot de passe, au verrouillage de l'administration des comptes et aux mesures de
précaution générales spécifiques à Active Directory. En outre, vous pouvez configurer les paramètres
du Pare-feu Windows® dans une stratégie de groupe. Par ailleurs, selon les exigences de sécurité
de l'infrastructure de votre serveur et de vos applications, vous pouvez concevoir l'infrastructure
de communication des applications via le Pare-feu Windows à l'aide des stratégies de groupe.
• Exigences informatiques et exigences relatives au réseau. Bien souvent, les pratiques d'administration
et les aspects techniques de votre environnement exigent un fonctionnement correct des objets
de stratégie de groupe ou tirent parti de la simplicité d'administration de la stratégie de groupe
en question. Vous devez tenir compte des exigences informatiques telles que les paramètres de
stratégie de groupe spécifiques aux applications. En outre, vous devez collecter des informations
sur la façon dont vous allez gérer l'infrastructure de stratégie de groupe. Ces informations
comprennent l'administration déléguée et la propriété des objets de stratégie de groupe.

• Contrats SLA. La stratégie de groupe est la méthode d'application clé dans l'environnement
Active Directory. Dans de nombreux cas, les contrats SLA sont établis pour votre organisation,
vos services ou des composants individuels et des applications. Ces contrats SLA peuvent nécessiter
(ou exploiter) un ou plusieurs paramètres de stratégie de groupe. Lorsque vous concevez votre
infrastructure de stratégie de groupe, vous devez déterminer quels sont les paramètres à associer
aux objets de stratégie de groupe, qui administre les objets de stratégie de groupe et à quel
niveau ces derniers sont appliqués.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-4 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Collecte d'informations sur les exigences de sécurité

Lorsque vous créez une conception de stratégie
de groupe, vous devez collecter des informations
relatives aux exigences de sécurité de votre
entreprise. Vous devez :

• Identifier les ressources à sécuriser.

Dans votre environnement Active Directory,
vous devez prendre en compte (et inclure)
les ressources nécessaires à sécuriser dans
votre plan de stratégie de groupe. Les
ressources comprennent tous les objets
utilisateur (comptes d'utilisateurs, comptes
d'administrateurs et comptes de service
standard) et objets ordinateur (stations de travail, portables, tablettes, bornes, serveurs et ordinateurs
de classe ou d'atelier pratique) dans AD DS, qui sont membres de votre domaine et auxquels vous
pouvez être amené à appliquer des paramètres de stratégie de groupe.

• Identifier les emplacements à sécuriser. Les emplacements géographiques basés sur des unités
d'organisation et les emplacements définis dans les sites Active Directory en fonction d'emplacements
topographiques peuvent posséder des exigences spécifiques en matière de sécurité. Tenez compte
des activités qui ont lieu à chacun de ces emplacements et déterminez si ces derniers requièrent
des paramètres de sécurité spécifiques, tels que le chiffrement de lecteur, des paramètres de Pare-feu
Windows particuliers, ou un accès limité aux applications ou au contrôle administratif.
• Identifiez les diverses exigences en matière de sécurité des utilisateurs et des ordinateurs. Il est
généralement facile d'identifier les exigences de sécurité relatives aux utilisateurs et aux ordinateurs.
Toutefois, des efforts en matière de planification et d'implémentation sont également nécessaires.
En règle générale, ces exigences affectent directement l'environnement informatique. Par ailleurs,
vous les appliquez au domaine, au site ou à l'unité d'organisation contenant les utilisateurs et les
ordinateurs concernés. Ces exigences peuvent comprendre les paramètres des droits d'ouverture
de session locale, ainsi que les modifications de l'accès administrateur pour certains utilisateurs
ou ordinateurs.

• Tenez compte de la différence entre les serveurs Internet et les serveurs intranet. Les serveurs Internet
publics nécessitent des stratégies de sécurisation renforcée plus spécifiques et plus strictes en matière
de protection contre les pirates informatiques. En règle générale, les serveurs internes connectés
aux réseaux approuvés n'ont pas besoin de stratégies strictes en termes de sécurisation renforcée.
• Évaluez les stratégies de sécurité en place dans l'entreprise. Examinez les stratégies générales et
écrites, ainsi que celles que vous implémentez déjà à l'aide de la stratégie de groupe. Les stratégies
écrites de l'entreprise peuvent contenir des exigences de sécurité que vous devez implémenter dans
votre environnement à l'aide de la stratégie de groupe. Bien souvent, les stratégies qui impliquent
des droits d'accès limités et le respect des lois sur la confidentialité requièrent l'implémentation
d'une stratégie de groupe et d'une sécurité relative aux fichiers et aux dossiers.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-5

Collecte des informations sur les exigences de gestion du poste de travail

Les paramètres des stratégies de groupe
définissent les composants de poste de travail
utilisateur à gérer. Lors de la conception d'objets
de stratégie de groupe pour la gestion des postes
de travail, vous devez collecter les informations
suivantes :

• Exigences de l'organisation en matière

de configuration des ordinateurs.
Vous devrez peut-être définir et appliquer
certains paramètres de stratégie à tous les
ordinateurs de votre organisation. Votre
conception doit déterminer les paramètres
de stratégie applicables à l'ensemble de l'organisation. Vous devez ensuite lier ces paramètres de
stratégie à un emplacement dans la structure AD DS, puis vérifier si les objets de stratégie de groupe
sont appliqués à tous les domaines. Les objets de stratégie de groupe que vous appliquez à un
domaine affectent l'ensemble de ses utilisateurs et ordinateurs. Vous pouvez filtrer les objets de
stratégie de groupe à appliquer uniquement à un groupe spécifique d'utilisateurs ou d'ordinateurs.
Sinon, vous pouvez également utiliser des filtres WMI (Windows Management Instrumentation).
Cependant, il est recommandé d'éviter d'effectuer un filtrage sur plusieurs niveaux.

• Exigences du service en matière de configuration des ordinateurs. Vous pouvez créer des unités
d'organisation pour organiser et gérer les objets de chaque service, division et emplacement
géographique. Vous pouvez ensuite appliquer une stratégie de groupe aux unités d'organisation
ou sites qui contiennent plusieurs ordinateurs avec des exigences similaires.

Remarque : Dans un environnement comprenant plusieurs domaines, vous devez être

prudent lorsque vous affectez un objet de stratégie de groupe à un site. Les fichiers des objets
de stratégie de groupe sont contenus dans SYSVOL et sont toujours créés dans le domaine
où vous créez l'objet de stratégie de groupe. Les sites ne sont pas nécessairement mappés aux
domaines. Par conséquent, vous pouvez affecter l'objet de stratégie de groupe à un site qui n'a
aucun contrôleur de domaine pour le domaine dans lequel l'objet de stratégie de groupe a été
créé. Lorsque vous créez des stratégies de site, essayez (si possible) de les créer dans les domaines
qui couvrent tous les sites.

• Exigences particulières en matière de configuration des ordinateurs. Vous pouvez répondre à des
exigences particulières en matière de configuration des ordinateurs en appliquant une stratégie
de groupe à des unités d'organisation dédiées qui contiennent les objets ordinateur à gérer.
Par exemple, vous pouvez être amené à appliquer des paramètres spécifiques aux ordinateurs
situés sur les bornes d'un lieu public ou aux portables des directeurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-6 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Collecte d'informations sur les processus d'administration

L'application d'une conception de stratégie
de groupe dépend du modèle que vous utilisez
pour le contrôle administratif et la délégation.
Lorsque vous collectez des informations
d'administration pour concevoir une stratégie
de groupe, tenez compte des éléments suivants :

• Identifiez les administrateurs et leurs tâches

d'administration. Les utilisateurs qui
administrent votre environnement et
les tâches qu'ils effectuent déterminent
la façon dont vous appliquez les paramètres
de stratégie de groupe qui restreignent
ou autorisent le contrôle administratif sur votre environnement AD DS. Vous devez tenir compte des
administrateurs et de leurs exigences lorsque vous concevez des paramètres de stratégie de groupe
qui contrôlent l'ouverture de session locale sur les serveurs, l'accès aux outils d'administration, ainsi
que d'autres tâches d'administration.

• Identifiez les équipes responsables de la gestion des postes de travail. Les utilisateurs situés hors
du groupe d'administration de base peuvent également nécessiter une attention particulière lors
de la conception d'une stratégie de groupe dans votre environnement AD DS. Vous devez tenir
compte de ces utilisateurs lorsque vous concevez des paramètres de stratégie de groupe qui
suppriment des fonctionnalités de gestion telles que l'accès au Panneau de configuration ou
l'accès au Registre. En outre, lorsque vous appliquez des objets de stratégie de groupe, vous
devez prendre en compte l'étendue de l'utilisateur en matière de gestion du poste de travail.
Par exemple, les objets de stratégie de groupe qui autorisent l'accès au Panneau de configuration
pour les utilisateurs basés à Toronto ne doivent pas s'appliquer aux ressources situées à d'autres
emplacements.

• Déterminez la façon dont vous envisagez de déléguer les tâches d'administration. Vous devez
prendre en compte la délégation de tâches d'administration avec des droits limités à des utilisateurs
supplémentaires, par exemple le directeur de filiale, les opérateurs de serveurs d'applications
ou le support technique des utilisateurs. Pour ces utilisateurs, vous devrez peut-être configurer
des paramètres d'objet de stratégie de groupe distincts qui remplacent les paramètres d'objet
de stratégie de groupe appliqués à un niveau supérieur dans la structure des objets de stratégie
de groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-7

Leçon 2
Conception et implémentation des objets de stratégie
de groupe
Chaque objet de stratégie de groupe de votre environnement représente un élément important de
la gestion de la configuration. La conception d'objets de stratégie de groupe comprend l'évaluation
de votre environnement, l'identification de la configuration nécessaire à vos ressources, ainsi que les
outils de stratégie de groupe indispensables à l'implémentation de ces modifications de configuration.

Cette leçon décrit les informations dont vous avez besoin pour concevoir des objets de stratégie
de groupe qui répondent efficacement aux besoins de votre organisation.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
• décrire les options des paramètres de stratégie de groupe ;

• décrire les éléments à prendre en compte lors de la conception de modèles d'administration ;

• décrire les options permettant de gérer le stockage des objets de stratégie de groupe ;
• décrire les considérations relatives aux préférences d'une stratégie de groupe ;

• décrire les meilleures pratiques pour la conception d'objets de stratégie de groupe ;

• expliquer comment implémenter les objets de stratégie de groupe.

Vue d'ensemble des paramètres de stratégie de groupe

Dans l'environnement AD DS, chaque objet
de stratégie de groupe contient des paramètres
qui permettent aux administrateurs de configurer
le comportement du système d'exploitation
des ordinateurs ou de modifier les paramètres
utilisateur de façon centralisée pour préconfigurer
ou appliquer certaines options de configuration.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-8 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Fonctionnement de la stratégie de groupe

La stratégie de groupe dans AD DS fonctionne conjointement avec le moteur de stratégie de groupe
et les bibliothèques de liens dynamiques (DLL) des extensions côté client de la stratégie de groupe, qui
résident sur les systèmes d'exploitation Windows. Le moteur de stratégie de groupe utilise les extensions
côté client pour effectuer les changements nécessaires dans l'environnement du système d'exploitation,
principalement en apportant des modifications au Registre du système d'exploitation Windows. Une fois
ces modifications effectuées, elles sont gérées par le moteur de stratégie de groupe. Par ailleurs, selon
la configuration, il est possible que les utilisateurs ne soient pas autorisés à y accéder. Pour la plupart
des paramètres, il existe généralement deux mécanismes à prendre en compte :

• Configuration des paramètres. Vous pouvez utiliser des objets de stratégie de groupe pour
configurer certains paramètres tels que le serveur proxy, qui est utilisé par les configurations
de Windows® Internet Explorer, de la page d'accueil ou de l'écran de veille.

• Verrouillage des interfaces d'administration. Bien que les paramètres de configuration de l'objet
de stratégie de groupe soient écrits, ils ne sont pas implémentés lorsque l'objet de stratégie de
groupe est appliqué. Par défaut, l'utilisateur peut changer un grand nombre de ces paramètres,
ce qui est approprié pour les paramètres tels que l'écran de veille ou la page d'accueil. Toutefois,
déterminez quels sont les paramètres préconfigurés que l'utilisateur à l'autorisation de modifier
et quels sont les paramètres qui doivent être appliqués. (C'est le cas par exemple des paramètres
qui empêchent l'utilisateur de modifier le serveur proxy ou de désactiver le chiffrement de lecteur
BitLocker.) Par conséquent, vous devez supprimer la possibilité pour l'utilisateur de modifier ces
paramètres spécifiques. Pour ce faire, vous pouvez utiliser les objets de stratégie de groupe.

À l'aide de ces deux mécanismes, l'administrateur peut s'assurer que les modifications de configuration
effectuées à l'aide des paramètres de stratégie de groupe sont persistantes, appliquées et obligatoires.

Structure des paramètres d'objet de stratégie de groupe

Dans chaque objet de stratégie de groupe, les paramètres de stratégie de groupe sont classés
en deux catégories :

• Configuration utilisateur. Les paramètres de configuration utilisateur que vous configurez dans ce
nœud s'appliquent aux objets utilisateur tels que les unités d'organisation, les domaines et les sites.
Les objets de stratégie de groupe sont liés à ces objets dans la structure AD DS. Les paramètres que
vous configurez dans le nœud Configuration utilisateur ne sont implémentés que lorsqu'un utilisateur
auquel s'applique l'objet de stratégie de groupe ouvre une session sur l'ordinateur.

• Configuration ordinateur. Les paramètres de configuration ordinateur s'appliquent à l'environnement

du système d'exploitation Windows, en fonction de l'objet de compte d'ordinateur. Ces paramètres
sont appliqués lorsque l'ordinateur démarre, avant l'ouverture de session de l'utilisateur. Grace à
ce comportement, les paramètres de configuration ordinateur représentent la meilleure solution
en matière de stratégies de sécurité générale.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-9

Dans chaque catégorie de configuration, il existe trois nœuds différents pour les paramètres de stratégie
de groupe. Ces types sont les suivants :

• Paramètres du logiciel. Le nœud Paramètres du logiciel contient les paramètres liés à l'installation
du logiciel.

• Paramètres Windows. Le nœud Paramètres Windows contient les paramètres qui modifient les
éléments tels que les scripts et la redirection de dossiers. Il contient également un vaste ensemble
de paramètres de sécurité qui sont essentiels à l'implémentation de la sécurité de votre domaine
via la stratégie de groupe.

• Modèles d'administration. Le nœud Modèles d'administration contient la majorité des paramètres

individuels dans la stratégie de groupe. Les paramètres par défaut de ce nœud permettent de
contrôler quasiment tous les aspects de l'environnement du système d'exploitation Windows.
Vous pouvez ajouter des nœuds au nœud Modèles d'administration en important les fichiers
.adm ou .admx/.adml qui contiennent les définitions des autres paramètres de stratégie de groupe.
Les modèles d'administration sont décrits de manière plus détaillée plus loin dans ce module.
Ces paramètres peuvent correspondre à une valeur unique (Activé, Désactivé ou Non configuré)
ou à plusieurs valeurs, par exemple les paramètres de proxy d'Internet Explorer. Cela signifie que
les nœuds peuvent contenir plusieurs détails de configuration dans un seul paramètre de stratégie
de groupe.

Outre ces paramètres de stratégie, il existe également des paramètres relatifs aux préférences de
stratégie de groupe dans chaque objet de stratégie de groupe que vous créez dans l'environnement
Windows Server® 2012. Les paramètres relatifs aux préférences de stratégie de groupe ont été
introduits dans Windows Server 2008 et s'appliquent uniquement à Windows Vista® et aux systèmes
d'exploitation clients Windows ultérieurs, ou à Windows Server 2008 et aux systèmes d'exploitation
serveur Windows ultérieurs. Les préférences de stratégie de groupe sont décrites de manière plus
détaillée plus loin dans ce module.

Éléments à prendre en compte pour la conception de modèles

d'administration
Les modèles d'administration de stratégie
de groupe contiennent la majorité des
paramètres configurables dans un objet
de stratégie de groupe. L'objet de stratégie
de groupe Windows Server 2012 par défaut
contient le nœud Modèles d'administration,
qui à son tour contient le nœud Configuration
ordinateur et le nœud Configuration utilisateur.
Chacun de ces nœuds contient les nœuds
suivants :

• Configuration ordinateur

o Panneau de configuration
o Réseau

o Imprimantes

o Système

o Composants Windows
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-10 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

• Configuration utilisateur

o Panneau de configuration

o Bureau

o Réseau

o Dossiers partagés

o Menu Démarrer et barre des tâches

o Système

o Composants Windows
Il existe aussi un nœud pour Tous les paramètres, qui contient les paramètres de tous les autres nœuds.

Extension du nœud Modèles d'administration

Contrairement aux autres nœuds de paramètres d'un objet de stratégie de groupe, vous pouvez
personnaliser le nœud Modèles d'administration. Vous pouvez importer des modèles d'administration
pour les applications Microsoft ou non Microsoft, ou importer des modèles d'administration développés
de manière personnalisée qui étendent les fonctionnalités de configuration de la stratégie de groupe.
Par exemple, Microsoft fournit plusieurs fichiers de modèle d'administration pour Microsoft® Office 2013
et les applications des précédentes versions d'Office, ce qui permet aux administrateurs d'utiliser les
paramètres de stratégie de groupe pour configurer le comportement de ces applications. Déterminez
quelles sont les applications de votre environnement que vous devez configurer à l'aide d'un modèle
d'administration de stratégie de groupe.

Fichiers .adm et .admx/.adml

Windows Server 2003 et les systèmes d'exploitation Windows Server antérieurs stockent les fichiers
de modèle d'administration de stratégie de groupe dans un format propriétaire avec l'extension .adm.
Lorsque vous importez ces fichiers .adm, ils deviennent partie intégrante de la structure de stratégie
de groupe dans AD DS et de chaque objet de stratégie de groupe que vous créez. Les modèles .adm
sont stockés dans chaque objet de stratégie de groupe et sont répliqués dans SYSVOL. Cela peut
donner un nombre total de stratégies de groupe plutôt imposant.
Windows Server 2008 et les versions ultérieures de Windows Server stockent les modèles de stratégie
de groupe en tant que fichiers .admx. Ces fichiers .admx sont des fichiers XML beaucoup plus faciles
à développer et à gérer que les fichiers .adm. Par ailleurs, ils sont indépendants de la langue. Outre
les fichiers .admx, les fichiers .adml contiennent des traductions, ce qui permet aux administrateurs
de différentes langues de voir les noms et les descriptions des paramètres d'une stratégie de groupe
dans la langue de leur choix.

Vous pouvez importer des modèles d'administration .adm, .admx et .adml dans un objet de stratégie
de groupe de Windows Server 2008 et des systèmes d'exploitation Windows Server ultérieurs. Cependant,
à la différence des modèles d'administration .adm, vous importez les modèles d'administration .admx en
copiant les fichiers .admx associés dans le dossier %SYSTEMROOT%\PolicyDefinitions. Les fichiers .adml
doivent être stockés dans un sous-dossier qui indique la langue, par exemple fr-FR pour le français
ou de-DE pour l'allemand. Après avoir copié les fichiers de modèle dans cette arborescence de dossiers,
les paramètres de modèle d'administration définis dans le fichier .admx sont utilisables à des fins de
configuration dans les objets de stratégie de groupe.

Vous pouvez appliquer des stratégies de groupe basées sur des fichiers .admx et .adml aux clients et
aux serveurs via des ordinateurs qui exécutent Windows Vista, Windows Server 2008 ou des versions
ultérieures des systèmes d'exploitation Windows.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-11

Gestion du stockage des objets de stratégie de groupe

La Console de gestion des stratégies de groupe
(GPMC) stocke les objets de stratégie de
groupe sous un nœud d'administration nommé
Objets de stratégie de groupe. Dans AD DS, ce
nœud est le conteneur cn=Policies, cn=System,
dc=domaine. Chaque objet de stratégie de
groupe est stocké sous ce nœud en tant que
conteneur spécial de la classe Active Directory
groupPolicyContainer, et contient des
paramètres généraux, par exemple, l'application
de l'objet de stratégie de groupe aux objets
utilisateur ou ordinateur. Les paramètres de l'objet
de stratégie de groupe sont stockés dans le système de fichiers et sont répliqués via l'arborescence
du dossier SYSVOL.

Options de stockage des modèles de stratégie de groupe

Des composants de stratégie de groupe supplémentaires sont stockés hors de la base de
données AD DS et du dossier SYSVOL. Dans Windows Server 2008 et les versions ultérieures, le
dossier %SYSTEMROOT%\PolicyDefinitions stocke les fichiers de modèle d'administration .admx
avec les fichiers de langue .adml, par défaut. Ce schéma de stockage signifie que chaque contrôleur
de domaine peut avoir un ensemble potentiellement différent de modèles d'administration pour
l'infrastructure de stratégie de groupe. Si vous utilisez fréquemment des fichiers .admx/.adml
personnalisés ou non Microsoft, le stockage local de ces fichiers sur chaque contrôleur de domaine peut
conduire à un environnement ou un comportement incohérent en matière de modification de stratégie
de groupe. En outre, si vous ne mettez pas à jour manuellement le dossier local PolicyDefinitions sur
chaque contrôleur de domaine ou si vous n'écrivez pas un script qui automatise ce processus de mise
à jour, votre système risque d'être l'objet d'une application incohérente des paramètres de modèle
d'administration.

Le magasin central
Pour utiliser la réplication qui se produit entre les contrôleurs de domaine AD DS, vous pouvez créer un
magasin central des fichiers .admx/.adml. Le magasin central est un emplacement de fichier que les outils
de stratégie de groupe vérifient lors de la création et de la modification d'objets de stratégie de groupe.
Dans la mesure où les fichiers sont dans le dossier SYSVOL, ils sont répliqués sur tous les contrôleurs
de domaine du domaine.
Pour créer un magasin central des fichiers .admx/.adml, créez l'emplacement de dossier suivant
sur n'importe quel contrôleur de domaine, en remplaçant FQDN par le nom de domaine complet :

%SYSTEMROOT%\SYSVOL\<FQDN>\policies\PolicyDefinitions
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-12 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Par exemple, pour créer un magasin central pour le domaine [Link], créez le dossier
suivant sur un contrôleur de domaine du domaine [Link] :

%SYSTEMROOT%\SYSVOL\[Link]\Policies\PolicyDefinitions

Vous devez ensuite stocker tous les fichiers de modèle d'administration .admx à cet emplacement,
puis copier le dossier de langue (par exemple, fr-FR) avec les fichiers .adml qu'il contient.

Éléments à prendre en compte pour le stockage des stratégies de groupe

Lorsque vous concevez le stockage des stratégies de groupe, tenez compte des éléments suivants :

• Utilisez le magasin central si votre organisation se sert de fichiers .admx et .adml personnalisés
ou supplémentaires.

• Tous les ordinateurs utilisés pour administrer les paramètres d'un objet de stratégie de groupe
vont d'abord tenter de trouver le magasin central pour accéder aux modèles d'administration.

• Les clients membres du domaine ou les serveurs membres du domaine n'ont pas besoin
de contacter le magasin central lorsqu'ils ne font qu'appliquer des stratégies de groupe.

S'il n'existe aucun magasin central, les clients utilisés pour la gestion des stratégies de groupe se
servent des fichiers situés dans leur dossier %SYSTEMROOT%\PolicyDefinitions local. Cela peut être
problématique si l'ordinateur client ne contient pas les mêmes modèles d'administration qu'un contrôleur
de domaine ou que tout autre client d'administration utilisé pour modifier l'objet de stratégie de groupe.

Éléments à prendre en compte pour la conception des préférences

de stratégie de groupe
Les préférences de stratégie de groupe
comprennent toute une plage de paramètres
d'objet de stratégie de groupe configurables
Auparavant, vous étiez obligé d'implémenter
ces paramètres à l'écart de la stratégie de groupe.
Les paramètres d'objet de stratégie de groupe
configurables comprennent le mappage d'un
lecteur réseau, la modification de clés de Registre,
ainsi que la création et le partage de dossiers
et de fichiers locaux. Un objet de stratégie de
groupe stocke ces paramètres dans son nœud
Préférences, qui est inclus à la racine des nœuds
Configuration ordinateur et Configuration utilisateur.

Windows Server 2008 et les systèmes d'exploitation Windows Server ultérieurs, ainsi que
Windows Vista Service Pack 2 (SP2) et les systèmes d'exploitation Windows ultérieurs prennent en
charge les préférences de stratégie de groupe de manière native. En outre, pour Windows Server 2003,
Windows Vista Service Pack 1 (SP1) et les systèmes d'exploitation Windows antérieurs, vous pouvez
télécharger et installer les extensions côté client des préférences de stratégie de groupe afin de fournir
une prise en charge des préférences sur ces systèmes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-13

Les préférences de stratégie de groupe sont similaires aux paramètres de stratégie de groupe, car elles
appliquent des configurations au compte d'utilisateur ou à l'ordinateur. Toutefois, la façon dont vous
configurez et appliquez les préférences de stratégie de groupe diffère. Les différences entre les options
de configuration des préférences de stratégie de groupe et des paramètres de stratégie de groupe sont
les suivantes :
• Contrairement aux paramètres de stratégie de groupe, AD DS n'applique pas les paramètres relatifs
aux préférences de stratégie de groupe.

• Vous pouvez utiliser les paramètres de stratégie de groupe pour désactiver l'interface utilisateur des
paramètres gérés par la stratégie. Toutefois, en règle générale, les préférences de stratégie de groupe
ne disposent pas de cette option.

• AD DS applique les paramètres de stratégie de groupe à intervalles réguliers mais n'applique

les préférences de stratégie de groupe qu'une seule fois, ou à des intervalles spécifiques.

• L'utilisateur final peut modifier les paramètres de préférence appliqués via la stratégie de groupe.
Toutefois, vous pouvez configurer les paramètres de stratégie de groupe pour empêcher les
utilisateurs de les modifier.

• Dans certains cas, vous pouvez configurer le même paramètre via un paramètre de stratégie
de groupe et une préférence de stratégie de groupe. Si vous configurez et appliquez des
paramètres en conflit pour un même objet, la valeur du paramètre de stratégie de groupe
prévaut sur la préférence de stratégie de groupe.

• Les préférences de stratégie de groupe remplacent les paramètres d'origine alors que les paramètres
de stratégie de groupe ne le font généralement pas.

Configuration des préférences de stratégies de groupe

Les préférences de stratégie de groupe offrent plusieurs options de configuration que vous pouvez utiliser
pour gérer la façon dont elles sont appliquées par AD DS. Il s'agit notamment des options suivantes :

• Arrêter le traitement des éléments de cette extension si une erreur survient. Si une erreur se
produit pendant le traitement d'une préférence de stratégie de groupe, aucune autre préférence
dans cet objet de stratégie de groupe ne sera traitée.

• Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de stratégie utilisateur).

Les préférences de stratégie de groupe peuvent s'exécuter sous l'identité du compte système pour
l'utilisateur connecté. Cette option force le contexte de l'utilisateur connecté. Elle est donc disponible
uniquement dans les préférences de stratégie de groupe, dans le nœud Configuration utilisateur.

• Supprimer l'élément lorsqu'il n'est plus appliqué. Contrairement à la plupart des paramètres de
stratégie, AD DS ne supprime pas les préférences de stratégie de groupe lorsque l'objet de stratégie
de groupe qui en est à l'origine est supprimé. Cette option modifie ce comportement et oblige AD DS
à supprimer la préférence de stratégie de groupe lorsque l'objet de stratégie de groupe est supprimé.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-14 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

• Appliquer une fois et ne pas réappliquer. Normalement, AD DS actualise les préférences de

stratégie de groupe à la même fréquence que les paramètres de stratégie de groupe. Cette option
modifie ce comportement pour appliquer le paramètre une seule fois à l'ouverture de session
ou au démarrage.

• Ciblage au niveau de l'élément. Cette option vous permet de spécifier des critères qui déterminent
exactement quels sont les utilisateurs ou ordinateurs qui recevront une préférence de stratégie
de groupe. Les critères sont les suivants :

o Nom de l'ordinateur
o Plage d'adresses IP

o Système d'exploitation

o Groupe de sécurité

o Utilisateur

Meilleures pratiques pour la conception d'objets de stratégie de groupe

Parmi les différents facteurs clés que vous devez
prendre en compte lorsque vous concevez
des objets de stratégie de groupe, la facilité
de gestion est l'un des plus importants.

Gestion des objets de stratégie

de groupe
Le nombre d'objets de stratégie de groupe
de votre conception de stratégie de groupe
et la complexité des paramètres de chaque
objet de stratégie de groupe ont une incidence
sur la facilité de gestion de l'infrastructure
de stratégie de groupe. En règle générale,
vous basez la création et la dénomination de votre objet de stratégie de groupe sur une fonction
ou des ressources. Selon les besoins de votre organisation, votre environnement peut contenir
l'un ou l'autre des types d'objet de stratégie de groupe, ou les deux.

Objets de stratégie de groupe basés sur des fonctions

Les objets de stratégie de groupe qui contiennent des paramètres moins nombreux et plus spécifiques
vous permettent de nommer chaque objet de stratégie de groupe selon sa fonctionnalité spécifique.
Par exemple, vous pouvez créer des objets de stratégie de groupe nommés Limiter l'accès au Panneau
de configuration, Mapper les lecteurs des ventes et Désactiver les Outils d'administration. Lorsque la
stratégie de groupe applique ces configurations à un groupe d'ordinateurs de votre environnement,
vous pouvez lier la stratégie de groupe correspondante aux unités d'organisation applicables. Ce type
de méthode de dénomination des objets de stratégie de groupe permet de déterminer facilement
la configuration imposée par votre stratégie de groupe. Vous pouvez également réutiliser les objets
de stratégie de groupe et les lier à plusieurs groupes d'ordinateurs qui nécessitent le même type
de fonctionnalité. Toutefois, cette méthode nécessite également de créer et d'administrer un
grand nombre d'objets de stratégie de groupe et de liens vers les objets de stratégie de groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-15

Objets de stratégie de groupe basés sur des ressources

Lorsque vous nommez des objets de stratégie de groupe d'après des ressources, vous nommez
l'objet de stratégie de groupe souhaité en fonction des ressources auxquelles vous l'appliquez. Par
exemple, vous pouvez créer un objet de stratégie de groupe unique nommé Portables New York et
placer tous les paramètres de stratégie de groupe qui doivent s'appliquer aux ordinateurs portables
situés à New York dans cet objet de stratégie de groupe. Le modèle général de conception et de
dénomination de cette méthode décrit ce à quoi l'objet de stratégie de groupe s'applique plutôt que
ce qu'il fait. Cette méthode permet généralement de réduire le nombre d'objets de stratégie de groupe,
sauf si vous avez un grand nombre de groupes de ressources. Cette méthode permet également aux
administrateurs de lier et d'appliquer plus facilement des objets de stratégie de groupe au sein de la
structure, car l'objet de stratégie de groupe est déjà nommé pour la ressource qu'il est destiné à gérer.

Meilleure pratique pour la gestion des objets de stratégie de groupe

Les objets de stratégie de groupe affectent de manière significative les délais de connexion et de
démarrage des utilisateurs et des ordinateurs. Par conséquent, il est plus avantageux de disposer
d'un petit nombre d'objets de stratégie de groupe afin de permettre aux utilisateurs de commencer
à travailler plus rapidement. Toutefois, il n'est pas très pertinent d'utiliser des stratégies générales
à la place de stratégies spécifiques. Par conséquent, nous vous recommandons d'associer tous les
paramètres qui s'appliquent à un grand groupe de clients ou de serveurs au niveau le plus élevé, par
exemple en fonction des clients de l'entreprise, en fonction de la localisation ou en fonction du type
d'appareil (selon qu'il s'agit d'un ordinateur de bureau, d'un ordinateur portable ou d'une tablette).
Vous pouvez ensuite créer de petites stratégies pour des paramètres spécifiques qui ne s'appliquent
qu'à un sous-ensemble d'ordinateurs ou d'utilisateurs.

Autres meilleures pratiques pour les objets de stratégie de groupe

Prenez en compte les meilleures pratiques suivantes pour la conception et l'implémentation d'objets
de stratégie de groupe :

• Testez toujours les effets d'un objet de stratégie de groupe dans un environnement de test avant
de l'appliquer à votre structure de domaine Active Directory en environnement de production.
En veillant à utiliser des ordinateurs et des utilisateurs en environnement de test, créez une filiale
de test dans la structure de votre unité d'organisation afin d'y tester les stratégies avant de les
appliquer à l'ensemble des utilisateurs.

• Créez une structure d'unités d'organisation correctement conçue pour vous assurer que la
dénomination et l'affectation des objets de stratégie de groupe est une tâche simple. Chaque
fois que cela est possible, restructurez vos unités d'organisation selon les meilleures pratiques
décrites précédemment dans ce module.

• Nommez vos objets de stratégie de groupe de manière suffisamment spécifique. Les administrateurs
doivent être en mesure de déterminer à la fois la fonction générale d'un objet de stratégie de groupe
ou les ressources auxquelles un objet de stratégie de groupe s'applique (et parfois les deux) à partir
du nom de l'objet de stratégie de groupe.
• N'utilisez pas les termes stratégie ou objet de stratégie de groupe dans vos noms d'objet de stratégie
de groupe. Ces termes sont redondants et utilisent des caractères dont vous pouvez vous servir plutôt
pour une dénomination descriptive.
• Documentez les paramètres d'objet de stratégie de groupe et l'emplacement où les objets de
stratégie de groupe sont liés. Cela contribue à la résolution des problèmes. La Console de gestion
des stratégies de groupe et ses scripts associés vous aident à exporter un rapport des paramètres
de stratégie de groupe, que vous pouvez ensuite stocker sur un partage de fichiers ou un site
Microsoft SharePoint® pour votre personnel d'administration.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-16 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Démonstration : Implémentation d'objets de stratégie de groupe

Prenez en compte le scénario suivant pour l'implémentation d'objets de stratégie de groupe.
Chez A. Datum Corporation, le responsable de la sécurité des informations a récemment annoncé
une stratégie de sécurité qui vérifie que la durée de vie des mots de passe ne dépasse pas 45 jours.
Après l'implémentation de ces stratégies à l'aide de stratégies de mot de passe affinées, les
administrateurs se sont rendu compte que le mot de passe administrateur de restauration des
services d'annuaire n'était pas facile à changer. Ce mot de passe doit être réinitialisé sur chaque
contrôleur de domaine à l'aide de l'outil en ligne de commande Ntdsutil. En outre, il est très difficile
à utiliser dans un script, car le mot de passe doit être entré deux fois, et dans ce scénario, le recours à
un fichier d'entrée ne fonctionne pas.

Toutefois, l'un des administrateurs a découvert que le mot de passe de l'utilisateur pouvait être
synchronisé. Par conséquent, A. Datum a décidé de créer une stratégie et une tâche planifiée sur
les contrôleurs de domaine afin de s'assurer que tous les contrôleurs de domaine modifient le mot
de passe administrateur de restauration des services d'annuaire lorsque l'administrateur réinitialise
le mot de passe sur un compte de service spécifique.

Dans cette démonstration, vous allez apprendre à :

• créer un utilisateur du service DSRM ;

• créer une stratégie de groupe ;

• créer une tâche planifiée à l'aide des préférences de stratégie de groupe ;

• lier la stratégie à l'unité d'organisation Domain Controllers.

Procédure de démonstration

Créer un utilisateur du service DSRM

1. Basculez vers LON-DC1.

2. Ouvrez le Centre d'administration Active Directory et créez un utilisateur dans le conteneur

Users avec les paramètres suivants :

• Nom : srv_dsrm

• Mot de passe : Pa$$w0rd

• Options de mot de passe : Le mot de passe n'expire jamais

3. Désactivez l'utilisateur srv_dsrm.

Créer une stratégie de groupe

• Créez une stratégie de groupe nommée DSRM_Pwd.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-17

Créer une tâche planifiée à l'aide des préférences de stratégie de groupe

• Modifiez la stratégie de groupe DSRM_Pwd. Sous Configuration ordinateur\Préférences,
créez une tâche planifiée avec les paramètres suivants :

o Action : Créer

o Nom : Synchroniser le mot de passe DSRM

o Exécuter en tant que : Système

o Exécuter même si l'utilisateur n'est pas connecté : Activé

o Ne pas stocker le mot de passe. La tâche n'aura accès qu'aux ressources locales : Activé

o Déclencheur : Sous À l'heure programmée, spécifiez les paramètres suivants :

 Paramètres : Tous les jours
 Répéter tous les : 1 jours
 Répéter la tâche toutes les : 1 heure
o Action : Démarrer un programme.

o Programme : C:\windows\system32\[Link]
o Arguments : "set dsrm password" "sync from domain account srv_dsrm" quit quit

Lier la stratégie à l'unité d'organisation Domain Controllers

• Liez l'objet de stratégie de groupe DSRM_Pwd à l'unité d'organisation Domain Controllers.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-18 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Leçon 3
Conception du traitement des objets de stratégie
de groupe
La façon dont vous appliquez des objets de stratégie de groupe dans votre environnement de
domaine AD DS détermine quels sont les paramètres appliqués aux utilisateurs et aux ordinateurs.
Une application inadéquate des objets de stratégie de groupe peut empêcher les paramètres d'affecter
les utilisateurs et ordinateurs appropriés. En outre, cela peut compliquer la résolution des problèmes de
l'environnement de stratégie de groupe. Une conception efficace du traitement de la stratégie de groupe
consiste à savoir comment les paramètres sont traités par la stratégie de groupe et à identifier les outils
et méthodes disponibles pour rendre le traitement de ces paramètres de stratégie de groupe aussi
efficace que possible.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les éléments à prendre en compte pour la conception de l'héritage d'une stratégie
de groupe ;

• décrire les éléments à prendre en compte pour la conception du filtrage d'une stratégie
de groupe ;

• décrire la détection d'une liaison lente ;

• décrire les éléments à prendre en compte pour la conception du traitement d'une stratégie
de groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-19

Éléments à prendre en compte pour la conception de l'héritage

d'une stratégie de groupe
Vous pouvez créer et lier plusieurs objets
de stratégie de groupe dans n'importe quelle
unité d'organisation au sein d'AD DS. Vous
devez définir les paramètres que vous souhaitez
appliquer à un vaste ensemble d'utilisateurs
ou d'ordinateurs d'une organisation à l'aide des
objets de stratégie de groupe liés aux conteneurs
parents. Les conteneurs enfants héritent des
paramètres des conteneurs parents via l'héritage
de stratégie de groupe. L'héritage de stratégie
de groupe associe les paramètres d'objet
de stratégie de groupe qui s'appliquent
aux conteneurs parents aux paramètres qui sont liés aux conteneurs enfants. Vous pouvez utiliser
les méthodes suivantes pour contrôler l'héritage dans l'environnement de stratégie de groupe :

• Bloquer l'héritage. Vous pouvez bloquer l'héritage de stratégie pour un domaine ou une unité
d'organisation. Le blocage de l'héritage empêche les objets enfants d'hériter des paramètres
des objets de stratégie de groupe qui sont liés aux conteneurs parents.

• Application. Vous pouvez définir un lien d'objet de stratégie de groupe afin qu'il soit prioritaire sur
les paramètres des objets enfants. Grâce à cette application, le lien d'objet de stratégie de groupe
parent est toujours prioritaire sur le lien d'objet de stratégie de groupe enfant, si l'objet de stratégie
de groupe contient des paramètres en conflit. Les objets de stratégie de groupe appliqués remplacent
le blocage de l'héritage.
Vous devez utiliser le blocage d'héritage et l'application d'objets de stratégie de groupe uniquement
si vous ne pouvez pas utiliser d'autres options. En effet, le blocage d'héritage et l'application d'objets
de stratégie de groupe sont susceptibles d'avoir un impact sur la résolution ultérieure des problèmes
de stratégie de groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-20 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Meilleures pratiques pour la conception de l'héritage des objets de stratégie

de groupe
Lors de la conception d'une infrastructure de stratégie de groupe pour votre domaine, prenez en
compte les meilleures pratiques suivantes en matière d'héritage des objets de stratégie de groupe :

• Liez les objets de stratégie de groupe à un niveau aussi élevé que possible dans votre structure
de domaine AD DS. Cela permet aux objets de stratégie de groupe, en particulier ceux qui ont des
paramètres à l'échelle du domaine, de tirer parti de l'héritage. Le fait de lier des objets de stratégie
de groupe à un niveau supérieur dans la structure permet de réduire le nombre de liens d'objets
de stratégie de groupe que vous devez créer ou gérer lorsque vous ajoutez des unités d'organisation
supplémentaires aux niveaux inférieurs.

• Ne bloquez l'héritage que lorsque cela est nécessaire. Le blocage d'héritage peut être une option
utile pour fournir à certaines ressources de votre structure AD DS un ensemble d'objets de stratégie
de groupe qui diffèrent d'autres ressources d'objets de stratégie de groupe. Toutefois, l'utilisation
excessive du blocage d'héritage peut rendre un environnement d'objets de stratégie de groupe
confus et incohérent. Il est possible que les administrateurs qui appliquent des objets de stratégie
de groupe à un niveau supérieur ignorent quels sont les domaines que vous avez bloqués dans
votre structure d'héritage.
• Appliquez des liens uniquement pour les objets de stratégie de groupe critiques et liés à la sécurité.
L'application remplace les méthodes d'exception potentielles qui s'appliquent plus bas dans la
structure, par exemple le blocage de l'héritage et l'application d'objets de stratégie de groupe
aux unités d'organisation enfants. Par conséquent, utilisez l'application pour les objets de stratégie
de groupe qui contiennent des paramètres que vous souhaitez appliquer à tous les clients.

• Pensez à utiliser des options telles que le filtrage des groupes de sécurité et l'infrastructure WMI
pour la configuration des exceptions spécifiques aux objet de stratégie de groupe que vous souhaitez
appliquer à des niveaux élevés dans la structure de l'unité d'organisation. Le filtrage fournit souvent
un niveau de contrôle supérieur sur l'application d'objets de stratégie de groupe. En outre, il vous
permet d'appliquer des objets de stratégie de groupe aux objets de différentes unités d'organisation.

• Documentez votre environnement d'objets de stratégie de groupe. La documentation de votre

environnement d'objets de stratégie de groupe doit inclure le détail des niveaux où les objets de
stratégie de groupe sont bloqués, ainsi que les paramètres spécifiques tels que l'application et le
filtrage des objets de stratégie de groupe. Cela permet aux autres administrateurs de comprendre
la conception des objets de stratégie de groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-21

Éléments à prendre en compte pour la conception du filtrage

d'une stratégie de groupe
Vous pouvez utiliser le filtrage de stratégie
de groupe si vous devez empêcher ou autoriser
des utilisateurs ou ordinateurs spécifiques
d'appliquer des objets de stratégie de groupe.
Le filtrage de stratégie de groupe peut être utile
pour la redirection de dossiers et l'installation
de logiciels lorsque vous voulez appliquer un
objet de stratégie de groupe à un vaste ensemble
de ressources du domaine, mais aussi lorsque
vous devez affiner davantage les ressources
de domaine auxquelles la stratégie s'applique.
Vous pouvez également utiliser le filtrage
de stratégie de groupe pour contrôler l'étendue d'application d'un objet de stratégie de groupe quand la
structure de l'unité d'organisation existante ne prévoit pas de séparation ou de catégorisation adéquate.

Tenez compte des éléments suivants lors de la conception du filtrage de stratégie de groupe :

• Utilisez des filtres sur les objets de stratégie de groupe qui sont liés à un niveau élevé dans la
structure de domaine. En règle générale, le groupe de sécurité et les filtres WMI sont plus efficaces
lorsque vous les utilisez dans un objet de stratégie de groupe qui s'applique à l'ensemble du
domaine ou à une grande partie du domaine. Ces objets de stratégie de groupe affectent la
plupart ou l'ensemble des utilisateurs et des ordinateurs. En effectuant un filtrage à ce niveau,
vous êtes moins susceptible d'omettre par inadvertance des utilisateurs ou des ordinateurs qui
répondent aux critères de recherche du groupe ou de la requête WMI, mais qui ne font pas partie
de l'arborescence de l'unité d'organisation à laquelle l'objet de stratégie de groupe s'applique.

• Utilisez le filtrage de groupe de sécurité pour sélectionner un groupe spécifique d'utilisateurs

ou d'ordinateurs qui se trouvent dans différentes unités d'organisation. Un utilisateur ou un
ordinateur doit disposer des autorisations Lire et Appliquer la stratégie de groupe pour l'objet
de stratégie de groupe à appliquer. Par défaut, le groupe Utilisateurs authentifiés dispose de ces
deux autorisations pour les objets de stratégie de groupe. Grâce aux groupes de sécurité, vous
pouvez affiner les groupes d'ordinateurs et d'utilisateurs auxquels appliquer l'objet de stratégie
de groupe.

• Évitez de refuser des autorisations pour la gestion de la stratégie de groupe. Lorsque vous refusez
l'accès, les autorisations refusées sont prioritaires sur les autres autorisations accordées.

• Utilisez des filtres WMI pour sélectionner un groupe spécifique d'ordinateurs. Pour déterminer
l'étendue des objets de stratégie de groupe en fonction des attributs de l'ordinateur cible, vous
pouvez utiliser des filtres WMI. Un filtre WMI comprend une ou plusieurs requêtes du langage
de requêtes WMI (WQL) qui s'exécutent sur le référentiel WMI de l'ordinateur cible. Cela est
particulièrement utile si vous souhaitez appliquer des stratégies en fonction du matériel, par exemple,
lorsque vous ciblez un modèle de portable spécifique ou des ordinateurs ayant suffisamment
d'espace disque sur leur lecteur C. Lorsque vous ne pouvez pas utiliser de filtres WMI, vous devez
utiliser le filtrage de groupe de sécurité.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-22 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Présentation de la détection de liaison lente

Dans Windows Server 2012, la stratégie de
groupe détermine la vitesse de liaison à l'aide
du service Connaissance des emplacements
réseau, qui échantillonne le trafic TCP
(Transmission Control Protocol) actif
entre le client et le contrôleur de domaine.

Vous pouvez utiliser un paramètre de stratégie

de groupe pour définir le paramètre d'une
liaison lente lorsque vous appliquez des objets
de stratégie de groupe. Si vous ne configurez
pas ce paramètre, la valeur par défaut définit
un débit inférieur à 500 kilo-octets par seconde
(Kbits/s) comme une liaison lente.

Vous pouvez contrôler partiellement les extensions de stratégie de groupe que la stratégie de groupe
peut traiter via une liaison lente. Par défaut, lorsque vous effectuez un traitement via une liaison lente,
la stratégie de groupe ne traite pas tous les composants. Les liaisons lentes sont disponibles pour
les paramètres suivants :

• Configuration ordinateur. Spécifiez les paramètres de détection d'une liaison lente de stratégie
de groupe pour les ordinateurs via le paramètre de stratégie de groupe permettant de configurer
la détection d'une liaison lente de stratégie de groupe, situé dans le nœud Stratégie de groupe
sous Configuration ordinateur\Modèles d'administration\Système. L'unité de mesure
de la vitesse de connexion est Kbits/s.

• Configuration utilisateur. Configurez la stratégie de liaison lente pour les utilisateurs via
le paramètre de stratégie de groupe permettant de configurer la détection d'une liaison lente
de stratégie de groupe, situé dans le nœud Stratégie de groupe sous Configuration utilisateur\
Modèles d'administration\Système.

• Profils utilisateurs. Configurez un délai d'expiration de connexion réseau lente pour les profils
utilisateurs en modifiant le paramètre de stratégie Attendre le chargement du profil itinérant,
situé dans le nœud Profils utilisateurs sous Configuration ordinateur\Modèles d'administration\
Système. Si vous activez le paramètre de stratégie Ne pas détecter les connexions réseau lentes,
le délai d'expiration des connexions réseau lentes pour le paramètre de stratégie des profils
utilisateurs n'est pas valide.

Si AD DS détecte une liaison lente, le client ne traite pas les extensions côté client qui peuvent nécessiter
une bande passante réseau importante. Par défaut, AD DS ne traite pas les extensions côté client suivantes
sur une liaison lente :

• Installation de logiciel

• Scripts

• Redirection de dossiers

• Quotas de disque

• Connexions d'imprimantes déployées

• Paramètres de sécurité du Registre

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-23

En outre, les extensions côté client pour les paramètres de modèles d'administration et de sécurité sont
toujours appliquées, indépendamment du fait qu'une liaison lente soit détectée ou non. Vous ne pouvez
pas modifier ce comportement.

Lorsque vous utilisez des profils itinérants, l'activation du paramètre de stratégie Supprimer les copies
mises en cache des profils itinérants supprime la copie locale du profil itinérant. Par conséquent,
lorsque l'ordinateur détecte une connexion lente, aucune copie locale du profil itinérant n'est disponible
pour être chargée.

Éléments à prendre en compte pour la conception du traitement

d'une stratégie de groupe
Lors de la conception du traitement global
de votre environnement de stratégie de
groupe, vous devez prendre en compte
plusieurs facteurs qui peuvent être classés
généralement en deux catégories :
administration et performances.

Administration
En règle générale, le nombre d'objets de
stratégie de groupe de votre environnement
Active Directory, ainsi que votre mode de
création et de dénomination de ces objets de
stratégie de groupe affectent la façon dont vous
administrez leur application et leur traitement. Lorsque vous implémentez des objets de stratégie de
groupe, vous pouvez simplifier le travail d'administration requis par le traitement des objets de stratégie
de groupe en prenant en compte les meilleures pratiques suivantes :

• Regroupez les ordinateurs et les utilisateurs qui ont les mêmes exigences dans la même unité
d'organisation.

• Séparez les objets ordinateur des objets utilisateur en les plaçant dans des unités d'organisation
distinctes.

• Évitez de lier des objets de stratégie de groupe aux structures d'unités d'organisation imbriquées
très profondément, car l'existence de plusieurs objets de stratégie de groupe à chaque niveau
rend leur gestion plus complexe et peut accroître le délai de connexion des utilisateurs.

• Documentez la conception des objets de stratégie de groupe. Veillez à inclure la structure d'unités
d'organisation Active Directory avec les objets de stratégie de groupe définis et liés à chaque
conteneur dans votre documentation des objets de stratégie de groupe. Vous devez également
documenter les paramètres de chaque objet de stratégie de groupe. Vous pouvez utiliser
la Console de gestion des stratégies de groupe pour générer des rapports HTML de tous
les paramètres d'objet de stratégie de groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-24 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Performances
La façon dont les ordinateurs clients traitent les objets de stratégie de groupe est un autre élément
important à prendre en compte lors de la conception du traitement des objets de stratégie de groupe.
Lorsque vous concevez votre structure d'objets de stratégie de groupe, vous devez prendre en compte
les facteurs de performances suivants pour l'environnement d'objets de stratégie de groupe :

• Actualisation de la stratégie de groupe

• Modification et traitement des objets de stratégie de groupe

Actualisation de la stratégie de groupe

Les objets de stratégie de groupe sont traités sur les ordinateurs clients durant deux phases
d'actualisation distinctes : actualisation de premier plan et actualisation en tâche de fond. Durant
ces phases d'actualisation, les extensions côté client des ordinateurs clients sont responsables de
la mise en œuvre des modifications du système d'exploitation en fonction des objets de stratégie
de groupe appliqués, ainsi que des modifications qui ont pu être apportées aux objets de stratégie
de groupe. Les deux types d'actualisation sont les suivants :

• Actualisation de premier plan. L'actualisation de premier plan se produit au démarrage de

l'ordinateur pour les paramètres de configuration ordinateur et à l'ouverture de session utilisateur
pour les paramètres de configuration utilisateur. Durant cette phase d'actualisation, la stratégie
de groupe traite toutes les extensions côté client.

• Actualisation en tâche de fond. L'actualisation en tâche de fond se produit après l'actualisation

de premier plan initiale, puis à des intervalles répétés en fonction du paramètre d'intervalle
d'actualisation de la stratégie de groupe. (Ce paramètre est de 90 minutes par défaut sur les
membres de domaine et de 5 minutes par défaut sur les contrôleurs de domaine.) Certaines
extensions côté client, notamment l'installation de logiciels et la redirection de dossiers,
ne s'exécutent pas durant une actualisation en tâche de fond.

Modification et traitement des objets de stratégie de groupe

Lorsque vous modifiez les paramètres d'un seul objet de stratégie de groupe, bien souvent, seuls les
paramètres des extensions côté client associées sont traités sur les ordinateurs clients. Toutefois, si une
stratégie a d'autres stratégies dans son étendue, les extensions côté client de ces stratégies sont traitées,
indépendamment du fait qu'elles aient été modifiées ou non. Ce comportement garantit que les objets
de stratégie de groupe liés à un niveau inférieur (ou supérieur) dans la structure AD DS ne peuvent
pas affecter ni remplacer le paramètre nouvellement configuré.

En raison de ce comportement, il est important d'éviter d'avoir plusieurs objets de stratégie de

groupe avec un grand nombre de paramètres ou d'utiliser des extensions côté client nécessitant
des performances importantes dans la même étendue, surtout si l'un des objets de stratégie
de groupe doit être modifié fréquemment.

Question : Comment pensez-vous remodeler votre infrastructure de stratégie de groupe

en tenant compte des informations des trois dernières leçons ? Quels problèmes vous
attendez-vous à rencontrer lors de l'implémentation de ces modifications ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-25

Leçon 4
Planification de la gestion des stratégies de groupe
La gestion d'un environnement de stratégie de groupe peut être une tâche délicate, notamment lorsque
plusieurs administrateurs travaillent ensemble pour administrer un environnement AD DS de grande taille.
La protection de votre environnement de stratégie de groupe contre les modifications indésirables et sa
résilience en cas de problème sont des aspects importants du processus d'administration des stratégies
de groupe.
Vous devez implémenter, sauvegarder et documenter correctement vos objets de stratégie de groupe
pour vous assurer que vous pouvez récupérer votre environnement de stratégie de groupe en cas
de défaillance.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
• décrire les éléments à prendre en compte pour la conception de la sauvegarde et de la récupération
d'une stratégie de groupe ;

• décrire les éléments à prendre en compte pour la migration des objets de stratégie de groupe ;
• décrire les éléments à prendre en compte pour la conception de l'administration d'une stratégie
de groupe ;

• expliquer comment gérer des objets de stratégie de groupe.

Éléments à prendre en compte pour la conception de la sauvegarde

et de la récupération d'une stratégie de groupe
Vous pouvez utiliser la Console de gestion
des stratégies de groupe pour sauvegarder
et restaurer des objets de stratégie de groupe.
La sauvegarde d'un objet de stratégie de groupe
permet d'enregistrer sur le système de fichiers
toutes les informations stockées par l'objet
de stratégie de groupe. Vous pouvez ensuite
utiliser la fonctionnalité de sauvegarde des
objets de stratégie de groupe pour restaurer
l'objet de stratégie de groupe à l'état dans
lequel il se trouvait au moment de la sauvegarde,
ou pour restaurer les paramètres de la sauvegarde
vers un autre objet de stratégie de groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-26 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

La Console de gestion des stratégies de groupe comprend les fonctionnalités suivantes en matière
de sauvegarde et de restauration pour la gestion des stratégies de groupe :

• Sauvegarde. La sauvegarde d'un objet de stratégie de groupe permet de copier les données de
l'objet de stratégie de groupe sur le système de fichiers. La fonction de sauvegarde sert aussi
de fonction d'exportation pour les objets de stratégie de groupe.

• Restauration. La restauration d'un objet de stratégie de groupe permet de recréer l'objet de stratégie
de groupe à partir des données de sauvegarde. Vous pouvez utiliser l'opération de restauration pour
récupérer un objet de stratégie de groupe supprimé à partir de sa dernière version de sauvegarde
et pour restaurer un objet de stratégie de groupe actif à un état antérieur connu.

Dans votre stratégie de récupération, vous devez prendre en compte les données stockées en dehors de
l'objet de stratégie de groupe, car vous ne pouvez pas sauvegarder ces données à l'aide de la Console
de gestion des stratégies de groupe. La fonctionnalité de restauration ne restaure pas les objets qui ne
font pas partie de l'objet de stratégie de groupe, notamment les liens vers un site, un domaine, une unité
d'organisation, les filtres WMI et les stratégies IPsec (Internet Protocol security).

En outre, votre document de conception doit comporter les étapes nécessaires pour récupérer ou recréer
les données en cas de problème.

Windows Server 2012 vous offre un ensemble d'applets de commande Windows PowerShell® qui peuvent
signaler d'autres paramètres utiles lors de la restauration d'objets de stratégie de groupe. Quelques
exemples de ces applets de commande sont répertoriés dans le tableau suivant.

Applet de commande Description

Get-Command * -Module GroupPolicy Répertorie toutes les applets de commande

disponibles pour l'administration de la stratégie
de groupe.

Get-GPOReport –ReportType HTML –All | Crée un fichier HTML de tous les objets de stratégie
Out-File <fichier_sortie.html> de groupe, qui contient les informations suivantes :
• Où l'objet de stratégie de groupe est-il lié ?
• Quels sont les filtres WMI utilisés ?
• Quels sont les filtres de sécurité pour l'objet
de stratégie de groupe ?
• Quels sont les paramètres de l'objet de stratégie
de groupe ?

Get-GPPermissions –Name <GPO> -All Répertorie le filtrage de sécurité et d'autres

autorisations de l'objet de stratégie de groupe spécifié.

Invoke-GPUpdate –force Réévalue et réapplique toutes les stratégies de groupe

au système local et à l'utilisateur actuellement
connecté.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-27

Éléments à prendre en compte pour la migration des objets de stratégie

de groupe
Une partie de l'implémentation d'une
conception de stratégie de groupe dans un
nouvel environnement de domaine implique
la migration des paramètres applicables à
partir de l'ancien environnement de domaine.
La migration de stratégies de groupe consiste
à déplacer ou copier un ou plusieurs objets
de stratégie de groupe de leur domaine source
d'origine au nouveau domaine de destination.
En règle générale, les migrations d'objets
de stratégie de groupe sont de deux types :

• Migration d'un environnement de test vers

un environnement de production. Ces migrations impliquent généralement une structure de
domaine de test que vous établissez pour des tests de pré-implémentation. Une fois que vous
avez terminé les tests et que l'environnement de test est prêt pour la mise en production,
vous pouvez faire migrer les objets de stratégie de groupe du domaine de test vers le
nouveau domaine de production.

• Migration d'un environnement de production vers un environnement de production. Ce scénario

de migration implique la migration d'objets de stratégie de groupe du précédent domaine
de production vers le nouveau domaine de production.

Pour migrer les objets de stratégie de groupe, vous avez le choix entre les trois opérations suivantes :

• Copie. Une opération de copie permet de copier un objet de stratégie de groupe actif existant dans
le domaine de destination souhaité. Ce processus crée toujours un objet de stratégie de groupe.
Vous pouvez exécuter le processus de copie à partir de la Console de gestion des stratégies
de groupe dans le domaine d'origine.

• Importation. Une opération d'importation commence par la sauvegarde des objets de stratégie de
groupe sur le système de fichiers, puis se poursuit par le transfert des paramètres de cette sauvegarde
vers un objet de stratégie de groupe actif dans le domaine. Contrairement à l'opération de copie,
l'importation ne crée pas d'objet de stratégie de groupe. En fait, vous devez utiliser un objet de
stratégie de groupe qui existe déjà.

• Restauration. L'opération de restauration commence par la sauvegarde d'un ou de plusieurs objets

de stratégie de groupe sur le système de fichiers, mais à la différence du processus d'importation,
cette opération restaure les objets de stratégie de groupe sauvegardés vers les objets de stratégie
de groupe créés dans le domaine de destination.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-28 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Tables de migration
Les tables de migration vous permettent de mapper les utilisateurs et les objets ordinateur de votre
ancien environnement (que les paramètres d'objet de stratégie de groupe peuvent spécifier) à leurs
homologues du nouvel environnement AD DS. Par exemple, les utilisateurs d'un groupe de sécurité
nommé ADATUM\Sales peuvent désormais se trouver dans le groupe Contoso\Sales du nouvel
environnement. Si vous utilisez ce groupe pour le filtrage de groupe de sécurité dans l'un des objets
de stratégie de groupe importés, vous souhaiterez qu'ils utilisent plutôt le nouveau groupe.

Vous pouvez modifier les tables de migration à l'aide de l'éditeur de table de migration dans la Console
de gestion des stratégies de groupe. Pour accéder à l'éditeur de table de migration, cliquez avec le
bouton droit sur le nœud Domaines ou sur le nœud Objets de stratégie de groupe dans la Console
de gestion des stratégies de groupe, puis cliquez sur Ouvrir l'éditeur de table de migration.

En règle générale, vous utilisez l'éditeur de table de migration pour créer des tables de migration.
Vous pouvez également utiliser la Console de gestion des stratégies de groupe pour peupler les entrées
appropriées dans votre table de migration à partir d'un ensemble de sauvegardes d'objets de stratégie
de groupe ou d'un objet de stratégie de groupe existant. Dans l'éditeur de table de migration, cliquez
sur Outils, puis sur Peupler depuis l'objet GPO ou Peupler depuis la sauvegarde. Une fois qu'un objet
de stratégie de groupe a été sélectionné, les principaux de sécurité et les chemins d'accès UNC référencés
dans les objets de stratégie de groupe ou les sauvegardes sélectionnés sont ensuite extraits et entrés dans
la table de migration. Après avoir créé l'ensemble initial d'entrées dans la table, vous pouvez mettre à jour
le champ Nom de la destination en fonction des valeurs appropriées.

Éléments à prendre en compte pour la conception de l'administration

d'une stratégie de groupe
La conception d'une stratégie de groupe requiert
la délégation de certaines tâches d'administration
de stratégie de groupe. Lors de l'évaluation
des besoins d'une organisation, vous devez
déterminer le degré de centralisation ou de
distribution du contrôle d'administration de la
stratégie de groupe. Pour prendre ces décisions,
vous devez tenir compte des facteurs suivants :

• processus de gestion des versions

pour la stratégie de groupe ;

• sécurité des objets de stratégie de groupe

après la délégation de contrôle ;

• différences entre les systèmes d'exploitation ;

• environnement de test et d'évaluation des objets de stratégie de groupe.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-29

Vous devez fournir aux utilisateurs (ceux à qui vous déléguez les tâches d'administration de stratégie
de groupe) un environnement de test et d'évaluation des objets de stratégie de groupe, afin qu'ils
puissent se familiariser avec les outils de stratégie de groupe et les tâches correspondantes avant
de s'en servir dans l'environnement de production.

Lorsque vous déléguez l'administration d'objets de stratégie de groupe à d'autres utilisateurs, prenez
en compte les recommandations suivantes :

• Gérez les paramètres de stratégie de Windows Serveur 2012 en exécutant la Console de

gestion des stratégies de groupe et l'Éditeur d'objets de stratégie de groupe uniquement
à partir d'ordinateurs Windows Server 2012 ou Windows 8. Afin d'offrir une expérience cohérente
et d'éviter toute modification accidentelle, utilisez de préférence le système d'exploitation le
plus à jour possible dans votre environnement pour la gestion des objets de stratégie de groupe.
Par exemple, si vous utilisez d'anciennes versions pour modifier les objets de stratégie de groupe,
certains paramètres qui ne s'appliquent qu'aux nouvelles versions risquent de disparaître
ou de ne pas s'afficher.

• Prenez en compte les autorisations par défaut qui permettent à certains groupes prédéfinis de créer
et gérer les objets de stratégie de groupe, puis déterminez qui doit effectuer ces tâches.

• Utilisez la Console de gestion des stratégies de groupe pour gérer les autorisations au niveau de la
tâche. Accordez des autorisations supplémentaires aux utilisateurs de l'objet de stratégie de groupe.

• Dispensez une formation avant de déléguer les autorisations dans l'environnement de production.

En règle générale, vous pouvez déléguer les tâches suivantes pour les objets de stratégie de groupe :
• créer et supprimer des objets de stratégie de groupe ;

• modifier les paramètres d'objets de stratégie de groupe spécifiques ;

• lier des objets à des unités d'organisation existantes et configurer leurs options.

Démonstration : Gestion des objets de stratégie de groupe

Cette démonstration vous explique également comment :
• créer une sauvegarde de tous les objets de stratégie de groupe ;

• documenter les paramètres d'objet de stratégie de groupe.

Procédure de démonstration

Créer une sauvegarde de tous les objets de stratégie de groupe

1. Créez un dossier sur le lecteur C:, nommé GPO-Backups.

2. Ouvrez la Console de gestion des stratégies de groupe, puis sauvegardez tous les objets de stratégie
de groupe dans le dossier C:\GPO-Backups.

Remarque : Vous pouvez également utiliser l'applet de commande Windows PowerShell

suivante pour sauvegarder les objets de stratégie de groupe :

Backup-GPO –All –Path c:\GPO-Backups

3. Examinez les objets de stratégie de groupe sauvegardés.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-30 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Documenter les paramètres d'objet de stratégie de groupe

1. Dans la Console de gestion des stratégies de groupe, sélectionnez un objet de stratégie de groupe
au hasard (par exemple l'objet de stratégie de groupe DSRM_Pwd de la démonstration précédente).

2. Cliquez avec le bouton droit, puis enregistrez le rapport sur les objets GPO.

3. Accédez à HTML-Report et ouvrez ce dernier.

4. Affichez les sections Liens et Filtrage de sécurité, affichez Délégation, puis affichez les paramètres
spécifiques.

Remarque : Vous pouvez également utiliser l'applet de commande Windows PowerShell

suivante pour documenter les paramètres des objets de stratégie de groupe :

Get-GPOReport –Name GPO-Name –ReportType HTML –Path

E:\GPOReports\[Link]
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-31

Atelier pratique : Conception et implémentation

d'une stratégie d'objet de stratégie de groupe
Scénario
Une fois terminée la conception de l'unité d'organisation, l'étape suivante du projet de conception AD DS
pour A. Datum Corporation consiste à concevoir des objets de stratégie de groupe pour gérer les postes
de travail des utilisateurs et la sécurité du serveur. La nouvelle conception d'objets de stratégie de groupe
servira de base aux administrateurs pour gérer de manière centralisée les paramètres des postes de
travail et les configurations utilisateur. La conception d'objets de stratégie de groupe doit également
permettre à A. Datum de répondre à ses propres exigences de sécurité et de configurer les paramètres
de compatibilité.

Objectifs
À la fin de cet atelier pratique, vous serez à même d'effectuer les tâches suivantes :
• concevoir une stratégie d'objet de stratégie de groupe ;

• implémenter la conception d'objets de stratégie de groupe.

Configuration de l'atelier pratique

Durée approximative : 75 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-CL1

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible. Avant de débuter
cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V®, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions,
cliquez sur Démarrer.
3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Ouvrez une session en utilisant les informations d'identification suivantes :

o Nom d'utilisateur : Administrateur

o Mot de passe : Pa$$w0rd

o Domaine : Adatum

5. Répétez les étapes 2 à 4 pour 22413B-LON-CL1.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-32 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Exercice 1 : Conception d'une stratégie d'objet de stratégie de groupe

Scénario
Les administrateurs chez A. Datum sont toujours partagés sur la nécessité d'implémenter AD DS en
tant que modèle de service. En attendant, vous êtes chargé de la planification d'un modèle d'objet
de stratégie de groupe pour permettre à l'infrastructure actuelle de gérer les postes de travail
des utilisateurs et la sécurité du serveur. Vous devez finaliser le modèle de délégation des tâches
d'administration et déterminer quels sont les administrateurs qui disposent de droits sur les clients.
A. Datum souhaite également configurer les paramètres de Windows Update et limiter l'accès aux
outils d'administration pour les comptes d'utilisateurs ordinaires. En outre, les exigences de sécurité
de la société lui imposent de disposer d'un avertissement de conformité lié aux abus d'utilisation
des ordinateurs de l'entreprise. En tant qu'administrateur chez A. Datum, vous êtes chargé d'appliquer
les exigences de l'entreprise à travers les paramètres d'objet de stratégie de groupe, puis de concevoir
et d'implémenter les objets de stratégie de groupe aux niveaux appropriés de la conception de l'unité
d'organisation.

Dans cet exercice, vous allez concevoir la stratégie d'objet de stratégie de groupe pour A. Datum afin
de répondre à ses besoins professionnels et organisationnels.

Documentation fournie avec le produit

Brad Sutton

De : Bill Malone [Bill@[Link]]

Envoyé : 2 octobre 11:43
À: Brad@[Link]
Objet : conception d'objets de stratégie de groupe

Bonjour Brad,

Comme nous en avons discuté lors de notre réunion d'hier, nous avons besoin de renforcer la sécurité
des serveurs et de configurer les postes de travail des utilisateurs en fonction de la conception initiale.

J'ai inclus les notes de notre réunion dans le document de proposition ci-joint. Lis attentivement
le document.

Ce serait parfait si tu pouvais me faire parvenir le document de proposition mis à jour au cours
de cette semaine.

Merci beaucoup,
Bill
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-33

Proposition de stratégie d'objet de stratégie de groupe pour A. Datum

Numéro de référence du document : BS00918/1

Auteur du document Brad Sutton

Date 2 oct

Présentation des exigences

Concevez une stratégie d'objet de stratégie de groupe répondant aux exigences suivantes :
• Tous les ordinateurs de l'organisation doivent avoir un groupe principal de paramètres d'objet
de stratégie de groupe qui doivent s'appliquer. Ces paramètres doivent être les suivants :
o configuration des comptes d'administrateur local ;
o configuration des paramètres de mise à jour ;
o restriction de certaines options telles que l'accès à l'Éditeur du Registre.
Ces paramètres ne doivent pas s'appliquer aux postes de travail des administrateurs.
• Chaque bureau doit disposer d'un groupe principal de paramètres qui s'appliquent à ses postes
de travail. Dorénavant, vous devez implémenter les éléments suivants :
o Affichez un avertissement de sécurité avant la connexion à l'ordinateur pour indiquer
que seuls les employés A. Datum peuvent utiliser les ordinateurs. Ce paramètre doit
être appliqué à chaque emplacement et doit s'afficher automatiquement dans d'autres
langues pour les implantations à l'étranger.
• Tous les utilisateurs doivent disposer d'un ensemble par défaut de lecteurs mappés qui leur
sont affectés. Vous devez spécifier le lecteur mappé en fonction de l'appartenance à un service.
• Les administrateurs informatiques centraux à Londres doivent pouvoir gérer tous les objets
de stratégie de groupe et paramètres de l'organisation. Les administrateurs de chaque bureau
doivent pouvoir gérer uniquement les objets de stratégie de groupe qui s'appliquent à ce bureau.

Synthèse des informations

La structure d'unités d'organisation de prise en charge comprend les éléments suivants :
• Les utilisateurs sont actuellement regroupés par service dans une unité d'organisation
de premier niveau.
• Les clients se trouvent dans l'unité d'organisation Clients de premier niveau, qui est séparée
par l'emplacement au niveau suivant.

Propositions
1. Quelles sont les exigences qui nécessitent la création d'un ou de plusieurs objets de stratégie
de groupe ?

2. Existe-t-il des exigences auxquelles vous pouvez répondre sans créer d'objets de stratégie
de groupe ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-34 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

(suite)

Proposition de stratégie d'objet de stratégie de groupe pour A. Datum

Propositions
3. Existe-t-il des exceptions à prendre en compte pour l'application d'objets de stratégie
de groupe par défaut ?

4. Dressez la liste des objets de stratégie de groupe que vous devez créer pour répondre
aux exigences du scénario de l'atelier pratique. Indiquez les informations suivantes dans
le tableau fourni :
o Nom de l'objet de stratégie de groupe
o Exigences auxquelles répond l'objet de stratégie de groupe
o Paramètres de configuration (stratégies utilisateur, stratégies ordinateur, préférences
utilisateur ou préférences ordinateur) contenus dans l'objet de stratégie de groupe
o Conteneur (domaine, unité d'organisation, site) auquel l'objet de stratégie de groupe
doit être lié

Nom Exigences satisfaites Paramètres de configuration S'applique à

5. Répertoriez d'autres tâches de configuration que vous devez effectuer dans l'outil de gestion
des stratégies de groupe pour répondre aux exigences du scénario.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-35

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document de proposition de stratégie d'objet
de stratégie de groupe pour A. Datum.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez créé une conception d'objets de stratégie de groupe
qui répond aux exigences d'A. Datum Corporation en matière d'objets de stratégie de groupe.

Exercice 2 : Implémentation de la conception d'objets de stratégie

de groupe
Scénario
Après la conception de la stratégie d'objet de stratégie de groupe pour A. Datum, vous allez maintenant
implémenter la conception d'objets de stratégie de groupe.

Les tâches principales de cet exercice sont les suivantes :

1. Préparer l'environnement.

2. Créez les objets de stratégie de groupe requis et liez-les aux conteneurs de domaine requis.

3. Configurer le filtrage.

4. Tester la conception.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-36 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

 Tâche 1 : Préparer l'environnement

1. Basculez vers LON-DC1 et, si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

2. Exécutez le script Windows PowerShell suivant pour créer les unités d'organisation requises :

New-ADOrganizationalUnit –name Clients –path "dc=adatum,dc=com"

New-ADOrganizationalUnit –name London
–path "ou=clients,dc=adatum,dc=com"
Get-ADObject –filter {name –eq 'LON-CL1'} | Move-ADObject –TargetPath
"ou=London,ou=Clients,dc=adatum,dc=com"

3. Exécutez le script Windows PowerShell suivant pour créer les dossiers partagés requis :

New-Item c:\shares –ItemType Directory

New-Item c:\shares\Marketing –ItemType Directory
New-SmbShare –Name Marketing –Path c:\shares\Marketing –FullAccess ADatum\Marketing

 Tâche 2 : Créez les objets de stratégie de groupe requis et liez-les aux conteneurs
de domaine requis
1. Sur LON-DC1, dans le Gestionnaire de serveur, démarrez la Console de gestion des stratégies
de groupe.

2. Créez la stratégie All_Clients. Configurez les paramètres suivants :

a. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\

Paramètres de sécurité\Groupes restreints.

b. Créez le paramètre Groupes restreints pour le groupe Administrateurs local, puis ajoutez
le groupe IT.

c. Accédez à Configuration ordinateur\Stratégies\Modèles d'administration\

Composants Windows\Windows Update.

d. Ouvrez le paramètre de stratégie de groupe Configuration du service Mises à jour

automatiques, activez le paramètre, puis dans la zone de liste déroulante Configuration de
la mise à jour automatique, cliquez sur 4 – Téléchargement automatique et planification
des installations.

3. Liez la stratégie All_Clients à l'unité d'organisation Clients.

4. Créez la stratégie All_Users_but_Admins. Configurez le paramètre suivant :

a. Accédez à Configuration utilisateur\Stratégies\Modèles d'administration\Système.

b. Sélectionnez la stratégie Empêche l'accès aux outils de modifications du Registre,

puis activez le paramètre de stratégie de groupe.

5. Liez la stratégie au domaine adatum.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-37

6. Créez la stratégie London_Clients. Configurez le paramètre suivant :

a. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\

Paramètres de sécurité\Stratégies locales\Options de sécurité.

b. Ouvrez le paramètre de stratégie Ouverture de session interactive : contenu du message

pour les utilisateurs essayant de se connecter. Activez la case à cocher Définir ce paramètre
de stratégie dans le modèle, puis tapez le message Seuls les employés A. Datum sont
autorisés à se connecter à cet ordinateur.

c. Ouvrez le paramètre de stratégie Ouverture de session interactive : titre du message pour

les utilisateurs essayant de se connecter. Activez la case à cocher Définir ce paramètre
de stratégie, puis tapez le titre de message Propriété d'A. Datum.

7. Liez la stratégie à ou=London,ou=Clients.

8. Créez la stratégie Marketing_Share, puis configurez-la comme suit :

a. Accédez à Configuration utilisateur\Préférences\Paramètres Windows\

Mappages de lecteurs

b. Emplacement : \\LON-DC1\Marketing

c. Intitulé : Marketing-Materials

d. Lettre de lecteur : M

9. Liez la stratégie à l'unité d'organisation Marketing.

 Tâche 3 : Configurer le filtrage

1. Sur LON-DC1, dans la Console de gestion des stratégies de groupe, sous le nœud Objets
de stratégie de groupe, cliquez sur la stratégie de groupe All_Users_but_Admins.

2. Sous l'onglet Délégation, sous Avancé, vous devez Ajouter le groupe IT (ADATUM\IT) et Refuser
les autorisations Appliquer la stratégie de groupe pour le groupe.

 Tâche 4 : Tester la conception

1. Basculez vers LON-CL1, puis connectez-vous en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Exécutez gpupdate /force pour vérifier que les stratégies de groupe sont mises à jour,
puis redémarrez LON-CL1.

3. Sur LON-CL1, connectez-vous en tant qu'ADATUM\Adam avec le mot de passe Pa$$w0rd.

Adam Barr est membre du groupe Marketing.

4. Vérifiez que les paramètres suivants s'appliquent au client et à Adam :

• Avant de se connecter, l'utilisateur reçoit un avertissement de conformité.

• Windows Update est configuré pour télécharger et installer les mises à jour.
• Les outils de modification du Registre sont interdits.

• Le partage Marketing est mappé à la lettre de lecteur M.

5. Déconnectez-vous de LON-CL1.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
7-38 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

6. Reconnectez-vous sur LON-CL1 en tant qu'ADATUM\Brad avec le mot de passe Pa$$w0rd.

Brad Sutton est membre du groupe IT.

7. Vérifiez que les paramètres suivants s'appliquent au client et à Brad :

• Avant de se connecter, l'utilisateur reçoit un avertissement de conformité.

• Windows Update est configuré pour télécharger et installer les mises à jour.
• Les outils de modification du Registre sont autorisés.

• Le partage Marketing n'est pas mappé.

• Brad est membre du groupe Administrateurs local.

8. Déconnectez-vous de LON-CL1.

Résultats : À la fin de cet exercice, vous aurez implémenté la conception d'objets de stratégie de groupe
que vous avez créée.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :
1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 1 à 3 pour 22413B-LON-CL1.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 7-39

Contrôle des acquis et éléments à retenir

Méthode conseillée
• Activez le magasin central des modèles d'administration de stratégie de groupe si plusieurs
administrateurs modifient les stratégies de groupe et si vous modifiez les objets de stratégie
de groupe de différents ordinateurs.

• Évitez d'utiliser des stratégies de groupe liées aux sites.

• Planifiez soigneusement votre stratégie de sauvegarde et de récupération des stratégies de groupe.

• Planifiez le test des stratégies de groupe avant d'appliquer des objets de stratégie de groupe aux
utilisateurs et ordinateurs dans un environnement de production.

• Limitez le nombre d'objets de stratégie de groupe qui s'appliquent aux utilisateurs et aux ordinateurs.
Utilisez des objets de stratégie de groupe de haut niveau pour les paramètres usuels et essayez
de limiter les paramètres individuels dans les objets de stratégie de groupe individuels. Un grand
nombre d'objets de stratégie de groupe accroît les délais de démarrage et de connexion.

• Prenez régulièrement le temps de documenter (ou de mettre à jour) vos objets de stratégie de
groupe, leurs paramètres et les emplacements où ils sont liés dans la structure d'unités d'organisation.

Problèmes courants et conseils relatifs à la résolution des problèmes

Problème courant Conseil relatif à la résolution des problèmes

Une stratégie récemment modifiée

n'est pas encore appliquée.

Le filtrage de sécurité ne fonctionne

pas comme prévu.

Question(s) de contrôle des acquis

Question : Quelles sont les différentes options possibles pour appliquer des objets
de stratégie de groupe à certains utilisateurs ou ordinateurs ?

Question : Que devez-vous prendre en compte lorsque vous appliquez un objet de stratégie
de groupe à un site ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-1

Module 8
Conception et implémentation d'une topologie
de services de domaine Active Directory
Table des matières :
Vue d'ensemble du module 8-1

Leçon 1 : Conception et implémentation des sites AD DS 8-3

Leçon 2 : Conception de la réplication AD DS 8-10

Leçon 3 : Conception du placement des contrôleurs de domaine 8-25

Leçon 4 : Éléments à prendre en compte pour la virtualisation

des contrôleurs de domaine 8-37

Leçon 5 : Conception de contrôleurs de domaine hautement disponibles 8-43

Atelier pratique : Conception et implémentation d'une topologie

physique de services de domaine Active Directory 8-54

Contrôle des acquis et éléments à retenir 8-65

Vue d'ensemble du module

Concevez la topologie du site de votre réseau après avoir conçu la structure logique de l'infrastructure
des services de domaine Active Directory® de votre organisation (AD DS). La topologie de site est une
représentation logique du réseau physique. Le système d'exploitation Windows Server® 2012 utilise
les informations du site à de nombreuses fins, notamment la réplication de routage, l'affinité du client,
la réplication SYSVOL, les espaces de noms du système de fichiers distribués (DFS) et les emplacements
de service.

Lorsque vous concevez votre infrastructure AD DS, vous devez également fournir une conception
détaillée du placement, du déploiement et de la haute disponibilité du contrôleur de domaine.
Les contrôleurs de domaine sont les composants principaux de chaque environnement AD DS.
Lors de la conception des contrôleurs de domaine, vous devez savoir quelles sont les options
de déploiement disponibles et comprendre comment vérifier que les contrôleurs de domaine
sont toujours disponibles pour l'authentification et l'autorisation utilisateur.

Dans ce module, vous apprendrez comment concevoir un service d'annuaire distribué prenant en charge
les contrôleurs de domaine de votre réseau, ceux-ci étant séparés par des liaisons coûteuses, lentes ou
peu fiables. Vous découvrirez également comment concevoir le déploiement, le placement et la haute
disponibilité des contrôleurs de domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-2 Conception et implémentation d'une topologie de services de domaine Active Directory

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• concevoir et implémenter des sites AD DS ;

• concevoir et configurer la réplication AD DS ;

• concevoir le placement des contrôleurs de domaine ;

• planifier la virtualisation du rôle de contrôleur de domaine ;

• concevoir les déploiements des contrôleurs de domaine pour une haute disponibilité.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-3

Leçon 1
Conception et implémentation des sites AD DS
Lors de conception d'un déploiement AD DS, vous devez vérifier que l'authentification utilisateur
est efficace, et que vous optimisez la réplication entre les contrôleurs de domaine. AD DS utilise
pour cela le concept des sites pour mapper la conception AD DS au réseau physique.

Pour concevoir des sites AD DS, vous devez d'abord collecter des informations sur le réseau
et les emplacements existants. Ensuite, vous devez déterminer si vous devez implémenter un
seul ou plusieurs sites. Lorsque vous concevez des sites AD DS, tenez compte de la couverture
automatique de site pour déterminer comment les contrôleurs de domaine d'un site peuvent
fournir l'authentification et les services connexes à un autre site dépourvu de contrôleur de
domaine. De plus, vous devez également prendre en considération les applications existantes
orientées site, telles que Microsoft® Exchange Server 2007 ou une version plus récente,
et inclure ces applications à votre conception de site.

Dans cette leçon, vous découvrirez comment concevoir des sites et les éléments à prendre
en compte pour cela.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les sites AD DS et leurs avantages ;

• décrire les options de conception des sites AD DS ;

• expliquer comment collecter des informations pour une conception de site AD DS ;

• expliquer comment la couverture automatique de site fonctionne ;

• décrire les éléments à prendre en compte pour la conception des sites AD DS ;

• créer des objets de site.

Avantages du déploiement de sites AD DS

Lorsque les administrateurs décrivent leur
infrastructure réseau, ils indiquent souvent
combien de sites composent leur entreprise.
Ils comparent souvent un site à un emplacement
physique, tel qu'un bureau ou une ville. Ces sites
sont habituellement connectés par des liaisons
réseau. Ensemble, les emplacements physiques
et les liens entre les emplacements composent
l'infrastructure réseau physique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-4 Conception et implémentation d'une topologie de services de domaine Active Directory

AD DS représente logiquement l'infrastructure réseau physique avec des objets appelés sites et liens de
sites. Bien que les termes soient similaires, sites et liens de sites AD DS ne signifient pas la même chose
que sites réseau et connectivité réseau. Les sites réseau et les connexions réseau sont les composants
physiques, et ils représentent généralement de vrais emplacements et liens entre eux. Cependant,
les sites AD DS sont des composants logiques qui idéalement doivent être mappés étroitement aux
composants réseau physiques.

Pour comprendre la différence, vous devez comprendre les propriétés et les rôles des sites dans AD DS.
Les sites AD DS sont des objets de l'annuaire (spécifiquement dans le conteneur de configuration :
CN=Configuration, DC=domaine racine de la forêt) qui vous permettent de gérer le trafic de réplication
et de faciliter la localisation de service.

Trafic de réplication
La réplication est le transfert des modifications entre les contrôleurs de domaine. Lorsque vous ajoutez
un compte d'utilisateur ou modifiez le mot de passe d'un utilisateur, un contrôleur de domaine valide
cette modification dans l'annuaire. Le contrôleur de domaine réplique alors la modification sur tous
les autres contrôleurs du domaine. Certaines modifications, comme celles appliquées à la configuration
ou au conteneur de schéma, sont répliquées sur tous les contrôleurs de domaine de la forêt.

AD DS est basé sur l'hypothèse que votre entreprise dispose de deux types de réseaux : signal de
connexion très élevé et moins élevé. Conceptuellement, une modification apportée à AD DS devrait
être répliquée immédiatement sur les autres contrôleurs de domaine au sein d'un réseau à fort signal.
Cependant, il n'est pas toujours souhaitable que la modification soit répliquée immédiatement en cas
de signal plus lent, plus coûteux et moins fiable. Vous devriez plutôt faire en sorte que la réplication
ait lieu sur les segments moins bien connectés de votre entreprise, afin d'optimiser les performances,
de réduire les coûts ou de gérer la bande passante.

Un site AD DS représente une partie de votre entreprise avec une connexion très élevée. Les contrôleurs
de domaine répliquent les modifications presque instantanément. Les liens des sites AD DS permettent
de représenter les connexions réseau entre les emplacements des organisations, et vous pouvez
configurer les propriétés pour les liens des sites AD DS afin d'optimiser la réplication sur les réseaux
étendus inférieurs (WAN).

Localisation du service
AD DS est un service distribué. Si vous disposez d'au moins deux contrôleurs de domaine, ils fournissent
les mêmes services d'authentification et d'accès aux annuaires. Si vous avez plusieurs sites réseau et
si vous placez un contrôleur de domaine sur chacun d'eux, les ordinateurs clients sont authentifiés
par rapport au contrôleur de domaine de leur site. Voici un exemple de localisation de service.

Les sites AD DS vous aident à localiser des services, notamment ceux fournis par les contrôleurs de
domaine. Au cours de l'ouverture de session, le système de nom de domaine (DNS, Domain Name
System) et AD DS dirigent automatiquement les ordinateurs clients vers un contrôleur de domaine
de leur site. Si un contrôleur de domaine n'est pas disponible sur leurs sites, le système DNS et AD DS
dirigent les ordinateurs clients vers un contrôleur de domaine du site le plus proche susceptible
d'authentifier efficacement l'ordinateur.

En outre, certains services requièrent que vous ayez un contrôleur de domaine dans un site où vous
déployez ce service. Par exemple, si vous implémentez Exchange Server 2007 ou une version plus récente,
vous devez déployer un contrôleur de domaine et un catalogue global sur un même site. Le système
de fichiers DFS et Microsoft System Center 2012 Configuration Manager sont également des exemples
d'applications orientées site.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-5

Options de conception des sites AD DS

AD DS dans Windows Server 2012 offre
les modèles de site conception suivants :

• Modèle de site unique

• Modèle multisite

Choisissez généralement le modèle de site unique

si votre organisation a un emplacement physique
et que les contrôleurs de domaine sont connectés
avec des liaisons ultra-rapides. En outre, vous
pouvez utiliser le modèle de site unique si vous
avez plusieurs emplacements qui sont connectés
via une liaison ultra-rapide, telle que la fibre
optique. Si vous utilisez un modèle de site unique, vous utilisez réellement une configuration par défaut
des sites AD DS, car AD DS présente un site créé par défaut.

Choisissez le modèle multisite si les emplacements de votre organisation sont connectés avec
des liaisons WAN et que vous voulez gérer le trafic réseau utilisé par AD DS via ces liaisons WAN.

Cependant, ne basez pas votre création de site uniquement sur le nombre d'emplacements physiques
et de liaisons entre eux, bien que ces deux facteurs sont très importants. Les sites AD DS ne pourraient
pas toujours mapper un-à-un à vos sites de réseau. Prenez en compte les scénarios suivants :
• Vous disposez de bureaux à deux emplacements. Les deux bureaux sont connectés par une
liaison WAN avec une faible latence et une haute bande passante disponible. Pour simplifier
la gestion, vous pouvez placer un contrôleur de domaine à chaque emplacement mais en
ne déployant qu'un site AD DS unique.

• Vous avez une entreprise sur un campus étendu avec un signal de connexion très élevé. Pour la
réplication, l'entreprise peut être considérée comme un site unique. Cependant, vous souhaitez
faire en sorte que les ordinateurs clients utilisent les services qui sont distribués à leur emplacement,
et pour cela vous configurez plusieurs sites pour prendre en charge la localisation de service.
Par exemple, vous pouvez déployer un site distinct juste pour Exchange Server, ou vous pouvez
déployer un site afin de segmenter le trafic utilisateur aux contrôleurs de domaine spécifiques.

Par conséquent, un site AD DS peut inclure plusieurs sites réseau, ou peut représenter un sous-ensemble
d'un site réseau unique. L'importance est de se souvenir que les sites aident à la gestion de la réplication
et à la localisation de service.

Plusieurs caractéristiques de votre entreprise vous permettent de déterminer le type de site dont
vous avez besoin. Puisque les sites AD DS gèrent la réplication et la localisation de service AD DS,
il n'est pas utile de créer un site pour un emplacement réseau, sauf si le site héberge un contrôleur
de domaine ou tout autre service adapté à Active Directory, tel que le système de fichiers DFS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-6 Conception et implémentation d'une topologie de services de domaine Active Directory

Pour vérifier que les ordinateurs clients s'authentifient sur un contrôleur de domaine de leur
emplacement, il est important que vous associiez le sous-réseau IP auquel les ordinateurs clients
appartiennent, avec le site AD DS.

Lorsque vous créez une conception de site AD DS, tenez compte du coût de déploiement d'un contrôleur
de domaine dans une plus petite succursale. Elle ne peut pas être rentable pour déployer un contrôleur
de domaine où le nombre d'utilisateurs est très bas. À la place, ces utilisateurs peuvent s'authentifier sur
un contrôleur de domaine dans un emplacement central. Vous devez également évaluer l'option qui
pourrait vous permettre de créer plus de trafic : vous connecter à un contrôleur de domaine d'un autre
emplacement, ou répliquer le trafic entre les contrôleurs de domaine. En outre, envisagez l'interruption
de travail si vous ne déployez pas un contrôleur de domaine à un certain emplacement, et si la connexion
réseau échoue.

Collecte d'informations pour une conception de site AD DS

Puisque la conception du site est étroitement
liée aux déploiements d'infrastructure réseau et
d'ordinateur physique, la première étape dans
la création d'une conception de site AD DS est
de documenter l'infrastructure réseau existante.

Pour commencer, créez une carte de site

de l'infrastructure réseau physique de votre
organisation. En général, vous pouvez vous
procurer les informations sur la topologie WAN
auprès du groupe de mise en réseau de votre
organisation. Sur la carte d'emplacements,
identifiez les situations géographiques où vous
avez déployé les ordinateurs et les connexions WAN déployés entre tous les emplacements.

Dans le cadre du plan d'emplacement, documentez le type de liaison de communication, la vitesse de

liaison et la bande passante disponible entre chaque emplacement. Vous pouvez obtenir des informations
sur la bande passante disponible de votre groupe du réseau, ou vous pouvez analyser le trafic sur chaque
liaison à l'aide d'un analyseur de protocole, tel que le Moniteur réseau. Il est très important que vous
obteniez une utilisation moyenne approximative pour les liaisons entre les emplacements. Par exemple,
si vous avez un liaison de 1 mégabit par seconde (Mbits/s) entre les emplacements, qui est suffisante
pour la réplication, mais que l'utilisation moyenne de cette liaison au cours des périodes de pointe
atteint 80 % de sa capacité totale, vous devez planifier le trafic de réplication pour des périodes
d'utilisation des liaisons qui soit inférieure.
Ensuite, enregistrez les sous-réseaux IP sur chaque emplacement. Si vous ne connaissez pas encore
le masque de sous-réseau et l'adresse IP de chaque emplacement, interrogez votre groupe de gestion
du réseau. Chaque site AD DS doit correspondre à un sous-réseau IP.

Pour chaque emplacement, détaillez le nombre d'utilisateurs dans chaque domaine, et le nombre de
stations de travail et de serveurs déployés sur l'emplacement. Documentez les types de services réseau
qui sont déployés dans l'emplacement.

Ensuite, documentez le placement des contrôleurs de domaine et des serveurs de catalogue global dans
les emplacements de bureau. Si vous envisagez de déployer un contrôleur de domaine et un serveur
de catalogue global, enregistrez ce fait. Si vous ne projetez pas de déployer un contrôleur de domaine,
identifiez l'emplacement le plus proche où vous envisagez de déployer un contrôleur de domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-7

Tenez compte des applications que vous déployez actuellement dans les sites, ou de celles que vous
envisagez de déployer, au cas où les applications seraient orientées site. Une application est orientée site
si elle peut identifier un objet de site et peut utiliser les ressources qui sont déployées sur le même site.

L'infrastructure réseau existante influence votre conception. Utilisez la liste de contrôle suivante lorsque
vous collectez des informations sur la conception de site :

• la topologie du réseau physique et logique ;

• les emplacements géographiques et les liaisons WAN qui les connectent ;

• le type de liaisons WAN ;

• la bande passante disponible pour chaque liaison réseau étendu ;

• toutes les applications orientées site existantes ;

• les sous-réseaux IP qui sont affectés à chaque emplacement ;

• les noms de domaine de chaque domaine sur chaque site (si vous déployez plusieurs domaines) ;

• le nombre d'utilisateurs et d'ordinateurs pour chaque domaine, à chaque emplacement.

Comment la couverture automatique de site fonctionne ?

Si vous déployez les sites qui ne disposent pas
de contrôleurs de domaine, il est très important
de comprendre la couverture automatique de
site. Pour cela, vous devez planifier les liens
de sites et leurs coûts afin de pouvoir optimiser
la couverture automatique.

Tous les sites n'ont pas besoin d'un contrôleur

de domaine. Si un site ne requiert pas de
contrôleur de domaine, vous pouvez utiliser
la fonctionnalité de couverture automatique
de site dans Windows Server 2012. Vous
pouvez utiliser cette fonctionnalité pour
vérifier que chaque site possède un contrôleur de domaine désigné, même si le contrôleur de domaine
se trouve physiquement ailleurs.
Lorsque vous ajoutez un contrôleur de domaine au domaine, le contrôleur de domaine informe
de l'existence de ses services en créant des enregistrements de ressource du service (SRV) (appelé
enregistrements de localisateur) dans le DNS. À la différence des enregistrements de ressource de
l'hôte (A), qui mappent des noms d'hôte aux adresses IP, la carte d'enregistrements SRV enregistre
les services de mappage associés aux noms d'hôte. Le contrôleur de domaine publie sa capacité à
fournir l'authentification et l'accès à l'annuaire en inscrivant des enregistrements SRV pour le protocole
d'authentification Kerberos version 5 (V5) et le protocole LDAP (Lightweight Directory Access Protocol).
Ces enregistrements SRV sont ajoutés à plusieurs dossiers dans les zones DNS de la forêt. Le premier
dossier, nommé _tcp se trouve dans la zone de domaine et contient les enregistrements SRV pour
tous les contrôleurs de domaine dans le domaine. Le deuxième dossier spécifique au site sur lequel
le contrôleur de domaine est situé, avec le chemin d'accès _sites\sitename\_tcp.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-8 Conception et implémentation d'une topologie de services de domaine Active Directory

La couverture automatique de site permet à chaque contrôleur de domaine d'activer tous les sites de
la forêt, puis d'activer la matrice de coût de réplication pour déterminer la connexion la moins coûteuse
pour fournir des services à un site. La couverture de site est déterminée par les coûts des liens de sites,
et les contrôleurs de domaine s'inscrivent eux-mêmes dans les sites en fonction de cela.

Un contrôleur de domaine inscrit un enregistrement de service lié au site (SRV, site-related service) dans
le DNS de n'importe quel site sans contrôleur de domaine pour ce domaine, et pour lequel le site possède
la connexion la moins coûteuse. Tous les contrôleurs de domaine utilisent un algorithme commun
pour déterminer la couverture automatique de site.
Cet algorithme fonctionne comme suit :

1. Le contrôleur de domaine établit une liste des sites cibles, qui sont ceux qui n'ont aucun contrôleur
de domaine pour leur domaine (le domaine du contrôleur de domaine actuel).

2. Le contrôleur de domaine établit une liste des sites candidats, qui sont ceux qui ont des contrôleurs
de domaine pour leur domaine. Pour chaque site cible :

a. Le contrôleur de domaine établit une liste de sites candidats auxquels ce domaine appartient.
Si le domaine n'appartient à aucun site candidat, aucune intervention n'est requise.

b. À partir des sites candidats, le contrôleur de domaine établit une liste des sites qui ont le coût de
liens de sites le plus bas sur le site cible. S'il n'y en a aucun, aucune intervention n'est nécessaire.

c. S'il existe plusieurs sites avec le même coût le plus bas, le contrôleur de domaine brise le lien
et réduit la liste à un site candidat en choisissant le site qui possède le plus grand nombre
de contrôleurs de domaine.
d. S'il reste plusieurs sites cibles potentiels, le contrôleur de domaine brise de nouveau le lien
en choisissant le site qui est le premier par ordre alphabétique.

3. Le contrôleur de domaine inscrit les enregistrements SRV qui sont spécifiques au site cible pour
les contrôleurs de domaine de ce domaine dans le site sélectionné.

Éléments à prendre en compte pour concevoir des sites AD DS

En concevant des sites AD DS, vous devez suivre
ces instructions :

• Avant de commencer à créer la conception

du site AD DS, collectez toujours toutes
les informations nécessaires sur le réseau
physique, les liaisons WAN et le nombre
d'utilisateurs, d'ordinateurs et de contrôleurs
de domaine.

• Essayez de déployer au moins un contrôleur

de domaine dans un emplacement où vous
établissez un site AD DS. Sinon, vous réduisez
la fonctionnalité du site.

• Configurez au moins un contrôleur de domaine par site en tant que serveur de catalogue global.
Cela accélère les processus de connexion et de recherche AD DS pour les utilisateurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-9

• Prenez en compte les applications orientées site.

• Associez toujours le sous-réseau IP approprié à chaque site AD DS. Cette opération est cruciale
pour que les ordinateurs prennent connaissance du site auquel ils appartiennent.

• Créez des sites supplémentaires, si :

o une partie du réseau est séparée par une liaison WAN lente ;
o une partie du réseau a assez d'utilisateurs pour garantir l'hébergement des contrôleurs
de domaine ou d'autres services dans cet emplacement ;

o le trafic des requêtes d'annuaire requiert un contrôleur de domaine local ;

o vous souhaitez contrôler la localisation de service ;

o vous souhaitez contrôler la réplication entre les contrôleurs de domaine.

• Donnez aux sites des noms explicites. Dans la plupart des cas, le nom de site doit refléter
l'emplacement du site. Vous devez renommer le site par défaut intitulé Default-First-Site-Name
avec un nom plus explicite.

• Lorsque vous créez des sites AD DS, déplacez les contrôleurs de domaine existants de
Default-First-Site-Name vers les sites appropriés. Si vous déployez des contrôleurs de domaine,
vous pouvez associer le contrôleur de domaine avec le site AD DS pendant le déploiement.

Démonstration : Création d'objets de site

Cette démonstration montre comment :

• Créer un nouveau site AD DS

• Créer un nouveau sous-réseau AD DS

Procédure de démonstration

Créer un nouveau site AD DS

1. À partir du Gestionnaire de serveur, ouvrez les sites et services Active Directory.

2. Renommez le site Default-First-Site-Name, si nécessaire.

3. Cliquez avec le bouton droit sur le nœud Sites, puis cliquez sur Nouveau site. Spécifiez un nom,
puis associez le nouveau site au lien du site par défaut.

4. Créez des sites supplémentaires, si nécessaire.

Créer un nouveau sous-réseau AD DS

1. Dans le volet de navigation, cliquez avec le bouton droit sur Subnets, puis cliquez sur
Nouveau sous-réseau.

2. Fournissez le préfixe, puis associez le préfixe IP à un objet du site disponible.

3. Si besoin, déplacez un contrôleur de domaine vers un nouveau site.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-10 Conception et implémentation d'une topologie de services de domaine Active Directory

Leçon 2
Conception de la réplication AD DS
Après avoir terminé la conception de site, l'étape suivante consiste à créer une conception de la
réplication AD DS. Une conception de réplication efficace vérifie que les données AD DS sont répliquées
efficacement, même sur les connexions WAN lentes et coûteuses. Fréquemment, la conception de la
configuration de réplication AD DS optimale requiert un équilibre entre la vérification de la réplication
des modifications AD DS aussi rapidement que possible et la réduction de l'utilisation de la bande
passante WAN.

Cette leçon vous prépare à créer une conception de réplication dans un déploiement AD DS multisite.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les composants de la réplication intrasite ;

• décrire le vérificateur de cohérence des données (KCC, Knowledge Consistency Checker)
et le vérificateur de topologie intersite (ISTG, Inter-Site Topology Checker) dans AD DS ;

• décrire les options de conception des topologies de réplication intersite ;

• choisir le protocole de réplication approprié ;

• planifier la réplication du catalogue global et les contrôleurs de domaine en lecture seule

(RODC, Read-only domain controller) ;
• planifier la réplication SYSVOL ;

• concevoir les liens de sites ;

• concevoir les serveurs tête de pont ;

• concevoir le pontage entre des liens de sites.

Composants de la réplication AD DS
Le réplication AD DS est l'un des principaux
processus qui fonctionne constamment
dans n'importe quel environnement AD DS.
La chose la plus importante à savoir sur la
réplication AD DS est que chaque réplica de
partition sur un contrôleur de domaine est
compatible avec les réplicas de cette même
partition qu'un autre contrôleur de domaine
héberge. Tous les contrôleurs de domaine n'ont
pas exactement les mêmes informations dans
leurs réplicas à un moment donné, car AD DS
effectue constamment des modifications dans
l'annuaire. Cependant, la réplication AD DS permet de garantir que toutes les modifications effectuées sur
une partition sont transférées à tous les réplicas de cette partition. La réplication AD DS crée un équilibre
entre précision (ou intégrité) et la cohérence (appelée convergence) avec la performance (en conservant
le trafic de réplication à un niveau raisonnable).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-11

Le réplication AD DS est conçue pour optimiser la vitesse de la réplication.

La réplication dans un site et entre les sites peut être différente en termes de gestion. Cependant,
plusieurs composants sont communs à la réplication intersite et intrasite. Pour concevoir la
réplication AD DS correctement, vous devez comprendre l'objet de chaque composant de réplication.

Objets de connexion
Pour permettre à un contrôleur de domaine de répliquer des modifications d'un autre contrôleur
de domaine, vous devez créer un objet de connexion pour cette réplication. Un objet de connexion
représente la connexion logique entre deux contrôleurs de domaine que la réplication AD DS utilise.

Les objets de connexion apparaissent dans les outils d'administration du composant logiciel enfichable
Sites et services Active Directory, au sein du conteneur de paramètres NTDS d'un objet serveur pour
un contrôleur de domaine.
Les objets de connexion sont unidirectionnels, représentant la réplication entrante uniquement, car
AD DS utilise toujours la réplication par réception. Par exemple, si DC02 extrait des modifications de
DC01, DC02 est considéré comme un partenaire de réplication en aval de DC01. DC01 est le partenaire
en amont. Par défaut, les objets de connexion existent dans les paramètres NTDS de DC01 et de DC02.

Remarque : Vous pouvez utiliser les objets de connexion pour forcer la réplication entre
deux contrôleurs de domaine en cliquant avec le bouton droit sur l'objet de connexion, puis
en le sélectionnant Répliquer maintenant. Souvenez-vous, cependant, que la réplication est
entrante uniquement. Par conséquent, pour répliquer les deux contrôleurs de domaine, vous
devez répliquer l'objet de connexion entrant de chaque contrôleur de domaine.

AD DS génère la plupart des objets de connexion automatiquement. Sur chaque contrôleur de domaine,
le vérificateur de cohérence des données (KCC) d'AD DS aide automatiquement à générer et à optimiser
la réplication entre les contrôleurs de domaine dans un site. Le vérificateur KCC évalue les contrôleurs
de domaine dans un site, puis il crée des objets de connexion pour établir la topologie bidirectionnelle
de trois tronçons. Si vous ajoutez ou supprimez un contrôleur de domaine à partir du site, ou si un
contrôleur de domaine ne répond pas, le vérificateur KCC réorganise la topologie de façon dynamique,
en ajoutant ou en supprimant des objets de connexion pour reconstruire une topologie de réplication
efficace.

Vous pouvez créer des objets de connexion manuellement pour spécifier les chemins d'accès
de réplication que vous souhaitez conserver. Le vérificateur KCC ne supprime pas les objets de
connexion que vous créez manuellement.

Dans un site, très peu de scénarios requièrent la création d'un objet de connexion. Un tel scénario
concerne les maîtres d'opérations en attente. Vous pouvez sélectionner les contrôleurs de domaine
faisant office de maîtres d'opérations en attente qu'AD DS utilise lorsque vous transférez ou prenez le
rôle de maître d'opérations. Un maître d'opérations en attente devrait être un partenaire de réplication
direct avec le maître d'opérations actuel. Par conséquent, si un contrôleur de domaine nommé DC01
est le maître RID, et DC02 est le système qui jouera le rôle de maître RID si DC01 est hors connexion,
vous devrez créer un objet de connexion dans DC02 de sorte qu'il effectue une réplication directement
à partir de DC01.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-12 Conception et implémentation d'une topologie de services de domaine Active Directory

Notification
La notification est le processus par lequel un partenaire en amont informe à ses partenaires en aval
qu'une modification est disponible. Par exemple, si un contrôleur de domaine, DC01, modifie une
partition, il met la modification en file d'attente pour la réplication à ses partenaires. Par défaut, DC01
patiente 15 secondes pour informer son premier partenaire de réplication, DC02, de la modification.
Par défaut, DC01 patiente trois secondes avant d'avertir les partenaires supplémentaires. Ces délais,
appelés délai initial de notification et délai suivant de notification, ralentissent le trafic réseau provoqué
par la réplication intrasite.

En recevant la notification, le partenaire en aval, DC02, demande les modifications à DC01, et l'agent de
réplication d'annuaire (DRA, Directory Replication Agent) transfère l'attribut modifié de DC01 vers DC02.
Dans cet exemple, DC01 a appliqué la modification initiale à AD DS. Par conséquent, il s'agit du contrôleur
de domaine d'origine. Lorsque DC02 reçoit la modification de DC01, DC02 modifie son annuaire. Ensuite,
DC02 met alors la modification en file d'attente pour la répliquer sur ses propres partenaires situés
en aval.

Si DC03 est un partenaire en aval de DC02, après 15 secondes DC02 informe DC03 qu'une modification
a été effectuée. DC03 réplique la modification sur son annuaire, puis informe ses partenaires en aval.
La modification a généré deux tronçons, de DC01 à DC02, puis de DC02 à DC03. La topologie de
réplication vérifie que tous les contrôleurs de domaine du site reçoivent la modification en trois tronçons.
Avec approximativement 15 secondes par tronçon, la modification est totalement répliquée sur le site
en moins d'une minute.

Interrogation
DC01 pourrait ne pas apporter de modifications à ses réplicas pendant un long moment, en particulier
pendant les heures d'absence. Par conséquent, DC02, son partenaire de réplication en aval, ne reçoit pas
de notifications de DC01. DC01 pourrait également être hors connexion, ce qui l'empêcherait également
d'envoyer des notifications à DC02. De ce fait, DC02 doit savoir que son partenaire en amont est en ligne,
et qu'il n'a aucune modification.
Cette opération s'effectue via un processus appelé interrogation. Au cours de l'interrogation, le partenaire
de réplication en aval interroge le partenaire de réplication en amont pour savoir si des modifications
sont mises en file d'attente pour la réplication. Par défaut, la fréquence d'interrogation pour la réplication
intrasite a lieu toutes les heures. Il est possible, bien que non conseillé, de configurer la fréquence
d'interrogation dans les propriétés d'un objet de connexion en cliquant sur Modifier la planification.

Si un partenaire en amont ne répond pas aux requêtes d'interrogation répétées, le partenaire en aval
lance le vérificateur KCC pour activer la topologie de réplication. Si le serveur en amont est en effet
hors connexion, la topologie de réplication du site est régénérée pour adapter la modification.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-13

Que sont le vérificateur de cohérence des données (KCC) et le générateur

de topologie d'intersite (ISTG) ?
AD DS a deux mécanismes importants
pour gérer l'intrasite et la réplication intersite
automatiquement. Ce sont le vérificateur KCC
et le générateur ISTG. Les deux services
fonctionnent automatiquement.

Vérificateur de cohérence
des données (KCC)
Dans un site, les connexions entre les contrôleurs
de domaine accessibles en écriture sont toujours
réorganisées dans une boucle bidirectionnelle,
avec des connexions de raccourci supplémentaires
pour réduire la latence dans de grands sites.
Cependant, la topologie intersite est basée sur l'algorithme d'arborescence complète, ce qui signifie
qu'une connexion intersite existe entre deux sites pour chaque partition d'annuaire, et que la topologie
en général ne contient aucune connexion de raccourci.

Dans un site, le service du vérificateur KCC dans Windows Server génère automatiquement une topologie
pour la réplication entre les contrôleurs de domaine dans le domaine à l'aide d'une structure de
boucle. Le vérificateur KCC est un processus intégré qui s'exécute sur tous les contrôleurs de domaine.
Il analyse la topologie de réplication dans un site toutes les 15 minutes pour vérifier que la topologie
de réplication fonctionne. Si vous ajoutez ou supprimez un contrôleur de domaine du réseau ou
d'un site, le vérificateur KCC reconfigure la topologie pour refléter la modification.

Sur chaque contrôleur de domaine, le vérificateur KCC crée les itinéraires de réplication en créant
des objets de connexion unidirectionnels et entrants qui définissent les connexions à partir d'autres
contrôleurs de domaine. Pour les contrôleurs de domaine dans le même site, le vérificateur KCC crée
des objets de connexion automatiquement sans intervention administrative. Si vous avez plusieurs sites,
vous pouvez configurer des liens de sites entre les sites, puis un vérificateur KCC unique dans chaque
site crée automatiquement les connexions entre les sites également.

Générateur de topologie intersite

Un concept fondamental dans la génération de la topologie dans un site est que chaque serveur apporte
sa contribution à la création d'une topologie à l'échelle du site. De même, la génération de la topologie
entre les sites dépend de chaque site contribuant à créer une topologie à l'échelle de la forêt entre
les sites. Dans le cadre de cet effort, un contrôleur de domaine par site suppose le rôle de l'ISTG.
Le vérificateur KCC sur ce contrôleur de domaine est chargé de créer des connexions entre les contrôleurs
de domaine dans son site et les contrôleurs de domaine dans d'autres sites, qui comprennent les objets
de réplication-connexion entrants pour tous les contrôleurs de domaine dans le site dans lequel le
contrôleur de domaine est situé.

Si le générateur ISTG évalue la topologie et détermine que son propre site est le seul site, il n'effectue
aucun autre traitement parce qu'aucune connexion entre les sites n'est possible.

À des intervalles de 30 minutes, le générateur ISTG actuel informe tous les autres contrôleurs de domaine
du site de son existence. Il effectue l'opération en écrivant l'attribut interSiteTopologyGenerator sur
l'objet Paramètres NTDS, dans son objet contrôleur de domaine, situé dans la partition d'annuaire
de configuration.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-14 Conception et implémentation d'une topologie de services de domaine Active Directory

Lorsque l'attribut interSiteTopologyGenerator est répliqué sur les autres contrôleurs de domaine,
le vérificateur KCC analyse cet attribut sur chacun de ces ordinateurs pour vérifier qu'il a été écrit.
Si 60 minutes s'écoulent sans modification, un nouveau générateur ISTG.

Il est possible pour un administrateur de modifier un objet de connexion sur un contrôleur de domaine
et pour le vérificateur KCC de le modifier sur un autre contrôleur de domaine avant que la modification
initiale soit répliquée. Le remplacement d'une telle modification peut se produire dans le site local ou
lorsqu'un objet de connexion change dans un site distant. Par défaut, le vérificateur KCC s'exécute toutes
les 15 minutes. Si la modification de l'objet de connexion n'est pas répliquée sur un autre contrôleur de
domaine avant que le vérificateur KCC sur ce contrôleur de domaine s'exécute, le vérificateur KCC de ce
contrôleur de domaine peut modifier le même objet de connexion. Dans ce cas, la propriété de l'objet
de connexion appartient au vérificateur KCC car l'écriture qui est appliquée est la dernière écriture sur
l'objet de connexion.

Si vous souhaitez vérifier que le vérificateur KCC ne remplace pas votre modification sur un objet
de connexion intersite, apportez les modifications sur l'ordinateur doté du rôle de générateur de
topologie intersite dans le site de l'objet de connexion modifié.

Options pour concevoir des topologies de réplication

Dans Windows Server 2012, vous pouvez
utiliser les topologies suivantes pour
la réplication intersite AD DS :
• Anneau. Dans une topologie Appeler, les
fichiers sont répliqués depuis un serveur
sur un autre dans une configuration
circulaire, et chaque serveur se connecte
aux ordinateurs qui se trouvent de part et
d'autre de celui-ci. Choisissez une topologie
en anneau si elle ressemble à la structure de
votre réseau physique. Par exemple, si chaque
serveur est dans un site différent et dispose
d'une connexion existante avec les serveurs voisins, vous pouvez choisir la topologie en anneau afin
que chaque serveur se connecte uniquement aux serveurs voisins.

• Hub and spoke. Dans une topologie hub-and-spoke, vous indiquez un site comme concentrateur.
D'autres sites, appelés spokes, se connectent au concentrateur. Vous utilisez en général cette
topologie pour les réseaux étendus (WAN) qui comprennent des connexions réseau plus
rapides entre les principaux concentrateurs informatiques et les liaisons plus lentes connectant
les succursales. Dans cette topologie, AD DS effectue une réplication à partir des serveurs
concentrateurs vers les serveurs spokes et vice versa, mais les fichiers ne sont pas répliqués
directement entre deux serveurs spokes. Si vous sélectionnez cette topologie, vous devez choisir
le site qui fera office de hub (concentrateur). Si vous souhaitez installer plusieurs concentrateurs,
utilisez une topologie personnalisée. Nous recommandons d'utiliser plusieurs concentrateurs,
car si vous utilisez uniquement un concentrateur, il sera un point de défaillance unique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-15

• Maille pleine. Dans cette topologie, chaque site se connecte à un autre site. Vous utilisez en général
cette option si les liens ultra-rapides sont disponibles entre tous les sites. Une modification AD DS
sur un contrôleur de domaine d'un site est directement répliquée sur tous les serveurs tête de
pont de tous les autres sites, et à partir des serveurs tête de pont sur tous les autres contrôleurs
de domaine de chaque site. Puisque chaque site se connecte à un autre site, la propagation des
demandes de modification pour la réplication AD DS peut imposer une lourde charge au réseau.
Vous pouvez réduire le trafic inutile à l'aide d'une topologie différente ou en supprimant les
connexions dont vous n'avez pas besoin.

• Hybride. Une topologie hybride est la combinaison d'un concentrateur et d'un spoke avec
une maille pleine. Un exemple de topologie hybride est une topologie hub-and-spoke redondante.
Dans cette configuration, un site hub peut contenir deux contrôleurs de domaine qui sont connectés
par une liaison haut-débit. Chacun des deux serveurs concentrateurs peut se connecter à quatre
contrôleurs de domaine de la succursale dans un agencement hub-and-spoke.

Dans le cas de la topologie de réplication intrasite, la réplication fonctionne par défaut en topologie
en anneau. Bien que vous conceviez une topologie de réplication intersite selon les fonctions
d'infrastructure réseau et de routage, nous vous déconseillons de modifier le comportement
par défaut de la topologie de réplication intrasite.

Éléments à prendre en compte pour choisir un protocole de réplication

Il existe trois niveaux de connectivité
pour répliquer les informations AD DS :

• Appel de procédure distante (RPC,

Remote Procedure Call) uniforme, à
haut débit, synchrone sur IP dans les sites.

• Appel de procédure distante (RPC,

Remote procedure call) point-à-point,
synchrone et à débit réduit entre les sites.

• Connexion SMTP
(Simple Mail Transfer Protocol) asynchrone
à débit réduit entre les sites.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-16 Conception et implémentation d'une topologie de services de domaine Active Directory

Dans Sites et services Active Directory, les liens de sites sont placés dans un conteneur nommé IP,
qui lui-même est dans le conteneur de transports intersite. Des modifications sont répliquées entre
les contrôleurs de domaine à l'aide de l'un des deux protocoles :

• Appel de procédure distante du service d'annuaire (DS-RPC, Directory Service

Remote Procedure Call). DS-RPC apparaît dans le composant logiciel enfichable Sites
et services Active Directory en tant que protocole IP, et vous l'utilisez pour toute la
réplication intrasite. Il s'agit du protocole par défaut pour la réplication intersite.

• Service de messagerie intersite (ISM, Intersite messaging service) SMTP. Utilisez ISM-SMTP, également
connu simplement sous le nom de SMTP, uniquement si les connexions réseau entre des sites sont
peu fiables ou ne sont pas toujours disponibles.

En général, vous pouvez supposer que vous utiliserez le protocole IP pour toute la réplication
intersite. Très peu d'organisations utilisent le protocole SMTP pour la réplication, en raison de la
charge administrative requise pour configurer et gérer une autorité de certification (CA) et parce
que la réplication SMTP n'est pas prise en charge pour le contexte de dénomination de domaine.
Ainsi, si un site utilise le protocole SMTP pour effectuer la réplication au reste de l'entreprise, ce
site doit être son propre domaine.

Le transport intersite et intrasite RPC (RCP via IP dans les sites et entre les sites) et le transport
intersite SMTP (SMTP sur IP entre les sites uniquement) correspondent respectivement aux méthodes
de communication synchrone et asynchrone. La communication synchrone favorise les connexions
rapides et disponibles, tandis que la communication asynchrone est performante pour les connexions
lentes ou intermittentes.

Transport IP
Le transport IP (RPC via IP) fournit la réplication entrante synchrone. Dans le cadre de la
réplication AD DS, la communication synchrone implique qu'une fois que le contrôleur de domaine
de destination envoie la demande des données, elle attende le contrôleur de domaine source pour
recevoir la demande, puis elle établit et envoie une réponse avant la demande de modification de
tous les autres contrôleurs de domaine. Ainsi, la réplication entrante est séquentielle. Par conséquent,
dans le cas d'une transmission synchrone, la réponse est reçue dans un délai très court. Le transport IP
est approprié pour lier des sites dans les réseaux entièrement acheminés.

Transport SMTP
Le transport SMTP (SMTP sur IP) fournit la réplication asynchrone, pour laquelle le contrôleur de domaine
de destination n'attend pas la réponse et peut avoir plusieurs demandes asynchrones en attente à tout
moment particulier. Ainsi, dans le cas d'une transmission asynchrone, la réponse n'est pas nécessairement
reçue dans un délai très court. Le transport asynchrone est approprié pour lier des sites sur des réseaux
qui ne sont pas complètement acheminés et qui ont en particulier les liaisons WAN lentes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-17

Éléments à prendre en compte pour sélectionner un protocole de réplication

Lorsque vous choisissez un protocole de réplication, tenez compte des éléments ci-dessous :

• La réplication dans un site utilise toujours le protocole RPC sur IP.

• La réplication entre les sites peut utiliser le protocole RPC sur IP ou SMTP sur IP.

• La réplication entre les sites via SMTP est prise en charge uniquement pour la partition de schéma,
la partition de configuration et la réplication de catalogue global, ce qui signifie que les domaines
peuvent s'étendre aux sites uniquement lorsque le protocole RPC synchrone et point à point
est disponible entre les sites. Il requiert également une autorité de certification (AC) d'entreprise
si vous l'utilisez sur des liens de sites. Les contrôleurs de domaine du même domaine doivent
répliquer à l'aide du transport RPC sur IP.

Vous ne pouvez établir la réplication via le protocole SMTP que dans certaines conditions spécifiques.
Si vous avez un scénario dans lequel SMTP est la seule option pour la réplication entre les sites, vous
devez remplir plusieurs conditions. Le vérificateur KCC ne crée pas les connexions qui utilisent
le protocole SMTP à moins d'effectuer les opérations suivantes :
• Installer Services Internet (IIS) sur les deux serveurs tête de pont.

• Installer et configurer une AC d'entreprise sur votre réseau. L'AC fournit les clés et les certificats
requis pour signer et chiffrer les messages SMTP que les contrôleurs de domaine échangent,
ce qui garantit l'authenticité des mises à jour de l'annuaire. Plus particulièrement, un certificat
de contrôleur de domaine doit être présent sur les contrôleurs de domaine de réplication.
Le message de demande de réplication n'est pas chiffré, car ce message ne contient aucune
donnée d'annuaire. Cependant, le message de réponse de réplication, qui contient des
données d'annuaire, est chiffré à l'aide d'une longueur de clé de 128 bits.

• Connecter les sites à l'aide des liens de sites SMTP. Les rubriques suivantes proposent
plus de détails sur les liens de sites.

• Assurez-vous que le chemin d'accès des liens de sites entre les sites est moins coûteux
que n'importe quel lien de sites IP/RPC pouvant atteindre le site SMTP.
• N'essayez pas de répliquer les réplicas accessibles en écriture du même domaine
(bien que la réplication des réplicas partiels de catalogue global est prise en charge).

• Configurer chaque contrôleur de domaine pour recevoir des messages électroniques.

Vous devez également déterminer si le routage du courrier électronique est nécessaire. Si les
deux contrôleurs de domaine de réplication ont une connectivité IP directe et peuvent s'envoyer
des messages, inutile d'effectuer toute autre configuration. Cependant, si les deux contrôleurs
de domaine doivent passer via des passerelles pour s'échanger du courrier électronique, vous
devrez configurer le contrôleur de domaine pour utiliser la passerelle des messages électroniques.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-18 Conception et implémentation d'une topologie de services de domaine Active Directory

Planification du catalogue global et de la réplication des contrôleurs

de domaine en lecture seule
Outre le processus de réplication standard entre
les contrôleurs de domaine dans les domaines
et la forêt, vous devez également comprendre
les types de réplication spécifiques lorsque vous
créez une conception de réplication, notamment :

• Réplication du contrôleur de
domaine en lecture seule (RODC,
Read-only domain controller).
Un contrôleur RODC doit répliquer les
données de domaine d'un contrôleur de
domaine qui exécute Windows Server 2008
ou toute version plus récente. Par conséquent,
dans les forêts qui contiennent des contrôleurs de domaine Windows Server 2003, la réplication est
parmi les éléments les plus importants pour déterminer où placer les contrôleurs RODC. La topologie
de site et les contraintes du réseau peuvent affecter le placement d'un contrôleur de domaine en
lecture seule et les contrôleurs de domaine accessibles en écriture. En général, cela implique que vous
placiez un contrôleur de domaine accessible en écriture exécutant Windows Server 2008 sur le
site le plus proche dans la topologie. Le site le plus proche se définit comme le site dont le coût
du lien de sites est le plus bas pour le site qui contient le contrôleur de domaine en lecture seule.
• Réplication de catalogue global. Les serveurs de catalogue global sont requis pour que les utilisateurs
se connectent aux domaines. Pendant le processus de connexion, Windows contacte un serveur de
catalogue global pour obtenir la liste des groupes universels auxquels l'utilisateur appartient. Si vous
placez un contrôleur de domaine dans un site, mais ne placez pas un serveur de catalogue global
dans le même site, alors l'utilisateur doit sortir du site local pour une partie du processus d'ouverture
de session. Cependant, si vous placez un serveur de catalogue global dans chaque site AD DS,
les utilisateurs peuvent rester dans le site pour l'ouverture de session.

Vous pouvez également utiliser des serveurs de catalogue global pour les recherches de répertoire
dans AD DS. Les serveurs de catalogue global contiennent une copie partielle, en lecture seule,
de tous les objets de la forêt. En outre, les applications telles que Microsoft Exchange Server créent
considérablement plus de charge sur les serveurs de catalogue global. Si vous planifiez le placement
des serveurs de catalogue global, vérifiez que vous comprenez comment utiliser l'application et ses
configurations AD DS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-19

La réplication du catalogue global permet de vérifier que les utilisateurs de toute la forêt ont un
accès rapide aux informations sur chaque objet de la forêt. Les attributs par défaut qui composent
le catalogue global fournissent une base des attributs les plus couramment recherchés. Ces attributs
sont répliqués sur le catalogue global dans le cadre de la réplication AD DS normale.

Le vérificateur KCC génère automatiquement la topologie de réplication du catalogue global.

Cependant, le catalogue global réplique uniquement sur les autres contrôleurs de domaine
que vous désignez comme serveurs de catalogue global.

Remarque : Les attributs que vous marquez pour l'inclusion dans le catalogue global
affecteront la réplication des données de catalogue global.

Vous devez placer au moins un serveur de catalogue global dans chaque site AD DS. Pour la redondance,
envisagez de placer deux serveurs de catalogue global dans chaque site.

Planification de la réplication SYSVOL

Les contrôleurs de domaine utilisent un
dossier partagé spécial nommé SYSVOL pour
enregistrer des scripts d'ouverture de session
et des objets de stratégie de groupe
(GPO, Group Policy Objects). Ce dossier se
réplique alors sur les autres contrôleurs de
domaine. Les versions de Windows Server
antérieures à Windows Server 2008
utilisent le service de réplication de fichiers
(FRS, File Replication Service) pour répliquer
SYSVOL. Windows Server 2012 utilise le service
de réplication DFS.

La réplication DFS offre plusieurs avantages par rapport au service FRS, notamment :

• Un protocole de réplication efficace, évolutif et fiable qui aide à vérifier la cohérence des données
dans les scénarios de réplication multimaître.

• La réplication différentielle des modifications appliquées aux fichiers à l'aide de l'algorithme

de compression différentielle à distance (RDC, Remote Differential Compression), qui accroît
l'efficacité dans des scénarios de succursale.

• Les mécanismes de planification et de limitation de bande passante flexibles.

• L'autoréparation suite aux dépassements de taille de journal relatif au numéro de séquence de mise
à jour (USN, Update Sequence Number), et suite aux corruptions de base de données, ce qui résulte
en un minimum d'intervention et de surveillance de l'utilisateur final.

• Un nouvel outil de gestion d'interface utilisateur, connu sous le nom de composant logiciel
enfichable MMC (Microsoft Management Console), qui facilite l'administration.

• Les outils de contrôle d'état d'intégrité intégrés pour faciliter les déploiements d'analyse.

• Prise en charge améliorée des contrôleurs de domaine en lecture seule.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-20 Conception et implémentation d'une topologie de services de domaine Active Directory

Éléments à prendre en compte pour concevoir des liens de sites

Le vérificateur KCC suppose que tous les
contrôleurs de domaine d'un site peuvent
communiquer entre eux. Entre les sites,
cependant, vous pouvez représenter
les chemins d'accès réseau par lesquels
la réplication doit se produire en créant
des objets de lien de sites. Un lien de sites
contient au moins deux sites. Le générateur ISTG
crée des objets de connexion entre les serveurs
dans chacun des sites pour activer la réplication
intersite.

Présentation des liens de sites

Un lien de sites représente un chemin d'accès disponible pour la réplication. Un lien de sites unique ne
contrôle pas les itinéraires réseau que la réplication utilise, il n'est pas non plus informé des itinéraires au
niveau du réseau. Si vous créez un lien de sites et que vous lui ajoutez des sites, vous indiquez en réalité
à AD DS qu'il peut effectuer une réplication entre n'importe quel site associé au lien de sites. Si vous créez
un lien de sites et lui ajoutez au moins deux sites, vous présumez qu'il existe un itinéraire réseau entre
ces sites.
Le générateur ISTG crée des objets de connexion, et ces objets détermineront le chemin de réplication
réel. Bien que la topologie de réplication créée par le générateur ISTG réplique effectivement AD DS, elle
pourrait ne pas être efficace à cause de votre topologie de réseau. Lorsque vous concevez des sites, vous
devez maîtriser pleinement votre topologie de routage et configurer les liens de sites en conséquence.

Lorsque vous créez une forêt, AD DS crée l'objet de lien de sites par défaut DEFAULTIPSITELINK. Par
défaut, chaque nouveau site que vous ajoutez est associé avec l'objet DEFAULTIPSITELINK. Cependant,
vous devez modifier ce comportement par défaut et créer les liens de sites qui reflètent votre topologie
de réseau physique.

Après avoir créé les liens de sites, le générateur ISTG utilise la topologie pour créer une topologie de
réplication intersite qui connecte chaque site, puis génère des objets de connexion pour configurer
les chemins d'accès de réplication intersite. Le générateur ISTG crée ces objets de connexion
automatiquement, et bien que vous puissiez créer des objets de connexion manuellement,
il y a peu de scénarios où vous devez (ou souhaiterez) le faire.

En concevant les liens de sites, vous devez également planifier la configuration des attributs de lien
de sites. Ces attributs peuvent influencer considérablement la réplication sur les liens de sites. Pour
chaque lien de sites, vous pouvez configurer le coût des liens de sites, la fréquence de réplication
et la planification de réplication.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-21

Coût des liens de sites

Si le trafic peut prendre plusieurs itinéraires, vous pouvez utiliser les coûts des liens de sites pour gérer
le flux du trafic de réplication. Vous pouvez configurer le coût des liens de sites pour indiquer qu'un lien
est plus rapide, plus fiable, ou est le lien préféré. Utilisez les coûts les plus élevés pour des liaisons lentes,
et des coûts plus faibles pour les liaisons rapides. AD DS est répliqué avec la connexion la moins coûteuse.

Par défaut, AD DS configure tous les liens de sites avec un coût de 100. Les coûts des liaisons entre sites
ne disposent d'aucune unité spécifiée ; au lieu de cela, vous devez établir des mesures et définir des unités
pour la valeur du coût des liens de sites. Par exemple, généralement le mesures pour un coût des liens
de sites est la bande passante de liaison réelle. Cependant, le coût des liens de sites peut également
être le vrai coût que vous payez pour ce lien physique.

Fréquence de réplication

La réplication intersite est basée uniquement sur l'interrogation ; il n'y a aucune notification. Par défaut,
toutes les trois heures un partenaire de réplication interroge ses partenaires de réplication en amont
pour déterminer si des modifications sont disponibles. Si vous souhaitez que les modifications de
l'annuaire soient répliquées plus rapidement, vous pouvez modifier la fréquence d'interrogation
pour chaque lien de sites.

Planifications de réplication
Par défaut, la réplication se produit 24 heures sur 24. Cependant, vous pouvez restreindre la réplication
intersite à une heure précise de la journée en modifiant les attributs de planification d'un lien de sites.
Soyez vigilant lors de la planification de la disponibilité des liens de sites. Il est possible de planifier des
plages de disponibilité qui ne se chevauchent pas, ce qui signifie que la réplication ne se produit pas.
Si la planification des liens est inutile, sélectionnez l'option Ignorer les planifications dans les propriétés
du protocole de transport IP ; cette option fait en sorte qu'AD DS ignore toutes les planifications de
disponibilité de liens de sites, ce qui permet d'assurer la réplication 24 heures sur 24 sur tous les liens
de sites.

Lorsque vous concevez les liens de sites, planifiez la réplication en fonction de la bande passante
disponible. Pour plusieurs liens de sites, la réplication doit être disponible durant au moins une
période commune.

Le générateur ISTG crée une topologie de réplication entre les sites sur un lien de sites. Cependant, le fait
d'avoir un contrôleur de domaine de site qui réplique sur chaque contrôleur de domaine d'un autre site
serait inefficace et consommerait énormément de bande passante. Pour rendre la réplication plus efficace,
le générateur ISTG sélectionne un contrôleur de domaine en tant que serveur principal qui connecte
les autres serveurs, de sorte que les informations peuvent être transmises d'un serveur vers un autre.
Ce serveur est appelé serveur tête de pont.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-22 Conception et implémentation d'une topologie de services de domaine Active Directory

Éléments à prendre en compte pour concevoir des serveurs tête de pont

Présentation des serveurs tête de pont

Le serveur tête de pont est responsable de
toute la réplication dans le site et en dehors
pour une partition. Par exemple, si un site de
centre de données contient cinq contrôleurs de
domaine, un des contrôleurs de domaine est
désigné en tant que serveur tête de pont pour
le contexte de dénomination de domaine.
Toutes les modifications apportées à la partition
de domaine dans le centre de données sont
répliquées sur tous les contrôleurs de domaine
du site. Lorsque les modifications atteignent le serveur tête de pont, ces modifications sont répliquées sur
les serveurs tête de pont des succursales, qui répliquent à leur tour les changements sur les contrôleurs
de domaine de leurs sites. De même, toutes les modifications apportées au contexte de dénomination
de domaine des succursales sont répliquées des serveurs tête de pont des succursales vers le serveur
tête de pont du centre de données, qui à son tour réplique les modifications sur d'autres contrôleurs
de domaine du centre de données.
Pour résumer, le serveur tête de pont est le serveur qui réplique des modifications apportées à une
partition depuis d'autres serveurs tête de pont d'autres sites. En outre, les serveurs tête de pont dans
d'autres sites l'interrogent pour déterminer si des modifications doivent être répliquées.

Planification de la sélection des serveurs tête de pont

Le générateur ISTG sélectionne des serveurs tête de pont automatiquement, et crée ensuite la topologie
de réplication intersite pour vérifier que les modifications sont répliquées efficacement entre les serveurs
qui partagent un lien de sites. Des serveurs tête de pont sont sélectionnés par partition. Par conséquent, il
est possible qu'un contrôleur de domaine dans un site puisse être le serveur tête de pont pour le schéma,
tandis qu'un autre sert pour la configuration. Généralement, un contrôleur de domaine est le serveur tête
de pont pour toutes les partitions dans un site, à moins qu'il y ait des contrôleurs de domaine d'autres
domaines ou d'autres partitions de l'annuaire d'applications, auquel cas, les serveurs tête de pont sont
choisis pour ces partitions également.

Vous pouvez également désigner un ou plusieurs serveurs tête de pont par défaut en utilisant le
composant logiciel enfichable Sites et services Active Directory. Vous pouvez configurer plusieurs serveurs
tête de pont préféré pour un site, mais le générateur ISTG en sélectionne et utilise un seul en tant que
serveur tête de pont. Si ce serveur tête de pont échoue, le générateur ISTG utilise un autre serveur tête
de pont parmi ceux définis par défaut.

Si vous spécifiez un ou plusieurs serveurs tête de pont, mais qu'aucun d'eux n'est disponible, le
générateur ISTG ne sélectionne pas un autre serveur automatiquement, et la réplication ne se produit
pas pour le site, même si d'autres serveurs peuvent agir en tant que serveurs tête de pont. Dans le
meilleur des cas, vous ne configureriez pas les serveurs tête de pont par défaut. Cependant, les exigences
de performance peuvent sous-entendre que vous attribuiez le rôle serveur tête de pont aux contrôleurs
de domaine qui disposent de plus de ressources système. Les considérations relatives au pare-feu peuvent
également nécessiter que vous affectiez un serveur unique pour agir en tant que serveur tête de pont,
au lieu d'activer AD DS pour sélectionner et réaffecter probablement des serveurs tête de pont au fil
du temps.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-23

Windows Server 2008 R2 a introduit l'équilibrage de charge pour distribuer la charge de travail
équitablement entre les serveurs tête de pont. Dans les environnements qui exécutent des versions
antérieures de Windows Server, les connexions entrantes à partir des sites pourraient inonder de
demandes un contrôleur de domaine dans le site hub. Ceci peut se produire même si les connexions
au site hub bénéficient d'un équilibrage de charge. La nouvelle technologie de sélection du serveur
tête de pont améliore le processus de sélection d'un serveur tête de pont, et elle évite d'inonder
un serveur unique.

Le générateur ISTG pour le transport spécifié sélectionne automatiquement les serveurs tête de pont
par défaut. Généralement, vous ne devez pas modifier la configuration par défaut sans bonne raison.
Cependant, vous pouvez désactiver le serveur tête de pont défini par le générateur ISTG et sélectionner
manuellement votre serveur tête de pont par défaut. Pour cela, procédez comme suit :

• Veillez à affecter au moins deux serveurs tête de pont ou plus pour toute partition d'annuaire
de domaine avec les conditions suivantes :

o Pour toute partition d'annuaire de domaine qui a un réplica dans n'importe quel autre site.

o Pour toute partition d'annuaire d'application qui a un réplica dans un autre site.

o Pour les partitions d'annuaire de schéma et de configuration, si aucun domaine du site

n'a de réplica dans d'autres sites.
• Sélectionnez le serveur de catalogue global comme l'un des serveurs tête de pont par défaut,
si le site possède un serveur de catalogue global.

Éléments à prendre en compte pour concevoir un pontage

entre des liens de sites
Dans beaucoup d'environnements, en particulier
ceux avec des topologies de réseau simplifiées,
les liens de sites sont suffisants pour gérer
la réplication intersite. Dans des réseaux plus
complexes, cependant, vous pouvez configurer
des composants et des propriétés de réplication
supplémentaires, comme le pontage automatique
entre des liens de sites et les ponts entre des liens
de sites.

Le pontage automatique entre des liens

de sites
Par défaut, les liens de sites sont reliés par des
ponts. Par exemple, si Site01 et Site02 sont liés, et Site02 et Site03 sont liés, puis Site01 et Site03 sont
liés transitif. Ce cours signifie, théoriquement, que le générateur ISTG peut créer un objet de connexion
directement entre un contrôleur de domaine dans Site01 et un contrôleur de domaine dans Site03,
et ignorent la topologie de réseau hub-and-spoke.

Vous pouvez désactiver le pontage automatique reliant les liens de sites en ouvrant les propriétés
du transport IP dans le conteneur de transports intersite, et en désactivant la case à cocher Relier
tous les liens de sites. Vous ne devez procéder de la sorte que si votre réseau n'est pas entièrement
routable et si la transitivité ne s'applique pas au niveau du réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-24 Conception et implémentation d'une topologie de services de domaine Active Directory

Ponts entre des liens de sites

Lorsqu'un pont entre des liens de sites connecte au moins deux liens de sites, il crée un lien transitif.

Remarque : Les ponts entre des liens de sites sont nécessaires uniquement lorsque vous
avez désactivé la case à cocher Relier tous les liens de sites pour le protocole de transport.
Notez qu'AD DS permet la transitivité des liens de sites par défaut ; dans ce cas, les ponts entre
des liens de sites n'ont aucun effet.

Vous devez créer des ponts entre des liens de sites uniquement si vous souhaitez spécifier manuellement
que des sites sont liés de manière transitive au niveau du réseau, lorsqu'ils ne le sont pas.

Lors de la conception du pontage entre des liens de sites, tenez compte des instructions suivantes :

• Si le réseau est entièrement routé et que vous n'avez pas besoin de contrôler le flux
du réplication AD DS, laissez le pontage automatique de liens de sites activée pour
tous les liens de sites en sélectionnant l'option Relier tous les liens de sites.

• Si un réseau n'est pas complètement routé, désactivez l'option Relier tous les liens de sites
pour le transport IP, puis configurez les ponts entre des liens de sites pour mapper aux connexions
réseau physiques.

• Si vous devez modeler le comportement de routage de votre réseau, vous pouvez créer et configurer
des objets de pont entre des liens de sites.

• Si tous les liens de sites du pont sont requis pour router de manière transitive, vous devez ajouter
des liens de sites à un pont entre des liens de sites.
• Vous devez vérifier que chaque lien de sites d'un pont manuel entre des liens de sites dispose d'un
site en commun avec un autre lien de sites dans le pont, de sorte que le pont puisse calculer le coût
à partir des sites d'un lien unique vers des sites d'autres liens du pont.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-25

Leçon 3
Conception du placement des contrôleurs de domaine
En concevant des contrôleurs de domaine, vous devez factoriser la façon dont vous placez les
contrôleurs de domaine, les contrôleurs de domaine en lecture seule, les serveurs de catalogue
global et les détenteurs de rôle de maître d'opérations dans les sites AD DS. Cette conception
vous aide à déterminer le nombre de contrôleurs de domaine et la configuration matérielle requise
pour le contrôleur de domaine pour chaque domaine qui est représenté dans chaque site. Vous
devez également considérer l'impact de la récupération d'urgence AD DS sur cette approche.
Dans cette leçon, vous découvrirez la conception et le placement des contrôleurs de domaine.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• planifier la configuration matérielle requise pour les contrôleurs de domaine ;

• décrire les éléments à prendre en compte pour le déploiement des contrôleurs de domaine
dans une installation minimale ;

• décrire les éléments à prendre en compte pour planifier les emplacements de contrôleur
de domaine ;

• décrire les éléments à prendre en compte pour planifier les emplacements de serveur
de catalogue global ;
• décrire les éléments à prendre en compte pour planifier les emplacements de serveur maître
des opérations ;

• décrire les instructions pour l'analyse des contrôleurs de domaine AD DS ;

• décrire les éléments à prendre en compte pour la prise en charge des succursales.

Planification de la configuration matérielle requise pour les contrôleurs

de domaine
Bien que le rôle d'AD DS n'est pas exigeant en
ressources, il est important que vous planifiez
les ressources matérielles convenablement
pour les serveurs destinés à être des contrôleurs
de domaine.

Remarque : Lorsque vous envisagez

la virtualisation des contrôleurs de domaine,
tenez compte du fait que la plupart des
configurations matérielles requises sont
identiques pour le déploiement des contrôleurs de
domaine sur des ordinateurs physiques que pour
le déploiement sur des ordinateurs virtuels.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-26 Conception et implémentation d'une topologie de services de domaine Active Directory

L'espace disque disponible est la ressource la plus importante pour les contrôleurs de domaine, bien que
vous devez également planifier l'unité centrale (CPU), la mémoire vive (RAM) et les ressources de la carte
réseau. Cependant, dans la plupart des cas, ces configurations requises sont les mêmes que pour
l'installation du système d'exploitation Windows Server 2012.

Au minimum, un contrôleur de domaine a besoin d'espace disque libre disponible pour la base de
données AD DS, les fichiers journaux AD DS, le dossier partagé SYSVOL et le système d'exploitation.
Utilisez les instructions suivantes pour déterminer combien d'espace disque doit être alloué à votre
installation AD DS :
• Sur le lecteur qui contient la base de données Active Directory, connu en tant que fichier [Link]
(NT Directory Services directory information tree), fournissez 0,4 gigaoctets (GB) de stockage pour
1 000 utilisateurs. Cette base de données est appelée fichier de l'arborescence des informations
du répertoire de services d'annuaire NT ([Link]). Par exemple, si vous avez une forêt avec
deux domaines (le domaine A et le domaine B), qui ont respectivement 10 000 et 5 000 utilisateurs,
vous devez fournir un minimum de 4 Go d'espace disque pour chaque contrôleur de domaine
qui héberge le domaine A. En outre, vous devez fournir un minimum de 2 Go d'espace disque pour
chaque contrôleur de domaine qui héberge le domaine B. L'espace disponible doit être égal à au
moins 10 % de la taille de votre base de données existante, ou à au moins 250 mégaoctets (Mo),
ce qui demeure tout de même supérieur.

Remarque : Les besoins en espace supplémentaire peuvent également dépendre

de la taille et du nombre d'objets qui sont recyclés. Par exemple, dans un domaine de
production Windows Server qui utilise les valeurs par défaut deletedObjectLifetime
et recycledObjectLifetime de 180 jours, la fonctionnalité Corbeille Active Directory
a fait augmenter de 20 % la taille de la base de données Active Directory.

• Sur le lecteur contenant les fichiers journaux AD DS, fournissez au moins 500 Mo d'espace disponible.
• Sur le lecteur contenant le dossier partagé SYSVOL, fournissez au moins 500 Mo d'espace disponible.

• Sur le lecteur contenant les fichiers du système d'exploitation avec lequel vous exécutez
le programme d'installation, fournissez au moins 1,25 à 2 Go d'espace disponible.

• Accordez davantage d'espace disque si le contrôleur de domaine héberge également le rôle

de serveur de catalogue global. Cela est particulièrement important dans les environnements
multidomaines.
Si vous mettez les contrôleurs de domaine existants à niveau vers Windows Server 2012, examinez,
puis documentez la configuration matérielle existante pour chaque contrôleur de domaine que
vous envisagez de mettre à niveau. Utilisez ces informations pour identifier les deux contrôleurs
de domaine de votre environnement que vous pouvez mettre à niveau, et les contrôleurs de domaine
qui ne répondent pas aux configurations matérielles requises pour exécuter Windows Server 2012.

Remarque : Souvenez-vous que vous ne pouvez installer Windows Server 2012

que sur du matériel 64 bits.

Remarque : Lors de la planification du déploiement de contrôleurs de domaine,

évitez de déployer dessus des logiciels autres que les logiciels liés à AD DS, pour des raisons
de sécurité et de performance. Si vous avez un scénario qui exige que vous déployiez un logiciel
supplémentaire sur le contrôleur de domaine, la configuration matérielle requise peut varier.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-27

Éléments à prendre en compte pour le déploiement des contrôleurs

de domaine dans une installation minimale
À titre de recommandation, implémentez la
sécurité disponible maximale pour les serveurs qui
sont des contrôleurs de domaine. Cela en raison
de la nature sensible des informations stockées
sur les contrôleurs de domaine, tels que les mots
de passe utilisateur. Bien que la configuration
basée sur les rôles de Windows Server 2012
réduise la surface de sécurité d'un serveur
en installant uniquement les composants
et les services requis, vous pouvez encore
réduire sa surface de sécurité en choisissant une
installation minimale de Windows Server 2012.

Remarque : Une installation minimale permet d'installer le système d'exploitation

Windows Server 2012 dans sa version minimale. Une installation minimale n'installe pas
l'interface de l'Explorateur Windows, ce qui signifie que vous gérez une installation minimale
à distance à l'aide des outils d'interface utilisateur graphique. Pour configurer et gérer un
serveur localement, vous devez utiliser des outils de ligne de commande. Windows Server 2012
fournit l'outil Configuration du serveur ([Link]) qui vous permet d'administrer une
installation minimale.

Les installations minimales de Windows Server 2012 consomment environ 3 Go d'espace disque et
d'environ 256 Mo de mémoire. Une installation minimale limite les rôles et fonctionnalités du serveur
que vous pouvez ajouter, mais elle améliore la sécurité et la facilité de gestion du serveur en réduisant
son exposition aux attaques. Le nombre de services et de composants fonctionnant simultanément est
limité, de ce fait, les chances qu'un intrus compromette le serveur sont réduites. En outre, la gestion
des mises à jour est beaucoup plus simple sur une installation minimale, car elle comporte un nombre
inférieur de composants à mettre à jour.

Le rôle AD DS peut s'exécuter sur une installation minimale. Cependant, vous ne pouvez pas installer
ni configurer ce rôle de la même manière que sur une version complète de Windows Server. Si vous
décidez d'implémenter un contrôleur de domaine sur une installation minimale, vous devez prendre
en compte les remarques suivantes :
• Vous devez utiliser Windows PowerShell pour installer le rôle.

• Vous devez installer les outils AD DS sur un autre serveur ou une autre station de travail pour
gérer AD DS à distance. Avant de pouvoir gérer l'installation minimale à distance, vous devez
activer la fonctionnalité de gestion à distance sur l'ordinateur d'installation minimale.

• La configuration matérielle requise pour le contrôleur de domaine reste la même lorsque

vous la déployez sur une installation minimale.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-28 Conception et implémentation d'une topologie de services de domaine Active Directory

Éléments à prendre en compte pour planifier les emplacements

de contrôleur de domaine
L'emplacement de vos contrôleurs de
domaine est particulièrement important si
votre organisation a plusieurs emplacements
physiques, et si les emplacements sont
connectés avec une liaison WAN qui est
plus lente qu'une liaison Ethernet 100 Mbits/s.
Dans les organisations avec un seul emplacement,
le placement des contrôleurs de domaine n'est
pas un problème de conception compliqué.
Vous devez simplement vérifier que tous
les clients et les autres serveurs transmettent
les connexions haut débit à un ou plusieurs
contrôleurs de domaine.
Cependant, si votre organisation a plusieurs emplacements, la conception devient plus importante
pour le placement des contrôleurs de domaine. Comme indiqué précédemment, la réplication entre
les contrôleurs de domaine engendre du trafic réseau, et elle exige de la bande passante, qui est
généralement limitée entre les sites. En outre, le trafic d'authentification entre les clients et les
contrôleurs de domaine requiert également une certaine bande passante. Si vous choisissez de
déployer un contrôleur de domaine dans une succursale, tenez compte des éléments suivants :
• Tous les emplacements physiques ne requièrent pas un contrôleur de domaine sur site. Les
emplacements qui se connectent à l'emplacement principal avec une liaison WAN ultra-rapide,
ou des emplacements avec très peu d'utilisateurs, peuvent encore fonctionner même sans contrôleur
de domaine sur le site. Placez les contrôleurs de domaine sur les sites de l'organisation dotés
d'un nombre important d'utilisateurs afin de réduire le trafic d'authentification via la liaison WAN.

• Si vous déployez un contrôleur de domaine sur le site d'une succursale, vous devez créer
un site AD DS pour cet emplacement, l'associer à un sous-réseau IP, puis replacer le contrôleur
de domaine sur ce site. Cela est obligatoire si vous souhaitez diriger les clients de la succursale
et d'autres services orientés Active Directory vers le contrôleur de domaine installé localement.

• Ne déployez pas un contrôleur de domaine AD DS aux emplacements où la sécurité physique ne

peut pas être garantie. Envisagez de déployer un contrôleur de domaine en lecture seule à la place.

• Déployez toujours les contrôleurs de domaine sur les emplacements où vous avez des services
ou des applications qui utilisent AD DS de manière intensive, comme Microsoft Exchange Server
et Microsoft Lync® Server 2010.

• Placez deux contrôleurs de domaine pour chaque domaine d'un site, et si les utilisateurs de plusieurs
domaines sont présents sur ce site, attribuez le rôle de serveur de catalogue global à au moins
l'un d'entre eux.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-29

Éléments à prendre en compte pour planifier les emplacements de serveur

de catalogue global
Le catalogue global est une partition qui
stocke des informations couramment utilisées
sur chaque objet de la forêt. Dans plusieurs
environnements de domaine, lorsqu'un
utilisateur du domaine B recherche un objet
dans le domaine A, le catalogue global fournit
les résultats de la requête. Pour optimiser
son efficacité, le catalogue global ne contient
pas chaque attribut de chaque objet de forêt.
À la place, il contient un sous-ensemble
d'attributs utiles pour la recherche entre les
domaines. C'est pourquoi le catalogue global
est également appelé le jeu d'attributs partiel. En ce qui concerne son rôle de prise en charge des
recherches, vous pouvez comparer le catalogue global à un index de la base de données Active Directory.

Outre le catalogue global améliorant l'efficacité d'AD DS, il est nécessaire pour les applications telles
que Exchange Server et Microsoft Office Outlook®. Par conséquent, il est important que le catalogue
global soit disponible pour ces applications et bien d'autres. Seul un contrôleur de domaine peut
héberger le catalogue global, mais, idéalement, chaque contrôleur de domaine doit être un serveur
de catalogue global.
Si vous choisissez de configurer tous les contrôleurs de domaine comme serveurs de catalogue global,
vous n'avez plus besoin de vous soucier du positionnement du maître d'opérations d'infrastructure.
Son rôle n'est plus nécessaire dans un domaine où tous les contrôleurs de domaine sont des serveurs
de catalogue global.

L'inconvénient potentiel de ce type de configuration concerne la réplication Active Directory, car

le catalogue global est une partition que vous devez répliquer. Dans une forêt de domaine unique,
la configuration de tous les contrôleurs de domaine comme serveurs de catalogue global ajoute
un traitement minimal car les contrôleurs de domaine maintiennent déjà un ensemble complet
d'attributs pour tous les objets de domaine et de forêt. Cependant, dans une grande forêt avec
plusieurs domaines, la charge de traitement augmente en raison de la réplication des modifications
appliquées au jeu d'attributs partiel des objets d'autres domaines. Par conséquent, de nombreuses
organisations constatent que la réplication Active Directory est relativement efficace pour répliquer
le catalogue global sans impact significatif sur leurs réseaux, et que les avantages sont de loin
supérieurs à n'importe quel impact.

Généralement, lors de la conception du placement du catalogue global, vous devez suivre

ces instructions :

• Déployez au moins un serveur de catalogue global dans chaque site AD DS. Cela est particulièrement
important si la connexion du catalogue global d'un autre site est lente ou peu fiable.

• Déployez deux serveurs de catalogue global sur chaque site AD DS pour la redondance. Si vous
avez plusieurs contrôleurs de domaine par site, nous recommandons que tous exécutent le rôle
de serveur de catalogue global.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-30 Conception et implémentation d'une topologie de services de domaine Active Directory

• Si vous avez des sites avec un grand nombre d'utilisateurs, déployez plusieurs serveurs de catalogue
global. Cela améliore les performances.

• Tenez bien compte des applications qui requièrent la présence d'un catalogue global sur le même
site AD DS. Exchange Server et DFS en sont quelques exemples.

Éléments à prendre en compte pour planifier les emplacements de serveur

maître des opérations
Lorsque vous créez le domaine racine
de forêt avec son premier contrôleur de
domaine, le contrôleur de domaine effectue
les cinq rôles de maître d'opérations
(également appelé opérations à maître
unique flottant (FSMO) :

• maître d'opérations de schéma (maître

de schéma) ;

• maître d'opérations d'attribution de noms

de domaine (maître d'attribution de
noms de domaine) ;

• maître d'opérations d'infrastructure (maître d'infrastructure) ;

• maître d'opérations des identificateurs relatifs (maître RID) ;

• maître d'opérations d'émulateur de contrôleur de domaine principal (PDC) (maître d'émulateur

de contrôleur de domaine principal).
Lorsque vous ajoutez des contrôleurs de domaine au domaine, vous pouvez transférer les attributions
de rôle aux autres contrôleurs de domaine. Cela équilibre la charge entre les contrôleurs de domaine
et optimise le placement d'une opération à maître unique.
Les meilleures pratiques pour placer les rôles de maître d'opérations sont les suivantes :

• N'hébergez pas le contrôleur de schéma ni le maître d'opérations des noms de domaine. Placez
les rôles de contrôleur de schéma et de maître d'opérations des noms de domaine sur un contrôleur
de domaine unique qui est un serveur de catalogue global. Bien que ces rôles sont rarement
utilisés, vous devez sécuriser le contrôleur de domaine qui les héberge. Vous devez héberger
le maître d'opérations des noms de domaine sur un serveur de catalogue global, car lorsque
vous ajoutez un nouveau domaine, le maître doit vérifier qu'il n'y a aucun objet de tout type
avec le même nom que le nouveau domaine. Le réplica partiel du catalogue global contient
le nom de chaque objet dans la forêt. L'incidence de ces rôles de maître d'opérations est légère
sauf si vous modifiez le schéma.

• Hébergez le rôle de maître RID et le rôle d'émulateur PDC. Placez le maître RID et des rôles
d'émulateur PDC sur un contrôleur de domaine unique. Si la charge exige que les rôles soient sur
deux contrôleurs de domaine distincts, vous devez connecter ces deux systèmes physiquement, et
vous devez créer des objets de connexion explicites dans AD DS de sorte qu'ils soient des partenaires
de réplication directs. Ils doivent également être les partenaires de réplication directs des contrôleurs
de domaine que vous avez sélectionnés en tant que serveurs de maître d'opérations en attente.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-31

• Placez le maître d'infrastructure sur un contrôleur de domaine qui n'est pas un serveur de catalogue
global. Vous devriez placer le maître d'infrastructure sur un contrôleur de domaine qui n'est pas
un serveur de catalogue global, mais que vous connectez physiquement à un serveur de catalogue
global. Vérifiez que le maître d'infrastructure dispose d'objets de connexion explicites dans AD DS
sur ce serveur de catalogue global, de sorte qu'ils soient des partenaires de réplication directs.
Vous pouvez placer le maître d'infrastructure sur le même contrôleur de domaine agissant
en tant que maître RID et émulateur PDC.

Si tous les contrôleurs de domaine d'un domaine sont des serveurs de catalogue global(ce
qui est recommandé)vous n'aurez pas besoin de déterminer le contrôleur de domaine qui est le
maître d'infrastructure. Si tous les contrôleurs de domaine sont des serveurs de catalogue global,
tous les contrôleurs de domaine disposent d'informations mises à jour sur chaque objet de la forêt,
ce qui évite d'avoir le rôle de maître d'infrastructure.

En outre, si vous activez la corbeille Active Directory, vous n'avez pas besoin de vous soucier
de cette restriction.

• Ayez un plan de basculement. Préparez un plan pour transférer les rôles de maître d'opérations
vers d'autres contrôleurs de domaine au cas où un serveur de maître d'opérations serait hors
connexion. Ceci comprend un rôle régulier de plan de transfert et un plan pour la saisie des rôles.

Instructions pour l'analyse des contrôleurs de domaine Active Directory

Windows Server 2012 fournit plusieurs outils
pouvant être utilisés pour différents types
d'analyse. La plupart de ces outils sont
disponibles par défaut comme les composants
Windows Server, et vous pouvez les utiliser
pour l'analyse en temps réel et du point de vue
de l'historique des données AD DS et d'autres
services. Les outils Windows Server 2012 que
les administrateurs utilisent le plus couramment
sont les suivants :

• Gestionnaire des tâches

• Moniteur de ressources

• Observateur d'événements

• Moniteur de fiabilité

• Analyseur de performances

Pour analyser AD DS, les outils les plus utiles sont l'Observateur d'événements et l'Analyseur de
performances. L'Observateur d'événements retourne des informations détaillées dans différents journaux
liés à AD DS et l'Analyseur de performances fournit des informations sur les performances AD DS.

L'Analyseur de performances utilise des compteurs de performance pour de nombreux composants, rôles,
services et fonctionnalités granulaires. Les composants de Windows Server peuvent inscrire des compteurs
de performance avec l'Analyseur de performances pendant l'installation. Par exemple, lorsque vous
ajoutez le rôle AD DS à un serveur, le serveur inscrit l'objet de performances du service d'annuaire NT
(NTDS), qui affiche lui-même des dizaines de compteurs qui concernent les performances AD DS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-32 Conception et implémentation d'une topologie de services de domaine Active Directory

Avec l'Analyseur de performances, vous pouvez créer une collection de compteurs en mode interactif
qui effectuent une analyse en temps réel. Sinon, vous pouvez sauvegarder les compteurs dans le cadre
d'un ensemble de collecteurs de données que vous pouvez réutiliser à tout moment pour afficher
les performances en temps réel ou que vous pouvez lancer, ultérieurement, pour enregistrer les
performances.
Sur un contrôleur de domaine, vous devrez analyser au minimum les compteurs de performances
suivants :

• Total d'octets entrants NTDS\ DRA /sec

• Objet entrant NTDS\DRA

• Total d'octets sortants NTDS\DRA /sec

• Synchronisations de réplication en attente NTDS\ DRA

• Authentification NTDS\ Kerberos /sec

• Authentifications NTDS\ NTLM

Pour créer une infrastructure d'analyse efficace, procédez comme suit :

• Effectuez des analyses très tôt pour établir des bases. Il est important d'analyser les performances
lorsqu'un système fonctionne normalement. Cela vous permet d'établir une base pour pouvoir
prendre note des plages des compteurs de performance que vous attendez. Pour créer une base,
analysez les compteurs de performance lors des périodes d'activité et d'inactivité.

• Effectuez des analyses fréquentes pour identifier les problèmes potentiels. Établissez une routine
d'analyse régulière, peut-être en utilisant des ensembles de collecteurs de données que vous
planifiez, puis comparez les journaux et les rapports avec vos bases. Recherchez les écarts de
valeurs inhabituels par rapport aux valeurs escomptées, afin d'identifier les problèmes potentiels
avant qu'ils ne se manifestent dans AD DS.

• Sachez analyser et interpréter les performances avant qu'un problème surgisse. Quand un problème
surgit, vous devez capturer et interpréter les compteurs de performance et les événements. Par
conséquent, apprenez à utiliser les outils pour déterminer quels compteurs fournissent l'analyse la
plus explicite en termes de performances de l'organisation. Établissez les ensembles de collecteurs
de données pour vous aider à capturer les performances lors d'un problème lié aux performances,
et vérifiez que vous exportez ces ensembles de collecteurs de données pour les sauvegarder,
au cas où le système en panne serait le système que vous utilisez généralement pour l'analyse.

• Effectuez des captures convenables. Évitez d'effectuer une analyse excessive. Si vous tentez
d'analyser chaque compteur, suivi d'événements et entrée de registre, vous créerez une quantité
énorme d'informations de performances difficiles à traiter, et donc difficile pour vous d'identifier
les problèmes. En outre, l'analyse des performances dégrade les performances système. Alignez
vos activités d'analyse avec vos exigences stratégiques d'analyse.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-33

Best Practices Analyzer

Il est crucial de suivre les meilleures pratiques, mais les organisations ne les implémentent pas toujours.
Windows Server 2012 fournit l'Analyseur des recommandations (BPA, Best Practices Analyzer), qui est
un outil de gestion de serveur qui aide les administrateurs à implémenter des recommandations lors
de la configuration des services Active Directory. L'analyseur BPA est disponible pour les rôles serveur
suivants :

• AD DS

• Services de certificats Active Directory (AD CS)

• Serveur DNS

• Services Bureau à distance

L'analyseur BPA vous permet d'implémenter les meilleures pratiques lorsque vous configurez votre
environnement Active Directory. Comme AD DS est installé sur votre serveur Windows Server 2012,
l'analyseur BPA analyse les contrôleurs de domaine de rôle serveur AD DS et enregistre les violations
de recommandations.

Vous pouvez également modifier les rapports de l'analyseur BPA en filtrant ou supprimant les résultats
qui ne vous intéressent pas. Vous pouvez également exécuter des tâches de l'analyseur BPA via l'interface
graphique utilisateur du Gestionnaire de serveur ou des applets de commande dans l'interface de ligne
de commande Windows PowerShell®.

Éléments à prendre en compte pour les succursales

Dans des scénarios de succursale, un site hub est
l'emplacement central pour de nombreux services
informatiques. Dans les grandes organisations, le
site hub peut inclure un centre de données fiable.
Les succursales, cependant, sont souvent de plus
petits sites dans lesquels aucun centre de données
n'existe. En outre, il ne peut y avoir aucune
installation physiquement sécurisée dans laquelle
loger les serveurs de succursale, et il arrive que
peu ou pas de personnel informatique local
puisse prendre en charge les serveurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-34 Conception et implémentation d'une topologie de services de domaine Active Directory

Raisons pour lesquelles déployer des contrôleurs de domaine en lecture seule

Si vous ne déployez pas un contrôleur de domaine dans une succursale, vous devez diriger des activités
d'authentification et de ticket de service vers le site hub via la liaison WAN. Lorsqu'un utilisateur tente
d'abord d'accéder à un service spécifique, le client de l'utilisateur demande un ticket de service au
contrôleur de domaine. Puisque les utilisateurs se connectent en général à plusieurs services au cours
d'un jour ouvrable, l'activité de ticket de service est une occurrence standard. Par conséquent, l'activité
d'authentification et de ticket de service via la liaison WAN entre une succursale et un site hub peut
provoquer des performances lentes ou peu fiables.

Si vous placez un contrôleur de domaine dans la succursale, l'authentification se produit plus

efficacement, mais il existe plusieurs problèmes potentiellement importants :

• Un contrôleur de domaine conserve une copie de tous les attributs de tous les objets de
son domaine, y compris des informations sécurisées telles que les mots de passe utilisateur.
Si une personne malveillante accède à un contrôleur de domaine, elle pourrait identifier les
noms d'utilisateur et les mots de passe valides, au point que votre domaine entier serait
compromis. Vous devrez alors réinitialiser les mots de passe pour chaque compte d'utilisateur
dans le domaine. Puisque la sécurité des serveurs dans les succursales n'est souvent pas l'idéal,
un contrôleur de domaine de succursale pose un risque de sécurité considérable.
• Les modifications effectuées dans la base de données Active Directory du contrôleur de domaine
d'une succursale sont répliquées vers le site hub et d'autres contrôleurs de domaine de l'organisation.
Par conséquent, la corruption du contrôleur de domaine de la succursale présente un risque pour
l'intégrité AD DS de l'organisation. Par exemple, un administrateur de succursale qui exécute
une restauration du contrôleur de domaine d'une sauvegarde obsolète pourrait éventuellement
provoquer des problèmes importants pour le domaine entier.
• Un contrôleur de domaine de la succursale peut nécessiter d'effectuer une maintenance,
par exemple un nouveau pilote de périphérique. Pour exécuter la maintenance sur un contrôleur
de domaine standard, vous devez ouvrir une session en tant que membre du groupe Administrateurs
sur le contrôleur de domaine, ce qui signifie que vous êtes effectivement un administrateur du
domaine. Il peut ne pas être approprié d'accorder ce niveau de fonction à une équipe d'assistance
de la succursale.

C'est pourquoi, Windows Server 2012 fournit le contrôleur de domaine en lecture seule, qui est conçu
pour aborder les problèmes potentiels liés aux succursales. Un contrôleur de domaine en lecture seule
est un contrôleur de domaine que vous placez en général dans une succursale, et qui conserve une
copie de tous les objets et l'attribue au domaine, à l'exception des informations sécurisées telles
que les propriétés liées aux mots de passe. Si vous ne configurez pas la mise en cache, le contrôleur
de domaine en lecture seule reçoit des demandes de connexion des utilisateurs de la succursale
et les transfère à un contrôleur de domaine dans le site hub pour l'authentification.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-35

Vous pouvez configurer une stratégie de réplication de mot de passe du contrôleur de domaine
en lecture seule, spécifiant les comptes d'utilisateurs que le contrôleur de domaine en lecture seule
met en cache. Si l'utilisateur qui ouvre une session est fourni dans la stratégie de réplication de mot
de passe, alors le contrôleur de domaine en lecture seule met en cache les informations d'identification
de l'utilisateur. Puis la prochaine fois que l'utilisateur demandera une authentification, le contrôleur de
domaine en lecture seule pourra effectuer la tâche localement. Lorsque les utilisateurs qui sont inclus
dans le journal de stratégie de réplication de mot de passe, le contrôleur de domaine en lecture
seule crée son cache des informations d'identification pour lui permettre d'exécuter l'authentification
localement pour ces utilisateurs. En général, vous ajoutez les utilisateurs à la stratégie de réplication
de mot de passe qui se trouvent dans le même site physique que le contrôleur de domaine en lecture
seule. Puisque les contrôleurs de domaine en lecture seule détiennent uniquement un sous-ensemble
d'informations d'identification de l'utilisateur, l'exposition de sécurité est limitée si un contrôleur
de domaine en lecture seule est compromis. Seuls les comptes d'utilisateurs que le contrôleur
de domaine en lecture seule met en cache doivent avoir leur réinitialisation de mots de passe.

Le contrôleur de domaine en lecture seule réplique des modifications faites sur AD DS à partir des
contrôleurs de domaine de site hub. La réplication s'effectue à sens unique, et le contrôleur de domaine
en lecture seule ne peut répliquer de modifications vers aucun autre contrôleur de domaine. Cela élimine
l'exposition des services Active Directory à la corruption due aux modifications apportées à un contrôleur
de domaine de succursale compromis. Enfin, les contrôleurs de domaine en lecture seule ont l'équivalent
d'un groupe Administrateurs local. Vous pouvez donner à une ou plusieurs personnes du personnel
d'assistance local la capacité de gérer un contrôleur de domaine en lecture seule sans leur accorder
les droits Administrateurs du domaine équivalents.

Limitations et éléments à prendre en compte pour le contrôleur de domaine

en lecture seule
Pour réduire les risques de sécurité et les frais d'administration, certaines options de contrôleur de
domaine disponibles pour les contrôleurs de domaine accessibles en écriture ne sont pas disponibles
sur un contrôleur de domaine en lecture seule. Avant de prendre la décision de déployer un contrôleur
de domaine en lecture seule, vous devez tenir compte de ses limites :

• Les contrôleurs de domaine en lecture seule ne peuvent pas être détenteurs de rôle de maître
d'opérations. Les détenteurs de rôle de maître d'opérations doivent pouvoir écrire des informations
dans la base de données Active Directory. En raison de la nature en lecture seule de la base
de données Active Directory du contrôleur de domaine en lecture seule, ils ne peuvent pas
agir en tant que détenteurs de rôle de maître d'opérations.

• Les contrôleurs de domaine en lecture seule ne peuvent pas être des serveurs tête de pont.
Les serveurs tête de pont répliquent spécifiquement vers d'autres sites. Puisque les contrôleurs
de domaine en lecture seule effectuent la réplication entrante uniquement, ils ne peuvent pas
agir en tant que serveurs tête de pont pour un site.

• Vous pouvez avoir un seul contrôleur de domaine en lecture seule par site, par domaine.

• Étant donné qu'aucune modification AD DS ne peut être écrite directement sur le contrôleur
de domaine en lecture seule, aucune modification de réplication ne provient du contrôleur
de domaine en lecture seule. Cela signifie qu'aucune modification ou corruption qu'une personne
malveillante pourrait effectuer aux emplacements de succursale, ne peut être répliquée du contrôleur
de domaine en lecture seule vers la forêt. Cela permet également de réduire la charge de travail
des serveurs tête de pont sur le site hub et les efforts nécessaires pour analyser la réplication.
La réplication unidirectionnelle des contrôleurs de domaine en lecture seule s'applique à la fois
à AD DS et à la réplication DFS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-36 Conception et implémentation d'une topologie de services de domaine Active Directory

• Les contrôleurs de domaine en lecture seule ne peuvent prendre en charge correctement aucune
application qui doit mettre AD DS à jour en mode interactif, comme Exchange Server. Si vous
envisagez de déployer Exchange Server ou des applications similaires sur un site avec le contrôleur
de domaine en lecture seule, vous devez également déployer un contrôleur de domaine accessible
en écriture.
• Vous pouvez installer le service Serveur DNS sur des contrôleurs de domaine en lecture seule.
Les contrôleurs de domaine en lecture seule peuvent répliquer toutes les partitions d'annuaire
d'applications utilisées par le serveur DNS, y compris ForestDNSZones et DomainDNSZones.
Si vous installez un serveur DNS sur un contrôleur de domaine en lecture seule, les clients peuvent
l'interroger pour la résolution de noms comme ils interrogeraient n'importe quel autre serveur DNS.
Semblable à la base de données AD DS, le serveur DNS sur un contrôleur de domaine en lecture
seule est en lecture seule, et donc, il ne prend pas en charge les mises à jour clientes directement,
bien qu'il puisse héberger d'autres zones DNS accessibles en écriture.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-37

Leçon 4
Éléments à prendre en compte pour la virtualisation
des contrôleurs de domaine
L'utilisation d'un contrôleur de domaine comme un ordinateur virtuel n'est pas identique que l'exécution
d'autres rôles dans l'environnement virtuel. Il existe plusieurs éléments à prendre en considération lors
de la conception de contrôleurs de domaine dans des environnements virtuels. Dans cette leçon,
vous découvrirez comment concevoir et sécuriser les contrôleurs de domaine qui s'exécutent sur
des ordinateurs virtuels.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les éléments à prendre en compte pour la virtualisation des contrôleurs de domaine ;
• expliquer comment sécuriser les contrôleurs de domaine virtualisés ;

• décrire les éléments à prendre en compte pour le déploiement des contrôleurs de domaine
en tant qu'ordinateurs virtuels ;

• expliquer comment cloner des contrôleurs de domaine.

Éléments à prendre en compte pour la virtualisation des contrôleurs

de domaine
Avant de virtualiser un contrôleur de domaine,
étudiez soigneusement les avantages et les
inconvénients de l'utilisation des ordinateurs
virtuels. Lorsque vous utilisez la virtualisation
de serveur, la différence entre les ordinateurs
physiques et les ordinateurs virtuels est
réduite. Cependant, il existe des facteurs
encore importants à prendre en compte,
qui peuvent vous aider à déterminer si vous
devez virtualiser un contrôleur de domaine.
En plus de Windows Server 2012 Hyper-V®,
vous pouvez également utiliser d'autres
plateformes de virtualisation pour la virtualisation du contrôleur de domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-38 Conception et implémentation d'une topologie de services de domaine Active Directory

Avantages de la virtualisation du contrôleur de domaine

Les contrôleurs de domaine virtualisés offrent les avantages suivants :

• Consolidation. Avec Hyper-V, vous pouvez consolider plusieurs contrôleurs de domaine avec d'autres
serveurs d'applications sur bien moins de serveurs. Si vous avez plusieurs contrôleurs de domaine
dans un site hub qui sert un petit domaine avec une présence dans un ou plusieurs autres sites,
vous ne devez pas déployer plusieurs contrôleurs de domaine physiques pour fournir les serveurs
tête de pont et la prise en charge de la redondance.

• Tests : Puisque le test des environnements requiert rarement les contrôleurs de domaine de hautes
performances, vous pouvez installer une configuration de test qui représente votre environnement
de production avec beaucoup moins de matériel que nécessaire avant la virtualisation. Vous pouvez
représenter plusieurs contrôleurs de domaine sur certains ordinateurs physiques avec la même
configuration d'Active Directory (notamment les domaines et sites) que vos contrôleurs de domaine
de production. Vous pouvez tester les modifications complexes, telles que des modifications
de schéma ou modifications à grande échelle de site Active Directory ou de réplication, avant
de répercuter ces modifications dans votre environnement de production.

• Déploiement. L'environnement matériel que Hyper-V émule reste inchangé dans toute l'utilisation
d'un ordinateur virtuel, indépendamment du matériel natif sous-jacent vers lequel vous pouvez
transférer l'ordinateur virtuel. Par conséquent, vous pouvez varier le matériel serveur dans un
environnement de préproduction pour créer et tester les images même si le serveur de production
prévu peut être considérablement différent.
• Performances. Si vous configurez votre environnement virtuel correctement, vous pouvez vous
attendre à une diminution des performances de 2 à 12 % uniquement sur un contrôleur de
domaine unique qui fonctionne sur un ordinateur virtuel en charge lourde. Cela est comparé
à un contrôleur de domaine s'exécutant sur un matériel natif avec les mêmes spécifications.

Inconvénients de la virtualisation du contrôleur de domaine

Il existe des risques associés aux ordinateurs virtuels de contrôleur de domaine en cours d'exécution
dans des environnements de production, c'est pourquoi vous devez les gérer soigneusement lorsque
vous les déployez dans un environnement de production. Lorsque vous envisagez d'exécuter
des contrôleurs de domaine sur des ordinateurs virtuels, rappelez-vous que cette opération peut
endommager les fichiers du disque dur virtuel (.vhd) et peut entraîner une altération au niveau de
la forêt. La mauvaise gestion d'un fichier .vhd peut générer le démarrage d'une copie antérieure
de ce même fichier, ou la copie d'un fichier .vhd sur un emplacement réseau différent, et par
conséquent l'exécution de plusieurs copies simultanément.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-39

La virtualisation des contrôleurs de domaine peut provoquer les problèmes suivants :

• La corruption potentielle des données ou un processus de restauration incorrect peut se produire.

Dans un environnement de production, la mauvaise utilisation délibérée ou par inadvertance des
fichiers .vhd peut provoquer la corruption des données qui affecterait par la suite la forêt entière.
Dans la plupart des cas, le système d'exploitation détecte des états inexacts de restauration, et arrête
la réplication. Toutefois, ceci ne garantit pas la protection des données dans toutes les circonstances.

• Sécurité et gestion des fichiers image. La personne gérant les fichiers .vhd ou ayant accès aux fichiers
.vhd doit être hautement responsable dans votre organisation, et doit être membre des groupes
de sécurité de confiance dans la forêt. Tout utilisateur qui peut copier un fichier .vhd efficacement
possède la forêt et ses données. Une personne malveillante ou un administrateur non-autorisé
pourrait utiliser un fichier d'ordinateur virtuel copié pour compromettre les mots de passe ou pour
endommager la forêt. En outre, à la différence du vol d'un ordinateur physique, vous avez moins de
chance de détecter la copie volée d'un fichier .vhd. Par conséquent, vous devez sécuriser les fichiers
.vhd du système d'exploitation hôte et du système d'exploitation invité avec les mêmes restrictions
physiques et logicielles que vous utilisez pour sécuriser les contrôleurs de domaine physiques.

Sécurisation des contrôleurs de domaine virtualisés

Vous devez gérer l'ordinateur hôte sur lequel
les contrôleurs de domaine virtuels s'exécutent,
aussi soigneusement que vous gérez un
contrôleur de domaine accessible en écriture,
même si cet ordinateur est uniquement joint
à un domaine ou à un ordinateur du groupe
de travail. C'est un critère de sécurité important,
car un hôte mal géré est vulnérable à une
attaque d'élévation de privilège, qui se produit
quand un utilisateur malveillant obtient des accès
et des privilèges système que vous n'avez pas
autorisés ou n'avez pas attribués légitimement.
Un utilisateur malveillant peut utiliser ce type d'attaque pour compromettre tous les ordinateurs virtuels,
les domaines et les forêts hébergés par cet ordinateur.

Lorsque vous envisagez de virtualiser des contrôleurs de domaine, gardez les critères de sécurité suivants
à l'esprit :

• L'administrateur local d'un ordinateur qui héberge des contrôleurs de domaine virtuels accessibles
en écriture doit avoir des informations d'identification équivalentes à l'administrateur de domaine
par défaut de tous les domaines et forêts auxquels ces contrôleurs de domaine appartiennent.

• Pour éviter de rencontrer des problèmes de sécurité et de performances, nous recommandons

d'utiliser un hôte qui exécute une installation minimale de Windows Server 2012, sans aucune
application autre que Hyper-V. Cette configuration limite le nombre d'applications et services
que vous pouvez installer sur le serveur, ce qui devrait accroître les performances et rendre moins
accessibles des applications et services qu'un utilisateur malveillant pourrait utiliser pour attaquer
l'ordinateur ou le réseau. Si un réseau de gestion distinct existe, nous recommandons également
de connecter l'hôte uniquement au réseau de gestion.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-40 Conception et implémentation d'une topologie de services de domaine Active Directory

Sécurité des fichiers .vhd

Un fichier .vhd d'un contrôleur de domaine virtuel est équivalent au disque dur physique d'un contrôleur
de domaine physique. Par conséquent, vous devez protéger les fichiers .vhd de la manière dont
vous sécuriseriez le disque dur d'un contrôleur de domaine physique, en garantissant que seuls les
administrateurs fiables et de confiance peuvent accéder aux fichiers .vhd du contrôleur de domaine.

Contrôleurs de domaine en lecture seule

Puisque les contrôleurs de domaine en lecture seule sont souvent utilisés dans les emplacements
où la sécurité physique ne peut pas être garantie, vous devez prendre des mesures supplémentaires
pour atténuer les effets d'une attaque sur un contrôleur de domaine en lecture seule.

Nous recommandons l'utilisation du chiffrement de lecteur Windows® BitLocker® pour protéger

les fichiers .vhd de l'hôte d'un éventuel vol physique du disque.

Considérations relatives au déploiement de contrôleurs de domaine

en tant qu'ordinateurs virtuels
Les plateformes de virtualisation telles que
Hyper-V offrent plusieurs fonctionnalités
qui facilitent la gestion, la maintenance, la
sauvegarde et la migration des ordinateurs.
Cependant, il existe certaines pratiques et
fonctionnalités de déploiement courantes que
vous ne devez pas utiliser pour les contrôleurs
de domaine virtualisés. La liste suivante décrit
les pratiques à éviter lors du déploiement des
contrôleurs de domaine :

• N'implémentez pas des disques durs virtuels

(VHD) de disque de différenciation sur un
ordinateur virtuel que vous configurez en tant que contrôleur de domaine. Il est trop facile de revenir
à une version précédente et cela réduit les performances.
• Ne clonez pas l'installation d'un système d'exploitation sans utiliser l'outil Sysprep ([Link]),
car l'identificateur de sécurité (SID) de l'ordinateur n'effectuera pas de mise à jour.

• Pour empêcher une restauration USN potentielle, n'utilisez pas les copies d'un fichier .vhd qui
représente un contrôleur de domaine déjà déployé pour déployer des contrôleurs de domaine
supplémentaires. En outre, pour éviter d'éventuelles restaurations USN :

o N'utilisez pas la fonctionnalité d'exportation Hyper-V pour exporter un ordinateur virtuel

qui exécute un contrôleur de domaine.

o N'utilisez pas les instantanés Hyper-V sur des contrôleurs de domaine virtuels, sauf dans
l'atelier pratique ou les environnements de test.

Remarque : AD DS dans Windows Server 2012 présente des dispositifs de protection

pour les contrôleurs de domaine virtuels hébergés par les hyperviseurs qui tiennent compte
des ordinateurs virtuels et de GenerationID. Ces dispositifs de protection contribuent à
garantir que l'application accidentelle des instantanés de restauration de l'état antérieur
d'un ordinateur virtuel ne perturbera pas l'environnement AD DS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-41

• Pour les ordinateurs virtuels que vous configurez comme des contrôleurs de domaine, désactivez
la synchronisation avec l'hôte et acceptez la synchronisation horaire de la hiérarchie des domaines
du Service de temps Windows par défaut (W32time).

La synchronisation de l'heure de l'hôte permet aux systèmes d'exploitation invités d'effectuer

la synchronisation de leur horloge système avec l'heure du système d'exploitation hôte. Puisque
les contrôleurs de domaine ont leur propre mécanisme de synchronisation, vous devez désactiver
la synchronisation de l'heure hôte sur les ordinateurs virtuels que vous configurez comme des
contrôleurs de domaine. Si les contrôleurs de domaine synchronisent l'heure en fonction de leur
propre source et de l'hôte, l'horloge du contrôleur de domaine peut varier fréquemment. Puisque
de nombreuses tâches de contrôleur de domaine sont liées à l'heure système, une modification
de l'heure système peut provoquer la présence prolongée d'objets dans l'annuaire et la réplication
peut s'arrêter.

Pour désactiver la synchronisation de l'heure hôte, dans le Gestionnaire Hyper-V, accédez aux
paramètres de l'ordinateur virtuel dans la section Integration Services, puis désactivez la case
à cocher Time Synchronization.

Clonage des contrôleurs de domaine

Windows Server 2012 présente le clonage de
contrôleur de domaine virtualisé. Le clonage
d'un contrôleur de domaine virtualisé présente
des difficultés. Par exemple, deux contrôleurs
de domaine ne peuvent pas coexister dans la
même forêt avec le même nom, identificateur
d'invocation et identificateur de sécurité (SID).
Pour les versions Windows Server antérieures
à Windows Server 2012, vous pouviez créer des
contrôleurs de domaine virtualisés en déployant
une image de serveur de base où vous exécutiez
Sysprep, puis en la promouvant manuellement
pour en faire un contrôleur de domaine. Windows Server 2012 fournit des fonctions spécifiques
de virtualisation aux contrôleurs de domaine virtualisés (VDC) AD DS pour résoudre ces problèmes.

Les contrôleurs de domaine virtualisés dans Windows Server 2012 présentent deux nouvelles fonctions :

• Les contrôleurs de domaine peuvent être clonés sans risque pour déployer une capacité
supplémentaire et gagner du temps de configuration.

• La restauration accidentelle des instantanés de contrôleur de domaine ne perturbe

pas l'environnement Active Directory.

Clonage sûr
Un contrôleur de domaine est automatiquement préparé avec sysprep (en fonction des paramètres
indiqués dans le fichier [Link]) et est promu avec les données AD DS locales
en tant que support d'installation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-42 Conception et implémentation d'une topologie de services de domaine Active Directory

Sauvegarde et restauration sûres

La restauration d'un ancien instantané d'un contrôleur de domaine virtualisé est problématique
car AD DS utilise la réplication à plusieurs maîtres qui se fonde sur des transactions ayant des valeurs
numériques attribuées appelées des nombres de séquences de mise à jour (USN). Le contrôleur de
domaine virtualisé essaie d'attribuer des USN aux transactions antérieures qui ont déjà été attribuées
aux transactions valides. Ceci provoque des incohérences dans la base de données Active Directory.
Windows Server 2012 implémente un processus appelé protection de la restauration des USN. Avec cette
protection, le contrôleur de domaine virtualisé est répliqué et doit être rétrogradé de force ou restauré
manuellement de façon non-forcée.

Windows Server 2012 détecte à présent les restaurations et synchronise de façon non forcée l'écart
des modifications entre un contrôleur de domaine et ses partenaires pour à la fois AD DS et SYSVOL.
Vous pouvez maintenant utiliser des captures instantanées sans risque de désactiver de manière
permanente des contrôleurs de domaine et de requérir manuellement la rétrogradation, le nettoyage
de métadonnées et la repromotion forcés.

Création d'un clone de contrôleur de domaine virtualisé

Pour créer un clone de contrôleur de domaine virtualisé dans Windows Server 2012, effectuez les étapes
de haut niveau suivantes :

1. Créer un fichier [Link] qui contient la configuration du serveur unique.

2. Copier ce fichier dans l'emplacement de la base de données AD DS (C:\Windows\NTDS par défaut).

3. Prendre le contrôleur de domaine virtualisé hors connexion et l'exporter ou le copier.

4. Créer un nouvel ordinateur virtuel en important celui exporté. Cet ordinateur virtuel est promu
automatiquement comme contrôleur de domaine unique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-43

Leçon 5
Conception de contrôleurs de domaine
hautement disponibles
En tant que service principal dans les environnements réseau Windows, AD DS doit être disponible autant
que possible. Pour fournir un niveau maximal de disponibilité, vous devez concevoir soigneusement
la disponibilité de tous les composants qui affectent AD DS. Pour le faire correctement, vous pouvez
rendre AD DS hautement disponible.

Dans cette leçon, vous découvrirez les concepts de conception pour rendre AD DS hautement disponible.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire comment planifier la haute disponibilité ;

• décrire les composants d'une conception haute disponibilité AD DS ;

• décrire les éléments à prendre en compte pour concevoir des contrôleurs de domaine
hautement disponibles ;

• décrire les éléments à prendre en compte pour concevoir des serveurs de catalogue global
hautement disponibles ;

• décrire les éléments à prendre en compte pour concevoir une infrastructure DNS
hautement disponible ;

• décrire les éléments à prendre en compte pour concevoir une infrastructure réseau
hautement disponible ;
• décrire les éléments à prendre en compte pour concevoir la sauvegarde et la récupération
dans AD DS.

Planification d'une haute disponibilité

La disponibilité fait référence au niveau de
service fourni par les applications, les services
et les systèmes, et correspond au pourcentage
de temps durant lequel un service ou un système
est disponible. Les systèmes à haut niveau
de disponibilité ont un temps mort minimal
(planifié ou non) et sont disponibles plus de 99 %
du temps. Par exemple, un système qui n'est pas
disponible pendant 8,75 heures par an présente
un taux de disponibilité de 99,9 %. La réduction
des temps d'interruption acceptables a un coût
supérieur ; par conséquent, le niveau de haute
disponibilité dépend des besoins et du budget d'une organisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-44 Conception et implémentation d'une topologie de services de domaine Active Directory

Pour améliorer la disponibilité, vous devez implémenter des mécanismes de tolérance de panne visant
à masquer ou minimiser l'impact des défaillances sur les composants et les dépendances du service
sur le système. La tolérance de panne peut être obtenue en implémentant la redondance des points
de défaillance uniques.

Puisque de nombreux services dépendent d'AD DS, la haute disponibilité est cruciale pour AD DS.
Par exemple, quand AD DS est hors connexion, les utilisateurs ne peuvent pas se connecter au réseau,
l'accès aux ressources est altéré ou impossible, les services tels que Microsoft Exchange Server ne
fonctionnent pas, et l'authentification ne fonctionne pas.
Lorsque vous déterminez des exigences concernant la haute disponibilité d'AD DS, vous devriez
tenir compte des priorités et du budget. Vous pouvez effectivement prendre en charge les besoins
de l'entreprise en négociant la priorité de chaque service. Ceci identifie où dédier les ressources.
Voici certaines mesures qui pourront vous aider à définir la priorité des services :

• Le nombre d'utilisateurs qui sont affectés et la gravité de l'impact.

• Le nombre de clients externes qui sont affectés et la gravité de l'impact.

• Le nombre d'autres services qui sont affectés et la gravité de l'impact.

Tenez compte des éléments suivants lors de la planification d'une stratégie de haute disponibilité :

• Déterminez les niveaux de service acceptables. Qu'est-ce qui est considéré comme un niveau
de fonctionnement acceptable pour AD DS ?

• Identifiez les risques pour vos niveaux de service. Quels sont les risques les plus probables pour
votre système ?

• Déterminez comment atténuer les risques pesant sur ces niveaux. Comment réduire la probabilité
de risque ?

• Planifiez la capacité. Vous ne devez pas avoir un point de défaillance unique. Par exemple, si un
contrôleur de domaine échoue, vous devez avoir des capacités intégrées pour vous assurer qu'un
autre contrôleur de domaine est disponible.

• Déterminez le moment où la coopération des fabricants de matériel sera nécessaire. Quelle est
la procédure pour le remplacement des composants matériels ? Existe-t-il un contrat de niveau
de service (SLA) avec le fabricant du matériel ? Quelle est la durée maximale pour le remplacement
des composants matériels ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-45

Composants d'une conception haute disponibilité AD DS

Pour rendre AD DS hautement disponible,
vous devez disposer de plusieurs composants
disponibles dans l'infrastructure réseau,
notamment :

• Plusieurs contrôleurs de domaine.

Vous devez avoir plusieurs contrôleurs
de domaine et serveurs de catalogue
global. Les recherches DNS initialisées par
l'ordinateur client localisent les contrôleurs
de domaine et les serveurs de catalogue
global. Si le DNS liste plusieurs contrôleurs
de domaine et serveurs de catalogue global,
l'ordinateur client sélectionne un contrôleur de domaine ou un serveur de catalogue global
dans le site local en premier. Si aucun contrôleur de domaine ni serveur de catalogue global
n'est disponible dans le site local, alors l'ordinateur client utilise un contrôleur de domaine ou
un serveur de catalogue global dans le site distant. Ce processus est automatique et ne requiert
aucune configuration. Cependant, il existe des exceptions. Le basculement automatique pour
alterner des contrôleurs de domaine et des serveurs de catalogue global ne fonctionne pas lorsque
Exchange Server s'exécute sur un contrôleur de domaine ou un serveur de catalogue global.
Si Exchange Server s'exécute sur un contrôleur de domaine, il effectue uniquement toutes les
requêtes Actives Directory localement. C'est pour cette raison que nous ne recommandons pas
d'installer Exchange Server sur les contrôleurs de domaine.

• Rôles de maître d'opérations distribués. Comme décrit précédemment, vous devez tenter de
distribuer les rôles de maître d'opérations pour éviter de tous les perdre en cas de défaillance
du contrôleur de domaine. Pour la plupart des rôles de maître d'opérations, il n'est pas critique
que le détenteur de rôle soit momentanément hors connexion. Cependant, vous devez avoir un
contrôleur de domaine disponible dans le même site Active Directory que le détenteur de rôle de
maître d'opérations, pour que vous puissiez prendre le rôle sur le deuxième serveur si le détenteur
de rôle actuel est défaillant.

• Plusieurs serveurs de catalogue global. Ce service est nécessaire pour de nombreuses fonctionnalités
dans AD DS, puisque celui-ci contient un sous-ensemble de toutes les informations AD DS dans
la forêt. Le catalogue global est largement utilisé quand les utilisateurs se connectent au réseau
localement et de l'extérieur, par exemple pour accéder à Microsoft Outlook Web App, et quand
les utilisateurs exécutent des recherches sur Active Directory ou Exchange Server.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-46 Conception et implémentation d'une topologie de services de domaine Active Directory

• Plusieurs serveurs DNS. Pour rendre le serveur DNS interne hautement disponible, vous devez utiliser
plusieurs serveurs DNS avec des informations DNS synchronisées entre eux. Par défaut, les zones DNS
pour AD DS sont intégrées à Active Directory et répliquées entre tous les serveurs DNS dans la forêt.

Vous devez également configurer les serveurs et les clients membres pour utiliser
plusieurs serveurs DNS. Le protocole DHCP (Dynamic Host Configuration Protocol) configure
automatiquement la plupart des clients avec des informations d'adresse IP. Vous pouvez ajouter
plusieurs serveurs DNS à la configuration de serveur DHCP, et DHCP configure ces serveurs DNS
automatiquement sur tous les clients DHCP. Lorsque vous utilisez plusieurs serveurs DNS, les
clients DNS accèdent au serveur DNS principal jusqu'à ce qu'il soit pas disponible, et ils basculent
vers le serveur répertorié suivant.

• Une infrastructure réseau redondante. Ceci comprend les liens de sauvegarde entre les sites, les
commutateurs redondants qui connectent les contrôleurs de domaine et les clients, et un système
de refroidissement redondant.

Vous pouvez rendre votre environnement AD DS hautement disponible en configurant ces composants
correctement.

Éléments à prendre en compte pour concevoir des contrôleurs

de domaine hautement disponibles
Les conceptions pour les contrôleurs de
domaine hautement disponibles diffèrent selon
l'infrastructure réseau. Examinez soigneusement
les points suivants lorsque vous planifiez la haute
disponibilité des contrôleurs de domaine :

• Installez le rôle serveur AD DS

sur des serveurs avec du matériel
redondant. En créant une redondance
de matériel, vous augmentez la disponibilité
du contrôleur de domaine lui-même.
Si vous ne pouvez pas utiliser de matériel
redondant sur un ordinateur physique sur
lequel le contrôleur de domaine fonctionne, assurez-vous que vous avez des disques d'échange
disponibles afin de pouvoir les remplacer rapidement.

• Installez au moins un contrôleur de domaine par site de succursale, et au moins deux par site
hub. La manière la plus efficace de rendre AD DS hautement disponible est de déployer plusieurs
contrôleurs de domaine. Nous recommandons d'avoir au minimum deux contrôleurs de domaine
dans chaque site hub. En outre, si vous configurez des sites de succursale comme sites AD DS,
vous devez déployer au moins un contrôleur de domaine par site de succursale.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-47

• Activez le paramètre de stratégie de groupe TryNextClosestSite. Si vous avez un contrôleur de

domaine qui exécute Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012,
vous pouvez activer les ordinateurs clients qui exécutent les systèmes d'exploitation Windows Vista®,
Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012
pour localiser les contrôleurs de domaine plus efficacement en activant le paramètre de stratégie
de groupe TryNextClosestSite. Ce paramètre améliore le localisateur de contrôleurs de domaine
en permettant de rationnaliser le trafic réseau, particulièrement dans les grandes entreprises
qui possèdent plusieurs succursales et sites.

En outre, ce paramètre peut affecter la manière dont vous configurez les coûts de liaisons entre
les sites car il affecte l'ordre dans lequel vous recherchez les contrôleurs de domaine. Pour les
organisations qui possèdent plusieurs sites hub et succursales, vous pouvez réduire le trafic réseau
Active Directory de manière significative en vérifiant que les clients basculent vers le site hub suivant
le plus proche lorsqu'ils ne trouvent pas de contrôleur de domaine dans le site hub le plus proche.

Remarque : Il est recommandé, si vous activez le paramètre TryNextClosestSite, de

simplifier la topologie du site et de réduire les coûts des liens de sites autant que possible. Dans
les organisations comportant de nombreux sites hub, cela peut simplifier vos plans de gestion
lorsque les clients d'un site ont besoin de basculer vers un contrôleur de domaine d'un autre site.

• Connectez les contrôleurs de domaine aux infrastructures réseau hautement disponibles. Si possible,
tentez d'obtenir des composants d'infrastructure réseau hautement disponibles afin d'éviter un point
de défaillance unique dans ce segment.

• Veillez à installer toutes les mises à jour de sécurité et antivirus sur tous les contrôleurs de domaine.
Lorsque vous utilisez des contrôleurs de domaine, il est important que vous teniez à jour les mises
à jour de sécurité et la protection antivirus. Vous devez vous assurer d'effectuer une mise à jour
régulière des contrôleurs de domaine.

Remarque : Les techniques de haute disponibilité dans les environnements à site unique
peuvent différer de celles que vous implémenteriez dans les environnements Active Directory
multisites.

Éléments à prendre en compte pour concevoir des serveurs de catalogue

global hautement disponibles
Les serveurs de catalogue global facilitent la
recherche d'informations dans tous les domaines
d'une forêt, spécifiquement dans les domaines
externes au domaine actuel. Le catalogue global
est un sous-ensemble d'informations de chaque
domaine répliquant vers chaque serveur de
catalogue global de la forêt. Les applications
telles que Microsoft Exchange Server reposent
énormément sur le catalogue global pour
les informations importantes. Le processus
de connexion utilise également le catalogue
global pour énumérer des appartenances
au groupe universel.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-48 Conception et implémentation d'une topologie de services de domaine Active Directory

Puisque n'importe quel contrôleur de domaine peut également être un serveur de catalogue global, il
est relativement facile de concevoir une haute disponibilité. N'oubliez pas, cependant, que le déploiement
de plusieurs serveurs de catalogue global augmente le trafic réseau entre les contrôleurs de domaine, ce
qui peut constituer un problème dans les scénarios où plusieurs sites existent, car les liaisons sont alors
ralenties. Certaines applications, telles qu'Exchange Server, Microsoft Message Queuing (également
appelé MSMQ) et les applications utilisant le modèle DCOM (Distributed Component Object Model)
ne fournissent pas la réponse adéquate pour les liaisons WAN latentes. Par conséquent, vous avez
besoin d'une infrastructure de catalogue global hautement disponible pour fournir une latence
de faible requête. Déterminez si les applications fonctionnant mal sur une liaison WAN lente
s'exécutent aux emplacements définis ou si les emplacements requièrent Exchange Server.

Si vos emplacements comprennent les applications qui ne fournissent pas la réponse adéquate
sur une liaison WAN, réduisez la latence de requête en plaçant un serveur de catalogue global
aux emplacements concernés.

Tous les services de catalogue global résident physiquement sur un ou plusieurs contrôleurs de domaine.
Il n'y a aucun moyen de séparer la fonctionnalité de catalogue global d'un contrôleur de domaine.

Lors de la conception du placement et de la haute disponibilité du catalogue global, suivez

ces instructions :

• Forêt unique, environnement à domaine unique. Dans une forêt à un seul domaine, configurez
tous les contrôleurs de domaine comme serveurs de catalogues globaux. Puisque chaque contrôleur
de domaine enregistre la seule partition d'annuaire du domaine de la forêt, la configuration de
chaque contrôleur de domaine en tant que serveur de catalogue global ne requiert pas l'utilisation
d'espace disque supplémentaire, l'utilisation du processeur ou le trafic de réplication. Dans une
forêt à domaine unique, tous les contrôleurs de domaine agissent comme des serveurs de catalogue
global virtuels, car ils peuvent tous répondre à une demande d'authentification ou de service.

• Forêt unique, plusieurs domaines. Le nombre de catalogues globaux dépend du nombre

d'utilisateurs, des liens entre les sites, des applications et d'autres facteurs. Cependant, vous devez
avoir au moins un serveur de catalogue global par domaine. Si vous utilisez une application qui
utilise AD DS de manière intensive, envisagez de déployer plusieurs serveurs de catalogue global
par domaine.

Comme recommandation, vous devez toujours consulter la disponibilité du catalogue global et la

disponibilité du contrôleur de domaine. Si possible, faites en sorte que tous les contrôleurs de domaine
soient des serveurs de catalogue global, et vous obtiendrez ainsi une haute disponibilité pour ce service.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-49

Éléments à prendre en compte pour concevoir une infrastructure DNS

hautement disponible
Dans un environnement AD DS, DNS est un
service essentiel qui permet aux ordinateurs
et aux serveurs clients de localiser le contrôleur
de domaine, de localiser différents services réseau,
et d'effectuer la résolution des noms internes
et externes.

Vous pouvez créer un système DNS hautement

disponible de la même façon que vous génèreriez
un serveur de fichiers hautement disponible,
à l'exception près que la quantité de données
est généralement beaucoup plus petite. Votre
solution doit vérifier qu'un client demandant
la résolution de noms peut toujours rechercher un serveur DNS qui contient vos données de zone.
Par conséquent, votre principal souci est la disponibilité du serveur DNS. La solution DNS de haute
disponibilité la plus complexe doit avoir deux ou trois serveurs avec les copies complètes de tous
les enregistrements d'hôtes que vous souhaitez publier.

Pour créer des serveurs DNS redondants, installez le service DNS sur deux ou plusieurs serveurs. Dans un
environnement Windows Server 2012, vous pouvez spécifier que les données DNS résident dans AD DS,
dans ce cas la réplication Active Directory exécute les transferts de DNS, et vous ne devez pas spécifier
les serveurs DNS principaux et secondaires.

En outre, vous pouvez créer des serveurs DNS intermédiaires qui mettent en cache les réponses issues
de vos serveurs DNS sans conserver une copie de la base de données DNS. Ces serveurs de mise en
cache réduisent la charge sur vos serveurs DNS principaux et secondaires en réduisant le nombre de
requêtes qui ont finalement atteint ces serveurs. D'autres serveurs DNS sur Internet peuvent mettre
vos enregistrements DNS en cache, ce qui augmente la capacité de résolution de votre système sans
le moindre coût.

Tenez compte des points suivants lorsque vous concevez une solution DNS hautement disponible :

• Implémentez au moins deux serveurs DNS par site.

• Intégrez les zones DNS à AD DS.

• Renforcez la sécurité sur les serveurs DNS en implémentant des fonctionnalités et des technologies
de sécurité supplémentaires, telles que des extensions de sécurité DNS (DNSSEC) et la protection
contre la pollution de cache.

• Distribuez les adresses DNS principale et secondaire aux clients via le protocole DHCP.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-50 Conception et implémentation d'une topologie de services de domaine Active Directory

Éléments à prendre en compte pour concevoir une infrastructure

réseau hautement disponible
Lorsque vous planifiez un réseau hautement
disponible, vous devez tenir compte du réseau
local (LAN) et du réseau étendu (WAN). Chacun
de ces réseaux ayant les configurations requises
haute disponibilité spécifiques que vous devez
analyser séparément.

Réseaux locaux hautement disponibles

Vous devez présenter les composants
redondants pour rendre un réseau local
hautement disponible, et cela requiert
généralement que vous utilisiez des
commutateurs redondants. Cela garantit que la
défaillance d'un commutateur unique n'affecte pas le trafic réseau global. Vous devez configurer
les cartes d'interface réseau redondantes (NIC) sur l'ordinateur pour rendre la connectivité réseau
d'un ordinateur individuel tolérante aux pannes.

Réseaux étendus hautement disponibles

Dans de nombreux cas, le fournisseur de services WAN est responsable du niveau de disponibilité de
la connectivité WAN. Votre entreprise approuve généralement le niveau de disponibilité dans le cadre
du contrat SLA signé avec le prestataires de services. Vous pouvez également créer un réseau WAN
avec des liens privés entre vos emplacements.

Les liaisons WAN qui rencontrent des pannes fréquentes peuvent provoquer la perte significative de
productivité aux utilisateurs si l'emplacement ne comprend pas un contrôleur de domaine qui peut
authentifier les utilisateurs. Si la disponibilité de votre liaison WAN ne fonctionne pas à 100 %, et si
vos sites distants ne peuvent pas tolérer d'interruptions de service, placez un contrôleur de domaine
local dans les emplacements où les utilisateurs se connectent ou accèdent à Exchange Server lorsque
la liaison WAN est en panne.

Si votre disponibilité de liaison WAN est très fiable, le placement d'un contrôleur de domaine à
l'emplacement dépend des exigences en matière de performances de connexion via la liaison WAN.
Les facteurs qui influencent les performances de connexion via le réseau WAN comprennent la vitesse
de liaison et la bande passante disponible, le nombre d'utilisateurs et de profils utilisateur, ainsi que
la densité du trafic réseau d'ouverture de session par rapport au trafic de réplication.

En outre, envisagez d'implémenter la haute disponibilité dans votre plan de conception d'infrastructure
réseau. Puisque les contrôleurs de domaine, les serveurs et les clients se connectent via l'infrastructure
réseau, vous devez avoir un équipement réseau redondant.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-51

Lors de la conception d'une infrastructure réseau hautement disponible :

• utilisez les commutateurs réseau redondants qui se connectent à différentes cartes réseau (NIC)
sur les contrôleurs de domaine ;

• implémentez un lien de sauvegarde pour les succursales via un autre fournisseur de services
de télécommunications ;

• exigez un contrat SLA avec le prestataires de services de télécommunications ;

• enregistrez la configuration des périphériques réseau, tels que les commutateurs et les routeurs ;

• fournissez les périphériques réseau de remplacement sur le site.

Éléments à prendre en compte pour la sauvegarde et la restauration

dans AD DS
Il est important de savoir comment sauvegarder,
et au besoin, restaurer AD DS.

Options de sauvegarde d'AD DS

La Sauvegarde Windows Server permet de
sauvegarder et de restaurer un serveur, ses rôles,
et ses données. La Sauvegarde Windows Server
est installée en tant que fonctionnalité dans
le Gestionnaire de serveur.

Remarque : La console MMC Sauvegarde

Windows Server s'affiche sur la liste Outils dans le
Gestionnaire de serveur bien que la fonctionnalité ne soit pas réellement installée jusqu'à ce que
vous l'ajoutiez manuellement.

La Sauvegarde Windows Server fournit un outil d'administration du composant logiciel enfichable et

l'outil en ligne de commande Wbadmin ([Link]). Le composant logiciel enfichable et Wbadmin
permettent d'effectuer des sauvegardes manuelles ou automatiques sur un volume de disque interne
ou externe, un partage distant ou des supports optiques.

Remarque : La Sauvegarde Windows Server ne prend plus en charge la sauvegarde

sur bande.

Dans les versions antérieures de Windows Server, la sauvegarde d'Active Directory impliquait de
créer une copie de sauvegarde de l'état du système. Dans Windows Server 2012, l'état du système
existe toujours, mais il est physiquement beaucoup plus grand. En raison des interdépendances entre
les rôles de serveur, la configuration physique et Active Directory, l'état du système est maintenant un
sous-ensemble d'une sauvegarde du serveur entier et, dans certaines configurations, peut être aussi
grand qu'une sauvegarde de serveur complète. Pour sauvegarder un contrôleur de domaine, vous
devez sauvegarder tous les volumes critiques entièrement.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-52 Conception et implémentation d'une topologie de services de domaine Active Directory

La Sauvegarde Windows Server permet d'effectuer l'un des types de sauvegarde suivants :

• Serveur complet

• Volumes sélectionnés

• État du système

• Fichiers ou dossiers individuels

Quand vous utilisez la Sauvegarde Windows Server pour sauvegarder les volumes critiques sur un
contrôleur de domaine, la sauvegarde comprend toutes les données qui résident sur les volumes
qui hébergent ce qui suit :

• les fichiers de démarrage, qui se composent du fichier Bootmgr et du magasin de données

de configuration de démarrage (BCD) ;

• le système d'exploitation Windows et le Registre ;

• l'arborescence SYSVOL ;

• la base de données Active Directory ([Link]) ;

• les fichiers journaux de la base de données Active Directory.

Pour effectuer une sauvegarde, vous devez tout d'abord installer la fonctionnalité Sauvegarde
Windows Server. Vous pouvez alors utiliser la console Sauvegarde Windows Server pour créer des
travaux de sauvegarde. Utilisez le volet Actions dans la console Sauvegarde Windows Server pour
lancer un Assistant et effectuer une sauvegarde planifiée ou un travail de sauvegarde ponctuel.
L'Assistant vous demande le type de sauvegarde, de sélectionner la sauvegarde, une destination
de sauvegarde et une planification (dans le cas d'un travail planifié).

Corbeille Active Directory

La Corbeille Active Directory a été présentée dans Windows 2008 R2. Auparavant, vous pouviez
uniquement accéder à cette fonctionnalité à l'aide des applets de commande Windows PowerShell
et de l'outil LDAP. Dans Windows Server 2012, vous pouvez à présent accéder à la Corbeille
Active Directory à partir du Centre d'administration Active Directory. Ceci simplifie la récupération
des objets Active Directory qui ont été supprimés et dont la récupération est maintenant nécessaire.
Le Centre d'administration Active Directory permet aux administrateurs d'activer la Corbeille,
de localiser ou de restaurer des objets supprimés dans le domaine.

La Corbeille Active Directory présente les caractéristiques suivantes :

• Elle doit être activée manuellement. Une fois activée, vous ne pouvez pas la désactiver.

• La Corbeille Active Directory ne peut pas restaurer les sous-arborescences d'objets en une seule
opération. Par exemple, si vous supprimez une unité d'organisation avec des unités d'organisation
imbriquées, des utilisateurs, des groupes et des ordinateurs, la restauration de l'unité d'organisation
de base ne restaure pas les objets enfant. Cela doit être fait dans une opération suivante.

• La Corbeille Active Directory requiert au moins le niveau fonctionnel de la forêt

de Windows Server 2008 R2.

• Pour pouvoir utiliser la Corbeille Active Directory, vous devez faire partie du groupe
Administrateurs de l'entreprise.

• La Corbeille augmente la taille de la base de données Active Directory ([Link]) sur chaque
contrôleur de domaine dans la forêt. L'espace disque qui est utilisé par la Corbeille continue
à augmenter au fil du temps car il conserve des objets et toutes les données des attributs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-53

• Les objets sont conservés dans la Corbeille pendant une durée qui correspond à la durée
de vie de la désactivation de la forêt. Par défaut, cette durée est de 180 jours.

• Une fois la Corbeille Active Directory activée, vous pouvez visualiser les objets supprimés
et pouvant être restaurés dans le dossier Objets supprimés.

Options de restauration d'AD DS

Quand un contrôleur de domaine ou son répertoire est corrompu, endommagé

ou défaillant, vous pouvez restaurer le système à l'aide de plusieurs options.
Restauration classique
La première option est appelée restauration classique ou restauration ne faisant pas autorité. Dans une
opération normale de restauration, vous restaurez une sauvegarde AD DS à compter d'une date valide
connue. En fait, vous faites remonter le contrôleur de domaine dans le temps. Quand AD DS redémarre
sur le contrôleur de domaine, le contrôleur de domaine contacte ses partenaires de réplication et
demande toutes les mises à jour suivantes. Le contrôleur de domaine « rattrape » le reste du domaine
à l'aide des mécanismes standard de réplication. La restauration normale est utile quand l'annuaire sur
un contrôleur de domaine a été endommagé ou corrompu, mais que le problème ne s'est pas étendu
à d'autres contrôleurs de domaine. Cette méthode n'est pas appropriée si vous essayez de restaurer
un objet supprimé et que la suppression a été répliquée sur d'autres contrôleurs de domaine.

Restauration forcée
Si la restauration classique ne fonctionne pas, vous pouvez effectuer une restauration faisant autorité.
Dans une restauration faisant autorité, vous restaurez la bonne version d'Active Directory tout comme
vous le faites dans une restauration classique. Cependant, avant de redémarrer le contrôleur de domaine,
vous marquez les objets vous souhaitez récupérer (objets supprimés) comme faisant autorité de sorte
qu'ils répliquent à partir du contrôleur de domaine restauré vers ses partenaires de réplication. En réalité,
quand vous marquez des objets comme faisant autorité, Windows définit de façon incrémentielle le
numéro de version de tous les attributs d'objet pour être si élevé que la version soit sûre d'être supérieure
au numéro de version de l'objet supprimé sur tous les autres contrôleurs de domaine. Lorsque vous
redémarrez le contrôleur de domaine restauré, il réplique à partir de ses partenaires de réplication toutes
les modifications qui sont apportées au répertoire. Il informe également ses partenaires qu'il comporte
des modifications et les numéros de version des modifications garantissent que les partenaires prennent
les modifications et les répliquent dans le service d'annuaire.

Restauration complète du serveur

La troisième option pour restaurer le service d'annuaire est de restaurer le contrôleur de domaine entier.
Pour ce faire, démarrez l'environnement de récupération Windows, puis restaurez une sauvegarde de
serveur entier du contrôleur de domaine. Par défaut, c'est une restauration classique. Si vous devez
également marquer des objets comme faisant autorité, vous devez redémarrer le serveur en mode
Restauration des services d'annuaire et définir ces objets comme faisant autorité avant de démarrer
le contrôleur de domaine en mode de fonctionnement classique.

Restauration d'un autre emplacement

En conclusion, vous pouvez restaurer une sauvegarde de l'état du système vers un autre emplacement.
Ceci vous permet d'examiner des fichiers et, éventuellement, pour monter le fichier [Link] comme
décrit dans la leçon précédente. Vous ne devez pas copier les fichiers à partir d'un autre emplacement
de restauration par-dessus les versions de production de ces fichiers. De même, ne faites pas une
restauration sélective d'Active Directory.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-54 Conception et implémentation d'une topologie de services de domaine Active Directory

Atelier pratique : Conception et implémentation

d'une topologie physique de services de domaine
Active Directory
Scénario
A. Datum Corporation a rencontré des problèmes avec son déploiement AD DS actuel. En raison de
ces problèmes, l'équipe de conception d'AD DS doit examiner l'environnement du site et de réplication
AD DS actuel, puis fournir des recommandations pour apporter des modifications. Vous êtes chargé
de rechercher la cause potentielle, puis de concevoir une solution. Vous avez recueilli la documentation
sur le réseau d'A. Datum, et travaillez sur une conception de réseau potentielle.

Documentation fournie avec le produit

Courrier électronique de Bill Malone, cadre supérieur chez A. Datum :

Brad Sutton

De : Bill Malone [Bill@[Link]]

Envoyé : 06 Sep 16:22

À: Brad@[Link]

Objet : Topologie physique A. Datum

Pièces jointes : [Link] ; Location_details.docx

Brad,

J'ai réussi à trouver les rapports rédigés par votre prédécesseur. Au lieu de consulter tous les documents,
j'ai fait un résumé des problèmes que nous avions rencontrés.

• Quelquefois, les utilisateurs mettent très longtemps avant de réussir à ouvrir une session, surtout
pour les utilisateurs basés à Londres et Paris.

• Les messages envoyées via Exchange Server peuvent prendre plusieurs minutes pour arriver.
• L'équipe d'administration d'Exchange Server a exprimé des inquiétudes concernant le déploiement
AD DS actuel liés à des problèmes de performances sporadiques avec le flux du courrier électronique.
L'équipe a fourni les compteurs de performances qui montrent clairement que la plupart des
problèmes de performances d'Exchange Server sont directement liés aux réponses lentes des
contrôleurs de domaine.

• La direction informatique a demandé que la conception garantisse des performances

Exchange Server améliorées. Actuellement, A. Datum déploie des serveurs Exchange Server à
Londres, Toronto et Sydney. Toutefois, dans le cadre de la fusion avec Contoso, Ltd, l'entreprise
déploiera vraisemblablement des serveurs Exchange Server supplémentaires à Paris et dans
l'ensemble de l'Europe sur les sites hub régionaux Contoso.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-55

• L'équipe de conception AD DS doit également fournir une conception de site pour différentes
nouvelles succursales Contoso. Ces bureaux se connectent au bureau de Paris avec des liaisons
ultra-rapides. Ces bureaux sont relativement petits (mais en pleine croissance), ils n'ont pas
de personnel informatique dédié. Le personnel informatique de Paris ne peut pas déployer
de nouveaux contrôleurs de domaine au sein de ces emplacements, mais il recherche des
solutions au cas où la liaison entre Paris et d'autres sites se dégraderait de façon inattendue.

• Les installations de production seront situées à Rome. Les utilisateurs à Rome utiliseront fortement
la liaison de Paris durant les heures de travail pour l'accès aux bases de données et le partage
de fichiers. Actuellement, seuls les sites Active Directory par défaut sont définis. À chaque
emplacement, sauf pour les nouvelles succursales européennes, au moins un contrôleur
de domaine existe.

J'ai ajouté un diagramme réseau créé par votre prédécesseur, ainsi que des informations détaillées
sur la répartition du personnel entre les sites.

Cordialement,

Bill

[Link]
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-56 Conception et implémentation d'une topologie de services de domaine Active Directory

Location_details.docx

Le tableau suivant répertorie les emplacements actuels pour A. Datum.

Emplacement Fonction Caractéristiques

Londres, Angleterre Siège principal Nombre d'employés : 15 500

Production, distribution et back-office

Toronto, Canada Bureau concentrateur régional principal Nombre d'employés : 7 800

Site de production et de distribution
nord-américain

Sydney, Australie Bureau concentrateur régional principal Nombre d'employés : 3 500

Site de production et de distribution
du Pacifique

Le tableau suivant répertorie les emplacements actuels pour Contoso.

Emplacement Fonction Caractéristiques

Paris, France Siège social Nombre d'employés actuel :

Rôle planifié pour les centres commerciaux, 1 800
marketing et de distribution en Europe (Nombre d'employés
planifié : 4 700)

Rome, Italie Bureau concentrateur régional Nombre d'employés : 250

Barcelone, Espagne Bureau concentrateur régional Nombre d'employés : 200

Munich, Allemagne Bureau concentrateur régional Nombre d'employés : 200

Athènes, Grèce Bureau concentrateur régional Nombre d'employés : 200

Le tableau suivant répertorie les succursales et les centres de distribution régionaux de Contoso et d'A.
Datum.

Nombre d'utilisateurs
Emplacement Nombre de serveurs Filiales
(total de toutes les succursales)

Allemagne 1 dans chaque succursale 100 3

Espagne 1 dans chaque succursale 250 5

Italie 1 dans chaque succursale 250 5

Grèce 1 dans chaque succursale 75 2

Australie 1 dans chaque succursale 100 2

Canada 1 dans chaque succursale 200 3

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-57

Objectifs
• Concevoir des sites et la réplication AD DS.

• Planifier le placement des contrôleurs de domaine.

• Implémenter des sites et des contrôleurs de domaine AD DS.

Configuration de l'atelier pratique

Durée approximative : 75 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-RTR
22413B-LON-SVR4

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration,
puis cliquez sur Gestionnaire Hyper-V.
2. Dans le Gestionnaire Hyper-V®, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions,
cliquez sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Connectez-vous en utilisant les informations d'identification suivantes :

o Nom d'utilisateur : Administrateur

o Mot de passe : Pa$$w0rd

o Domaine : Adatum

5. Répétez les étapes 2 à 4 pour 22413B-LON-RTR et 22413B-LON-SVR4.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-58 Conception et implémentation d'une topologie de services de domaine Active Directory

Exercice 1 : Conception des sites et de la réplication Active Directory

Scénario
Actuellement, la forêt combinée d'A. Datum Corporation et de Contoso, Ltd. est configurée dans le cadre
d'un site unique. Vous devez produire la conception d'un nouveau site qui tienne compte des besoins
en gestion et de la résolution des problèmes identifiés, et qui fournisse une expansion future du système
de messagerie dans toute l'Europe.

Conception de site A. Datum initiale

Numéro de référence du document : BS0907/1

Auteur du document Brad Sutton

Date 7 septembre

Présentation des exigences

Concevez une stratégie de site AD DS pour atteindre les objectifs suivants :
• Améliorer les temps d'ouverture de session à tous les emplacements.
• Améliorer le flux des messages au sein de toute l'organisation.

Informations supplémentaires
• Exchange Server est actuellement déployé uniquement sur les sites A. Datum de Sydney, Toronto
et Londres.
• Les organisations Contoso et A. Datum sont configurées en tant que domaines distincts dans
la même forêt AD DS.
• Les rôles FSMO de la forêt sont conservés par les contrôleurs de domaine dans le domaine
[Link] sur le site de Londres.
• Londres et Paris sont connectés par une liaison de 100 Mbits/s.
• Sydney et Toronto sont tous deux connectés à Londres par des liaisons de 10 Mbits/s.
• Tous les concentrateurs régionaux en Europe sont connectés à Paris par des liaisons de 10 Mbits/s.
• Toutes les succursales et tous les centres de distribution d'A. Datum sont connectés au bureau
concentrateur régional le plus proche par une liaison de 2 Mbits/s.
• Toutes les succursales disposent de serveurs de fichiers locaux, même si tous n'ont pas
de contrôleurs de domaine.
• Les contrôleurs de domaine sont installés à Londres, Sydney, Toronto et Paris.
• Actuellement, seul l'objet de site par défaut existe dans AD DS.

Propositions
1. Comment pouvez-vous résoudre les problèmes que les utilisateurs rencontrent actuellement
avec la durée d'ouverture de session ?

2. Comment pouvez-vous résoudre les problèmes que les utilisateurs rencontrent actuellement
avec Exchange Server ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-59

(suite)

Conception de site A. Datum initiale

Propositions
3. Devez-vous créer de nouveaux sites Active Directory ? Si oui, pour quels bureaux ?

4. Devez-vous restructurer des sites existants ?

5. Que devez-vous planifier d'autre pour les nouveaux sites ?

6. Y a-t-il d'autres solutions ?

7. Quels sites devez-vous lier aux liens de sites Active Directory ?

8. Devez-vous configurer des attributs de liens de sites supplémentaires ? Si oui, quels attributs
devez-vous configurer, et comment ?

9. Avez-vous besoin de configurer des serveurs tête de pont ?

10. Devez-vous configurer un pontage entre des liens de sites ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-60 Conception et implémentation d'une topologie de services de domaine Active Directory

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Conception de site A. Datum initiale.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir créé une conception de site Active Directory
appropriée pour A. Datum Corporation.

Exercice 2 : Planification du placement des contrôleurs de domaine

Scénario
Votre conception de site Active Directory a été acceptée, et maintenant vous devez créer une conception
pour déployer des contrôleurs de domaine Active Directory dans l'environnement.

Remarque : Vous pouvez utiliser les informations fournies dans l'exercice précédent pour
permettre d'aborder les questions de cet exercice.

Stratégie de placement des contrôleurs de domaine

Numéro de référence du document : BS0907/2

Auteur du document Brad Sutton

Date 7 septembre

Présentation des exigences

Planifiez une stratégie de placement des contrôleurs de domaine afin d'atteindre les objectifs
suivants :
• Une des exigences stratégiques essentielles pour A. Datum est la disponibilité des services
d'authentification. À tous les emplacements de la société, les utilisateurs doivent pouvoir ouvrir
une session AD DS si une défaillance se produit pour un serveur unique ou une liaison réseau.
Actuellement, cela peut parfois prendre du temps pour que les utilisateurs se connectent au
réseau.
• En outre, les utilisateurs de tous les bureaux actuels doivent pouvoir utiliser la recherche AD DS
et les applications orientées Active Directory.
• Contoso souhaite déployer rapidement les services informatiques dont ces bureaux ont besoin
et à un moindre coût. L'équipe de conception AD DS doit fournir des recommandations et une
conception pour déployer les services informatiques requis à ces bureaux.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-61

(suite)

Stratégie de placement des contrôleurs de domaine

Informations supplémentaires
• L'environnement Active Directory actuel d'A. Datum se compose d'une seule forêt Active Directory
qui contient uniquement des contrôleurs de domaine exécutant Windows Server 2012. Le domaine
racine de la forêt est déployé à Londres, sur quatre contrôleurs de domaine, et les cinq rôles FSMO
se trouvent sur un serveur. Ce placement signifie que lorsque vous concevez votre déploiement
des contrôleurs de domaine AD DS, vous devez éviter, autant que possible, un point de défaillance
unique dans AD DS.
• Une liaison de 2 Mbits/s permanente connecte les nouveaux bureaux au bureau concentrateur
régional approprié.
• Toutes les succursales disposent de serveurs de fichiers locaux.

Propositions
1. Comment pourrez-vous résoudre les problèmes que les utilisateurs rencontrent actuellement
avec la durée d'ouverture de session ?

2. Comment éviterez-vous d'avoir un point de défaillance unique dans AD DS ?

3. Comment fournirez-vous les services de recherche Active Directory et d'authentification

permanents qui ne dépendront pas des liens entre les emplacements ?

4. Comment fournirez-vous la gestion et la maintenance des services informatiques dans

de nouveaux emplacements de vente ?

5. Comment répondrez-vous aux critères de sécurité dans les succursales ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-62 Conception et implémentation d'une topologie de services de domaine Active Directory

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie de placement
des contrôleurs de domaine.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir créé une stratégie de placement des contrôleurs
de domaine appropriée.

Exercice 3 : Implémentation des sites et des contrôleurs de domaine

Active Directory
Scénario
Dans cet exercice, vous allez implémenter une partie de votre conception de site et de réplication
Active Directory. Cela implique la création d'un contrôleur de domaine.

Les tâches principales de cet exercice sont les suivantes :

1. Installer le contrôleur de domaine de Paris.

2. Renommer le site par défaut.

3. Configurer des sous-réseaux Active Directory.

4. Créer les sites Active Directory.

5. Configurer des liens de site.

6. Déplacer le nouveau contrôleur de domaine vers le site approprié.

 Tâche 1 : Installer le contrôleur de domaine de Paris

1. Sur LON-SVR4, connectez-vous en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Renommez l'ordinateur PARIS-DC1, puis redémarrez- le.

Remarque : Les étapes de l'atelier pratique se rapporteront à cet ordinateur en tant

que PARIS-DC1 (22413B-LON-SVR4).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-63

3. Basculez vers PARIS-DC1 (22413B-LON-SVR4), puis connectez-vous en tant

qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

4. Sur PARIS-DC1, utilisez le Gestionnaire de serveur pour installer les Services de domaine
Active Directory.

5. Quand les binaires AD DS sont installés, utilisez l'Assistant de configuration des services de
domaine Active Directory pour installer et configurer PARIS-DC1 en tant que contrôleur
de domaine supplémentaire pour [Link].

6. Après le redémarrage du serveur, connectez-vous en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.

 Tâche 2 : Renommer le site par défaut

1. Sur LON-DC1, si nécessaire, ouvrez la console Gestionnaire de serveur.

2. Ouvrez les sites Active Directory et les services, puis renommez le site Default-First-Site-Name
par London.

3. Vérifiez que LON-DC1 et PARIS-DC1 sont des membres du site London.

 Tâche 3 : Configurer des sous-réseaux Active Directory

1. Sur LON-DC1, si nécessaire, ouvrez la console Gestionnaire de serveur, puis ouvrez Sites
et services Active Directory.

2. Créez un nouveau sous-réseau avec la configuration suivante :

o Préfixe : [Link]/16
o Objet de site : London

 Tâche 4 : Créer les sites Active Directory

1. Sur LON-DC1, si nécessaire, ouvrez la console Gestionnaire de serveur, puis ouvrez Sites
et services Active Directory.

2. Créez un nouveau site avec la configuration suivante :

o Nom : Paris

o Objet de lien de sites : DEFAULTIPSITELINK

3. Si nécessaire, sur LON-DC1, ouvrez Sites et services Active Directory.

4. Créez un nouveau sous-réseau avec la configuration suivante :

o Préfixe : [Link]/16

o Objet de site : Paris

5. Dans le volet de navigation, cliquez sur le dossier Subnets. Dans le volet d'informations, vérifiez
que les deux sous-réseaux étaient créés et associés avec leur site approprié.

 Tâche 5 : Configurer des liens de site

1. Sur LON-DC1, si nécessaire, ouvrez Sites et services Active Directory.

2. Renommez DEFAULTIPSITELINK, puis configurez-le avec les paramètres suivants :

o Nom : LON-PARIS
o Sites : Londres, Paris

o Réplication : Toutes les 60 minutes

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
8-64 Conception et implémentation d'une topologie de services de domaine Active Directory

 Tâche 6 : Déplacer le nouveau contrôleur de domaine vers le site approprié

1. Sur LON-DC1, si nécessaire, ouvrez Sites et services Active Directory.

2. Déplacez PARIS-DC1 depuis le site de London vers le site de Paris.

3. Vérifiez que PARIS-DC1 est situé sous le nœud de serveurs dans le site de Paris.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1,
puis cliquez sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-RTR et 22413B-LON-SVR4.

Résultats : À la fin de cet exercice, vous devriez avoir configuré avec succès les sites, les contrôleurs
de domaine et la réplication AD DS.

Question : Quelle démarche avez-vous adoptée pour la conception de site Active Directory
et sa réplication ?

Question : Comment avez-vous abordé l'exercice de planification de contrôleur de domaine

Active Directory ?

Question : Comment cette conception des services AD DS physiques est-elle comparable

à l'implémentation d'AD DS de votre organisation ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 8-65

Contrôle des acquis et éléments à retenir

Question(s) de contrôle des acquis
Question : Dans une entreprise multisite, pourquoi est-il important d'identifier et d'associer
tous les sous-réseaux à un site ?

Question : Quelle est la fonction d'un serveur tête de pont ?

Question : Quel protocole pouvez-vous utiliser comme alternative à la réplication

Active Directory ? Quel est l'inconvénient lié à son utilisation ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-1

Module 9
Planification et implémentation du stockage
Table des matières :
Vue d'ensemble du module 9-1

Leçon 1 : Éléments à prendre en compte pour le stockage 9-2

Leçon 2 : Planification et implémentation des réseaux SAN iSCSI 9-7

Leçon 3 : Espaces de stockage dans Windows Server 2012 9-13

Atelier pratique : Planification et implémentation du stockage 9-20

Contrôle des acquis et éléments à retenir 9-27

Vue d'ensemble du module

Avec l'importance de plus en plus grande des applications en réseau, un stockage hautes performances
et résilient est devenu de plus en plus important. Lorsque vous planifiez le stockage pour vos applications
en réseau, vous devez d'abord sélectionner une technologie de stockage appropriée qui comprend à la
fois des solutions de stockage en local et à distance. Une technologie de stockage à distance courante
et prise en charge par Windows Server® 2012 est iSCSI (Internet Small Computer System Interface).

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• planifier un stockage efficace ;

• planifier et implémenter un réseau SAN (Storage Area Network) iSCSI (Internet Small Computer
System Interface) ;

• planifier et implémenter des espaces de stockage.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-2 Planification et implémentation du stockage

Leçon 1
Éléments à prendre en compte pour le stockage
Lorsque vous planifiez le stockage pour l'infrastructure réseau de votre organisation, un des premiers
choix à faire est de sélectionner le type approprié de stockage de serveur. Les technologies de stockage
classiques, telles que le stockage en attachement direct (DAS), sont souvent remplacées par le stockage
réseau (NAS) ou les réseaux SAN. La sélection de la technologie de stockage la plus appropriée
est cruciale.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les options de technologie de stockage et présenter les éléments à prendre en compte
pour la sélection d'une technologie de stockage appropriée ;

• décrire les composants d'une solution SAN ;

• décrire les disques durs virtuels et leur rôle dans la planification d'une solution de stockage.

Éléments à prendre en compte pour différents types de stockage

Les serveurs de fichiers traditionnels avaient
tendance à compter sur le stockage DAS. Dans
cette configuration, les disques sont connectés
en interne à un serveur de fichiers ou connectés
localement dans une baie de disques. Cependant,
le système DAS crée des problèmes de gestion
du stockage qui comprennent :

• Partage de ressources rigide. Malgré

le fait que des serveurs spécifiques
de votre organisation peuvent avoir un
stockage excédentaire, il n'existe aucune
méthode simple permettant de redéployer
ce stockage excédentaire vers d'autres serveurs nécessitant un stockage supplémentaire. Une fois
qu'un serveur a épuisé son stockage, la façon la plus courante d'ajouter des ressources de stockage
consiste à ajouter un nouveau serveur. Les inconvénients de cette approche sont notamment une
augmentation des dépenses d'investissement et une plus grande complexité de gestion.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-3

• Complexité de la sauvegarde. À mesure que les ordinateurs dans l'organisation prolifèrent, la

protection de leurs données devient plus chère et complexe. Comme les sauvegardes doivent
être effectuées directement sur le système qui héberge les données, le personnel informatique
est habituellement amené à acheter des systèmes de sauvegarde sur bande supplémentaires.
Il devient plus difficile de planifier des sauvegardes complètes sans empiéter sur les heures
de travail des utilisateurs.

• Prolifération du matériel. Du matériel supplémentaire signifie moins d'espace à d'autres fins

commerciales, plus de dépenses d'octroi de licence, plus de temps d'installation et plus de matériels
à dépanner en cas de défaillance. L'achat de trop de stockage pour se protéger contre les pénuries
utilise des ressources de capital et, comme les disques de stockage sont liés à un serveur spécifique,
l'utilisation du serveur reste fondamentalement inflexible, car les serveurs ne peuvent pas aisément
être réaffectés à un autre usage d'application.

Pour résoudre ces problèmes, plusieurs technologies de stockage liées au réseau ont évolué.

Stockage NAS
Les serveurs NAS assurent un déploiement simplifié et peuvent être branchés directement au réseau sans
interrompre les services. La gestion d'un périphérique NAS est relativement simple et fournit une courbe
d'apprentissage réduite pour la plupart des administrateurs. Les serveurs NAS sont généralement utilisés
pour consolider des serveurs de fichiers et le matériel de sauvegarde, et pour développer la capacité
de stockage. Cependant, NAS ne prend pas en charge toutes les applications, telles que les bases de
données, qui exigent généralement que le stockage soit de portée locale pour le serveur de base
de données.

Stockage SAN
Les solutions de stockage SAN sont idéales pour les applications de base de données et de traitement
en ligne qui requièrent un accès aux données rapide et un stockage basé sur les blocs. Cependant,
comme un réseau SAN est un réseau dédié qui peut nécessiter un matériel spécialisé, beaucoup plus
d'expertise est requise pour installer et gérer un réseau SAN. Dans un environnement SAN, un volume
de stockage apparaît comme étant de portée locale pour un serveur participant.

Remarque : Si la majorité des documents auxquels les utilisateurs doivent accéder sont
basés sur les fichiers, les solutions NAS fournissent la solution de stockage en réseau la plus
efficace et la moins coûteuse. Si la plus grande quantité d'informations à partager est produite
par des applications de base de données, les réseaux SAN représentent généralement la solution
la plus populaire. Pour les organisations qui doivent partager des données à la fois basées
sur des blocs et basées sur des fichiers, une solution NAS–SAN commune peut répondre
efficacement aux deux besoins.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-4 Planification et implémentation du stockage

Limitations de DAS
Les réseaux SAN résolvent les problèmes liés aux limitations de DAS comme suit :

• Partage de ressources hautement efficace. L'implémentation d'une solution SAN facilite

l'approvisionnement des ressources à la demande. Comme tous les serveurs ont accès au même
pool de stockage, la réponse aux besoins de stockage maximum consiste à déplacer les ressources
vers les serveurs en fonction des besoins, au lieu d'acheter systématiquement trop de ressources
de stockage pour chaque serveur.

• Meilleure utilisation du stockage. L'utilisation des capacités de stockage passe d'environ 50 %

avec un stockage DAS à environ 80 % sur un réseau SAN. Cette utilisation du stockage accrue
se produit car plusieurs serveurs accèdent maintenant à un pool de stockage commun. Par
conséquent, le besoin d'un approvisionnement excessif en stockage est considérablement réduit.
• Disponibilité et une consolidation du matériel. Les réseaux SAN facilitent le partage des éléments
suivants :

o données à jour ;

o consolidation de matériel (y compris le déplacement de lecteurs de bande discrets

vers des bibliothèques de bandes partagées) ;

o solutions de clustering et de redondance efficaces ;

o entrée/sortie (E/S) hautes performances ;

o réduction du trafic réseau.

Les résultats nets du déploiement d'un réseau SAN se traduisent par une gestion plus efficace
des ressources de stockage, une meilleure protection des données, une haute disponibilité
et des performances améliorées.

Les réseaux SAN sont conçus pour permettre la centralisation des ressources de stockage
tout en surmontant en même temps les limitations de distance et de connectivité posées par le
stockage DAS. Les interconnexions SCSI parallèles limitent les périphériques de stockage DAS à une
distance de 25 mètres et peuvent connecter 16 périphériques uniquement au maximum. Sinon,
une implémentation SAN classique peut étendre la limitation de distance à 10 kilomètres ou plus,
et permettre à un nombre de périphériques essentiellement illimité de se connecter au réseau.
Ces facteurs permettent aux réseaux SAN de dissocier le stockage du serveur et de partager le stockage
sur un réseau, sans subir les problèmes d'évolution associés au stockage DAS.

Différences entre un réseau SAN et un stockage NAS

Un réseau SAN et un stockage NAS présentent des différences dans plusieurs secteurs clés.
Un réseau SAN est une solution de stockage d'accès de niveau bloc qui utilise Fibre Channel,
iSCSI ou SAS (Serial Attached SCSI). Une solution NAS utilise l'accès de niveau fichier, tel que CIFS
(Common Internet File System), FTP (File Transfer Protocol), NFS (Network File System) et HTTP.
En outre, Windows Server 2012 prend en charge le réseau SAN dans un cluster de basculement,
mais ne prend pas encore en charge le stockage NAS pour des clusters de basculement.

Un réseau SAN est un réseau de zone de stockage dédié qui est interconnecté via un protocole
Fibre Channel à l'aide de commutateurs Fibre Channel 1 gigabit ou 2 gigabits, ou des adaptateurs de
bus hôte Fibre Channel. Des périphériques tels que les serveurs de fichiers se connectent directement
au réseau SAN via le protocole Fibre Channel. Les réseaux SAN utilisent le protocole Fibre Channel
pour connecter le stockage directement aux périphériques/hôtes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-5

Le stockage NAS se connecte directement au réseau en utilisant TCP/IP sur un câblage Ethernet CAT 5.
Dans la plupart des cas, aucune modification ne doit être apportée à l'infrastructure réseau existante pour
installer une solution NAS. Le périphérique NAS est joint au réseau local (en général, un réseau Ethernet)
et reçoit une adresse IP comme n'importe quel autre périphérique réseau.

Le tableau suivant récapitule les différences entre les technologies SAN et NAS.

Paramètre SAN NAS

Méthodes d'accès aux Accès de niveau bloc Accès de niveau fichier

serveurs d'applications

Protocole de SCSI sur Fibre Channel iSCSI, CIFS, NFS, FTP et HTTP
communication qui est SCSI sur IP et SAS

Technologie physique En général spécifique au stockage, Réseau local à usage général,

réseau telle que Fibre Channel, mais peut comme Gigabit Ethernet
également être Ethernet haut débit

Prise en charge du Plusieurs types de topologies SAN Pas de prise en charge pour
clustering avec basculement prennent en charge les disques les clusters de basculement
Windows Server en cluster

Composants SAN
Les composants suivants sont associés
aux réseaux SAN :

• Hôte. Nœud qui se connecte à un réseau SAN

pour accéder aux ressources.

• Numéro d'unité logique (LUN). Périphérique

de disque utilisé par un hôte. Identificateur
d'une unité logique SCSI et, par extension,
d'une unité logique iSCSI ou Fibre Channel.

• Adaptateur de bus hôte (HBA). Le plus souvent

utilisé pour faire référence à une carte
d'interface Fibre Channel placée dans
un serveur pour fournir l'accès à un réseau SAN (Fibre Channel, iSCSI ou SAS). Il s'agit de l'équivalent
fonctionnel de la carte réseau dans un réseau Ethernet traditionnel.

• Contrôleur de stockage. Périphérique connecté au réseau SAN qui contient des disques et les lui
présente pour une utilisation par les hôtes.

• Multipath Input/Output (MPIO). Plusieurs chemins d'accès d'un hôte vers un numéro d'unité logique
de stockage qui permettent la redondance de chemin d'accès et la bande passante globale entre
l'unité centrale où l'application est exécutée et la cible où les données sont stockées.

• Initiateur. Ordinateur client qui demande l'accès aux ressources SAN et s'exécute sur
l'adaptateur HBA, ou avec iSCSI, en tant que logiciel sur l'hôte.

• Cible. Contrôleur de stockage qui se connecte à un initiateur.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-6 Planification et implémentation du stockage

Éléments à prendre en compte pour les disques durs virtuels

Un disque dur virtuel est un fichier dans un format
particulier qui fait office de disque dur classique.
Vous pouvez configurer un disque dur virtuel
avec des partitions et un système d'exploitation.

Montage d'un disque dur virtuel

Vous pouvez utiliser des disques durs virtuels
avec des ordinateurs virtuels, mais également
monter des disques durs virtuels dans le système
de fichiers des ordinateurs physiques à l'aide
de Windows Server 2008 et des systèmes
d'exploitation Windows Server plus récents,
et de Windows® 7 et des systèmes d'exploitation
clients Windows plus récents. Une fois que vous avez monté le disque dur virtuel, il apparaît aux
utilisateurs comme un disque connecté localement, et il peut être manipulé et géré de la même
façon qu'un lecteur de disque réel. L'avantage principal de cette fonctionnalité est la portabilité.
Elle vous permet de monter un disque dur virtuel sur tout serveur ou bureau.

Ces systèmes d'exploitation Windows Server et Windows prennent également en charge le

démarrage à partir d'un disque dur virtuel. Cette fonctionnalité vous permet de configurer
l'ordinateur de manière à démarrer dans un système d'exploitation qui est déployé sur un
disque dur virtuel, tel que Windows Server 2012 et certaines éditions de Windows 8.

Format de disques durs virtuels amélioré

Windows Server 2012 prend en charge un nouveau format de fichier de disques durs virtuels (.vhdx).
Le format de fichier .vhdx fournit une capacité de stockage sensiblement plus grande que le format .vhd
existant. Le nouveau format .vhdx fournit les fonctionnalités et améliorations suivantes :
• prise en charge de plus grands disques durs virtuels pouvant atteindre 64 téraoctets (To) ;

• utilisation de la journalisation pour empêcher l'endommagement des données pendant

les pannes d'alimentation ;

• prise en charge améliorée pour de grands disques physiques de secteur ;

• implémentation de tailles de blocs plus importantes pour les disques dynamiques et

de différenciation, qui vous permet de régler la configuration du disque pour améliorer
la prise en charge de vos applications ;

• utilisation de disques durs virtuels de secteur logique de 4 kilo-octets (Ko) qui permet
des performances accrues sur les applications qui utilisent une structure de 4 Ko ;
• efficacité plus grande dans le stockage des données (appelé découpage) qui peut aboutir
à de plus petites tailles de fichiers.

Stockage pour les disques durs virtuels

Windows Server 2012 intègre la prise en charge de SMB (Server Message Block) 3.0. Ce protocole
de partage de fichiers réseau permet aux applications de lire et d'écrire des données plus rapidement
qu'avec SMB 2.x. Vous pouvez utiliser les partages SMB 3.0 pour stocker les fichiers liés à l'ordinateur
virtuel, notamment les fichiers de configuration, les captures instantanées et les disques durs virtuels.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-7

Leçon 2
Planification et implémentation des réseaux SAN iSCSI
Après avoir déterminé que vous souhaitez implémenter une architecture de stockage distribuée, vous
devez choisir une technologie de stockage appropriée. Windows Server 2012 fournit les composants
nécessaires pour que vous implémentiez une infrastructure de stockage iSCSI. Le stockage iSCSI est
un moyen simple et peu coûteux de configurer des connexions vers des disques distants.

Beaucoup de conditions requises par les applications nécessitent que les connexions de stockage distantes
soient redondantes par nature pour obtenir une tolérance de panne ou une haute disponibilité. Vous
pouvez implémenter une solution de stockage à tolérance de panne avec iSCSI en utilisant la tolérance
de panne de réseau sous-jacente, qui est souvent moins onéreuse que la gestion de technologies de
stockage à tolérance de panne, comme les réseaux SAN.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire iSCSI ;

• décrire un serveur cible iSCSI et un initiateur iSCSI ;

• décrire les options permettant d'implémenter la haute disponibilité pour iSCSI ;

• expliquer comment implémenter iSCSI ;

• décrire les éléments à prendre en compte pour implémenter le stockage iSCSI.

Qu'est-ce qu'iSCSI ?
iSCSI est un protocole qui prend en charge
l'accès aux périphériques de stockage SCSI
distants sur un réseau TCP/IP. iSCSI véhicule les
commandes SCSI standard sur des réseaux IP pour
faciliter les transferts de données sur l'intranet et
gérer le stockage sur de longues distances. Vous
pouvez utiliser le protocole iSCSI pour transmettre
des données sur des réseaux locaux (LAN), des
réseaux étendus (WAN) ou même sur Internet.

Le protocole iSCSI repose sur une architecture

réseau Ethernet standard. Le matériel spécialisé,
tel que les adaptateurs de bus hôte (HBA) ou les
commutateurs réseau, est facultatif. Le protocole iSCSI utilise la suite TCP/IP (en général le port TCP
(Transmission Control Protocol) 3260). Ainsi, iSCSI permet simplement à deux hôtes de négocier des
tâches (par exemple, l'établissement de session, le contrôle de flux et la taille de paquet) et d'échanger
ensuite des commandes SCSI à l'aide d'un réseau Ethernet existant. Ce faisant, le protocole iSCSI utilise
une architecture de sous-système de bus de stockage local hautes performances répandue et l'émule
sur des réseaux LAN et WAN, ce qui permet de créer un réseau SAN.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-8 Planification et implémentation du stockage

À la différence de certaines technologies SAN, le protocole iSCSI ne requiert aucun câblage spécialisé.
Vous pouvez l'exécuter sur l'infrastructure existante de commutation et IP. Toutefois, les performances
d'un déploiement SAN iSCSI peuvent être considérablement améliorées si ce déploiement est exécuté
sur un réseau ou sous-réseau dédié, comme le recommandent les meilleures pratiques.

Remarque : Bien que vous puissiez utiliser une carte réseau Ethernet standard pour
connecter le serveur au périphérique de stockage iSCSI, vous pouvez également utiliser
des contrôleurs de bus hôte iSCSI dédiés.

Un déploiement de SAN iSCSI comprend les éléments suivants :

• Réseau TCP/IP. Vous pouvez utiliser des cartes d'interface réseau standard et des commutateurs
réseau Ethernet standard pour connecter les serveurs au périphérique de stockage. Pour offrir
des performances suffisantes, le réseau doit fournir des vitesses d'au moins 1 gigabit par seconde
(Gbit/s) et différents chemins d'accès à la cible iSCSI. Une bonne pratique consiste à utiliser un
réseau physique et logique dédié pour obtenir un débit rapide et fiable.

• Cibles iSCSI. Il s'agit d'une autre méthode pour accéder au stockage. Les cibles iSCSI présentent
ou publient le stockage, comme des contrôleurs pour des lecteurs de disque dur de stockage local.
Toutefois, ce stockage n'est pas accessible sur un réseau mais localement. Beaucoup de fournisseurs
de stockage implémentent les cibles iSCSI au niveau matériel comme faisant partie du matériel
de leur périphérique de stockage. D'autres périphériques ou appareils, tels que les périphériques
Windows Storage Server 2012, implémentent les cibles iSCSI à l'aide d'un pilote logiciel et d'au
moins une carte Ethernet. Windows Server 2012 fournit le serveur cible iSCSI, qui est en fait un
pilote du protocole iSCSI, en tant que service de rôle.

• Initiateurs iSCSI. La cible iSCSI affiche le stockage pour l'initiateur iSCSI (également appelé le client),
qui agit en tant que contrôleur de disque local pour les disques distants. Toutes les versions
de Windows Server à partir de Windows Server 2008 comprennent l'initiateur iSCSI et peuvent
se connecter aux cibles iSCSI.

• Nom IQN (iSCSI Qualified Name). Les IQN sont des identificateurs uniques qui servent à adresser
les initiateurs et cibles d'un réseau iSCSI. Lorsque vous configurez une cible iSCSI, vous devez
configurer l'IQN des initiateurs iSCSI qui se connectent à cette cible. Les initiateurs iSCSI utilisent
également les IQN pour se connecter aux cibles iSCSI. Toutefois, si la résolution de noms sur le
réseau iSCSI est un problème possible, des points de terminaison iSCSI (à la fois cible et initiateur)
peuvent toujours être identifiés par leurs adresses IP.

Serveur cible iSCSI et initiateur iSCSI

Afin d'implémenter iSCSI, vous devez en savoir
plus sur le serveur cible iSCSI et l'initiateur iSCSI.

Serveur cible iSCSI

Le service de rôle de serveur cible iSCSI fournit
des sous-systèmes de disques iSCSI de type
logiciel indépendants du matériel. Vous pouvez
utiliser le serveur cible iSCSI pour créer des cibles
iSCSI et des disques virtuels iSCSI. Vous pouvez
utiliser ensuite le Gestionnaire de serveur pour
gérer ces cibles et disques virtuels iSCSI.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-9

Le serveur cible iSCSI compris dans Windows Server 2012 comporte la fonctionnalité suivante :

• Démarrage réseau/sans disque. En utilisant des cartes réseau compatibles pour le démarrage
ou un chargeur de logiciels, vous pouvez utiliser des cibles iSCSI pour déployer rapidement des
serveurs sans disque. En utilisant des disques virtuels de différenciation, vous pouvez économiser
jusqu'à 90 pour cent de l'espace de stockage pour les images du système d'exploitation. C'est idéal
pour les grands déploiements d'images de système d'exploitation identiques, tels qu'une batterie
de serveurs Hyper-V® ou des clusters HPC (High-Performance Computing).

• Stockage d'applications du serveur. Certaines applications, par exemple Hyper-V et

Microsoft® Exchange Server, nécessitent un stockage basé sur les blocs. Le serveur cible iSCSI
peut fournir à ces applications un stockage basé sur les blocs disponible en permanence. Étant
donné que le stockage est accessible à distance, il peut également combiner le stockage basé
sur les blocs pour les sites principaux ou les sites de succursale.

• Stockage hétérogène. Le serveur cible iSCSI prend en charge les initiateurs iSCSI qui ne sont
pas basés sur le système d'exploitation Windows. Vous pouvez donc partager le stockage sur
des serveurs Windows dans les environnements de systèmes d'exploitation mixtes.

• Environnements de test. Le rôle de serveur cible iSCSI permet à vos ordinateurs Windows Server 2012
d'être utilisés comme périphériques de stockage par blocs accessibles sur le réseau. Cela est très utile
dans les situations dans lesquelles vous souhaitez tester des applications avant de les déployer sur
un réseau de stockage SAN.

Les serveurs cibles iSCSI qui fournissent le stockage par blocs utilisent votre réseau Ethernet existant.
Aucun matériel supplémentaire n'est requis. Si la haute disponibilité est un critère important, pensez
à installer un cluster haute disponibilité. Avec un cluster haute disponibilité, vous avez besoin d'un
stockage partagé pour le cluster, soit un stockage Fibre Channel matériel ou une baie de stockage SAS.
Le serveur cible iSCSI s'intègre directement à la fonctionnalité de cluster de basculement sous forme
de rôle de cluster.

Initiateur iSCSI
Le service d'initiateur iSCSI est un composant standard qui est installé par défaut depuis
Windows Server 2008 et Windows Vista®. Pour connecter votre ordinateur à une cible iSCSI,
il vous suffit de démarrer l'initiateur Microsoft iSCSI et de le configurer.

Parmi les nouvelles fonctionnalités de l'initiateur iSCSI Windows Server 2012 :

• Authentification. Vous pouvez activer le protocole CHAP (Challenge Handshake

Authentication Protocol) pour authentifier les connexions d'initiateur, ou le protocole CHAP
inversé pour permettre à l'initiateur d'authentifier la cible iSCSI.

• Ordinateur initiateur de requête d'ID. Cette fonctionnalité n'est prise en charge qu'avec Windows 8
ou Windows Server 2012.

Documentation supplémentaire : Pour plus d'informations sur l'introduction de

cibles iSCSI dans Windows Server 2012, consultez [Link]
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-10 Planification et implémentation du stockage

Options pour l'implémentation de la haute disponibilité iSCSI

Vous pouvez intégrer le serveur cible iSCSI
et les paramètres de l'initiateur iSCSI dans
des configurations plus avancées.

Configuration d'iSCSI pour la haute

disponibilité
La création d'une connexion unique au
stockage iSCSI rend ce stockage disponible.
Mais il ne rend pas ce stockage hautement
disponible. La perte de la connexion fait
que le serveur perd l'accès à son stockage.
Par conséquent, la plupart des connexions de
stockage iSCSI sont rendues redondantes au
moyen d'une ou de deux technologies haute disponibilité : MCS (Multiple Connected Session) et MPIO.

Bien que ces technologies soient similaires dans leurs résultats, elles utilisent des approches différentes
pour obtenir la haute disponibilité pour les connexions de stockage iSCSI :

• MCS est une fonctionnalité du protocole iSCSI qui:

o Autorise plusieurs connexions TCP/IP entre l'initiateur et la cible pour la même session iSCSI.

o Prend en charge le basculement automatique. Si une défaillance se produit, toutes les

commandes iSCSI en attente sont réattribuées automatiquement à une autre connexion.

o Requiert une prise en charge explicite par des périphériques SAN iSCSI, bien que le rôle
de serveur cible iSCSI de Windows Server 2012 la prenne en charge.
• La fonctionnalité MPIO fournit la redondance différemment. MPIO :

o Fournit une redondance par basculement lors des pannes de réseau si vous avez plusieurs
cartes d'interface réseau (NIC) dans votre initiateur iSCSI et serveur cible iSCSI.

o Nécessite un DSM (Device Specific Module) pour se connecter à un périphérique SAN

non-Microsoft connecté à l'initiateur iSCSI. Le système d'exploitation Windows Server
comprend un DSM MPIO par défaut installé sous forme d'une fonctionnalité MPIO
dans le Gestionnaire de serveur.

o Est largement pris en charge. De nombreux SAN peuvent utiliser le DSM par défaut sans logiciel
supplémentaire tandis que d'autres ont besoin de demander un DSM spécialisé à leur fabricant.
o Est plus complexe à configurer et n'est pas aussi entièrement automatisé pendant le basculement
que MCS.

Démonstration : Implémentation d'iSCSI

Cette démonstration montre comment :

• ajouter le service de rôle de serveur cible iSCSI ;

• créer deux disques virtuels iSCSI et une cible iSCSI ;

• se connecter à la cible iSCSI ;

• vérifier la présence du disque iSCSI.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-11

Procédure de démonstration

Ajouter le service de rôle de serveur cible iSCSI

1. Sur LON-DC1, basculez vers le Gestionnaire de serveur.

2. Utilisez l'Assistant Ajout de rôles et de fonctionnalités pour accéder à Services de fichiers et de

stockage (Installé)\Services de fichiers et iSCSI (Installé), et installer le serveur cible iSCSI.
Acceptez les valeurs par défaut.

Créer deux disques virtuels iSCSI et une cible iSCSI

1. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez dans le volet de navigation sur Services
de fichiers et de stockage, puis sur iSCSI.

2. Dans le volet DISQUES VIRTUELS iSCSI, cliquez sur TÂCHES, puis, dans la zone de liste déroulante
TÂCHES, cliquez sur Nouveau disque virtuel iSCSI.

3. Créez un disque virtuel avec les paramètres suivants :

• Nom : iSCSIDisk1

• Taille de disque : 5 Go
• Cible iSCSI : Nouveau

• Nom de la cible : LON-SVR1

• Serveurs d'accès : [Link]

4. Dans la page Afficher les résultats, attendez que la création soit terminée, puis fermez la page
Afficher les résultats.

5. Dans le volet DISQUES VIRTUELS iSCSI, cliquez sur TÂCHES, puis dans la liste déroulante TÂCHES,
cliquez sur Nouveau disque virtuel iSCSI.

6. Créez un disque virtuel avec les paramètres suivants :

• Nom : iSCSIDisk2
• Taille de disque : 5 Go

• Cible iSCSI : LON-SVR1

7. Dans la page Afficher les résultats, attendez que la création soit terminée, puis fermez la page
Afficher les résultats.

Se connecter à la cible iSCSI

1. Connectez-vous à LON-SVR1 avec le nom d'utilisateur ADATUM\Administrateur et le mot
de passe Pa$$w0rd.

2. Ouvrez le Gestionnaire de serveur et, dans le menu Outils, ouvrez Initiateur iSCSI.

3. Dans la boîte de dialogue Propriétés de : Initiateur iSCSI, définissez les paramètres suivants :

• Connexion rapide : LON-DC1

• Cibles découvertes : [Link]:lon-dc1-lon-dc1-target

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-12 Planification et implémentation du stockage

Vérifier la présence du disque iSCSI

1. Dans le Gestionnaire de serveur, dans le menu Outils, ouvrez Gestion de l'ordinateur.

2. Dans la console Gestion de l'ordinateur, sous le nœud Stockage, accédez à Gestion des disques.
Notez que les nouveaux disques sont ajoutés. Ils sont toutefois tous Hors connexion et non formatés
pour le moment.

3. Fermez la console Gestion de l'ordinateur.

Éléments à prendre en compte pour l'implémentation du stockage iSCSI

En concevant votre solution de stockage iSCSI,
vous devez tenir compte des recommandations
suivantes :

• Déployez la solution iSCSI sur des réseaux

d'au moins 1 Gbit/s.

• Une conception haute disponibilité est en

effet cruciale pour l'infrastructure réseau,
parce que les données sont transférées
des serveurs au stockage iSCSI via
des périphériques et des composants
du réseau. (Les éléments importants
concernant la haute disponibilité ont
été expliqués plus tôt dans ce module).

• Concevez une stratégie de sécurité appropriée pour la solution de stockage iSCSI. (Les éléments
importants et les recommandations concernant la sécurité ont été expliqués plus tôt dans ce module).
• Lisez les recommandations spécifiques des fournisseurs pour les différents types de déploiements
et d'applications qui utiliseront la solution de stockage iSCSI, comme Exchange Server et
Microsoft SQL Server®.

• Le personnel informatique qui concevra, configurera et administrera la solution de stockage iSCSI

devra inclure des administrateurs informatiques dans différents domaines de spécialisation, tels
que des administrateurs de Windows Server 2012, des administrateurs réseau, des administrateurs
de stockage et des administrateurs de sécurité. C'est en effet nécessaire pour que la solution de
stockage iSCSI bénéficie de performances et d'une sécurité optimales et pour que les procédures
de gestion et d'exécution soient homogènes.

• En concevant une solution de stockage iSCSI, l'équipe de conception devrait également inclure
des administrateurs spécifiques à l'application, tels que des administrateurs Exchange Server
et SQL Server, de sorte que vous puissiez implémenter la configuration optimale pour
la technologie ou la solution en question.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-13

Leçon 3
Espaces de stockage dans Windows Server 2012
La gestion du stockage DAS sur un serveur peut s'avérer être une tâche fastidieuse pour les
administrateurs. Pour surmonter ce problème, de nombreuses organisations utilisent des réseaux SAN
qui regroupent des disques physiquement. Toutefois, les SAN nécessitent une configuration spéciale
et parfois du matériel spécial. Ils sont donc chers. Pour surmonter ces problèmes, les espaces de stockage
de Windows Server 2012 sont une fonctionnalité qui rassemble les disques en pools et les présente
au système d'exploitation comme un disque unique. Cette leçon explique comment configurer
et implémenter les espaces de stockage.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire l'utilisation des espaces de stockage ;

• décrire les fonctionnalités des espaces de stockage ;

• expliquer quand utiliser des espaces de stockage ;

• décrire les éléments à prendre en compte pour l'optimisation du stockage

dans Windows Server 2012.

Que sont les espaces de stockage ?

Un espace de stockage est une fonctionnalité
de virtualisation de stockage intégrée à
Windows Server 2012 et Windows 8. Vous
pouvez utiliser les espaces de stockage pour
ajouter des disques physiques de tout type et
de toute taille à un pool de stockage et créer
des disques virtuels hautement disponibles
à partir de ce pool de stockage. L'avantage
principal des espaces de stockage est qu'il n'est
plus nécessaire de gérer des disques uniques.
Vous pouvez les gérer comme une seule unité.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-14 Planification et implémentation du stockage

Pour créer un disque virtuel hautement disponible, vous devez disposer des éléments suivants :

• Lecteur de disque. Il s'agit d'un volume auquel vous pouvez accéder à partir de votre système
d'exploitation, par exemple, à l'aide d'une lettre de lecteur.

• Disque virtuel. Il ressemble à un disque physique pour les utilisateurs et les applications. Toutefois,
les disques virtuels sont plus souples car ils comprennent l'allocation dynamique (ou les allocations
juste-à-temps) et la résilience aux défaillances de disque physique avec une fonctionnalité intégrée,
par exemple la mise en miroir.

• Pool de stockage. Un pool de stockage est une collection d'un ou plusieurs disques physiques que
vous pouvez utiliser pour créer des disques virtuels. Vous pouvez ajouter à un pool de stockage
tout disque physique disponible qui n'est pas formaté ou connecté à un autre pool de stockage.

• Disque physique. Les disques physiques sont des disques physiques connectés, tels que les disques
SAS, qui sont connectés à votre serveur. Pour être ajoutés à un pool de stockage, ils doivent
répondre aux conditions suivantes :

o Un disque physique est requis pour créer un pool de stockage. Au moins deux disques
physiques sont requis pour créer un disque virtuel en miroir résilient.

o Au moins trois disques physiques sont requis pour créer un disque virtuel avec une résilience
par parité.

o La mise en miroir à trois voies requiert au moins cinq disques physiques.

o Les disques doivent être vierges et non formatés. Ils ne doivent contenir aucun volume.

o Les disques peuvent être connectés à l'aide de différentes interfaces de bus, notamment iSCSI,
SAS, SATA (Serial ATA), SCSI et USB. Vous ne pouvez pas utiliser de disques SATA, USB
ou SCSI dans un cluster de basculement.

Un espace de stockage est une fonctionnalité disponible pour les volumes NTFS et ReFS
(Resilient File System) qui peuvent assurer la redondance et fournir un pool de stockage
à différents disques internes et externes de différentes tailles et interfaces.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-15

Fonctionnalités des espaces de stockage

Avant d'implémenter des disques virtuels pour
configurer des espaces de stockage, vous devez
prendre en compte les fonctionnalités décrites
dans le tableau ci-dessous.

Fonctionnalité Description

Disposition Définit le nombre de disques du pool de stockage qui sont alloués.

du stockage Les options valides sont les suivantes :
• Simple. Un espace simple utilise l'agrégation par bandes des données
mais pas la redondance. Dans la répartition des données, les données
logiquement séquentielles sont segmentées sur tous les disques de façon
à permettre aux différents disques de stockage physiques d'accéder à
ces segments séquentiels. La répartition des données permet d'accéder
simultanément à plusieurs segments de données. N'hébergez des
données importantes sur un volume simple, car il ne fournit pas de
fonctionnalités de basculement lorsque le disque sur lequel les données
sont stockées a une défaillance.
• Miroirs bidirectionnels et tridirectionnels. Les espaces en miroir gèrent
deux ou trois copies des données qu'ils hébergent (deux copies de
données pour les miroirs doubles et trois copies de données pour les
miroirs triples). La duplication se produit avec chaque écriture pour
vérifier que toutes les copies de données sont toujours actuelles. Les
espaces en miroir répartissent aussi les données sur différents disques
physiques. Il est préférable d'utiliser les espaces en miroir de par leur
débit de données élevé et leur faible latence d'accès. Ils ne présentent
également aucun risque d'endommagement des données au repos et ne
nécessitent pas de phase de journalisation supplémentaire lors de
l'écriture des données.
• Parité. Un espace à parité ressemble à un espace simple. Les données et
les informations de parité sont réparties sur différents disques physiques.
La parité permet aux espaces de stockage de continuer à servir les
demandes de lecture et d'écriture même si un disque est défectueux.
Elle fait toujours une rotation entre les disques disponibles pour
optimiser les E/S. Un espace de stockage requiert au moins trois disques
physiques pour les espaces à parité. Les espaces à parité ont augmenté
la résilience via la journalisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-16 Planification et implémentation du stockage

(suite)

Fonctionnalité Description

Taille des secteurs La taille de secteur d'un pool de stockage est définie lors de la création
de disque du pool de stockage. Si la liste de disques utilisée ne contient que des
disques 512 et 512e, la valeur par défaut choisie est 512e. Toutefois, si la
liste contient au moins un disque de 4 Ko, la taille de secteur du pool est
définie par défaut sur 4 Ko. Un administrateur peut éventuellement définir
explicitement la taille de secteur dont tous les espaces contenus dans le
pool héritera. Une fois qu'un administrateur a défini la taille de secteur, les
systèmes d'exploitation Windows vous autorisent uniquement à ajouter des
lecteurs qui ont une taille de secteur conforme, c'est-à-dire : 512 ou 512e
pour un pool de stockage 512e, et 512, 512e ou 4 Ko pour un pool de 4 Ko.

Configuration requise Le clustering avec basculement empêche l'interruption des charges de

pour un disque de travail ou des données lorsqu'un ordinateur est défectueux. Pour qu'un pool
cluster prenne en charge le basculement, le clustering de tous les disques attribués
doit prendre en charge un protocole multi-initiateurs, par exemple SAS.

Allocation de lecteurs Les paramètres ci-dessous définissent l'allocation du lecteur au pool.

Les options sont les suivantes :
• Stockage de données. Il s'agit de l'allocation par défaut lorsque
un disque est ajouté à un pool. Les espaces de stockage peuvent
sélectionner automatiquement la capacité disponible sur les disques
des magasins de données, à la fois pour la création d'espace de stockage
et pour l'allocation juste-à-temps.
• Manuel. Les administrateurs peuvent choisir de spécifier le type
d'utilisation manuelle pour les disques ajoutés au pool. Un disque
manuel n'est pas automatiquement utilisé dans le cadre d'un espace
de stockage sauf s'il est sélectionné spécifiquement à la création
de cet espace de stockage. Cette propriété d'utilisation permet aux
administrateurs de spécifier les types de disques spécifiques réservés
à certains espaces de stockage.
• Échange à chaud. Les disques de réserve qui ne sont pas utilisés
pour la création d'un espace de stockage sont parfois appelés
disques d'échange à chaud. Si une défaillance se produit sur
un disque qui héberge des colonnes d'un espace de stockage,
un disque de réserve est invité à remplacer ce disque défectueux.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-17

(suite)

Fonctionnalité Description

Modèles Vous pouvez approvisionner un disque virtuel à l'aide des deux modèles
d'approvisionnement suivants :
• Espace à allocation dynamique. L'allocation dynamique est un
mécanisme qui permet à un stockage d'être alloué facilement sur
la base du juste assez et du juste-à-temps. La capacité de stockage
du pool est organisée en dalles d'approvisionnement qui ne sont pas
allouées tant que la taille des groupes de données ne nécessite pas
de stockage. En remplacement de la méthode d'allocation de stockage
fixe classique dans laquelle de grands pools de capacité de stockage
sont alloués mais peuvent rester inutilisés, l'allocation dynamique
optimise l'utilisation du stockage disponible. Les organisations peuvent
aussi réduire les frais d'exploitation, tels que l'électricité et la surface
occupée liées au maintien du fonctionnement de disques inutilisés.
• Espace à allocation fixe. Dans les espaces de stockage, les espaces
à allocation fixe utilisent également les dalles d'approvisionnement
flexible. La différence est que la capacité de stockage est allouée
au moment de la création de l'espace.

Remarque : Les espaces de stockage permettent de créer des disques virtuels

à approvisionnement dynamique et fixe dans le même pool de stockage. Le fait de
disposer des deux types d'approvisionnement dans le même pool de stockage est pratique,
notamment lorsqu'ils concernent la même charge de travail. Par exemple, vous pouvez
choisir d'avoir un espace à allocation dynamique pour héberger une base de données
et un espace à approvisionnement fixe pour héberger son journal.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-18 Planification et implémentation du stockage

Éléments à prendre en compte pour les espaces de stockage

Les espaces de stockage offrent un certain nombre
d'avantages. En voici quelques-uns :

• Fiabilité. Les espaces de stockage prennent

en charge plusieurs niveaux de résilience
à partir desquels vous pouvez choisir le
moment de la création de votre disque virtuel.
• Flexibilité. Vous pouvez combiner des disques
de différentes tailles pour créer un disque
virtuel unique et, selon vos besoins, vous
pouvez ajouter des disques supplémentaires
pour augmenter l'espace de stockage. Vous
pouvez également implémenter l'allocation
dynamique pour mieux satisfaire vos besoins futurs. Par exemple, si vous pensez que vous aurez
besoin de 5 To de stockage pour une application spécifique, configurez le disque virtuel pour 5 To,
même si la capacité des disques que vous avez actuellement est uniquement de 3 To. Il vous suffira
d'ajouter les disques physiques requis ultérieurement.

Remarque : Une configuration de stockage qui utilise tout l'espace disponible est désignée
sous le nom d'allocation statique.

• Accessibilité financière. Dans la mesure où vous n'avez pas besoin d'acheter des composants
matériels ou logiciels supplémentaires, l'implémentation de la fonctionnalité d'espace de stockage
est relativement peu coûteuse.

Les espaces de stockage peuvent représenter une solution de stockage appropriée pour votre
entreprise dans les circonstances suivantes :

• Vous utilisez tout votre stockage disponible maintenant et prévoyez une croissance ultérieure
de vos besoins de stockage.

• Vous disposez d'un stockage que vous n'utilisez pas actuellement mais que vous pensez utiliser
plus tard.

• Vous souhaitez assurer la résilience de stockage via la mise en miroir ou la parité.

Lors de la planification de l'implémentation des espaces de stockage, tenez compte des limitations
suivantes :

• Vous ne pouvez pas implémenter des espaces de stockage sur des volumes d'amorçage, système
ou partagés de cluster.

• Un pool de stockage doit contenir au moins un lecteur.

• Un pool en miroir doit contenir au moins deux lecteurs, tandis que la mise en miroir triple requiert
cinq lecteurs.

Remarque : La mise en miroir triple fournit l'espace moins utilisable, mais tolère
la défaillance de deux disques au maximum.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-19

• Pour implémenter la tolérance de panne du mode de parité, vous avez besoin au moins
de trois lecteurs.

• Toutes les données sur les lecteurs qui sont ajoutés aux pools de stockage étant perdues, ajoutez
uniquement les lecteurs non formatés et non partitionnés.

Optimisation du stockage dans Windows Server 2012

Windows Server 2012 comprend de nouvelles
options pour l'optimisation du stockage, qui
vous fournissent un moyen efficace pour
déployer, administrer et sécuriser vos solutions
de stockage. Les fonctionnalités d'optimisation
du stockage comprennent ce qui suit :

• Audit de l'accès aux fichiers. Dans

Windows Server 2012, l'auditd'accès aux
fichiers crée un événement d'audit toutes
les fois qu'un utilisateur accède aux fichiers.
Par rapport aux versions précédentes de
Windows Server, ces données d'événement
d'audit contiennent des informations supplémentaires sur les attributs du fichier consulté.

• Fonctionnalités à la demande. Les fonctionnalités à la demande vous permettent d'économiser

de l'espace disque en supprimant des fichiers de rôle et de fonctionnalité du système
d'exploitation. Si vous devez installer ces rôles et fonctionnalités sur le serveur, les fichiers
d'installation seront récupérés depuis des emplacements distants, des supports d'installation
ou le site Web Windows Update. Vous pouvez supprimer des fichiers de fonctionnalité des
ordinateurs physiques et virtuels, des fichiers d'image système Windows (.wim) et des disques
durs virtuels hors connexion (VHD).
• Déduplication des données. La déduplication des données identifie et supprime les doublons
dans les données sans compromettre leur intégrité. La déduplication des données est très évolutive,
rentable en ressources et non intrusive. Elle peut fonctionner simultanément sur de grands volumes
de données primaires, sans affecter d'autres charges sur le serveur. La déduplication des données
a un faible impact sur les charges de travail du serveur en limitant les ressources processeur et
mémoire utilisées. Avec les tâches de déduplication des données, vous pouvez planifier à quel
moment l'exécuter, spécifier les ressources à dédupliquer et régler avec précision la sélection
des fichiers. Lorsqu'elles sont combinées avec la fonctionnalité Windows BranchCache®, les
mêmes techniques d'optimisation sont appliquées aux données transférées via le réseau WAN à
une succursale. Cela accélère les temps de téléchargement des fichiers et réduit la consommation
de bande passante.

• Magasin de données NFS. Le magasin de données NFS est l'implémentation serveur NFS des
systèmes d'exploitation Windows Server 2012. Dans Windows Server 2012, le système de fichiers
réseau prend en charge la haute disponibilité, ce qui signifie que vous pouvez déployer le serveur
dans une configuration de clustering avec basculement. Lorsqu'un client se connecte à un
serveur NFS dans le cluster de basculement et que ce serveur tombe en panne, le serveur NFS bascule
sur un autre nœud du cluster, de sorte que le client peut encore se connecter au serveur NFS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-20 Planification et implémentation du stockage

Atelier pratique : Planification et implémentation

du stockage
Scénario
La plupart des serveurs d'A. Datum Corporation sont configurés uniquement avec le stockage DAS.
À mesure que le projet de migration vers Windows Server 2012 évolue, vous envisagez des solutions
alternatives à la technologie de stockage DAS. Vous devez sélectionner une technologie de stockage
qui aidera à améliorer les performances des applications sollicitant le disque de manière intensive, et
qui assure une gestion du stockage améliorée. Un certain nombre d'applications basées sur SQL Server
dans toute l'organisation A. Datum sont considérées essentielles et il est important que la technologie
de stockage sélectionnée fournisse une tolérance de pannes appropriée pour permettre la haute
disponibilité de ces applications.

Objectifs
• planifier une solution de stockage ;

• implémenter des services de stockage iSCSI ;

• configurer le stockage redondant avec des pools de stockage.

Configuration de l'atelier pratique

Durée approximative : 75 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-SVR1

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :
1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions, cliquez
sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

5. Répétez les étapes 2 à 4 pour 22413B-LON-SVR1.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-21

Exercice 1 : Planification d'une solution de stockage

Scénario
Chez Contoso, Ltd, une application de base de données SQL Server sert de base à une application
de gestion des ventes et des clients qui a été déplacée à partir d'une plateforme UNIX. Vous devez
planifier une solution de stockage appropriée pour prendre en charge cette application.

Documentation supplémentaire
Courrier électronique de Dan Park :

Brad Sutton

De : Dan Park [Dan@[Link]]

Envoyé : 1er novembre 13:12

À: Brad@[Link]

Objet : Stockage d'applications de vente

Brad,

L'ensemble de notre personnel de vente chez A. Datum est maintenant formé sur l'utilisation
de notre application. Initialement, cette application fonctionnait sur UNIX chez Contoso à Paris,
mais a été déplacée sur Windows Server 2012.

On me dit que la plateforme qui prend en charge l'application de vente a été virtualisée et configurée
pour une haute disponibilité. Il est important que le stockage utilisé par cette application ne devienne
pas un point de défaillance. Pouvez-vous vous en occuper et nous présenter votre rapport ?
Merci,

Dan

Stratégie de stockage d'applications de vente

Numéro de référence du document : BS1102/1

Auteur du document Brad Sutton

Date 2 novembre

Présentation des exigences

Pour planifier une stratégie de stockage pour atteindre les objectifs suivants :
• Haute disponibilité. Le stockage ne doit pas devenir un point de défaillance.
• Performances. De nombreux utilisateurs sont connectés à l'application.
• Coût. Le coût de la solution de stockage ne doit pas être trop onéreux.

Informations supplémentaires
• Initialement, cette application fonctionnait sur UNIX chez Contoso à Paris, mais a été déplacée
sur Windows Server 2012.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-22 Planification et implémentation du stockage

(suite)

Stratégie de stockage d'applications de vente

Propositions
1. Comment configurerez-vous le stockage ?

2. Quel est le type de stockage indiqué ?

3. Comment tenterez-vous de vous assurer que le stockage est rendu hautement disponible ?

4. Comment les espaces de stockage peuvent-ils aider à répondre aux besoins ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section de propositions du document Stratégie de stockage
d'applications de vente.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-23

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir planifié le stockage pour l'application de vente.

Exercice 2 : Implémentation du stockage iSCSI

Scénario
A. Datum a décidé d'implémenter le stockage d'ordinateurs virtuels au siège social et dans les deux
centres régionaux à l'aide d'un déploiement de stockage iSCSI. Vous devez configurer les cibles iSCSI
et les initiateurs iSCSI pour prendre en charge ce déploiement.

Les tâches principales de cet exercice sont les suivantes :

1. Installer la cible iSCSI.

2. Configurer des cibles iSCSI.

3. Se connecter aux cibles iSCSI et les configurer.

 Tâche 1 : Installer la cible iSCSI

1. Connectez-vous à LON-DC1 avec le nom d'utilisateur ADATUM\Administrateur et le mot
de passe Pa$$w0rd.

2. Ouvrez le Gestionnaire de serveur.

3. Dans l'Assistant Ajout de rôles et de fonctionnalités, accédez à Services de fichiers et de stockage

(Installé)\Services de fichiers et iSCSI (Installé), et installez le serveur cible iSCSI. Acceptez
les valeurs par défaut.

4. Si vous y êtes invité, redémarrez LON-DC1, puis reconnectez-vous.

 Tâche 2 : Configurer des cibles iSCSI

1. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez dans le volet de navigation sur Services
de fichiers et de stockage, puis sur iSCSI.

2. Créez un disque virtuel avec les paramètres suivants :

• Emplacement de stockage : C:

• Nom du disque : iSCSIDisk1

• Taille : 5 Go

• Cible iSCSI : Nouveau

• Nom de la cible : LON-DC1

• Serveurs d'accès : [Link]

3. Dans la page Afficher les résultats, attendez que la création soit terminée, puis cliquez sur Fermer.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-24 Planification et implémentation du stockage

4. Créez un nouveau disque virtuel iSCSI avec les paramètres suivants :

• Emplacement de stockage : C:

• Nom du disque : iSCSIDisk2

• Taille : 5 Go

• Cible iSCSI : lon-dc1

 Tâche 3 : Se connecter aux cibles iSCSI et les configurer

1. Connectez-vous à LON-SVR1 avec le nom d'utilisateur ADATUM\Administrateur
et le mot de passe Pa$$w0rd.

2. Ouvrez le Gestionnaire de serveur et, dans le menu Outils, ouvrez Initiateur iSCSI.

3. Dans la boîte de dialogue Propriétés de : Initiateur iSCSI, définissez les paramètres suivants :

• Connexion rapide : LON-DC1

• Cibles découvertes : [Link]:lon-dc1-lon-dc1-target

4. Dans le Gestionnaire de serveur, dans le menu Outils, ouvrez Gestion de l'ordinateur.

5. Dans la console Gestion de l'ordinateur, sous le nœud Stockage, accédez à Gestion des disques.
Notez que les nouveaux disques sont ajoutés. Ils sont toutefois tous Hors connexion et non
formatés pour le moment.

6. Fermez la console Gestion de l'ordinateur.

Résultats : À la fin de cet exercice, vous devez avoir correctement implémenté un réseau de zone
de stockage iSCSI.

Exercice 3 : Configuration d'un espace de stockage redondant

Scénario
Une fois que vous avez configuré les composants iSCSI, vous voulez utiliser les pools de stockage
pour simplifier la configuration du stockage sur les serveurs Windows Server 2012. Pour répondre
aux besoins de haute disponibilité, vous décidez d'évaluer les fonctionnalités de redondance dans
les espaces de stockage.

Les tâches principales de cet exercice sont les suivantes :

1. Créer un pool de stockage à l'aide des disques iSCSI connectés au serveur.

2. Créer un disque en miroir.

3. Copier un fichier dans le volume et vérifier sa visibilité dans l'Explorateur de fichiers.

4. Déconnecter un disque iSCSI et vérifier que le fichier est toujours accessible.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-25

 Tâche 1 : Créer un pool de stockage à l'aide des disques iSCSI connectés au serveur
1. Sur LON-SVR1, basculez vers le Gestionnaire de serveur.

2. Dans le volet de navigation, cliquez sur Services de fichiers et de stockage, puis dans le volet
Serveurs, cliquez sur Pools de stockage.

3. Créez un pool de stockage avec les paramètres suivants :

• Nom : StoragePool1
• Sélectionnez les deux disques physiques pour ce pool de stockage

4. Dans la page Afficher les résultats, attendez que la création soit terminée, puis cliquez sur Fermer.

 Tâche 2 : Créer un disque en miroir

1. Sur LON-SVR1, dans le Gestionnaire de serveur, dans le volet DISQUES VIRTUELS, créez un disque
virtuel avec les paramètres suivants :

• Pool de stockage : StoragePool1

• Nom : vDisk en mirror

• Disposition du stockage : Mirror

• Type d'approvisionnement : Fin

• Taille du disque virtuel : 8 Go

2. Dans la page Afficher les résultats, attendez que la création soit terminée, vérifiez que
Créer un volume lorsque l'Assistant se ferme est sélectionné, puis cliquez sur Fermer.

3. Dans l'Assistant Nouveau volume, créez un volume avec les paramètres suivants :

• DISQUES VIRTUELS : vDisk en mirror

• Lettre du lecteur : F

• Système de fichiers : ReFS

• Nom de volume : Volume en mirror

4. Dans la page Dernière étape, attendez que la création soit terminée, puis cliquez sur Fermer.

 Tâche 3 : Copier un fichier dans le volume et vérifier sa visibilité dans l'Explorateur

de fichiers
1. Dans l'écran d'accueil, tapez Invite de commandes, puis appuyez sur Entrée.

2. Tapez la commande suivante, puis appuyez sur Entrée :

Copy C:\windows\system32\[Link] F:\

3. Ouvrez l'Explorateur de fichiers et accédez à Volume en mirror (F:). Vous devez maintenant
voir [Link] dans la liste des fichiers.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
9-26 Planification et implémentation du stockage

 Tâche 4 : Déconnecter un disque iSCSI et vérifier que le fichier est toujours accessible
1. Basculez vers LON-DC1.

2. Dans le volet DISQUES VIRTUELS iSCSI, dans la liste LON-DC1, désactivez le disque virtuel iSCSI
nommé [Link].

3. Basculez vers LON-SVR1.

4. Ouvrez l'Explorateur de fichiers, ouvrez F:\[Link] et vérifiez que l'accès au volume est encore
disponible.

5. Dans le Gestionnaire de serveur, dans le volet POOLS DE STOCKAGE, dans la barre de menus,
cliquez sur le bouton Actualiser « Pools de stockage ». Notez l'avertissement qui s'affiche
en regard de vDisk en mirror.

6. Dans le volet DISQUES VIRTUELS, cliquez avec le bouton droit sur vDisk en mirror, puis dans la liste
déroulante, cliquez sur Propriétés.

7. Dans la fenêtre Propriétés de vDisk en mirror, dans le volet Intégrité, notez que l'état d'intégrité
affiche un avertissement. État opérationnel doit indiquer Détérioré.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-SVR1,
puis cliquez sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-DC1.

Résultats : À la fin de cet exercice, vous aurez créé un pool de stockage.

Question : Pour quelle approche avez-vous opté pour l'exercice de planification

du stockage ?

Question : Comment votre organisation implémente-t-elle le stockage ?

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 9-27

Contrôle des acquis et éléments à retenir

Question(s) de contrôle des acquis
Question : Tailspin Toys doit décider comment implémenter divers aspects de son
infrastructure de stockage. La société devra stocker les fichiers partagés dans un
emplacement central, mais ils ne souhaitent pas implémenter un serveur de fichiers
complet pour le moment. Quel type de stockage recommanderiez-vous ?

Question : Tailspin Toys envisage d'implémenter plusieurs serveurs de base de données

et souhaite fournir de l'espace disque pour les bases de données. La société préfèrerait
créer une baie de disques unique et gérée de manière centralisée pour toutes les bases
de données. Quel type de stockage recommanderiez-vous ?
Question : Quels sont les principaux avantages d'une solution de stockage SAN par rapport
à une solution de stockage DAS ?
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-1

Module 10
Planification et implémentation des services de fichiers
Table des matières :
Vue d'ensemble du module 10-1

Leçon 1 : Planification et implémentation du système de fichiers DFS 10-2

Leçon 2 : Planification et implémentation de BranchCache 10-8

Leçon 3 : Planification et implémentation du contrôle d'accès dynamique 10-13

Atelier pratique : Conception et implémentation des services de fichiers 10-24

Contrôle des acquis et éléments à retenir 10-36

Vue d'ensemble du module

Les grandes organisations ont souvent des réseaux de serveurs et d'utilisateurs dispersés
géographiquement. Les réseaux distribués génèrent souvent plusieurs sites de données. La
gestion de plusieurs sites de données introduit généralement des difficultés supplémentaires,
telles que la limitation du trafic réseau sur des connexions de réseau étendu (WAN) plus lentes,
la vérification de la disponibilité des fichiers pendant des pannes de serveur ou de réseau étendu
et la sauvegarde des serveurs de fichiers qui se trouvent dans des succursales plus petites.
L'utilisation de Windows® BranchCache® peut vous aider à optimiser l'accès aux données
sur des liaisons WAN plus lentes.

Les organisations disposant de nombreux utilisateurs et groupes de sécurité ont souvent du mal
à sécuriser les fichiers et les dossiers de façon efficace et flexible. Le contrôle d'accès dynamique
peut vous aider à optimiser le contrôle de l'accès aux fichiers et dossiers de données, et le système
de fichiers DFS peut aider ces utilisateurs à rechercher les fichiers les plus récents aussi rapidement
que possible.

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• planifier et implémenter le système de fichiers DFS ;

• planifier et implémenter BranchCache ;

• planifier et implémenter le contrôle d'accès dynamique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-2 Planification et implémentation des services de fichiers

Leçon 1
Planification et implémentation du système
de fichiers DFS
Dans Windows Server® 2012, le système de fichiers DFS vous permet de créer une ou plusieurs hiérarchies
de dossiers partagés sur votre réseau et de répliquer le contenu de ces dossiers entre des serveurs selon
vos besoins. Ces hiérarchies sont appelées espaces de noms DFS. Vous pouvez également créer plusieurs
instances du contenu de ces dossiers et le synchroniser. Cette opération est appelée réplication DFS.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• expliquer comment planifier un espace de noms DFS ;

• expliquer comment planifier la réplication DFS ;

• expliquer comment sélectionner une configuration de stockage DFS ;

• expliquer comment déployer le système de fichiers DFS.

Éléments à prendre en compte pour la planification d'un espace

de noms DFS
Les espaces de noms DFS vous permettent
de grouper les dossiers partagés se trouvant
sur différents serveurs dans une ou plusieurs
collections logiquement structurées. Chaque
espace de noms apparaît aux utilisateurs
comme un dossier partagé unique avec
plusieurs sous-dossiers. Les sous-dossiers
indiquent des dossiers partagés situés sur
plusieurs serveurs pouvant se trouver dans
différents sites géographiques de votre
organisation.

Espace de noms autonome

Un espace de noms autonome est un espace de noms DFS que vous créez sur un serveur unique.
Le serveur d'espaces de noms DFS ne doit pas être membre du domaine. Un serveur d'espaces
de noms DFS autonomes requiert seulement le rôle Services de fichiers et de stockage. Les espaces de
noms DFS autonomes ne tolèrent pas les pannes, mais peuvent être installés en tant que ressource
de cluster sur un cluster de serveurs Windows Server 2012.

Utilisez un espace de noms autonome dans les cas suivants :

• Votre organisation n'a pas implémenté les services de domaine Active Directory® (AD DS).

• Votre organisation ne répond pas à la configuration requise pour un espace de noms basé sur
un domaine en mode Windows Server 2008, et vos besoins concernent plus de 5 000 dossiers DFS.
Les espaces de noms DFS autonomes prennent en charge jusqu'à 50 000 dossiers avec des cibles.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-3

Espace de noms basé sur un domaine

Un espace de noms basé sur un domaine est un espace de noms DFS que vous créez sur un serveur
membre du domaine. Il utilise le nom de domaine du chemin d'accès DFS. Vous pouvez installer
plusieurs serveurs d'espaces de noms pour héberger le même espace de noms DFS de domaine.

Utilisez un espace de noms basé sur un domaine dans les cas suivants :

• La haute disponibilité de l'espace de noms est requise.

• Vous devez masquer le nom des serveurs d'espaces de noms aux utilisateurs. Cela
simplifie également le remplacement d'un serveur d'espace de noms ou la migration
de l'espace de noms vers un autre serveur. Les utilisateurs utilisent ensuite le format
\\nom_domaine\espace_de_noms à la place du format \\nom_serveur\espace_de_noms.

Comme avec les serveurs autonomes, les serveurs d'espaces de noms DFS basés sur un domaine
requièrent le rôle Services de fichiers et de stockage. Cependant, ils fournissent d'autres fonctionnalités
si le domaine est en mode Windows Server 2008, notamment les suivantes :

• prise en charge de plus de 5 000 dossiers avec des cibles (la limite de 5 000 dossiers s'applique
aux domaines d'un niveau fonctionnel inférieur) ;

• prise en charge de l'énumération basée sur l'accès des dossiers dans la hiérarchie DFS.

Remarque : L'énumération basée sur l'accès permet aux utilisateurs de voir uniquement
les fichiers et les dossiers auxquels ils ont accès, en parcourant le contenu sur le serveur de
fichiers. Cela évite aux utilisateurs qui se connectent à un serveur de fichiers de se trouver
face à un grand nombre de fichiers et de dossiers auxquels ils ne peuvent pas accéder.

Pour utiliser le mode Windows Server 2008, les exigences suivantes doivent être respectées :

• Le domaine doit être au moins au niveau fonctionnel du domaine Windows Server 2008.

• Tous les serveurs d'espaces de noms doivent exécuter les systèmes d'exploitation
Windows Server 2008 ou Windows Server 2012.

Remarque : Le tableau de la diapositive résume les caractéristiques de chaque type

d'espace de noms.

Augmentation de la disponibilité d'un espace de noms

Vous pouvez augmenter la disponibilité d'un espace de noms de domaine en spécifiant des serveurs
d'espaces de noms supplémentaires afin de l'héberger. Vous pouvez ajouter des serveurs d'espaces
de noms supplémentaires à un espace de noms DFS existant en utilisant la console Gestion du système
de fichiers distribués DFS.

Les espaces de noms DFS autonomes existent uniquement sur un serveur d'espaces de noms unique.
Cependant, vous pouvez augmenter la disponibilité d'un espace de noms autonome en le créant
en tant que ressource dans un cluster de serveurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-4 Planification et implémentation des services de fichiers

Dossiers
Les dossiers constituent les éléments d'espace de noms principaux. Ils apparaissent après la racine
d'espace de noms (sous la forme \\serveur\nom_racine ou \\domaine\nom_racine) et aident à créer
la hiérarchie d'espace de noms. Les dossiers sont utilisés dans un espace de noms pour organiser des
partages de fichier et leur contenu, de la même manière que des dossiers sur un disque dur sont utilisés
pour organiser des fichiers. Lorsque vous créez un dossier à l'aide de la console Gestion du système de
fichiers distribués DFS, vous tapez un nom pour le dossier et spécifiez s'il faut ajouter des cibles de dossier.

Cibles de dossier
Une cible de dossier est un chemin d'accès UNC à l'un des emplacements suivants :

• Un dossier partagé. Par exemple, \\serveur\partage.

• Un dossier dans un dossier partagé. Par exemple, \\serveur\partage\dossier.

• Un chemin d'accès à un autre espace de noms. Par exemple, \\nom_domaine\nom_racine.

Augmentation de la disponibilité d'un dossier

Vous pouvez augmenter la disponibilité de chaque dossier dans un espace de noms en ajoutant plusieurs
cibles de dossier. Lorsqu'une cible de dossier n'est pas disponible, le serveur d'espaces de noms dirige les
utilisateurs vers une autre cible de dossier, et ces derniers ne reçoivent pas d'erreur ou d'avertissement. Si
un serveur qui héberge une cible de dossier devient de nouveau disponible, la restauration automatique
se produit et l'ordinateur client accède à la copie la plus proche de la cible de dossier. Vous devez
également configurer la réplication parmi les cibles de dossier pour synchroniser le contenu.

Éléments à prendre en compte pour la planification de la réplication DFS

La réplication DFS est un moteur de réplication
multimaître qui synchronise des fichiers entre
des serveurs pour des connexions à des réseaux
locaux et étendus. Vous pouvez utiliser la
réplication DFS conjointement avec les espaces
de noms DFS ou comme un mécanisme de
réplication de fichier autonome. Vous pouvez
augmenter la disponibilité des données dans
votre organisation en conservant deux copies
ou plus des fichiers sur des serveurs différents et
en configurant les partages en tant que cibles de
dossier pour le même dossier DFS dans un espace
de noms. Pour veiller à ce que les fichiers soient les mêmes aux deux emplacements, vous pouvez
configurer la réplication DFS pour synchroniser le contenu. La réplication DFS succède au service
de réplication de fichiers (FRS, File Replication Service), introduit dans le système d'exploitation
Windows 2000 Server.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-5

Fonctionnement de la réplication DFS

La réplication DFS est basée sur les états et prend en charge la planification des réplications
et le contrôle de la bande passante. Elle utilise la compression différentielle à distance (RDC,
Remote Differential Compression) pour synchroniser des fichiers et leur contenu entre des ordinateurs.
La compression différentielle à distance est une technologie de compression avancée qui optimise
les transferts de données sur les réseaux dont la bande passante est limitée. Au lieu de transférer des
données similaires ou redondantes à plusieurs reprises, la compression différentielle à distance identifie
précisément les différences des fichiers uniquement et les transmet, ce qui permet d'économiser
la bande passante. Cela réduit efficacement la taille des données envoyées et les besoins globaux
en bande passante pour le transfert.

Planification de l'utilisation de la réplication DFS

Lorsque vous planifiez la réplication DFS, il est important de prendre en compte les éléments suivants :

• La réplication DFS utilise la compression différentielle à distance. La compression différentielle

à distance est un protocole client-serveur qui met à jour des fichiers de manière plus efficace à
travers un réseau à bande passante limitée. Elle détecte les insertions, suppressions et réorganisations
de données dans des fichiers, ce qui permet à la réplication DFS de répliquer uniquement les blocs
de fichier modifiés lorsque les fichiers sont mis à jour.

• La réplication DFS détecte des modifications sur le volume en surveillant le journal du nombre de
séquences de mise à jour, puis réplique les modifications uniquement après la fermeture du fichier.

• La réplication DFS utilise un dossier intermédiaire pour effectuer une copie intermédiaire d'un fichier
avant de l'envoyer ou de le recevoir. Les dossiers intermédiaires agissent comme des caches pour
les fichiers nouveaux et modifiés à répliquer depuis des membres d'envoi vers des membres
de réception.

Remarque : Chaque dossier répliqué possède son propre dossier intermédiaire,

qui, par défaut, se trouve sous le chemin d'accès local du dossier répliqué dans le
dossier DFS ReplicationPrivate\Staging.

• La réplication DFS utilise une version du protocole d'échange vectoriel pour déterminer les fichiers
qui doivent être synchronisés. Le protocole envoie moins d'1 kilo-octet (Ko) par fichier à travers le
réseau pour synchroniser les métadonnées associées aux fichiers modifiés sur les membres d'envoi
et de réception.

• Lorsqu'un fichier est modifié, seuls les blocs modifiés sont répliqués, pas la totalité du fichier. Le
protocole de compression différentielle à distance détermine les blocs de fichier modifiés. À l'aide de
paramètres par défaut, la compression différentielle à distance fonctionne pour tout type de fichier
dont la taille est supérieure à 64 Ko, en transférant uniquement une partie du fichier sur le réseau.

• La réplication DFS utilise un heuristique de résolution de conflit « le dernier auteur l'emporte »

pour les fichiers en conflit (autrement dit, un fichier mis à jour simultanément sur plusieurs serveurs)
et « le premier créateur l'emporte » pour les conflits de nom.

Remarque : Les fichiers et les dossiers qui perdent la résolution de conflit sont déplacés
vers un dossier appelé dossier des fichiers en conflit et supprimés. Vous pouvez également
configurer le service de manière à déplacer des fichiers ou des dossiers supprimés vers le
dossier des fichiers en conflit et supprimés, en vue d'une récupération. Chaque dossier répliqué
possède son propre dossier des fichiers en conflit et supprimés, qui se trouve sous le chemin
d'accès local du dossier répliqué dans le dossier DFS ReplicationPrivate\ConflictandDeleted.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-6 Planification et implémentation des services de fichiers

• La réplication DFS s'auto-adapte et peut récupérer automatiquement des dépassements de taille

de journal USN, d'une perte du journal USN ou de la perte de la base de données de réplication DFS.

• La réplication DFS utilise un fournisseur Windows Management Instrumentation (WMI) qui fournit des
interfaces pour obtenir des informations sur la configuration et l'analyse du service de réplication DFS.

Scénarios de stockage des données DFS

Plusieurs scénarios clés peuvent bénéficier des
espaces de noms DFS et de la réplication DFS.

Partage de fichiers entre succursales

Les grandes organisations doivent souvent
partager des fichiers ou collaborer entre de
nombreuses succursales. La réplication DFS
peut aider à répliquer des fichiers entre des
succursales, ou d'une succursale vers un site
concentrateur. Avoir des fichiers dans plusieurs
succursales arrange également les utilisateurs
qui se déplacent d'une succursale à une autre.
Les modifications que les utilisateurs apportent
à leurs fichiers dans une succursale sont répliquées à leur succursale.

Remarque : Ce scénario est recommandé uniquement si les utilisateurs peuvent tolérer

des incohérences de fichier, car les modifications sont répliquées sur l'ensemble des serveurs
de succursale. Notez également que la réplication DFS réplique un fichier uniquement après
sa fermeture. Par conséquent, elle n'est pas recommandée pour répliquer des fichiers
de base de données ou tout fichier maintenu ouvert pendant de longues périodes.

Collecte de données
Les technologies DFS peuvent collecter des fichiers d'une succursale et les répliquer sur un site
concentrateur, ce qui permet une utilisation des fichiers à différentes fins. Des données essentielles
peuvent être répliquées sur un site concentrateur à l'aide de la réplication DFS, puis sauvegardées
sur le site concentrateur à l'aide de procédures de sauvegarde standard. Cela augmente la faculté de
récupération des données de la succursale en cas d'échec d'un serveur. De plus, les sociétés réduisent
les coûts relatifs à leurs succursales, le matériel de sauvegarde et le savoir-faire du personnel informatique
n'étant plus nécessaires sur site. Les données répliquées peuvent également être utilisées pour que des
partages de fichiers de succursale tolèrent les pannes. Si le serveur de la succursale échoue, les clients
dans la succursale peuvent accéder aux données répliquées sur le site concentrateur.

Distribution de données
Vous pouvez utiliser les espaces de noms DFS et la réplication DFS pour publier et répliquer
des documents, des logiciels et d'autres données métier à travers votre organisation. Les espaces
de noms DFS et les cibles de dossier peuvent accroître la disponibilité des données et répartir
la charge du client entre plusieurs serveurs de fichiers.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-7

Démonstration : Déploiement et configuration du système de fichiers DFS

Cette démonstration vous explique également comment :

• installer le rôle DFS ;

• créer un espace de noms ;

• créer un dossier et une cible de dossier ;

• créer une cible de dossier pour la réplication ;

• créer un groupe de réplication.

Procédure de démonstration

Installer le rôle DFS

• Sur LON-SVR1, dans le Gestionnaire de serveur, sous le rôle Services de fichiers et de stockage
(Installé), installez les services de rôle Espaces de noms DFS et Réplication DFS.

Créer un espace de noms

1. Ouvrez la console Gestion du système de fichiers distribués DFS.
2. Sur LON-SVR1, créez un espace de noms basé sur un domaine nommé Research.

Créer un dossier et une cible de dossier

1. Sur LON-SVR1, créez un dossier nommé Proposals dans l'espace de noms \\[Link]\Research.
2. Créez une cible de dossier pour le dossier Proposals qui pointe vers \\LON-SVR1\Proposal_docs.

3. Vérifiez la fonctionnalité de l'espace de noms en accédant à \\[Link]\Research et en vous

assurant que le dossier Proposals s'affiche.

Créer une cible de dossier pour la réplication

1. Installez les rôles serveur Espaces de noms DFS et Réplication DFS sur LON-DC1.

2. Sur LON-SVR1, créez une cible de dossier pour \\LON-DC1\Proposal_docs.

Créer un groupe de réplication

1. Ajoutez le dossier au groupe de réplication pour LON-SVR1 et LON-DC1.

2. Déclarez LON-SVR1 en tant que membre principal et créez une topologie de réplication
de maille pleine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-8 Planification et implémentation des services de fichiers

Leçon 2
Planification et implémentation de BranchCache
Les succursales doivent relever des défis de gestion uniques. La connectivité des succursales au
réseau d'entreprise est généralement lente et leur infrastructure est limitée pour sécuriser les serveurs.
Par ailleurs, les succursales doivent sauvegarder les données qu'elles gèrent dans leurs succursales
distantes, ce qui explique pourquoi les organisations préfèrent centraliser les données lorsque c'est
possible. La difficulté consiste donc à pouvoir fournir un accès efficace aux ressources réseau pour
les utilisateurs des succursales. La fonctionnalité BranchCache vous aide à résoudre ces problèmes
en mettant les fichiers en cache pour qu'ils n'aient pas à être sans cesse transférés sur le réseau.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les fonctionnalités de BranchCache ;

• planifier et sélectionner un mode BranchCache ;

• préparer l'implémentation de BranchCache ;

• implémenter BranchCache ;

• sélectionner une technologie de services de fichiers appropriée pour les succursales.

Qu'est-ce que BranchCache ?

BranchCache est une fonctionnalité du système
d'exploitation Windows qui réduit l'utilisation
du réseau sur les connexions WAN entre les
succursales et le siège en mettant localement
en cache les fichiers fréquemment utilisés
sur les ordinateurs d'une succursale.
BranchCache améliore la performance des
applications qui utilisent l'un des protocoles
suivants :

• HTTP ou HTTPS. Ces protocoles

sont utilisés par les navigateurs Web
et d'autres applications.

• Protocole SMB (Server Message Block), y compris le protocole de trafic SMB signé. Ce protocole
est utilisé pour accéder à des dossiers partagés.

• Service de transfert intelligent en arrière-plan (BITS). Ce composant Windows distribue le contenu

d'un serveur aux clients en utilisant seulement la bande passante réseau inactive. Le service BITS
est également un composant utilisé par Microsoft® System Center Configuration Manager.

Lorsque le client demande des données, BranchCache les récupère depuis un serveur. Étant donné
que BranchCache offre une fonctionnalité de cache passif, celui-ci n'augmente pas l'utilisation du
réseau WAN. BranchCache met seulement en cache les requêtes de lecture et n'interfère pas avec
un utilisateur qui enregistre un fichier.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-9

BranchCache améliore la réactivité des applications réseau communes qui accèdent à des serveurs
intranet à travers des liaisons WAN lentes. BranchCache ne requiert pas d'infrastructure supplémentaire.
Par conséquent, vous pouvez améliorer la performance des réseaux distants en déployant Windows 7
ou Windows 8 sur les ordinateurs clients et en déployant Windows Server 2008 R2 et
Windows Server 2012 sur les serveurs, puis en activant la fonctionnalité BranchCache.
BranchCache fonctionne parfaitement avec les technologies de sécurité du réseau, y compris
la technologie SSL (Secure Sockets Layer), la signature SMB et IPsec (Internet Protocol Security).
Vous pouvez utiliser BranchCache pour réduire l'utilisation de la bande passante réseau et améliorer
la performance des applications, même si le contenu est chiffré.

Améliorations de BranchCache
La fonctionnalité BranchCache de Windows Server 2012 a été améliorée de plusieurs façons :

• À des fins d'évolutivité, BranchCache prend en charge plusieurs serveurs de cache hébergés
par emplacement.

• Une nouvelle base de données sous-jacente utilise la technologie de base de données ESE
(Extensible Storage Engine) de Microsoft Exchange Server. Cela permet à un serveur de cache
hébergé d'enregistrer considérablement plus de données (jusqu'à même plusieurs téraoctets).

• Un déploiement plus simple signifie que vous n'avez pas besoin d'un objet de stratégie de groupe
(GPO) pour chaque emplacement. Pour déployer BranchCache, vous avez besoin d'un seul objet
GPO contenant les paramètres. Cela permet également aux ordinateurs clients qui passent d'un
emplacement à un autre de basculer entre le mode de cache hébergé et le mode distribué sans
utiliser d'objets GPO spécifiques au site.

Sélection d'un mode BranchCache

Vous pouvez configurer BranchCache
pour utiliser le mode de cache hébergé
ou le mode de cache distribué.

Mode de cache hébergé

Le mode de cache hébergé fonctionne
en déployant un ordinateur qui exécute
Windows Server 2008 R2 ou Windows Server 2012
en tant que serveur de cache hébergé dans
la succursale. Les ordinateurs clients localisent
l'ordinateur hôte afin de pouvoir récupérer
le contenu du cache hébergé lorsque le cache
hébergé est disponible. Si le contenu n'est pas
disponible dans le cache hébergé, il est récupéré sur le serveur de contenu au moyen d'une liaison WAN,
puis transféré dans le cache hébergé pour que les demandes suivantes des clients puissent l'y récupérer.

En mode de cache hébergé, vous configurez les ordinateurs clients avec le nom de domaine
complet (FQDN) du serveur hôte afin de pouvoir récupérer le contenu du serveur de cache hébergé.
Par conséquent, le serveur hôte BranchCache doit avoir un certificat numérique, qui sert à chiffrer
la communication avec les ordinateurs clients.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-10 Planification et implémentation des services de fichiers

En mode de cache hébergé, les serveurs de contenu via la liaison WAN doivent exécuter
Windows Server 2008 R2 ou Windows Server 2012. Le serveur de cache hébergé de la succursale
doit exécuter Windows Server 2008 R2 ou Windows Server 2012, et l'ordinateur client de la succursale
doit exécuter Windows 7 ou Windows 8. Vous devez configurer un pare-feu pour activer le trafic HTTP
entrant du serveur de cache hébergé.
Sélectionnez le mode de cache hébergé lorsque votre succursale a un grand nombre d'utilisateurs.
Le serveur utilisé pour héberger le cache aide à réduire la charge de travail sur les ordinateurs clients.

Mode de cache distribué

Pour de plus petits bureaux distants, vous pouvez configurer BranchCache en mode de cache distribué
sans avoir besoin d'un serveur. Dans ce mode, les ordinateurs clients locaux conservent une copie
du contenu et le rendent disponible à d'autres clients autorisés qui demandent les mêmes données.
Cela évite d'avoir un serveur dans la succursale. Cependant, à la différence du mode de cache hébergé,
le mode de cache distribué fonctionne uniquement par sous-réseau. En outre, les ordinateurs clients
qui hibernent ou sont déconnectés du réseau ne peuvent pas fournir le contenu à d'autres ordinateurs
clients. Par conséquent, le mode de cache distribué convient mieux aux petites succursales qui ont
peu d'utilisateurs.

En mode de cache distribué, BranchCache fonctionne uniquement sur un sous-réseau unique. Si vous
configurez vos ordinateurs clients pour utiliser le mode de cache distribué, ceux-ci utilisent un protocole
de multidiffusion appelé WS-Discovery pour rechercher localement l'ordinateur qui a déjà téléchargé
et mis en cache le contenu.
En mode de cache distribué, les serveurs de contenu via la liaison WAN doivent exécuter
Windows Server 2008 R2 ou Windows Server 2012 et les clients de la succursale doivent exécuter
Windows 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012. Vous devez configurer
le pare-feu client pour activer le trafic entrant, le protocole HTTP et le protocole WS-Discovery.

Remarque : Si vous utilisez BranchCache, vous pouvez utiliser les deux modes dans votre
organisation, mais ne pouvez configurer qu'un seul mode par succursale.

Préparation à l'implémentation de BranchCache

Vous pouvez utiliser BranchCache pour ne mettre
en cache que le contenu stocké sur les serveurs
de fichiers ou les serveurs Web qui exécutent
Windows Server 2008 R2 ou Windows Server 2012.

Configuration requise pour l'utilisation

de BranchCache
Pour utiliser BranchCache pour des services de
fichiers, vous devez effectuer les tâches suivantes :

• Installez la fonctionnalité BranchCache ou

le service BranchCache pour le rôle Fichiers
réseau sur le serveur hôte qui exécute
Windows Server 2012.

• Configurez les ordinateurs clients en utilisant une stratégie de groupe ou la commande

netsh branchcache set service.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-11

Si vous souhaitez utiliser BranchCache pour mettre en cache le contenu du serveur de fichiers,
vous devez effectuer les tâches suivantes :

1. Installez BranchCache pour le service de rôle Fichiers réseau sur le serveur de fichiers.

2. Configurez la publication de hachages pour BranchCache.

3. Créez des partages de fichiers optimisés par BranchCache.

Si vous souhaitez utiliser BranchCache pour mettre en cache un contenu du serveur Web, vous
devez installer la fonctionnalité BranchCache sur le serveur Web. Vous n'avez pas besoin de
configurations supplémentaires.
BranchCache est pris en charge sur l'installation complète et l'installation minimale de
Windows Server 2012. Par défaut, BranchCache n'est pas installé sur Windows Server 2012.

Configuration requise pour le mode de cache distribué et le mode de cache hébergé

En mode de cache distribué, BranchCache fonctionne uniquement sur un sous-réseau unique. Si les
ordinateurs clients sont configurés pour utiliser le mode de cache distribué, tout ordinateur client peut
utiliser un protocole multidiffusion appelé WS-Discovery pour rechercher localement l'ordinateur qui
a déjà téléchargé et mis en cache le contenu. Vous devez configurer le pare-feu client pour activer
le trafic entrant, le protocole HTTP et le protocole WS-Discovery.

Les ordinateurs clients rechercheront toutefois un serveur de cache hébergé et, s'ils en découvrent un,
ils se configureront eux-mêmes automatiquement comme clients du mode de cache hébergé. Dans le
mode de cache hébergé, les ordinateurs clients se configurent automatiquement comme clients du mode
de cache hébergé et rechercheront le serveur hôte pour pouvoir récupérer le contenu du cache hébergé.
Vous pouvez par ailleurs sélectionner une stratégie de groupe pour pouvoir utiliser le nom de domaine
complet des serveurs de cache hébergé, ou activer la découverte de cache hébergé automatique par
points de connexion de service (SCP). Vous devez configurer un pare-feu pour activer le trafic HTTP
entrant du serveur de cache hébergé.

Dans les deux modes de cache, BranchCache utilise le protocole HTTP pour le transfert de données
entre les ordinateurs clients et l'ordinateur qui héberge les données en mémoire cache.

Démonstration : Implémentation de la fonctionnalité BranchCache

Cette démonstration montre comment :

• ajouter BranchCache pour le service de rôle Fichiers réseau ;

• configurer BranchCache dans l'Éditeur de stratégie de groupe locale ;

• activer BranchCache pour un partage de fichiers.

Procédure de démonstration

Ajouter BranchCache pour le service de rôle Fichiers réseau

1. Connectez-vous à LON-DC1 et ouvrez le Gestionnaire de serveur.

2. Ouvrez l'Assistant Ajout de rôles et de fonctionnalités et installez les rôles et fonctionnalités suivants
sur le serveur local :

• Services de fichiers et de stockage (Installé)\Services de fichiers et iSCSI

(Installé)\BranchCache pour fichiers réseau
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-12 Planification et implémentation des services de fichiers

Configurer BranchCache dans l'Éditeur de stratégie de groupe locale

1. Configurer BranchCache dans l'Éditeur de stratégie de groupe locale Sur l'écran d'accueil,
tapez [Link], puis appuyez sur Entrée.

2. Accédez à Configuration ordinateur\Modèles d'administration : définitions de stratégies

(fichiers ADMX) récupérées à partir de l'ordinateur local\Réseau\Serveur Lanman,
puis procédez comme suit :

• Activez Publication de hachages pour BranchCache

• Sélectionnez Autoriser la publication de hachages uniquement pour les dossiers partagés

dans lesquels BranchCache est activé

Activer BranchCache pour un partage de fichiers

1. Ouvrez l'Explorateur de fichiers et, sur le lecteur C, créez un dossier nommé Partage\.

2. Configurez les propriétés du dossier Partage comme suit :

• Activez Partager ce dossier

• Cochez Activer BranchCache dans Paramètres hors connexion

Discussion : Réplication DFS ou BranchCache ?

La réplication DFS et la fonctionnalité
BranchCache peuvent aider à répondre aux
besoins des utilisateurs dans les succursales,
mais elles fonctionnent d'une manière différente :
la réplication DFS réplique des fichiers, tandis que
BranchCache fournit un cache de fichiers local.

Il existe également des différences dans

la configuration requise des deux services.
Par exemple, BranchCache ne requiert pas
de serveur local, contrairement à la réplication
DFS. En gardant ces informations et d'autres
caractéristiques à l'esprit, considérez les questions
suivantes et, dans le cadre d'une discussion en classe, déterminez la solution appropriée en justifiant
votre choix.

Question : Vous devez fournir un mécanisme pour permettre aux utilisateurs dans les
succursales de votre organisation d'avoir un accès plus rapide aux fichiers stockés sur les
serveurs du siège. Certaines des succursales disposent de serveurs de fichiers, et d'autres pas.
Les succursales disposent d'une combinaison de systèmes d'exploitation clients, notamment
Windows 7 et Windows 8. Est-il préférable d'implémenter la réplication DFS ou la
fonctionnalité BranchCache ? Pourquoi ?

Question : Votre service commercial utilise des fichiers dans ses bureaux de vente distants.
Ces fichiers doivent être regroupés dans un emplacement unique à la fin de chaque jour.
Les utilisateurs du service commercial utilisent des ordinateurs portables Windows 7 ou
Windows 8. Quelle technologie, réplication DFS ou BranchCache, est la mieux adaptée
pour ce scénario ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-13

Leçon 3
Planification et implémentation du contrôle
d'accès dynamique
Windows Server 2012 présente le contrôle d'accès dynamique permettant d'améliorer le contrôle
d'accès pour les ressources basées sur des fichiers ou des dossiers. Le contrôle d'accès dynamique
étend le contrôle d'accès basé sur les systèmes de fichier NTFS réguliers en vous permettant d'utiliser
des revendications, des propriétés de ressources, des règles et des expressions conditionnelles dans
la gestion de l'accès.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire le contrôle d'accès dynamique ;

• décrire les revendications d'identité et une stratégie d'accès centralisée ;

• présenter les raisons pour lesquelles une société doit déployer le contrôle d'accès dynamique ;

• expliquer comment planifier une stratégie d'accès centralisée ;

• décrire les classifications de fichiers et leur planification ;

• décrire l'audit de l'accès aux fichiers et sa planification ;

• décrire l'assistance en cas d'accès refusé et sa planification ;

• décrire les conditions prérequises pour le contrôle d'accès dynamique ;

• décrire les principales étapes de l'implémentation du contrôle d'accès dynamique ;

• expliquer comment implémenter le contrôle d'accès dynamique.

Qu'est-ce que le contrôle d'accès dynamique ?

Dans le passé, vous utilisiez des autorisations
de fichiers NTFS pour aider à sécuriser l'accès
aux fichiers de données basés sur des serveurs
de fichiers. Le contrôle d'accès dynamique dans
Windows Server 2012 est un nouveau mécanisme
de contrôle d'accès destiné aux ressources du
système de fichiers. Il vous permet de définir
des stratégies centralisées d'accès aux fichiers
qui peuvent s'appliquer à chaque serveur
de fichiers de votre organisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-14 Planification et implémentation des services de fichiers

Le contrôle d'accès dynamique facilite l'implémentation de la sécurité sur les serveurs de fichiers, en plus
des éventuelles autorisations de partage et autorisations NTFS existantes que vous avez établies. Il permet
également de garantir l'application systématique de la stratégie de remplacement centrale, quelles que
soient les modifications apportées aux autorisations de dossier partagé et NTFS. Lorsqu'un utilisateur
tente d'accéder à un fichier sécurisé, il doit remplir les autorisations de fichiers NTFS et les spécifications
des stratégies de contrôle d'accès dynamique pour y accéder.

Le contrôle d'accès dynamique fournit :

• Une fonction de classification des données. Vous pouvez utiliser la classification de fichiers
automatique et/ou manuelle pour référencer les données dans l'ensemble de votre organisation.

• Une fonction de contrôle d'accès aux fichiers. Les stratégies d'accès centralisées vous permettent
de définir qui peut accéder à des fichiers particuliers. Par exemple, vous pouvez définir qui peut
accéder aux informations relatives aux ressources humaines.

• Une fonction d'audit de l'accès aux fichiers. Le contrôle d'accès dynamique fournit des stratégies
d'audit centralisées que vous pouvez utiliser pour la création de rapports de conformité et l'analyse
de la sécurité. Par exemple, vous pouvez identifier qui a accédé aux fichiers de données confidentiels
des ressources humaines.

• L'intégration facultative d'une protection RMS (Rights Management Services). Vous pouvez
implémenter le chiffrement RMS automatique pour les fichiers Microsoft Office contenant
des informations confidentielles. Par exemple, vous pouvez configurer RMS pour chiffrer
tous les documents contenant des informations relatives aux ressources humaines.

Scénarios d'utilisation
Vous pouvez utiliser le contrôle d'accès dynamique pour quatre types de scénarios d'utilisation :

• Stratégie d'accès centralisée pour l'accès aux fichiers. Vous permet de définir des stratégies de filet
de sécurité conformes à l'entreprise et aux réglementations.

• Audit pour la conformité et l'analyse. Vous permet de cibler l'audit sur vos serveurs de fichiers pour
la création de rapports de conformité et l'analyse de la sécurité.

• Protection des informations confidentielles. Vous permet d'identifier et de protéger les informations
confidentielles au sein et en dehors d'un environnement Windows Server 2012.

• Action corrective en cas d'accès refusé. Vous permet de personnaliser et d'améliorer l'expérience
de l'utilisateur si l'accès aux fichiers lui est refusé. Cela permet de réduire les appels au support
technique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-15

Qu'est-ce qu'une identité, une revendication et une stratégie

d'accès centralisée ?
Pour planifier et implémenter le contrôle
d'accès dynamique, vous devez comprendre
quelques concepts fondamentaux.

Qu'est-ce que l'identité ?

L'identité désigne des informations
provenant d'une source sûre au sujet d'une
entité. Ces informations sont considérées
comme fiables, car la source est approuvée.
Les versions antérieures de Windows Server
utilisaient les identificateurs de sécurité (SID,
Security Identifiers) de comptes d'utilisateur
et de groupe pour représenter l'identité d'un
utilisateur ou d'un ordinateur. Les utilisateurs s'authentifient auprès du domaine avec un nom
d'utilisateur et un mot de passe spécifiques. Le nom de connexion unique est converti en SID.
Le contrôleur de domaine valide le mot de passe et fournit un jeton avec le SID du principal de sécurité,
ainsi que les SID de tous les groupes auxquels appartient l'entité. Le contrôleur de domaine revendique
que le SID de l'utilisateur est valide et doit servir d'identité à l'utilisateur. Étant donné que tous les
membres du domaine approuvent le contrôleur de domaine, la réponse est considérée comme fiable.

Cependant, l'identité ne doit pas être limitée au SID de l'utilisateur. Les applications peuvent utiliser
n'importe quelle information concernant l'utilisateur comme une forme d'identité, à condition que
l'application approuve la fiabilité de la source d'information.

Qu'est-ce qu'une revendication ?

Les revendications fournissent des informations provenant d'une source sûre au sujet d'une entité.
Windows Server 2008 et Windows Server 2003 utilisent les revendications dans les services ADFS
(Active Directory Federation Services ou AD FS). Ces revendications sont des déclarations faites
à propos des utilisateurs, qui sont comprises par les deux partenaires dans une fédération ADFS.

Le service utilisateur et le niveau de sécurité sont des exemples de revendications. Ces revendications
affirment quelque chose au sujet d'une entité spécifique. Plus précisément, les revendications énoncent
la valeur d'un attribut spécifique d'un objet utilisateur ou ordinateur. Une entité peut contenir plusieurs
revendications. Lors de la configuration de l'accès aux ressources, vous pouvez utiliser n'importe quelle
combinaison de ces revendications pour contrôler l'accès aux ressources.

Windows Server 2012 introduit deux nouveaux types de revendication :

• Revendication d'utilisateur. Une revendication d'utilisateur est un ensemble d'informations fournies

par un contrôleur de domaine Windows Server 2012 au sujet d'un utilisateur. Les contrôleurs de
domaine Windows Server 2012 peuvent utiliser la plupart des attributs d'utilisateur AD DS à titre
d'informations de revendication. Cela vous fournit de nombreuses possibilités pour configurer
et utiliser les revendications dans le cadre du contrôle d'accès.
• Revendication de périphérique. Une revendication de périphérique est un ensemble d'informations
fournies par un contrôleur de domaine Windows Server 2012 au sujet d'un périphérique représenté
par un compte d'ordinateur dans AD DS. Comme les revendications d'utilisateur, les revendications
de périphérique, souvent appelées revendications d'ordinateur, peuvent utiliser la plupart des
attributs AD DS applicables aux objets ordinateur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-16 Planification et implémentation des services de fichiers

Qu'est-ce qu'une stratégie d'accès centralisée ?

La stratégie d'accès centralisée est une fonctionnalité de Windows Server 2012 qui vous permet de
créer une stratégie qui est appliquée à un ou plusieurs serveurs de fichiers. Cette stratégie est créée
dans le Centre d'administration Active Directory, stockée dans AD DS et appliquée à l'aide des objets
de stratégie de groupe. La stratégie d'accès centralisée contient une ou plusieurs règles de stratégie
d'accès centralisée. Chaque règle contient les paramètres qui déterminent l'applicabilité et les
autorisations.

Remarque : Avant de créer une stratégie d'accès centralisée, vous devez créer au moins
une règle d'accès central. Les règles d'accès centralisées définissent tous les paramètres et
conditions contrôlant l'accès à des ressources spécifiques. Les stratégies d'accès centralisées
ont trois éléments configurables :

• Nom. Pour chaque règle d'accès central, vous devez fournir un nom explicite.

• Ressources cibles. Définissent les données auxquelles s'applique la stratégie. Vous définissez
cette condition en spécifiant un attribut et sa valeur. Par exemple, une règle particulière de
stratégie centralisée pourrait s'appliquer à n'importe quelle donnée classée comme sensible.

• Autorisations. Il s'agit d'une liste d'une ou de plusieurs entrées de contrôle d'accès (ACE, Access
Control Entry) qui définit les personnes pouvant accéder aux données. Par exemple, vous pouvez
spécifier l'accès en contrôle total pour un utilisateur dont l'attribut EmployeeType a la valeur ETP.
C'est l'élément clé de chaque règle d'accès central. Vous pouvez combiner et regrouper les conditions
que vous placez dans une règle d'accès central. Vous pouvez définir les autorisations comme étant
proposées (temporairement) ou actuelles.

Après avoir configuré une ou plusieurs règles d'accès centralisées, placez-les dans la stratégie d'accès
centralisée pour qu'elles soient ensuite appliquées aux ressources.

La stratégie d'accès centralisée améliore, mais ne remplace pas, les stratégies d'accès locales ou les
listes de contrôle d'accès discrétionnaires (DACL, Discretionary Access Control List) qui sont appliquées
aux fichiers et dossiers d'un serveur spécifique. Par exemple, lorsque la liste DACL d'un fichier autorise
l'accès à un utilisateur spécifique mais qu'une stratégie centralisée appliquée au fichier restreint l'accès
à ce même utilisateur, celui-ci ne peut pas accéder au fichier. De même, si la stratégie d'accès centralisée
autorise l'accès mais la liste DACL ne l'autorise pas, l'utilisateur ne peut accéder au fichier.

Avant d'implémenter la stratégie d'accès centralisée, vous devez effectuer les tâches suivantes :

1. Créez des revendications et associez-les à des attributs sur les objets utilisateur ou ordinateur.

2. Créez les définitions de propriété du fichier.

3. Créez une ou plusieurs règles d'accès centralisées.

4. Créez un objet stratégie d'accès centralisée et placez-y les règles.

5. Utilisez la Stratégie de groupe pour déployer la stratégie vers les serveurs de fichiers. Ce faisant,
vous mettez au courant des serveurs de fichiers de l'existence d'une stratégie d'accès centralisée
dans AD DS.

Sur le serveur de fichiers, appliquez cette stratégie à un dossier partagé spécifique. Vous pouvez
également utiliser la boîte à outils de classification de données pour appliquer des stratégies d'accès
centralisées automatiquement sur plusieurs serveurs de fichiers, puis générer un rapport indiquant
sur quels partages s'appliquent quelles stratégies.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-17

Motifs d'implémentation du contrôle d'accès dynamique

Les raisons les plus courantes d'implémentation
du contrôle d'accès dynamique sont la réduction
de la complexité des groupes de sécurité, le
respect des règlements et la protection des
informations confidentielles. En outre, avec
le contrôle d'accès dynamique, vous pouvez
étendre la fonctionnalité d'un modèle existant
de gestion de contrôle d'accès. La plupart
des entreprises utilisent les autorisations
NTFS et de partage pour implémenter le
contrôle d'accès pour les ressources de fichiers
et de dossiers. Dans la plupart des cas, NTFS
est suffisant, mais dans certains cas, cela ne fonctionne pas. Par exemple, vous ne pouvez pas utiliser
une liste de contrôle d'accès de NTFS pour protéger une ressource sur un serveur de fichiers. Cela
signifie qu'un utilisateur doit être membre des deux groupes à la fois pour accéder à la ressource.

En général, lorsque vous souhaitez utiliser des informations plus spécifiques pour implémenter le contrôle
d'accès et l'autorisation, vous ne pouvez pas utiliser les méthodes classiques. Les autorisations NTFS et
de partage utilisent uniquement des objets d'utilisateur ou de groupe. Si vous souhaitez implémenter
des scénarios de contrôle d'accès plus complexes, utilisez le contrôle d'accès dynamique.

Planification d'une stratégie d'accès centralisée

L'implémentation d'une stratégie d'accès
centralisée n'est pas obligatoire pour le
contrôle d'accès dynamique, mais pour garantir
la cohérence de la configuration du contrôle
d'accès sur tous les serveurs de fichiers, nous
vous recommandons d'en implémenter une.
Si vous choisissez d'implémenter une stratégie
d'accès centralisée, vous devez la planifier
soigneusement avant tout déploiement.

Lorsque vous planifiez une stratégie

d'accès centralisée, vous devez identifier et
comprendre les besoins de l'entreprise en matière
d'implémentation d'une stratégie d'accès centralisée et du contrôle d'accès dynamique :

1. Identifiez les ressources que vous souhaitez protéger :

• Si toutes les ressources se trouvent sur un seul serveur de fichiers ou dans un seul dossier,
l'implémentation d'une stratégie d'accès centralisée n'est peut-être pas nécessaire. Au lieu
de cela, vous pouvez configurer l'accès conditionnel sur la liste de contrôle d'accès du dossier.

• Si les ressources sont réparties entre plusieurs serveurs ou dossiers, le déploiement d'une
stratégie d'accès centralisée est nécessaire.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-18 Planification et implémentation des services de fichiers

2. Définissez les critères de protection. Ces critères sont habituellement définis par les besoins
de l'entreprise. Par exemple :

• Tous les documents dont la propriété Confidentialité est définie sur Haut doivent être
disponibles uniquement aux gestionnaires.

• Les documents relatifs aux ressources humaines de chaque pays ne doivent être accessibles
qu'au personnel du service des ressources humaines du même pays.

• Seuls les employés à plein temps doivent pouvoir accéder à la documentation technique
des projets précédents.

3. Traduisez les stratégies dont vous avez besoin par des expressions. Dans le cas du contrôle
d'accès dynamique, les expressions sont des attributs associés aux ressources (fichiers et dossiers)
et à l'utilisateur ou au périphérique souhaitant accéder à ces ressources.

4. Décomposez les expressions que vous avez créées et déterminez les types de revendication, groupes
de sécurité, propriétés de ressources et revendications de périphérique que vous devez créer pour
déployer vos stratégies. En d'autres termes, vous devez identifier les attributs de filtrage d'accès.

Planification des classifications de fichiers

Bien que les classifications de fichiers ne
soient pas obligatoires pour le contrôle
d'accès dynamique, elles peuvent améliorer
l'automatisation de l'ensemble du processus.
Par exemple, si vous souhaitez que tous
les documents dont la classification de
confidentialité est définie sur Haut soient
accessibles uniquement à la direction,
indépendamment du serveur sur lequel les
documents existent, vous devez d'abord savoir
comment identifier ces documents, et comment
les classer convenablement.

La fonctionnalité Infrastructure de classification des fichiers de Windows Server utilise des règles de
classification pour analyser automatiquement les fichiers et les classer en fonction de leur contenu.
Vous définissez les propriétés de classification de manière centralisée dans AD DS, de sorte que ces
définitions puissent être partagées entre les serveurs de fichiers de l'entreprise. Vous pouvez créer des
règles de classification qui analysent des fichiers à la recherche d'une chaîne standard, ou d'une chaîne
correspondant à un modèle (expression régulière). Quand un paramètre configuré de classification est
détecté dans un fichier, ce fichier est classifié comme configuré dans la règle de classification.
Lorsque vous planifiez les classifications de fichiers, vous devez effectuer les opérations suivantes :

• Identifiez la ou les classifications que vous souhaitez appliquer aux documents.

• Déterminez la méthode que vous utiliserez pour identifier des documents pour la classification.

• Déterminez la planification des classifications automatiques.

• Établissez une analyse du bon fonctionnement des classifications.

Une fois que vous avez défini les classifications, vous pouvez planifier l'implémentation du contrôle
d'accès dynamique en définissant les expressions conditionnelles qui vous permettent de contrôler
l'accès aux documents hautement confidentiels, suivant des attributs d'utilisateur particuliers.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-19

Planification de l'audit de l'accès aux fichiers

Dans Windows Server 2012, vous pouvez
implémenter l'audit de l'accès aux fichiers avec
le contrôle d'accès dynamique pour utiliser les
nouvelles fonctions d'audit de sécurité Windows.
À l'aide des expressions conditionnelles, vous
pouvez configurer l'audit de sorte qu'il soit
uniquement implémenté dans des cas spécifiques.
Par exemple, il se peut que vous souhaitiez
auditer les tentatives d'ouverture de dossiers
partagés effectuées uniquement par les
utilisateurs se trouvant dans des pays autres
que celui où le dossier partagé est localisé.
L'audit global d'accès aux objets vous permet de définir des listes de contrôle d'accès système (SACL,
System Access Control List) par type d'objet pour le système de fichiers ou le Registre. La SACL spécifiée
est alors appliquée automatiquement à chaque objet de ce type.

Vous pouvez utiliser une stratégie d'audit d'accès global aux objets pour appliquer la stratégie d'audit
d'accès aux objets d'un ordinateur, d'un partage de fichiers ou d'un Registre sans configurer ni propager
de SACL classiques. La configuration et la propagation d'une SACL est une tâche d'administration plus
complexe, difficile à vérifier, en particulier si vous devez faire appel à un auditeur pour vérifier qu'une
stratégie de sécurité est appliquée. À la place, les auditeurs peuvent vérifier que chaque ressource du
système est protégée par une stratégie d'audit en affichant le contenu du paramètre global de stratégie
d'audit d'accès aux objets.

Les listes SACL de ressource sont également utiles pour le diagnostic. Par exemple, la définition d'une
stratégie d'audit d'accès global aux objets pour enregistrer toutes les activités d'un utilisateur spécifique
et l'activation des stratégies d'audit d'échec d'accès dans une ressource (système de fichiers, Registre)
permettent d'aider les administrateurs à identifier rapidement l'objet qui, dans un système, refuse
l'accès à un utilisateur.

Il est conseillé de créer un plan d'audit avant d'implémenter un audit. Dans un plan d'audit, vous
devez identifier les ressources, les utilisateurs et les activités que vous souhaitez suivre. Vous pouvez
implémenter l'audit pour plusieurs scénarios, tels que :

• Suivre les modifications des attributs de l'utilisateur et de la machine. Tout comme les fichiers,
les utilisateurs et les objets de machine peuvent avoir des attributs et les modifications apportées
à ces derniers peuvent affecter l'accès des utilisateurs à ces fichiers. Ainsi, le suivi des modifications
apportées aux attributs de l'utilisateur et des machines peut s'avérer intéressant. Les objets utilisateur
et ordinateur résident dans AD DS ; par conséquent, vous pouvez suivre les modifications apportées
à leurs attributs au moyen d'un audit de l'accès au service d'annuaire.

• Obtenir plus d'informations à partir des événements d'ouverture de session d'utilisateur. Dans
Windows Server 2012, un événement d'ouverture de session d'utilisateur (4624) contient des
informations sur les attributs de l'utilisateur ayant ouvert une session. Vous pouvez également
utiliser les outils de gestion de journal d'audit, afin de relier des événements d'ouverture de
session d'utilisateur à des événements d'accès aux objets, et activer le filtrage des événements
selon les attributs du fichier et de l'utilisateur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-20 Planification et implémentation des services de fichiers

• Fournir plus d'informations à partir de l'audit d'accès aux objets. Dans Windows Server 2012, les
événements d'accès au fichier (4656 et 4663) contiennent des informations sur les attributs du fichier
qui a été consulté. Les outils de filtrage du journal des événements peuvent utiliser ces informations
supplémentaires pour vous aider à identifier les événements d'audit les plus appropriés.

• Suivre les modifications des stratégies d'accès centralisé, des règles d'accès centralisées et des
revendications. Ces objets définissent la stratégie centralisée que vous pouvez utiliser pour contrôler
l'accès aux ressources critiques. Le suivi des modifications apportées à ces objets peut être important
pour l'organisation. Étant donné que tous ces objets sont stockés dans AD DS, vous pouvez les
auditer exactement comme n'importe quel autre objet sécurisable dans AD DS en utilisant l'audit
de l'accès au service d'annuaire.

• Suivre les modifications des attributs de fichier. Les attributs de fichier déterminent que la stratégie
d'accès centralisé applique au fichier. Une modification des attributs de fichier peut potentiellement
affecter les restrictions d'accès au fichier. Vous pouvez suivre les modifications des attributs de fichier
sur n'importe quelle machine en configurant l'audit de changement de politique d'autorisation
et l'audit d'accès aux objets pour les systèmes de fichiers. L'événement 4911 a été introduit pour
différencier cet événement des autres événements de modification de stratégie d'autorisation.

Planification de l'assistance en cas d'accès refusé

L'assistance en cas d'accès refusé aide
les utilisateurs finaux à déterminer la
raison pour laquelle ils ne peuvent pas
accéder à une ressource. Elle vous permet
également de diagnostiquer correctement
un problème, puis d'orienter sa résolution.
Windows Server 2012 vous permet de
personnaliser les messages relatifs à l'accès
refusé. Il permet également aux utilisateurs
de demander un accès sans avoir à contacter
l'assistance technique ou l'équipe informatique.
En combinaison avec le contrôle d'accès
dynamique, l'assistance en cas d'accès refusé informe l'administrateur des revendications d'utilisateur
et de ressource, ce qui lui permet de prendre des décisions informées sur les réglages des stratégies
ou des attributs d'utilisateur, par exemple si le service est désigné sous la forme « RH » au lieu
de « Ressources Humaines ».

Pour organiser l'assistance en cas d'accès refusé, vous devez procéder aux étapes suivantes :

• Planifiez soigneusement le libellé du message que les utilisateurs voient lorsqu'ils essaient
d'accéder aux ressources pour lesquelles ils ne disposent pas des droits d'accès. Le message doit
être facile à comprendre et contenir des instructions de mise à jour spécifiques, le cas échéant.

• Déterminez si les utilisateurs peuvent envoyer une demande d'accès par l'intermédiaire
d'un message électronique et, le cas échéant, configurer éventuellement le texte qui est
ajouté à la fin de ce message.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-21

• Déterminez les destinataires des messages électroniques de demande d'accès. Vous pouvez choisir
d'envoyer le message électronique aux propriétaires du dossier, aux administrateurs du serveur de
fichiers ou à n'importe quel autre destinataire spécifié. Les messages doivent toujours être transmis
à la personne appropriée. Si vous disposez d'un outil de support technique ou d'une solution
de surveillance prenant en charge les messages électroniques, vous pouvez également diriger
ces messages pour générer automatiquement des demandes utilisateur dans votre solution
d'assistance technique.

• Planifiez les systèmes d'exploitation cibles. L'assistance en cas d'accès refusé fonctionne uniquement
avec Windows 8 ou Windows Server 2012.

Prérequis du contrôle d'accès dynamique

Avant d'implémenter le contrôle d'accès
dynamique, vous devez vérifier que
l'infrastructure réseau de votre organisation
respecte certains prérequis. Pour implémenter
des autorisations basées sur les revendications
pour l'accès aux ressources, vous devez
implémenter les éléments suivants :

• Windows Server 2012, avec la fonctionnalité

Gestionnaire de ressources du serveur
de fichiers (FSRM) activée et installée
sur le serveur de fichiers hébergeant les
ressources protégées avec le contrôle d'accès
dynamique. Le serveur de fichiers qui héberge le partage doit être un serveur de fichiers
Windows Server 2012. Cela lui permet de lire les données relatives aux autorisations de revendication
et de périphérique provenant d'un ticket d'authentification Kerberos, de traduire les SID et les
revendications du ticket en jeton d'authentification et de comparer les données d'autorisation
du jeton avec les expressions conditionnelles du descripteur de sécurité.

• Une mise à jour du schéma ou un contrôleur de domaine Windows Server 2012. Cela est nécessaire
pour conserver les définitions centrales des propriétés de ressources et des stratégies, qui doivent
être accessibles par l'intermédiaire de l'ordinateur client Windows du domaine de l'utilisateur.

• Éventuellement, un contrôleur de domaine Windows Server 2012. Si des revendications d'utilisateur

sont utilisées (non nécessaires pour les groupes de sécurité), incluez au moins un contrôleur de
domaine Windows Server 2012 du domaine de l'utilisateur qui est accessible par l'intermédiaire
du serveur de fichiers, afin que celui-ci puisse récupérer les revendications au nom de l'utilisateur.

• Éventuellement, Windows 8. Si vous utilisez des revendications de périphérique, tous les contrôleurs
de domaine du domaine d'utilisateur et de périphérique doivent disposer de Windows 8.
Les revendications de périphérique fonctionnent uniquement pour les périphériques Windows 8.

• Des contrôleurs de domaine Windows Server 2012 dans chaque domaine, lorsque vous utilisez
des revendications parmi une approbation de forêt.

Bien qu'un contrôleur de domaine Windows Server 2012 soit requis si vous utilisez des revendications
d'utilisateur, il n'y a aucune configuration requise pour avoir un domaine et un niveau fonctionnel
de forêt pour Windows Server 2012, à moins que vous souhaitiez utiliser les revendications à travers
une approbation de forêt. Ceci signifie que vous pouvez également avoir des contrôleurs de domaine
sur Windows Server 2008 et Windows Server 2008 R2, avec le niveau fonctionnel de forêt situé sur
Windows Server 2008.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-22 Planification et implémentation des services de fichiers

Discussion : Implémentation du contrôle d'accès dynamique

Lorsque vous devez déterminer s'il convient
d'implémenter le contrôle d'accès dynamique,
tenez compte des besoins de votre entreprise.
Pour certaines situations, l'utilisation des
autorisations de fichiers NTFS et, éventuellement,
des services AD RMS (Active Directory Rights
Management Services), est suffisante pour
atteindre vos objectifs en matière de gestion
de l'accès aux fichiers. Cependant, dans certains
cas, le contrôle d'accès dynamique peut aider
à répondre aux besoins plus complexes de
l'entreprise. Considérons le scénario suivant :
Le service Recherche de Tailspin Toys souhaite s'assurer que les fichiers de recherche archivés sont
uniquement accessibles aux utilisateurs qui sont membres du service Recherche. Plus précisément,
ces fichiers de données doivent être accessibles uniquement avec des autorisations en lecture seule
aux membres du service Recherche du même pays. En outre, un groupe d'administration central
doit disposer d'autorisations en lecture seule sur les fichiers dans tous les pays.

Vous pouvez atteindre l'objectif précédent avec le contrôle d'accès dynamique en procédant comme suit :

1. Planifiez l'implémentation du contrôle d'accès dynamique :

a. Définissez la stratégie d'accès :

o Les fichiers de recherche doivent être lus uniquement par les membres du service Recherche.
o Les membres du service Recherche doivent accéder uniquement aux documents dans leur
propre pays.

o Seuls les administrateurs du service Recherche doivent disposer d'un accès en écriture.

o Une exception sera autorisée pour les membres du groupe Research_Exceptions.

o Le groupe Research_Exceptions disposera d'un accès en lecture.

b. Exprimez la stratégie d'accès dans les constructions Windows Server 2012 :

o Ciblage : [Link] Contains Research

o Règles d'accès :
 Allow Read [Link]=[Link] AND [Link] =
[Link]
 Allow Full control [Link](ResearchAdmin)
o Exception : Allow read memberOf(Research_Exceptions)

c. Déterminez les propriétés de fichier requises pour prendre en charge la stratégie :

o Référencez les fichiers avec : Service et pays

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-23

d. Déterminez les types et les groupes de revendications requis pour prendre en charge
la stratégie :

o Types de revendications :
 Pays
 Service
o Groupes d'utilisateurs :
 ResearchAdmin
 Research_Exceptions
e. Déterminez les serveurs sur lesquels appliquer la stratégie : appliquer à tous les serveurs
de recherche.

2. Configurez le contrôle d'accès dynamique :

a. Créez les types de revendication :

 Service
 Pays
b. Créez les propriétés de ressources :
 Service
 Pays
c. Configurez une règle d'accès central :
 Créez une règle Documents de recherche qui comprend la stratégie déterminée
dans l'étape 1.
d. Configurez une stratégie d'accès centralisée :
 Créez une stratégie d'accès centralisée appelée Stratégie de recherche et ajoutez-lui
la règle Documents de recherche.
e. Ciblez la stratégie d'accès centralisée sur les serveurs de fichiers :
 Publiez la stratégie d'accès centralisée Stratégie de recherche sur les serveurs de fichiers
du service de recherche.
Le scénario précédent n'a pas pu être atteint en utilisant uniquement les autorisations de fichiers NTFS ;
il a fallu utiliser des groupes, des autorisations NTFS et des structures de dossiers très complexes.

Démonstration : Création de règles et de stratégies d'accès centralisées

pour le contrôle d'accès dynamique
Cette démonstration explique comment créer des règles et des stratégies d'accès centralisées.

Procédure de démonstration
1. Dans le Centre d'administration Active Directory, créez des revendications pour les attributs
department et employeetype.

2. Activez le type de ressource pour Department.

3. Créez une règle d'accès central pour permettre aux membres du groupe informatique d'accéder
aux ressources si l'attribut du service utilisateur correspond au service des ressources.

4. Créez Central Access Policies.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-24 Planification et implémentation des services de fichiers

Atelier pratique : Conception et implémentation

des services de fichiers
Scénario
A. Datum Corporation a créé une nouvelle équipe commerciale régionale en Europe. Par conséquent, les
succursales ont été équipées pour prendre en charge les différentes fonctions commerciales régionales.
Vous êtes chargé de planifier l'infrastructure réseau des succursales. Le responsable national des ventes,
Dan Park, a été contacté concernant des recherches sur l'accès aux ressources basées sur des fichiers à
partir du siège à Londres. Certaines succursales ont des liaisons lentes et rencontrent des délais d'accès
aux fichiers. Vous devez déterminer comment rendre les données du siège accessibles aux succursales,
tout en tenant compte des problèmes tels que la vitesse de la liaison WAN.

L'équipe de recherche d'A. Datum effectue un travail hautement confidentiel, qui est souvent stocké sur
les serveurs de fichiers de l'entreprise. Le service de sécurité souhaite vérifier que ces fichiers confidentiels
sont accessibles uniquement au personnel autorisé et que tout accès à ces fichiers est audité.

En tant qu'administrateur réseau principal, vous êtes chargé de répondre à ces exigences de sécurité
en implémentant le contrôle d'accès dynamique sur les serveurs de fichiers. Vous envisagez de travailler
étroitement avec les groupes de l'entreprise et le service de sécurité pour identifier les fichiers à sécuriser,
ainsi que les personnes qui peuvent y accéder. Vous comptez ensuite implémenter le contrôle d'accès
dynamique en fonction des exigences de l'entreprise.

Objectifs
• Planifier l'accès aux données.

• Planifier et implémenter le contrôle d'accès dynamique.

Configuration de l'atelier pratique

Durée approximative : 60 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-SVR1
22413B-LON-CL1

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V®, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions, cliquez
sur Démarrer.
3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-25

4. Connectez-vous en utilisant les informations d'identification suivantes :

o Nom d'utilisateur : Administrateur

o Mot de passe : Pa$$w0rd

o Domaine : Adatum

5. Répétez les étapes 2 à 4 pour 22413B-LON-SVR1 et 22413B-LON-CL1.

Exercice 1 : Planification de l'accès aux données

Scénario
Vous devez examiner la liste d'exigences suivante et créer un plan pour configurer l'accès aux données
dans les succursales.

Documentation supplémentaire

Remarque : Le message électronique suivant est présenté sous la forme d'un véritable
message électronique avec les messages initiaux à la fin du thread de messages. Vous devez
lire le thread de bas en haut.

Courrier électronique de Dan Park :

Brad Sutton

De : Dan Park [Dan@[Link]]

Envoyé : 04 septembre 09:12

À: Brad@[Link]

Objet : Objet : Données de vente distribuées

Brad,

De nouvelles succursales de vente ont été ouvertes en Europe, et nous devons accéder aux données
de vente du siège à Londres. Le problème est que certaines des nouvelles succursales ont des liaisons
lentes vers leur site concentrateur régional, et certains de ces fichiers peuvent être assez volumineux.
Nous disposons également d'une application qui utilise les données locales, mais celles-ci doivent
être collectées de manière centralisée.

Si vous avez besoin de plus amples informations, n'hésitez pas à me contacter.

Cordialement,

Dan
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-26 Planification et implémentation des services de fichiers

----- Message d'origine -----

De : Brad Sutton [Brad@[Link]]

Envoyé : 03 septembre 2012 10:41

À: Dan@[Link]

Objet : Données de vente distribuées

Dan,

J'ai été chargé du projet de conception des nouvelles succursales en Europe. Je comprends que le service
commercial ait un certain nombre d'exigences spécifiques. J'aimerais en tenir compte durant les étapes
de conception de ce projet. Je vous serais reconnaissant de me faire part de vos exigences.

Merci,

Brad
Courrier électronique de Dan Park :

Brad Sutton

De : Dan Park [Dan@[Link]]

Envoyé : 06 novembre 2012 18:01

À: Brad@[Link]

Objet : Faible vitesse de récupération des documents dans les succursales

Brad,

Nous avons rencontré des problèmes de performance dans certaines de nos nouvelles succursales.
Comme vous le savez, toutes les succursales ont leurs propres serveurs de fichiers locaux.
Pouvons-nous faire quelque chose pour améliorer le débit dans les succursales de vente ?

Cordialement,

Dan

Stratégie d'accès aux données

Numéro de référence du document : BS1106/1

Auteur du document Brad Sutton

Date 6 novembre

Présentation des exigences

Planifiez une stratégie d'accès aux données pour atteindre les objectifs suivants :
• Les modèles de recherche doivent être accessibles à partir du siège et des succursales.
• Les fichiers de données du service Recherche doivent être regroupés dans un dossier central
au siège.
• L'accès aux données doit être optimisé pour les liaisons distantes lentes, en cas de besoin.

Informations supplémentaires
• Toutes les succursales disposent de serveurs de fichiers locaux.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-27

(suite)

Stratégie d'accès aux données

Propositions
1. Quel rôle de serveur comptez-vous implémenter pour prendre en charge les conditions
requises pour la collecte de données automatisée des filiales ?

2. Quel scénario d'accès aux données recommanderiez-vous ?

3. Quelle technologie implémenteriez-vous pour prendre en charge les conditions requises

de liaison lente ?

4. Comment pouvez-vous vous assurer que les paramètres côté client pour cette technologie
s'appliquent uniquement aux ordinateurs appropriés ?

5. Comment configureriez-vous la technologie d'accès aux données des filiales pour assurer
cette prise en charge ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-28 Planification et implémentation des services de fichiers

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section de propositions du document Stratégie d'accès aux données.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir planifié une stratégie d'accès aux données appropriée
pour les succursales de vente.

Exercice 2 : Planification et implémentation du contrôle

d'accès dynamique
Scénario
Vous devez vous assurer que les documents utilisés par le service de recherche et par les responsables
sont sécurisés.

Stratégies de sécurité des fichiers

Numéro de référence du document : BS1002/1

Auteur du document Brad Sutton

Date 2 octobre

Présentation des exigences

Concevez une stratégie de sécurité des fichiers pour atteindre les objectifs suivants :
• Seuls les membres du service Recherche devraient être en mesure d'accéder et de modifier
les dossiers de ce service.
• Seuls les responsables devraient pouvoir accéder aux documents classés hautement confidentiels.
• Le service de sécurité d'A. Datum est également préoccupé pat le fait que des utilisateurs
appartenant au service des responsables accèdent aux fichiers à partir de leurs ordinateurs
personnels, lesquels peuvent ne pas être très sécurisés. Vous devez créer un plan pour sécuriser
les documents, quel que soit l'endroit où ils se trouvent, et vous assurer que les documents ne
seront accessibles qu'à partir des ordinateurs autorisés.
• Les ordinateurs autorisés des responsables sont membres du groupe de sécurité ManagersWks.
• Le service de support technique enregistre qu'un nombre élevé d'appels est généré par des
utilisateurs qui ne peuvent pas accéder aux ressources. Vous devez implémenter une technologie
qui aide les utilisateurs à mieux comprendre les messages d'erreur qu'ils reçoivent et qui leur
permette d'effectuer automatiquement une demande d'accès.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-29

(suite)

Stratégies de sécurité des fichiers

Informations supplémentaires
• La plupart des fichiers utilisés par ces services sont actuellement enregistrés dans les dossiers
partagés consacrés à ces services, mais les documents confidentiels sont parfois enregistrés
dans d'autres dossiers partagés.

Proposition
• Comment allez-vous concevoir le contrôle d'accès dynamique pour remplir les conditions
du contrôle d'accès décrites dans le scénario ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

5. Préparer AD DS pour le contrôle d'accès dynamique et examiner les types de revendications

par défaut.

6. Configurer les revendications pour les utilisateurs et les périphériques.

7. Configurer les propriétés des ressources pour les fichiers.

8. Classer les fichiers et dossiers.

9. Configurer des règles de stratégie d'accès centralisée.

10. Créer et publier la stratégie d'accès centralisée.

11. Appliquer une stratégie d'accès centralisée.

12. Configurer les paramètres d'action corrective en cas d'accès refusé.

13. Vérifier la fonctionnalité de contrôle d'accès dynamique.

14. Afficher les autorisations effectives.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section de propositions du document Stratégie de sécurité des fichiers.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-30 Planification et implémentation des services de fichiers

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

 Tâche 5 : Préparer AD DS pour le contrôle d'accès dynamique et examiner les types

de revendications par défaut
1. Sur LON-DC1, à partir du Gestionnaire de serveur, ouvrez Utilisateurs et ordinateurs
Active Directory.

2. Créez une nouvelle unité d'organisation nommée Test.

3. Déplacez les objets Computers LON-CL1 et LON-SVR1 vers l'unité d'organisation Test.

4. Ouvrez la console Gestion de stratégie de groupe.

5. Modifiez l'objet de stratégie de groupe Stratégie des contrôleurs de domaine par défaut.
6. Dans l'Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur\
Stratégies\Modèles d'administration : définitions de stratégies (fichiers ADMX) récupérées
à partir de l'ordinateur local\Système\KDC.

7. Activez le paramètre de stratégie prise en charge KDC pour les revendications, l'authentification
composée et le blindage Kerberos.

8. Dans la section Options, cliquez sur Pris en charge.

9. Actualisez la stratégie de groupe.

10. Ouvrez Utilisateurs et ordinateurs Active Directory et, dans le conteneur Utilisateurs, créez un groupe
de sécurité nommé ManagersWKS.

11. Ajoutez LON-CL1 au groupe ManagersWKS.

12. Vérifiez que l'utilisateur Aidan Delaney est membre du service Managers et que Allie Bellew
est membre du service Recherche.

13. Sur LON-DC1, dans le Gestionnaire de serveur, ouvrez le Centre d'administration Active Directory.

14. Dans le Centre d'administration Active Directory, cliquez sur le nœud Contrôle d'accès dynamique.

15. Ouvrez le conteneur Claim Types et vérifiez qu'aucune revendication par défaut n'est définie.

16. Ouvrez le conteneur Resource Properties et notez que toutes les propriétés sont désactivées
par défaut.

17. Ouvrez le conteneur Resource Property Lists, puis ouvrez les propriétés de Global Resource
Property List.

18. Dans la section Resource Properties, examinez les propriétés de ressources disponibles.

19. Cliquez sur Annuler.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-31

 Tâche 6 : Configurer les revendications pour les utilisateurs et les périphériques

1. Dans le Centre d'administration Active Directory, dans le volet de navigation, cliquez sur Contrôle
d'accès dynamique.

2. Ouvrez le conteneur Claim Types et créez un nouveau type de revendication d'utilisateurs

et d'ordinateurs, à l'aide des paramètres suivants :

• Attribut de la source : Service

• Nom complet : Service de société

3. Sélectionnez les cases à cocher Utilisateur et Ordinateur.

4. Dans le Centre d'administration Active Directory, dans le volet des tâches, cliquez sur Nouveau,
puis sur Type de revendication.

5. Créez un nouveau type de revendication pour les ordinateurs, à l'aide des paramètres suivants :

• Attribut de la source : description

• Nom complet : description

• Désactivez la case à cocher Utilisateur

• Activez la case à cocher Ordinateur.

 Tâche 7 : Configurer les propriétés des ressources pour les fichiers

1. Dans le Centre d'administration Active Directory, cliquez sur Contrôle d'accès dynamique,
puis ouvrez le conteneur Resource Properties.

2. Activez les propriétés de ressource Department et Confidentiality.

3. Ouvrez la propriété Propriétés de service.

4. Ajoutez Research comme valeur suggérée dans les zones de texte Valeur et Nom complet.

5. Ouvrez Global Resource Property List et assurez-vous que Department et Confidentiality figurent
dans la liste.

6. Cliquez sur Annuler.

7. Fermez le Centre d'administration Active Directory.

 Tâche 8 : Classer les fichiers et dossiers

1. Basculez vers LON-SVR1.

2. Sur LON-SVR1, dans le Gestionnaire de serveur, utilisez l'Assistant Ajout de rôles et de fonctionnalités
pour ajouter le rôle de service Gestionnaire de ressources du serveur de fichiers.

3. Créez les dossiers et les fichiers suivants :

• Dossier : C:\Docs

• Fichier : C:\Docs\[Link]
• Fichier : C:\Docs\[Link]

• Fichier : C:\Docs\[Link]

4. Remplissez Doc1 et Doc2 avec le texte suivant :

• Ce document est secret
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-32 Planification et implémentation des services de fichiers

5. Remplissez Doc3 avec le texte suivant :

• Ceci est un document

6. Partagez le nouveau dossier Docs en utilisant les propriétés suivantes :

• Partager avec : Personnes spécifiques

• Utilisateurs authentifiés : Lecture/écriture

7. Ouvrez le Gestionnaire de ressources du serveur de fichiers.

8. Actualisez Propriétés de classification et vérifiez que les propriétés Confidentiality et Department

figurent dans la liste.

9. Créez une règle de classification avec les valeurs suivantes :

• Nom : Définir la confidentialité

• Portée : C:\Docs
• Méthode de classification : Classifieur de contenus

• Propriété : Confidentiality

• Spécifier une valeur : High

• Paramètres de classification : Chaîne « secret »

• Sélectionnez Réévaluer les valeurs de propriété existantes, puis cliquez sur Remplacer
la valeur existante
10. Exécutez la règle de classification.

11. Ouvrez l'Explorateur de fichiers et ouvrez les propriétés des fichiers [Link], [Link] et [Link].

12. Vérifiez les valeurs de confidentialité. La confidentialité de [Link] et [Link] doit être définie
à Haut.

13. Ouvrez l'Explorateur de fichiers.

14. Créez un dossier nommé C:\Research.

15. Créez un document texte nommé C:\Research\Research1, puis ajoutez le texte suivant au fichier :

• Ceci est un document de recherche

16. Partagez le nouveau dossier en utilisant les propriétés suivantes :

• Partager avec : Personnes spécifiques

• Utilisateurs authentifiés : Lecture/écriture

17. Accédez à C:\Research et ouvrez ses propriétés.

18. Dans l'onglet Classification, définissez la valeur Service sur Research.

 Tâche 9 : Configurer des règles de stratégie d'accès centralisée

1. Basculez vers LON-DC1.

2. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Centre d'administration
Active Directory.

3. Dans la console Centre d'administration Active Directory, cliquez sur Contrôle d'accès dynamique,
puis ouvrez le conteneur Central Access Rules.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-33

4. Créez une nouvelle règle d'accès central avec les valeurs suivantes :

• Nom : Correspondance de service

• Ressource cible : Créez une nouvelle condition comme suit : Ressource-Department-Est

égal à-Valeur-Research

• Autorisations :
 Cliquez sur Utiliser les autorisations suivantes en tant qu'autorisations actuelles
 Supprimez le groupe Administrateurs
• Ajoutez le groupe Utilisateurs authentifiés

• Attribuez à ce groupe le droit de modification, de lecture et d'exécution, de lecture et

d'écriture avec la condition Utilisateur-Service de société-Est égal à-Ressource-Department
5. Créez une autre règle d'accès central avec les valeurs suivantes :

• Nom : Accéder aux documents confidentiels

• Ressource cible : Créez une nouvelle condition comme suit : Ressource-Confidentiality-Est

égal à-Valeur-High

• Autorisations :
 Cliquez sur Utiliser les autorisations suivantes en tant qu'autorisations actuelles
 Supprimez le groupe Administrateurs
 Ajoutez le groupe Utilisateurs authentifiés
 Attribuez à ce groupe le droit de modification, de lecture et d'exécution, de lecture
et d'écriture avec la condition Utilisateur-Groupe-Membre de chaque-Valeur-
Responsables
 Attribuez à la deuxième condition la valeur Périphérique-Groupe-Membre de chaque-
Valeur-ManagersWKS

 Tâche 10 : Créer et publier la stratégie d'accès centralisée

1. Sur LON-DC1, dans le centre d'administration Active Directory, créez une nouvelle stratégie
Central Access Policies avec les valeurs suivantes :

• Nom : Protéger les documents confidentiels

• Règles comprises : Accéder aux documents confidentiels

2. Créez une autre stratégie d'accès centralisée avec les valeurs suivantes :

• Nom : Correspondance de service

• Règles comprises : Correspondance de service

3. Ouvrez la console Gestion de stratégie de groupe.

4. Créez un nouvel objet de stratégie de groupe nommé Stratégie DAC et liez-le à l'unité
d'organisation Test.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-34 Planification et implémentation des services de fichiers

5. Modifiez la stratégie DAC et accédez à Configuration ordinateur/Stratégies/

Paramètres Windows/Paramètres de sécurité/Système de fichiers, puis cliquez
avec le bouton droit sur Stratégie d'accès central.

6. Cliquez sur Gérer les stratégies d'accès centralisées.

7. Cliquez sur Correspondance de service et sur Protéger les documents confidentiels, cliquez sur
Ajouter, puis cliquez sur OK.

8. Fermez l'Éditeur et la Console Gestion de stratégie de groupe.

 Tâche 11 : Appliquer une stratégie d'accès centralisée

1. Basculez vers LON-SVR1.

2. Sur LON-SVR1, démarrez Windows PowerShell®.

3. Actualisez la stratégie de groupe en ouvrant Windows PowerShell et en exécutant gpupdate /force.

4. Ouvrez l'Explorateur de fichiers et accédez au dossier C:\Docs.

5. Ouvrez les propriétés de ce dossier, puis accédez à Sécurité\Avancé\Stratégie centralisée.

6. Appliquez la stratégie centralisée Protéger les documents confidentiels au dossier C:\Docs.

7. Accédez au dossier C:\Research, puis ouvrez ses propriétés.

8. Accédez à Sécurité\Avancé\Stratégie centralisée.

9. Appliquez la stratégie centralisée Correspondance de service au dossier C:\Research.

 Tâche 12 : Configurer les paramètres d'action corrective en cas d'accès refusé

1. Basculez vers LON-DC1.
2. Sur LON-DC1, ouvrez la Console Gestion de stratégie de groupe.

3. Dans la Console Gestion de stratégie de groupe, accédez à Forêt : [Link]\Domaines\

[Link]\Objets de stratégie de groupe, puis modifiez la stratégie DAC.
4. Dans le nœud Configuration ordinateur, accédez à Stratégies\Modèles d'administration :
définitions de stratégies (fichiers ADMX) récupérées à partir de l'ordinateur local\Système,
puis cliquez sur Assistance en cas d'accès refusé.

5. Basculez vers LON-SVR1.

6. Sur LON-SVR1, utilisez Windows PowerShell pour actualiser la stratégie de groupe.

 Tâche 13 : Vérifier la fonctionnalité de contrôle d'accès dynamique

1. Basculez vers LON-CL1.

2. Connectez-vous à LON-CL1 en tant qu'Adatum\April avec le mot de passe Pa$$w0rd.

3. Cliquez sur la mosaïque Bureau, puis ouvrez l'Explorateur de fichiers.

4. Dans l'Explorateur de fichiers, accédez à \\LON-SVR1\Docs.

5. Vérifiez que vous pouvez seulement ouvrir Doc3.

6. Essayez d'accéder à \\LON-SVR1\Research. Vous ne devriez pas pouvoir y accéder.

7. Cliquez sur Demander de l'aide, examinez les options disponibles, puis cliquez sur Fermer.

8. Déconnectez-vous de LON-CL1.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 10-35

9. Connectez-vous à LON-CL1 en tant que Adatum\Allie avec le mot de passe Pa$$w0rd.

10. Ouvrez l'Explorateur de fichiers et tentez d'accéder à \\LON-SVR1\Research.

Remarque : Vous devriez être en mesure d'accéder à ce dossier et d'ouvrir les documents
qui s'y trouvent, car Allie est membre du service Recherche.

11. Déconnectez-vous de LON-CL1.

Remarque : Au cours de cet atelier pratique, vous ne testerez pas l'accès aux fichiers
à partir d'un ordinateur qui N'est PAS membre du groupe ManagersWKS.

 Tâche 14 : Afficher les autorisations effectives

1. Sur LON-SVR1, ouvrez la boîte de dialogue Propriétés de C:\Research.
2. Ouvrez les options avancées de Sécurité.

3. Cliquez sur l'onglet Accès effectif.

4. Cliquez sur April, puis sur Afficher l'accès effectif. April ne devrait pas avoir accès à ce dossier.
5. Ajoutez une revendication d'utilisateur : Inclure une revendication utilisateur :

• Service de société = Research

6. Vérifiez qu'April dispose maintenant d'un accès.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-SVR1 et 22413B-LON-CL1.

Résultats : À la fin de cet exercice, vous devez avoir correctement planifié et implémenté le contrôle
d'accès dynamique.

Question : Pour quelle approche avez-vous opté lors de la conception de l'accès

aux données ?

Question : Pour quelle approche avez-vous opté lors de la conception du contrôle

d'accès dynamique ?

Question : Comment votre organisation implémente-elle l'accès aux données pour

les succursales ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
10-36 Planification et implémentation des services de fichiers

Contrôle des acquis et éléments à retenir

Question(s) de contrôle des acquis
Question : Quel est le principal avantage d'un espace de noms DFS basé sur un domaine ?

Question : En quoi la fonctionnalité BranchCache diffère-t-elle du système de fichiers DFS ?

Question : Pourquoi préféreriez-vous implémenter BranchCache en mode de cache hébergé

plutôt qu'en mode de cache distribué ?

Question : Qu'est-ce qu'une revendication ?

Question : Quel est le rôle d'une stratégie d'accès centralisée ?

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-1

Module 11
Conception et implémentation des services d'accès réseau
Table des matières :
Vue d'ensemble du module 11-1

Leçon 1 : Conception et implémentation des services d'accès à distance 11-2

Leçon 2 : Conception de l'authentification RADIUS à l'aide de NPS 11-18

Leçon 3 : Conception d'un réseau de périmètre 11-27

Leçon 4 : Planification et implémentation de DirectAccess 11-33

Atelier pratique : Conception et implémentation des services d'accès réseau 11-48

Contrôle des acquis et éléments à retenir 11-64

Vue d'ensemble du module

Lorsque vous concevez l'accès réseau à distance, vous devez soigneusement planifier l'accès pour
les utilisateurs qui tentent de se connecter aux ressources réseau en dehors de votre organisation.
Sans prendre dûment en compte la meilleure façon d'activer l'accès réseau à distance, vous risquez de
laisser vos ressources réseau exposées aux violations de sécurité et à une éventuelle utilisation abusive.

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• expliquer comment concevoir et implémenter des services d'accès à distance ;

• expliquer comment concevoir une solution RADIUS (Remote Authentication Dial-in User Service) ;

• expliquer comment concevoir un réseau de périmètre ;

• décrire le processus de planification et d'implémentation de la fonctionnalité DirectAccess.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-2 Conception et implémentation des services d'accès réseau

Leçon 1
Conception et implémentation des services d'accès
à distance
Lorsque vos utilisateurs nécessitent un accès à distance aux ressources réseau et aux applications de
votre organisation, vous devez déterminer comment fournir cet accès en toute sécurité. Vous pouvez
décider d'implémenter l'accès à un réseau privé virtuel (VPN). Dans le cadre de la conception de votre
infrastructure VPN, vous devez identifier le protocole de tunneling VPN à implémenter, sélectionner
le matériel adéquat, puis placer le serveur VPN dans un emplacement approprié.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• déterminer les facteurs importants lors de la sélection de la conception de l'accès réseau ;

• décrire les différentes méthodes d'accès à distance ;

• sélectionner un protocole de tunneling VPN approprié ;

• décrire comment sélectionner une méthode d'authentification et de chiffrement appropriée ;

• décrire comment planifier une stratégie de services d'accès à distance ;

• décrire comment planifier et configurer des stratégies d'accès réseau ;

• concevoir une stratégie de services d'accès à distance appropriée ;

• implémenter un VPN et configurer des stratégies d'accès réseau.

Éléments à prendre en compte pour l'implémentation de l'accès réseau

Lors de la conception de l'accès réseau,
vous devez d'abord recueillir les informations
nécessaires sur vos besoins professionnels et
ceux de vos utilisateurs. Vous devez ensuite
identifier vos besoins en matière de sécurité,
en fonction de l'évaluation des besoins propres
à votre organisation et à vos utilisateurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-3

Exigences de l'entreprise
Grâce aux exigences stratégiques de votre organisation, vous pouvez comprendre comment
les différents groupes d'utilisateurs au sein et dehors de votre organisation utilisent l'accès réseau
à distance. Vous devez prendre en compte les exigences suivantes :

• Personnel interne. Différents membres du personnel de votre organisation devront peut-être

accéder aux données à partir d'emplacements non traditionnels. Dans le personnel interne,
vous devez prendre en compte les cadres itinérants, les vendeurs en visite chez les clients,
les utilisateurs d'appareils mobiles et les utilisateurs distants avec des connexions sans fil.
• Utilisateurs externes. Vous devrez peut-être permettre aux utilisateurs externes d'accéder aux
données ou aux applications de votre organisation. Les utilisateurs externes peuvent inclure
des partenaires, des fournisseurs ou des sous-traitants.
• Données accessibles. Le type d'accès à fournir doit être déterminé en partie par le type de données
auxquelles les utilisateurs doivent accéder. Si l'utilisateur doit accéder à une application à distance,
les services Bureau à distance (RDS) peuvent être une solution efficace. Si l'utilisateur doit accéder
à un petit volume de données, un site Web sécurisé peut être la solution la plus appropriée.

Exigences des utilisateurs

Lors de l'identification des besoins des utilisateurs, vous devez prendre en compte la façon dont les
utilisateurs utilisent les connexions à distance et le type de travaux entrepris par ce biais. Vous devez
prendre en compte les éléments suivants :

• Tâches effectuées par le personnel interne. Le type d'accès que vous fournissez peut varier en
fonction des tâches effectuées par le personnel interne. Par exemple, les applications nécessitant
une connectivité rapide des données peuvent ne pas être appropriées pour les connexions VPN.

• Tâches effectuées par les utilisateurs externes. Le type d'accès que vous choisissez de fournir peut
varier en fonction des tâches effectuées par les utilisateurs externes. Par exemple, si les utilisateurs
externes entrent des données dans une application Web, vous pouvez envisager d'utiliser SSL
(Secure Sockets Layer) pour apporter une sécurité suffisante.
• Durée de la connexion. La durée d'une connexion utilisateur est importante, car la durée de
connexion pour certaines méthodes d'accès réseau est limitée. Vous devez vérifier que votre
méthode d'accès réseau autorise des connexions avec la durée requise pour éviter tout problème
aux utilisateurs. Par exemple, si les utilisateurs externes se connectent au VPN jusqu'à 12 heures
consécutives, vous devez vérifier que le serveur VPN autorise des connexions d'au moins 12 heures.

• Nombre d'utilisateurs simultanés. Vous devez concevoir votre solution d'accès réseau pour prendre
en charge le nombre maximal d'utilisateurs simultanés que vous attendez et allouez pour la
croissance. Par exemple, si vous prévoyez 150 connexions VPN simultanées, vous devez vérifier
que votre connexion Internet et votre serveur VPN peuvent gérer cette capacité, et plus encore.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-4 Conception et implémentation des services d'accès réseau

Exigences en matière de sécurité

Après la détermination et l'organisation de votre accès réseau, vous devez maintenant étudier
soigneusement la façon dont vous allez fournir cet accès de façon sécurisée. Lorsque vous déterminez
les exigences en matière de sécurité, vous devez prendre en compte les éléments suivants :

• Types d'ordinateurs clients. Les différents systèmes d'exploitation proposent des fonctionnalités
de sécurité différentes. Lorsque vous connaissez les types d'ordinateurs clients utilisés dans votre
organisation, vous pouvez déterminer si une solution autre que Microsoft est nécessaire pour
obtenir davantage de sécurité.
• Nécessité de cryptage. Généralement, les données qui transitent sur un réseau public doivent
être chiffrées. En fonction du degré de sensibilité des données, vous devrez peut-être également
les chiffrer sur vos réseaux internes.
• Zones de réseau accessibles. Dans le cadre d'une conception de sécurité, vous devez segmenter
votre réseau en zones de sécurité. Vous pouvez limiter les types de clients spécifiques aux zones
de sécurité spécifiques pour réduire le risque qu'un utilisateur non autorisé obtienne l'accès aux
données. Par exemple, vous pouvez donner accès aux utilisateurs VPN à un seul sous-ensemble de
serveurs de votre organisation et rendre les données sensibles inaccessibles via une connexion VPN.

Meilleures pratiques
Lorsque vous exécutez cette analyse des besoins et cette évaluation de sécurité initiales pour la
conception de votre infrastructure d'accès réseau à distance, respectez les consignes suivantes :

• Déterminez l'infrastructure d'accès réseau existante et documentez-la. Recueillez des informations

sur le nombre et les types d'utilisateurs, les types de connexions utilisées et la durée des connexions.
En outre, recueillez des informations sur les types de serveurs et d'ordinateurs clients utilisés, ainsi
que les protocoles de connexion utilisés.

• Interrogez les groupes d'administrateurs, d'utilisateurs, d'applications, de sécurité, de gestion et

tous les autres groupes qui feront partie de la conception d'accès réseau. L'incapacité à recueillir
des informations sur un groupe clé risque de provoquer l'échec de votre conception.

• Recueillez des données sur les besoins en matière de sécurité propres à votre organisation. Pour
élaborer une conception correcte, il faut trouver le juste équilibre entre deux types de besoins :
garantir l'accès aux données de l'entreprise et veiller à la sécurité en limitant judicieusement
cet accès. Si vous ne collectez pas les informations de sécurité voulues, votre conception
risque de présenter des failles de sécurité et être accessible aux utilisateurs non autorisés.

Collectez des informations sur les besoins futurs de votre organisation. En principe, la plupart des
conceptions d'accès réseau prennent en compte la croissance prévue pour les trois à cinq années
à venir. Cela permet de garantir que votre conception restera utile au fil du temps et évitera une
nouvelle conception onéreuse dans un avenir proche.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-5

Méthodes d'accès à distance

Vous pouvez faciliter une connexion réseau
à distance de différentes manières. Selon
votre stratégie réseau, vous pouvez utiliser VPN,
l'appel de procédure distante (RPC) sur HTTPS
ou la fonctionnalité du système d'exploitation
Windows, DirectAccess.

VPN
Un VPN fournit une connexion point à point
entre les composants d'un réseau privé via un
réseau public, comme Internet, par exemple.
Les protocoles de tunneling permettent à un
client VPN d'établir et de gérer une connexion
au port virtuel d'écoute d'un serveur VPN.
Pour émuler une liaison point à point, les données sont encapsulées (ou intégrées) et préfixées à l'aide
d'un en-tête. Cet en-tête contient des informations de routage permettant aux données devant être
transmises sur le réseau partagé ou public d'atteindre leur destination.

Pour émuler une liaison privée, les données sont chiffrées afin d'assurer la confidentialité. Les paquets
qui sont interceptés sur le réseau partagé ou public sont indéchiffrables sans clé de chiffrement.
La liaison dans laquelle les données privées sont encapsulées et chiffrées est appelée connexion VPN.

Il existe deux types de connexions VPN :

• Accès à distance. Les connexions VPN d'accès à distance permettent aux utilisateurs qui travaillent
à domicile, chez un client, ou à partir d'un point d'accès sans fil public, d'accéder aux ressources
de votre organisation en utilisant un réseau public, comme Internet.

• Site à site. Les connexions VPN de site à site permettent à votre organisation d'utiliser des connexions
routées entre des bureaux éloignés les uns des autres (ou avec d'autres organisations) sur un réseau
public pour assurer la sécurité des communications. Elles sont également appelées connexions VPN
routeur à routeur
Du côté de l'utilisateur, la connexion VPN est une connexion point à point entre l'ordinateur, le client
VPN et les ressources de votre organisation. L'infrastructure exacte entre le client et la ressource n'a
pas d'importance, car cette connexion fonctionne comme si les données étaient envoyées sur une
liaison privée dédiée.

L'avantage d'implémenter des VPN est qu'ils fournissent un bon équilibre entre flexibilité et sécurité.
Les VPN sont également largement adoptés et sont une technologie bien comprise.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-6 Conception et implémentation des services d'accès réseau

Protocoles de tunneling via HTTP

La plupart des pare-feu d'entreprise autorisent le passage du trafic HTTP ou HTTP sur SSL sur leur intranet.
Vous pouvez tirer parti de ceci en configurant quelques applications clientes pour communiquer avec
leurs serveurs respectifs à l'aide du tunnel HTTP sur SSL.

Le principal avantage de cette méthode réside dans le fait que vous pouvez utiliser votre infrastructure
réseau existante sans trop de modifications ou sans aucune modification. Par exemple, RPC sur HTTPS
utilise les datagrammes TCP (Transmission Control Protocol) sur le port TCP 443, qui est le port utilisé
pour l'accès sécurisé de site Web. Cependant, toutes les applications ne prennent pas en charge les RPC
et une proportion encore plus faible fournit encore la fonctionnalité permettant d'implémenter RPC
sur HTTPS.

Par exemple, Microsoft® Outlook® 2010 prend en charge la capacité de se connecter directement
à un serveur d'accès au client Microsoft Exchange Server 2010 de votre organisation sans recourir
à VPN. Dans un scénario d'accès à distance, vous pouvez reconfigurer l'application cliente Outlook
pour implémenter le RPC sur HTTP ou HTTPS. Ceci facilite une connexion directe entre l'application
côté client et l'application côté serveur. Dans cet exemple, il s'agit du rôle serveur d'accès au client
Exchange Server 2010. Dans ce scénario, HTTP est utilisé comme protocole de transport pour
d'autres protocoles. Dans cet exemple, il s'agit des RPC.
Vous pouvez également implémenter des applications basées sur le protocole RDP
(Remote Desktop Protocol) via HTTPS en implémentant une passerelle RDP.

DirectAccess
DirectAccess est une fonctionnalité des systèmes d'exploitation Windows qui active l'accès à distance
transparent aux ressources intranet sans établir de connexion VPN au préalable. La fonctionnalité
DirectAccess garantit également une connectivité transparente sur l'infrastructure d'applications
pour les utilisateurs internes et les utilisateurs distants.

À la différence des VPN qui nécessitent l'intervention de l'utilisateur pour établir une connexion à un
intranet, DirectAccess permet à toutes les applications sur l'ordinateur client d'avoir un accès complet
aux ressources intranet. DirectAccess vous permet également de spécifier les ressources et les applications
côté client qui sont limitées en ce qui concerne l'accès à distance.

Les organisations tirent parti de DirectAccess car les administrateurs peuvent gérer les ordinateurs
distants comme s'ils étaient des ordinateurs locaux. Les organisations peuvent utiliser les mêmes serveurs
de gestion et de mise à jour pour garantir que ces ordinateurs sont toujours mis à jour et conformes
aux stratégies de contrôle d'intégrité système et de sécurité. Vous pouvez également définir des stratégies
d'accès plus détaillées pour l'accès à distance par rapport aux stratégies de contrôle d'accès définies dans
les solutions VPN.

Les avantages de DirectAccess tiennent au fait qu'il offre les fonctionnalités suivantes :
• Connectivité toujours activée

• Connectivité transparente

• Accès bidirectionnel

• Sécurité renforcée

• Solution intégrée

Cependant, vous devez planifier et apporter quelques modifications à votre infrastructure réseau
pour implémenter DirectAccess.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-7

Sélection d'un protocole de tunneling approprié

Si vous décidez d'implémenter une solution VPN,
vous devez choisir le protocole de tunneling VPN
que vous utiliserez. Windows Server® 2012 prend
en charge quatre protocoles de tunneling VPN :

• Protocole PPTP
(Point-to-Point Tunneling Protocol)

• Protocole L2TP/IPsec
(Layer Two Tunneling Protocol over
Internet Protocol security)

• Protocole SSTP
(Secure Socket Tunneling Protocol)

• Protocole IKEv2 version 2 (Internet Key Exchange)

PPTP
Le protocole PPTP vous permet de chiffrer et d'encapsuler le trafic multiprotocole qui est envoyé ensuite
sur un réseau IP privé ou sur un réseau IP public comme Internet. Vous pouvez utiliser le protocole PPTP
pour les connexions d'accès à distance et les connexions VPN de site à site. Si vous utilisez Internet
comme réseau public VPN, le serveur PPTP est un serveur VPN PPTP avec une interface sur Internet
et une seconde interface sur le réseau intranet.
Les trames PPTP sont chiffrées avec le cryptage Microsoft Point-to-Point (MPPE) à l'aide de clés de
chiffrement qui sont générées à partir du Protocole CHAP (Challenge Handshake Authentification
Protocol) de Microsoft, version 2 (MS-CHAP v2) ou de la procédure d'authentification EAP-TLS
(Extensible Authentification Protocol-Transport Layer Security). Les clients VPN doivent utiliser
le protocole d'authentification MS-CHAPv2 ou EAP-TLS pour que les charges utiles des trames PPP
puissent être chiffrées.

Pour implémenter le protocole PPTP, vous devez configurer votre pare-feu de manière à autoriser
le port TCP 1723 et le protocole IP 47.

L2TP
Le protocole L2TP permet de transmettre des données sur tout support prenant en charge la remise
de datagramme point à point, comme le trafic IP ou le mode de transfert asynchrone. Le protocole L2TP
est une combinaison des protocoles PPTP et L2F (Layer 2 Forwarding). Il regroupe les meilleures
fonctionnalités des deux.

Le protocole L2TP s'appuie sur IPsec en mode transport pour les services de chiffrement.
La combinaison des protocoles L2TP et IPsec est appelée L2TP/IPsec. Le message L2TP est chiffré
avec un des protocoles suivants à l'aide des clés de chiffrement générées à partir du processus de
négociation IKE (Internet Key Exchange) : Algorithmes de chiffrement AES 256, AES 192, AES 128
(Advanced Encryption Standard) et 3DES (Triple Data Encryption Standard).

Pour implémenter le protocole L2TP, vous devez configurer votre pare-feu de manière à autoriser
le port UDP 500, le port UDP 1701, le port UDP 4500 (User Datagram Protocol) et le protocole IP 50.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-8 Conception et implémentation des services d'accès réseau

SSTP
Le protocole SSTP est un nouveau protocole de tunneling qui utilise le protocole HTTPS sur
le port TCP 443 pour faire transiter le trafic à travers des pare-feu et des proxys Web qui peuvent
bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP fournit un mécanisme permettant d'encapsuler
le trafic PPP (Point-to-Point Protocol) sur le canal SSL du protocole HTTPS.

Remarque : En raison de la dépendance du protocole SSTP au protocole HTTPS, vous

pouvez être quasi certain de pouvoir initialiser une connexion VPN à l'aide du protocole SSTP
dans lequel d'autres types de tunnels ne sont pas autorisés. Par exemple, dans un hôtel où le
pare-feu n'autorise que le passage du trafic HTTP et HTTPS, vous pouvez tout de même utiliser
un tunnel basé sur le protocole SSTP.

L'utilisation du protocole PPP permet la prise en charge de méthodes d'authentification fortes,

telles qu'EAP-TLS. Le protocole SSL offre une sécurité au niveau du transport avec une négociation
des clés améliorée, un chiffrement et un contrôle d'intégrité.

Remarque : Les protocoles PPTP, L2TP et SSTP dépendent largement des fonctionnalités
spécifiées à l'origine pour le protocole PPP. Le protocole PPP a été conçu pour envoyer des
données via des connexions point à point d'accès à distance ou dédiées. Dans le cadre des
paquets IP, le protocole PPP encapsule les paquets IP dans des trames PPP, puis transmet les
paquets PPP encapsulés via une liaison point à point. Le protocole PPP a été défini à l'origine
comme le protocole à utiliser entre un client d'accès à distance et un serveur d'accès réseau.

IKEv2
Pour les ordinateurs exécutant Window 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012,
vous pouvez utiliser IKEv2. IKEv2 utilise le protocole de mode de tunnel IPsec sur le port UDP 500.
En raison de sa prise en charge de la mobilité, IKEv2 est beaucoup plus tolérant au changement de
connectivité réseau. Cela en fait le choix idéal pour la main d'œuvre mobile qui se déplace entre les points
d'accès et qui passe même de connexions câblées à des connexions sans fil. Une connexion VPN IKEv2
offre une tolérance au client VPN quand le client passe d'un point d'accès sans fil public à un autre,
ou quand il passe d'une connexion sans fil à une connexion câblée. Cette capacité est une spécification
de la Reconnexion VPN, qui est une fonctionnalité de Windows 7 et Windows 8.

Remarque : La Reconnexion VPN utilise la technologie IKEv2 pour fournir une

connectivité VPN transparente et cohérente. La Reconnexion VPN rétablit une connexion VPN
automatiquement quand la connectivité Internet est de nouveau disponible. Les utilisateurs qui
se connectent via une large bande mobile sans fil tireront davantage parti de cette fonctionnalité.

L'utilisation des protocoles IKEv2 et IPsec permet la prise en charge des méthodes de chiffrement
et d'authentification fortes.

Remarque : Vous pouvez configurer le temps maximal d'indisponibilité du réseau

autorisé pour une connexion VPN IKEv2. Celui-ci est de 30 minutes par défaut, mais peut
varier de cinq minutes à huit heures.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-9

Comparaison des protocoles de tunneling

Lorsque vous devez faire un choix entre les solutions VPN d'accès à distance PPTP, L2TP/IPsec, SSTP
et IKEv2, prenez en considération les éléments suivants :

• Vous pouvez utiliser le protocole PPTP avec différents clients Microsoft, notamment Microsoft
Windows 2000 Server, Windows XP, Windows Vista®, Windows 7, Windows 8, Windows Server 2008,
Windows Server 2008 R2 et Windows Server 2012. Contrairement au protocole L2TP/IPsec, PPTP ne
requiert pas l'utilisation d'une infrastructure à clé publique (PKI, Public Key Infrastructure). De par leur
utilisation du chiffrement, les connexions VPN basées sur le protocole PPTP assurent la confidentialité
des données, car les paquets capturés ne peuvent pas être interprétés sans la clé de chiffrement.
Cependant, les connexions VPN basées sur le protocole PPTP ne fournissent pas :

o l'intégrité des données, qui prouve que les données n'ont pas été modifiées pendant leur transit ;
o l'authentification de l'origine des données, qui prouve que les données ont été envoyées
par l'utilisateur autorisé.

• Vous ne pouvez utiliser le protocole L2TP qu'avec les ordinateurs clients qui exécutent
Windows 2000 Server, Windows XP, Windows Vista, Windows 7 ou Windows 8. Le protocole L2TP
prend en charge les certificats d'ordinateur ou une clé prépartagée comme méthode
d'authentification IPsec. L'authentification par certificat d'ordinateur (méthode recommandée)
requiert qu'une infrastructure à clé publique émette des certificats d'ordinateur sur le serveur VPN
et tous les clients VPN. Grâce à IPsec, les connexions VPN L2TP/IPsec assurent la confidentialité,
l'intégrité et l'authentification des données.
À la différence des protocoles PPTP et SSTP, le protocole L2TP/IPsec permet l'authentification
d'ordinateur au niveau de la couche IPsec et l'authentification d'utilisateur au niveau de la
couche PPP.
• Certains clients plus anciens ont des difficultés à utiliser IPsec à partir d'un périphérique de traduction
d'adresses réseau (NAT). Dans ces cas précis, l'utilisation de L2TP/IPsec peut être exclue.

• Vous ne pouvez utiliser le protocole SSTP qu'avec des ordinateurs clients qui exécutent
Windows Vista Service Pack 1 (SP1), Windows 7, Windows 8, Windows Server 2008,
Windows Server 2008 R2 ou Windows Server 2012. Grâce au protocole SSL, les connexions VPN SSTP
reposant sur le protocole assurent la confidentialité, l'intégrité et l'authentification des données.
À la différence des protocoles L2TP et PPTP, vous devez pas reconfigurer votre pare-feu pour prendre
en charge les connexions SSTP. Cependant, le protocole SSTP ne prend pas en charge les connexions
de site à site comme le font les protocoles PPTP et L2TP. Bien que le protocole SSL nécessite
un certificat, il ne doit être installé que sur le serveur VPN. Toutefois, les clients VPN ont besoin
du certificat d'autorité de certification dans leur liste de confiance.

• IKEv2 prend en charge la Reconnexion VPN, qui n'est pas prise en charge par les autres protocoles.
Cependant, souvenez-vous qu'IKEv2 n'est pris en charge que par Windows 7, Windows 8,
Windows Server 2008 R2 et Windows Server 2012.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-10 Conception et implémentation des services d'accès réseau

Choix d'une méthode d'authentification et de chiffrement

Avant d'activer l'accès réseau à distance pour
les ressources et applications dans votre réseau,
vous devez réfléchir à la manière dont vous allez
implémenter l'authentification et le chiffrement
pour répondre aux besoins de conception
en matière de sécurité.

Authentification
Vous pouvez choisir entre les méthodes
d'authentification suivantes :

• Protocole PAP
(Password Authentication Protocol).
Ce protocole utilise des mots de passe en clair et constitue le protocole d'authentification le moins
sûr. Il est généralement négocié si le client et le serveur d'accès à distance ne parviennent pas à
négocier une forme plus sécurisée de validation. Le protocole PAP, inclus dans Windows Server 2012,
prend en charge des systèmes d'exploitation clients antérieurs ne prenant en charge aucune autre
méthode d'authentification.

• Protocole CHAP (Challenge Handshake Authentication Protocol). Ce protocole est un protocole

d'authentification de type demande/réponse qui utilise le schéma de hachage MD5 standard
pour chiffrer la réponse. Plusieurs fournisseurs de clients et serveurs d'accès réseau utilisent le
protocole CHAP. Le protocole CHAP nécessitant l'utilisation d'un mot de passe chiffré réversible,
songez à utiliser un autre protocole d'authentification, par exemple MS-CHAP v2.
• MS-CHAP v2. Le protocole MS-CHAP v2 est un processus d'authentification mutuelle par mot
de passe chiffré à sens unique. Il fonctionne comme suit :

a. L'authentificateur (serveur d'accès à distance ou ordinateur qui exécute NPS

(Network Policy Server)) envoie au client d'accès à distance une demande d'accès. Celle-ci
se compose d'un identificateur de session et d'une chaîne de demande d'accès arbitraire.

b. Le client d'accès à distance envoie une réponse qui contient un chiffrement à sens unique de
la chaîne de demande d'accès reçue, la chaîne de demande d'accès de l'homologue arbitraire,
l'identificateur de session et le mot de passe de l'utilisateur.

c. L'authentificateur vérifie la réponse du client et renvoie une réponse contenant une indication de
la réussite ou de l'échec de la tentative de connexion et une réponse authentifiée reposant sur la
chaîne de demande d'accès envoyée, la chaîne de demande d'accès de l'homologue, la réponse
chiffrée du client et le mot de passe de l'utilisateur.

d. Le client d'accès à distance vérifie la réponse d'authentification et utilise la connexion si celle-ci

est valide. Si la réponse d'authentification est incorrecte, le client d'accès à distance met fin
à la connexion.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-11

• Protocole EAP (Extensible Authentication Protocol). Grâce au protocole EAP, un mécanisme

d'authentification arbitraire authentifie une connexion d'accès à distance. Le client d'accès
à distance et l'authentificateur (le serveur d'accès à distance ou le serveur RADIUS) négocient
le modèle d'authentification exact à utiliser. Le service Routage et accès distant inclut la prise
en charge du protocole EAP-TLS par défaut. Vous pouvez de ce fait connecter d'autres modules EAP
au serveur exécutant le service Routage et accès distant de manière à fournir d'autres méthodes EAP.

• Autres options. Outre les méthodes d'authentification précédemment mentionnées, il existe deux
autres options que vous pouvez activer lors de la sélection d'une méthode d'authentification :
• Accès non authentifié. L'accès non authentifié permet aux systèmes distants de se connecter sans
authentification. Il est recommandé de ne jamais activer cette option dans un environnement de
production, car elle constitue un risque pour votre réseau. Néanmoins, elle peut parfois s'avérer
utile pour résoudre les problèmes d'authentification dans un environnement de test.

• Certificat d'ordinateur pour IKEv2. Sélectionnez cette option pour utiliser la reconnexion VPN.

Chiffrement
La méthode de chiffrement que vous sélectionnez pour sécuriser les données pendant le transit varie
en fonction du type de connexion réseau que vous prévoyez d'utiliser. Windows Server 2012 prend
en charge l'utilisation des éléments suivants :
• MPPE. MPPE utilise le chiffrement par clé publique RSA pour le chiffrement et le déchiffrement,
avec un chiffrement par flux RC4 pour chiffrer les données des connexions PPP ou PPTP.
Les connexions PPTP emploient MPPE avec l'authentification MS-CHAP, MS-CHAP v2,
EAP-MD5 Challenge ou EAP-TLS. (Notez que nous vous déconseillons d'utiliser EAP-MD5
en raison de ses faiblesses en matière de sécurité.)

• IPsec. IPsec est utilisé pour le chiffrement par les connexions VPN L2TP. L'authentification
effectuée par IPsec peut être basée sur une clé pré-partagée, une authentification Kerberos
ou des certificats. Toutefois, nous recommandons de baser l'authentification sur des certificats.
En outre, L2TP effectuera l'authentification basée sur l'utilisateur avec le protocole CHAP, MS-CHAP,
MS-CHAP v2, EAP-MD5 Challenge ou EAP-TLS. IPsec prend également en charge les VPN IKEv2.

• SSL. SSL est utilisé pour le chiffrement par les connexions VPN SSTP. SSL requiert l'installation d'un
certificat sur le serveur, mais pas sur les ordinateurs clients. SSL est compatible avec les pare-feu,
car il s'agit d'un protocole Web.

IPsec et SSL sont plus sûrs que le chiffrement MPPE. IPsec fournit une sécurité supplémentaire pour
l'authentification en requérant l'authentification informatisée. Cependant, cette authentification
informatisée requiert des tâches administratives supplémentaires.

Meilleures pratiques
Lorsque vous choisissez des méthodes et des protocoles d'authentification et de chiffrement, sélectionnez
toujours le mode d'authentification et de chiffrement le plus puissant et le plus sécurisé pris en charge par
tous les composants dans votre infrastructure réseau. Là où la sécurité est particulièrement importante,
envisagez également d'implémenter l'authentification multifacteur. L'authentification multifacteur utilise
une combinaison de composants en plus des noms d'utilisateurs et des mots de passe. Cela permet
de mieux sécuriser l'accès aux ressources réseau. Par exemple, le déploiement d'une solution de cartes
à puce est une solution couramment adoptée pour implémenter l'authentification multifacteur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-12 Conception et implémentation des services d'accès réseau

Planification d'une stratégie de services d'accès à distance

Lors de la planification d'une stratégie de
services d'accès à distance, vous devez prendre
en compte le matériel à utiliser, le placement des
serveurs VPN et l'environnement utilisateur.

Éléments à prendre en compte

au niveau du matériel
Lorsque vous déterminez le matériel pour une
solution d'accès à distance, vous devez tenir
compte des facteurs suivants :

• Vos besoins en termes de capacité

dépendent de nombreux facteurs,
notamment : le nombre d'utilisateurs, les tâches effectuées par ceux-ci, les emplacements à partir
desquels ils se connectent et le niveau de sécurité qui doit être garanti. Si vous estimez une capacité
insuffisante, votre infrastructure d'accès à distance peut ralentir la productivité des utilisateurs.
En revanche, si vous estimez une capacité trop importante, vous risquez de payer pour la capacité
que vous n'utilisez pas. La configuration de liens de communication vous oblige à déterminer une
capacité de connexion et un jour et une heure appropriés. La capacité de liens doit prendre
en charge le nombre maximal d'utilisateurs attendus, ainsi que la croissance future.

• Sélectionnez un fournisseur de services qui peut répondre à vos besoins en matière de contrat
de niveau de service (contrat SLA, Service Level Agreement). Les besoins en matière de temps de
fonctionnement et de récupération pour les pannes sont un élément important dans un contrat SLA.
Les coûts varieront entre les fournisseurs de contrats SLA en fonction des conditions du contrat SLA.

• Les clients doivent disposer du matériel nécessaire pour prendre en charge la méthode d'accès à
distance que vous avez sélectionnée. Par exemple, si vous fournissez l'accès VPN, les clients doivent
disposer du matériel nécessaire pour se connecter à leur fournisseur Internet. Cela peut nécessiter
une connexion sans fil, Ethernet, ou tout autre type de connexion.

• Les serveurs d'accès à distance peuvent être des serveurs matériels dédiés ou une solution logicielle
telle que celle du Routage et accès distant (RRAS) de Windows Server 2012. En général, la solution
logicielle offre une plus grande souplesse que le périphérique d'accès à distance dédié, car le serveur
sur lequel elle est installée peut assumer d'autres fonctions en plus du service d'accès à distance.

Éléments à prendre en compte pour le placement des serveurs VPN

Prenez en compte les stratégies suivantes lors du placement des serveurs VPN :

• De nombreuses solutions de pare-feu peuvent également être configurées en tant que serveurs VPN.
Vous pouvez envisager cette option si votre pare-feu possède les fonctionnalités requises et la
capacité suffisante. Toutefois, il est intéressant de noter que le coût de cette solution peut être
plus supérieur à celui de l'utilisation du Routage et accès distant (RRAS) de Windows Server.

• Un serveur VPN qui est positionné devant votre pare-feu est une configuration facile à implémenter.
Il vous permet également d'appliquer des règles de pare-feu aux clients qui accèdent au réseau
interne. L'inconvénient majeur de cette stratégie est que votre serveur VPN ne sera pas protégé.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-13

• Un serveur VPN sur votre réseau de périmètre active des règles de pare-feu à appliquer aux clients
entrants et protège votre serveur VPN. Cependant, la configuration des règles de pare-feu est plus
complexe que d'autres options, car vous devez configurer convenablement les deux pare-feu qui
créent le réseau de périmètre. En outre, lorsque le serveur VPN est hébergé sur un réseau de
périmètre, il peut utiliser une adresse IP interne avec les ports redirigés à partir du pare-feu externe.
• Un serveur VPN utilisé parallèlement à un pare-feu est une configuration simple, mais elle ne protège
pas le serveur VPN. En outre, la sécurité de pare-feu n'est pas appliquée aux clients.

Éléments à prendre en compte dans la configuration de l'environnement utilisateur

Lorsque vous déterminez la manière dont vous allez configurer les ordinateurs clients d'accès à distance,
prenez en compte les éléments suivants :

• Mobilité. Les utilisateurs d'accès à distance ont-ils besoin de configurations d'accès couvrant plusieurs
emplacements ? Par exemple, si certains de vos utilisateurs sont souvent en déplacement ou doivent
accéder à votre réseau privé à partir de leur domicile et d'autres emplacements, vous devrez créer
plusieurs environnements de connexion sur le client.
• Sécurité. Le client d'accès à distance étant le point de départ de la demande d'accès à distance,
il est impératif que seuls les utilisateurs autorisés puissent émettre une telle demande. Par exemple,
l'ordinateur portable d'un commercial doit être configuré de telle sorte que cet utilisateur soit le
seul à pouvoir émettre une demande d'accès à distance.

• Nombre d'utilisateurs distants. Si les utilisateurs nécessitant des configurations d'accès à distance
se comptent par centaines, réfléchissez à la charge de travail administratif nécessaire pour
configurer l'accès à distance sur l'ordinateur de chaque utilisateur.

• Distribution. Comment allez-vous concevoir un processus permettant de distribuer à chacun des

utilisateurs de l'accès à distance les paramètres de configuration dont ils ont besoin ? Si, par exemple,
l'ordinateur de l'utilisateur se trouve à son domicile, existe-t-il un site Web via lequel l'utilisateur peut
accéder à la configuration de la connexion ? Ou bien, faudra-t-il fournir un support amovible pour
configurer les paramètres ?

Planification des stratégies d'accès réseau

Les stratégies réseau déterminent si la tentative
de connexion aboutit, et si c'est le cas, la stratégie
réseau définit ensuite des caractéristiques de
connexion, telles que des restrictions de jour
et d'heure, ainsi que des déconnexions
de session en cas d'inactivité.

Les stratégies réseau sont des ensembles

de conditions, de contraintes et de paramètres
qui vous permettent de désigner les personnes
autorisées à se connecter au réseau et les
circonstances dans lesquelles elles peuvent, ou
non, se connecter. En outre, lorsque vous déployez
la Protection d'accès réseau (NAP, Network Access Protection), la stratégie de contrôle d'intégrité est
ajoutée à la configuration de la stratégie réseau afin que le serveur NPS puisse effectuer des contrôles
d'intégrité des clients pendant le processus d'autorisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-14 Conception et implémentation des services d'accès réseau

Vous pouvez envisager les stratégies réseau comme des règles : chaque règle regroupe un ensemble
de conditions et de paramètres. Le serveur NPS compare les conditions de la règle aux propriétés
des demandes de connexion. En cas de correspondance entre la règle et la demande de connexion,
les paramètres définis dans la règle sont appliqués à la connexion.

Lorsque vous configurez plusieurs stratégies réseau sur le serveur NPS, elles constituent un jeu
ordonné de règles. Le serveur NPS vérifie chaque demande de connexion par rapport à la première
règle de la liste, puis à la deuxième, et ainsi de suite, jusqu'à ce qu'une correspondance soit trouvée.

Remarque : Une fois qu'une règle de correspondance est trouvée, le serveur NPS ignore
les autres règles. Par conséquent, il est important de trier convenablement vos stratégies réseau.

Chaque stratégie réseau possède un paramètre État de la stratégie qui vous permet d'activer ou
de désactiver la stratégie. Si vous désactivez une stratégie réseau, le serveur NPS ne l'évalue pas
lors du processus d'autorisation des demandes de connexion.

Contrôle de l'accès réseau avec les stratégies réseau

Lorsque le serveur NPS exécute le processus d'autorisation d'une demande de connexion, il
compare la demande à chaque stratégie réseau de la liste triée de stratégies, en commençant
par la première stratégie.
S'il trouve une stratégie dont les conditions correspondent à la demande de connexion, le serveur NPS
utilise la stratégie correspondante et les propriétés de numérotation du compte d'utilisateur pour réaliser
l'autorisation.

Si vous configurez les propriétés de numérotation du compte d'utilisateur de manière à accorder

ou à contrôler l'accès à l'aide d'une stratégie réseau, et si la demande de connexion est autorisée par
le serveur NPS, ce dernier applique les paramètres configurés dans la stratégie réseau à la connexion
de la façon suivante :

• Si le serveur NPS ne trouve pas de stratégie réseau qui corresponde à la demande de connexion,
il refuse la connexion, sauf si les propriétés de numérotation du compte d'utilisateur sont
configurées pour accorder l'accès.

• Si les propriétés de numérotation du compte d'utilisateur sont configurées pour refuser l'accès,
le serveur NPS rejette la demande de connexion.
• Les stratégies réseau par défaut refusent l'accès à tous les utilisateurs. Cela permet de garantir
que seuls les utilisateurs auxquels vous avez spécifiquement accordé l'accès ont accès. Pour
accorder l'accès aux utilisateurs, créez des stratégies réseau supplémentaires avec des conditions
correspondant aux utilisateurs autorisés.

Lors de la planification de vos stratégies réseau, réfléchissez à la manière dont vous souhaitez
que les contraintes et les conditions contrôlent la connexion de groupes particuliers d'utilisateurs,
puis choisissez les conditions appropriées pour appliquer ces paramètres à ces utilisateurs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-15

Par exemple, supposez que vous avez les deux objectifs suivants :

• Vous souhaitez permettre aux membres du groupe des administrateurs de se connecter

à tout moment dans la semaine, mais insistez sur une connexion de type de tunnel L2TP.

• Vous souhaitez que tous les autres utilisateurs se connectent avec tout type de tunnel,
mais seulement le week-end.

Vous devez étudier comment implémenter deux stratégies réseau pour atteindre cet objectif. Si vous
configurez la condition À tout moment dans la semaine, outre les administrateurs, toutes les autres
tentatives de connexions utilisateur correspondront à cette condition, et par la suite, aux paramètres
au sein de la stratégie. Par conséquent, vous pouvez envisager de créer une condition qui recherche
l'appartenance au groupe Administrateurs du domaine, puis une contrainte de type de tunnel L2TP.
Une deuxième stratégie sera requise pour répondre aux besoins de tous les autres utilisateurs.

Discussion : Conception de l'accès à distance

Northwind Traders possède trois emplacements,
comme indiqué sur la diapositive. Vous disposez
des informations suivantes sur le réseau
de Northwind Traders :
• Le réseau de périmètre contient un serveur
Web et un serveur VPN qui exécutent NPS
et RRAS.

• Le serveur de protocole DHCP (Dynamic

Host Configuration Protocol) fournit des
configurations IPv4 à tous les clients réseau.
• Exchange Server 2010 fournit le courrier
électronique à plusieurs serveurs de rôles qui sont déployés sur chaque emplacement physique.
Les boîtes aux lettres des utilisateurs sont stockées sur leurs serveurs de messagerie locaux.

• Une application métier créée sur Microsoft SQL Server® réside sur le serveur de base de données
du siège social.

• Les contrôleurs de domaine résident dans chaque emplacement physique et fournissent la résolution
de noms du système DNS (Domain Name System).

• Une autorité de certification réside dans le siège social et est utilisée pour délivrer des certificats
privés au sein de l'organisation Northwind Traders.

L'équipe commerciale de Northwind Traders a besoin d'accéder à l'application de base de données

de partout dans le monde. Le directeur commercial a demandé au service informatique de modifier
la conception du réseau pour prendre en charge cette spécification dès que possible. En outre, les
utilisateurs du service des ventes ont demandé l'accès à leur boîte aux lettres électronique pendant
leurs déplacements.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-16 Conception et implémentation des services d'accès réseau

Utilisez les conditions suivantes pour vous aider à déterminer une conception d'accès réseau appropriée :

• Tous les utilisateurs du service des ventes disposent d'un portable avec Windows 7 ou Windows 8.

• Les utilisateurs du service des ventes ont besoin d'accéder à l'application de base de données depuis
le site de leurs clients, leur propre domicile, et depuis leur hôtel lorsqu'ils sont en déplacement.

• La base de données contient des informations confidentielles, et tout autre trafic réseau en direction
et en provenance de la base de données doit être chiffré.

• Il est important que seul le personnel commercial puisse accéder à la base de données à distance.

• Les utilisateurs du service des ventes ont besoin d'accéder à leur courrier électronique lorsqu'ils
sont en déplacement.

Examinez la configuration actuelle, puis en vous servant des informations contenues dans les rubriques
précédentes, déterminez de quelle manière vous concevriez l'accès à distance pour prendre en charge
les besoins des utilisateurs du service des ventes. Pour vous aider, utilisez les questions de discussion
suivantes.

Question : Comment proposeriez-vous de prendre en charge le besoin des utilisateurs

du service des ventes d'accéder à leur messagerie électronique ?

Question : De quels composants réseau supplémentaires avez-vous besoin pour prendre

en charge votre conception, le cas échéant ?
Question : Pour faciliter l'accès aux fichiers de base de données, quel type de tunnel VPN
recommanderiez-vous ?

Démonstration : Implémentation d'un réseau privé virtuel (VPN)

Cette démonstration montre comment :

• configurer un serveur VPN ;

• configurer un client VPN ;

• créer une stratégie VPN basée sur la condition Groupes Windows ;

• tester le VPN.

Procédure de démonstration

Configurer un serveur VPN

1. Sur LON-RTR, ouvrez le Gestionnaire de serveur, puis ajoutez le rôle Services de stratégie
et d'accès réseau.

2. Enregistrez le serveur dans Active Directory® Domain Services (AD DS).

3. Ouvrez Routage et accès distant, et désactivez la configuration existante.

4. Reconfigurez LON-RTR en tant que serveur VPN à l'aide des paramètres suivants :

• Connexion au réseau local 2 correspond à l'interface publique

• Le serveur VPN alloue des adresses du pool : [Link] - [Link]

• Le serveur est configuré avec l'option Non, utiliser Routage et accès distant
pour authentifier les demandes de connexion

5. Démarrez le service VPN.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-17

Configurer un client VPN

1. Sur LON-CL2, créez une connexion VPN avec les propriétés suivantes :

• Adresse Internet de connexion : [Link]

• Nom de la destination : VPN Adatum

• Autoriser d'autres personnes à utiliser cette connexion

2. Une fois le VPN créé, modifiez ses paramètres en affichant les propriétés de la connexion,
puis sélectionnez l'onglet Sécurité pour reconfigurer le VPN à l'aide des paramètres suivants :

• Type de réseau VPN : Protocole PPTP (Point to Point Tunneling Protocol)

• Authentification : Autoriser ces protocoles = Protocole Microsoft CHAP Version 2

(MS-CHAP v2)

3. Testez la connexion VPN.

4. Attendez que la connexion VPN soit établie. Votre connexion échoue. Vous recevez une erreur
relative aux problèmes d'authentification.

Créer une stratégie VPN basée sur la condition Groupes Windows

1. Sur LON-RTR, basculez vers la console Serveur NPS (Network Policy Server).

2. Désactivez les deux stratégies réseau existantes ; elles empêcheraient le traitement de la stratégie
que vous êtes sur le point de créer.

3. Créez une stratégie réseau à l'aide des propriétés suivantes :

• Nom de la stratégie : Stratégie VPN Adatum

• Type de serveur d'accès réseau : Serveur d'accès à distance (VPN-Dial up)

• Condition : Groupes Windows = Admins du domaine

• Autorisation : Accès accordé

• Méthodes d'authentification : valeur par défaut

• Contraintes : valeur par défaut

• Paramètres : valeur par défaut

Tester le VPN
1. Basculez vers LON-CL2.

2. Testez la connexion VPN Adatum. La connexion a maintenant réussi.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-18 Conception et implémentation des services d'accès réseau

Leçon 2
Conception de l'authentification RADIUS à l'aide de NPS
Le rôle NPS dans Windows Server 2012 fournit une prise en charge du protocole RADIUS. Vous pouvez
configurer le serveur NPS en tant que serveur RADIUS ou en tant que proxy RADIUS. Pour concevoir
votre implémentation RADIUS, vous devez connaître les rôles et les scénarios RADIUS pour l'utilisation
des serveurs RADIUS. Dans certains cas, il peut également s'avérer nécessaire de configurer un proxy
RADIUS à l'aide des stratégies de demande de connexion.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les rôles RADIUS tenus par le serveur NPS dans Windows Server 2012 ;

• décrire les composants d'une solution RADIUS ;

• décrire les stratégies de demande de connexion ;

• décrire les éléments à prendre en compte pour la configuration du traitement des demandes
de connexion ;

• expliquer comment concevoir une implémentation RADIUS.

Rôles RADIUS de Windows Server 2012

RADIUS est un protocole d'authentification
standard utilisé par de nombreux fournisseurs
pour prendre en charge l'échange d'informations
d'authentification entre les éléments d'une
solution d'accès à distance. Vous pouvez utiliser
le serveur NPS pour apporter un certain nombre
de fonctions RADIUS à votre infrastructure
d'accès réseau.

Un serveur NPS qui exécute Windows Server 2012

peut agir en tant que serveur RADIUS
et proxy RADIUS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-19

Serveur RADIUS
Les fournisseurs de services Internet et les organisations en charge de l'accès réseau sont confrontés à un
défi plus important, à savoir la gestion de tous les types d'accès réseau à partir d'un point d'administration
unique, indépendamment des types de périphériques d'accès réseau utilisés. RADIUS prend en charge
cette fonctionnalité dans les environnements homogènes et hétérogènes. Le service RADIUS est un
protocole client-serveur qui permet aux périphériques d'accès réseau (utilisés en tant que clients
RADIUS) de soumettre des demandes d'authentification et de comptes à un serveur RADIUS.

Un serveur RADIUS a accès aux informations du compte d'utilisateur et peut vérifier les informations
d'authentification d'accès réseau. Si les informations d'identification de l'utilisateur sont authentifiées,
et une fois la tentative de connexion autorisée par le serveur RADIUS, ce dernier autorise l'accès
de l'utilisateur en fonction de conditions spécifiées et enregistre la connexion d'accès réseau dans
un journal de gestion. L'utilisation du service RADIUS permet de collecter et de conserver dans
un emplacement central, plutôt que sur chaque serveur d'accès, les données d'authentification,
d'autorisation et de comptes des utilisateurs relatives à l'accès réseau.
Le serveur NPS est l'implémentation Microsoft d'un serveur RADIUS. Configuré en tant que serveur
RADIUS, le serveur NPS centralise l'authentification, l'autorisation et la gestion de comptes pour
les connexions sans fil, les connexions à commutateur d'authentification, les connexions d'accès
à distance et VPN, et les connexions de routeur à routeur.

Lorsque vous utilisez le service NPS en tant que serveur RADIUS, vous devez configurer des serveurs
d'accès réseau (tels que des points d'accès sans fil et des serveurs VPN) en tant que clients RADIUS
dans le service NPS. Vous configurez également des stratégies réseau dont le serveur NPS se sert
pour autoriser les demandes de connexion, et vous pouvez configurer la gestion de comptes RADIUS
pour que le serveur NPS enregistre les informations de comptes dans des fichiers journaux sur le disque
dur local ou dans une base de données SQL Server.

Il permet l'utilisation d'un jeu hétérogène de périphériques sans fil, à commutateur, d'accès à distance
ou VPN. Vous pouvez utiliser NPS avec le service Routage et accès distant, qui est disponible dans
Windows 2000 Server et les versions plus récentes de Windows Server.

Lorsqu'un serveur NPS est membre d'un domaine AD DS, NPS utilise AD DS comme base de
données de comptes d'utilisateurs et fournit l'authentification unique (SSO). Les utilisateurs peuvent
ensuite utiliser le même ensemble d'informations d'identification pour le contrôle d'accès réseau
(authentification et autorisation de l'accès à un réseau) comme ils le font pour accéder à des ressources
dans le domaine AD DS.

Proxy RADIUS
Lorsque vous utilisez le serveur NPS en tant que proxy RADIUS, vous configurez des stratégies
de demande de connexion qui spécifient, d'une part, les demandes de connexion transmises
par le serveur NPS à d'autres serveurs RADIUS et, d'autre part, les serveurs RADIUS auxquels
vous souhaitez transmettre les demandes de connexion. Vous pouvez également configurer
le serveur NPS pour qu'il transmette les données de comptes à un ou plusieurs ordinateurs dans
un groupe de serveurs RADIUS distants à des fins de journalisation.

Configuré en tant que proxy RADIUS, le serveur NPS transmet les messages d'authentification et
de comptes à d'autres serveurs RADIUS. NPS prend en charge les normes du groupe de travail IETF
(Internet Engineering Task Force) pour le service RADIUS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-20 Conception et implémentation des services d'accès réseau

Avec le serveur NPS, votre organisation peut également sous-traiter l'infrastructure d'accès à distance
à un fournisseur de services tout en maintenant le contrôle de l'authentification, de l'autorisation
et de la gestion de comptes des utilisateurs.

Vous pouvez créer des configurations NPS différentes pour les solutions suivantes :

• Accès sans fil

• Accès à distance ou VPN d'entreprise

• Accès à distance ou sans fil sous-traité

• Accès Internet

• Accès authentifié à des ressources extranet pour les partenaires professionnels

Composants d'une solution RADIUS

Une solution d'accès réseau RADIUS est
constituée d'un certain nombre de composants.
Ces composants incluent des clients RADIUS
et des serveurs proxy RADIUS.

Client RADIUS
Un serveur d'accès réseau (NAS) est un
périphérique qui fournit un certain niveau
d'accès à un réseau plus important. Dans
une infrastructure RADIUS, un serveur NAS
est un client RADIUS, et à ce titre, il envoie
et fait passer des demandes de connexion
et des messages de comptes à un serveur RADIUS
à des fins d'authentification, d'autorisation et de gestion de comptes.

Remarque : Les ordinateurs clients, tels que les ordinateurs portables sans fil et d'autres
ordinateurs qui exécutent des systèmes d'exploitation clients, ne sont pas des clients RADIUS.
Les clients RADIUS sont des serveurs d'accès réseau (y compris des points d'accès sans fil, des
commutateurs d'authentification 802.1X, des serveurs VPN et des serveurs d'accès à distance)
parce qu'ils utilisent le protocole RADIUS pour communiquer avec les serveurs RADIUS tels
que les serveurs NPS.

Pour déployer le serveur NPS en tant que serveur RADIUS, proxy RADIUS ou serveur de stratégie NAP,
vous devez configurer des clients RADIUS dans le serveur NPS.

Exemples de clients RADIUS

Voici des exemples de clients RADIUS :

• Des serveurs d'accès réseau qui fournissent la connectivité d'accès à distance à un réseau
d'organisation ou Internet, par exemple un ordinateur qui exécute le système d'exploitation
Windows Server 2012 et RRAS qui fournit des services d'accès à distance traditionnels ou VPN
à l'intranet d'une organisation.
• Des points d'accès sans fil qui fournissent l'accès à la couche physique du réseau d'une organisation
à l'aide de technologies de transmission et de réception sans fil.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-21

• Des commutateurs qui fournissent l'accès à la couche physique du réseau d'une organisation à l'aide
de technologies de réseau local traditionnelles telles qu'Ethernet.

• Des proxys RADIUS NPS qui transmettent les demandes de connexion aux serveurs RADIUS qui sont
membres d'un groupe de serveurs RADIUS distants. Ce groupe de serveur distant est le groupe que
vous configurez sur le proxy RADIUS ou d'autres serveurs proxy RADIUS.

Proxy RADIUS
Vous pouvez utiliser le serveur NPS en tant que proxy RADIUS pour router les messages RADIUS entre les
clients RADIUS (serveurs d'accès) et les serveurs RADIUS qui authentifient les utilisateurs, leur accordent
les autorisations et exécutent les opérations de gestion de comptes associées à la tentative de connexion.

Lorsque vous utilisez le serveur NPS en tant que proxy RADIUS, le serveur NPS fait office de point central
de commutation ou de routage par lequel transitent les messages d'accès et de comptes RADIUS.
Le serveur NPS enregistre les informations sur les messages transmis dans un journal de gestion.

Vous pouvez utiliser le serveur NPS en tant que proxy RADIUS dans les cas suivants :

• Vous êtes un fournisseur de services qui sous-traite des services d'accès réseau à distance, VPN
ou sans fil à plusieurs clients. Vos serveurs d'accès réseau envoient des demandes de connexion
au proxy RADIUS NPS. En fonction de la partie de domaine du nom d'utilisateur dans la demande
de connexion, le proxy RADIUS NPS transmet la demande de connexion à un serveur RADIUS
géré par le client, et peut authentifier et autoriser la tentative de connexion.

• Vous souhaitez authentifier et autoriser les comptes d'utilisateurs qui ne sont pas membres
du domaine dont le serveur NPS est membre ou d'un domaine qui bénéficie d'une approbation
bidirectionnelle avec le domaine du membre du serveur NPS. Il s'agit notamment des comptes
dans des domaines non approuvés, des domaines approuvés à sens unique et d'autres forêts.
Au lieu de configurer vos serveurs d'accès pour envoyer leurs demandes de connexion à un
serveur RADIUS NPS, vous pouvez les configurer pour envoyer leurs demandes de connexion
à un proxy RADIUS NPS. Le proxy RADIUS NPS utilise la partie du nom de domaine du nom
de l'utilisateur et transmet la demande à un serveur NPS dans le domaine approprié ou la forêt
appropriée. Les tentatives de connexion pour les comptes d'utilisateurs dans un domaine ou une forêt
peuvent être authentifiées pour les serveurs d'accès réseau dans un autre domaine ou une autre forêt.

• Vous souhaitez fournir l'authentification entre forêts, sans proxy RADIUS, lorsque les deux
forêts contiennent uniquement des domaines comprenant des contrôleurs de domaine qui
exécutent Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition
et Windows Server 2003 Datacenter Edition. Le niveau fonctionnel de la forêt doit être
Windows Server 2003, et une relation d'approbation bidirectionnelle doit exister entre les forêts.
Toutefois, si vous utilisez le protocole EAP-TLS avec les certificats comme méthode d'authentification,
vous devez utiliser un proxy RADIUS pour l'authentification entre forêts composées de domaines
Windows Server 2003.

• Vous souhaitez effectuer l'authentification et l'autorisation en utilisant une base de données qui
n'est pas une base de données de comptes Windows. Dans ce cas, le serveur NPS transmet les
demandes de connexion qui correspondent à un nom de domaine spécifié à un serveur RADIUS,
lequel a accès à une autre base de données de comptes d'utilisateurs et de données
d'autorisation. Parmi ces autres bases de données utilisateur, citons les bases de données NDS
(Novell Directory Services) et SQL Server.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-22 Conception et implémentation des services d'accès réseau

• Vous souhaitez traiter un grand nombre de demandes de connexion. Dans ce cas, au lieu de
configurer vos clients RADIUS de manière à tenter d'équilibrer leurs demandes de connexion et
de comptes sur plusieurs serveurs RADIUS, vous pouvez les configurer de telle sorte qu'ils envoient
leurs demandes de connexion et de comptes à un proxy RADIUS NPS. Le proxy RADIUS NPS équilibre
dynamiquement la charge des demandes de connexion et de comptes sur plusieurs serveurs RADIUS
et augmente le traitement de grands nombres de clients RADIUS et d'authentifications par seconde.

• Vous souhaitez fournir l'authentification et l'autorisation RADIUS à des sous-traitants de services

et réduire les tâches de configuration du pare-feu intranet. Un pare-feu intranet se trouve entre
votre réseau de périmètre (le réseau entre votre intranet et Internet) et votre intranet. En plaçant
un serveur NPS sur votre réseau de périmètre, le pare-feu situé entre votre réseau de périmètre
et l'intranet doit autoriser le flux de trafic entre le serveur NPS et plusieurs contrôleurs de domaine.
Si vous remplacez le serveur NPS par un proxy NPS, le pare-feu doit autoriser uniquement le
flux de trafic RADIUS entre le proxy NPS et un ou plusieurs serveurs NPS dans votre intranet.

Stratégies de demande de connexion

Les stratégies de demande de connexion
sont des ensembles de conditions et de
paramètres. Vous pouvez utiliser ces ensembles
de conditions et de paramètres pour désigner
les serveurs RADIUS qui authentifieront et
autoriseront les demandes de connexion que
le serveur NPS reçoit des clients RADIUS.

Remarque : Il est important de comprendre

que vous n'utilisez pas une stratégie de demande
de connexion pour déterminer si une tentative
de connexion sera autorisée. En revanche, vous
l'utilisez pour déterminer le serveur RADIUS qui prendra cette décision.

Vous pouvez configurer des stratégies de demande de connexion pour désigner les serveurs
RADIUS à utiliser pour la gestion de comptes RADIUS.

Remarque : Lorsque vous déployez la protection d'accès réseau (NAP) à l'aide des
méthodes de contrainte de mise en conformité VPN ou 802.1X avec l'authentification PEAP
(Protected Extensible Authentication Protocol), vous devez configurer l'authentification PEAP
dans la stratégie de demande de connexion même lorsque les demandes de connexion sont
traitées localement.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-23

Avec des stratégies de demande de connexion, vous pouvez utiliser NPS en tant que serveur RADIUS
ou en tant que proxy RADIUS. Vous pouvez créer une série de stratégies de demande de connexion
pour que les messages de demande RADIUS envoyés depuis des clients RADIUS soient traités localement
(le serveur NPS agissant en tant que serveur RADIUS) et que d'autres types de messages soient envoyés
à un autre serveur RADIUS (le serveur NPS agissant en tant que proxy RADIUS).
Vous pouvez déterminer si le serveur NPS est un serveur RADIUS ou un proxy RADIUS en fonction
de divers facteurs, notamment :

• l'heure et le jour de la semaine ;

• le nom de domaine dans la demande de connexion ;

• le type de connexion que vous demandez ;

• l'adresse IP du client RADIUS.

Conditions
Les conditions de la stratégie de demande de connexion se composent d'un ou plusieurs attributs RADIUS
qui sont évalués par rapport aux attributs du message de demande d'accès RADIUS entrant. Si plusieurs
conditions existent, toutes les conditions dans le message de demande de connexion et dans la stratégie
de demande de connexion doivent correspondre pour que le serveur NPS applique la stratégie.

Paramètres
Les paramètres de la stratégie de demande de connexion sont un ensemble de propriétés qui sont
appliquées à un message RADIUS entrant. Les paramètres sont constitués des groupes de propriétés
suivants :
• Authentification

• Gestion de comptes

• Manipulation d'attribut
• Avancé

Stratégie de demande de connexion par défaut

Lorsque vous installez le serveur NPS, une stratégie de demande de connexion par défaut est créée
avec les conditions suivantes :

• L'authentification n'est pas configurée.

• La gestion de comptes n'est pas configurée de manière à transmettre les informations de comptes
à un groupe de serveurs RADIUS distants.

• La manipulation d'attribut n'est pas configurée avec des règles qui modifient les attributs dans
les demandes de connexion transmises.

• La transmission de la demande est configurée de sorte que le serveur NPS local authentifie
et autorise les demandes de connexion.

• Les attributs avancés ne sont pas configurés.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-24 Conception et implémentation des services d'accès réseau

La stratégie de demande de connexion par défaut utilise le serveur NPS en tant que serveur RADIUS.
Pour configurer un serveur NPS afin qu'il agisse en tant que proxy RADIUS, vous devez également
configurer un groupe de serveurs RADIUS distants. Vous pouvez créer un groupe de serveurs RADIUS
distants au cours du processus de création d'une stratégie de demande de connexion à l'aide de
l'Assistant Nouvelle stratégie de demande de connexion. Vous pouvez soit supprimer la stratégie
de demande de connexion par défaut, soit vérifier que la stratégie de demande de connexion
par défaut est la dernière stratégie traitée.

Remarque : Si le serveur NPS et le service de routage et d'accès à distance (RRAS)

sont installés sur le même ordinateur, et que RRAS est configuré pour l'authentification
et la gestion de comptes Windows, il est possible que les demandes d'authentification et
de gestion RRAS soient transmises à un serveur RADIUS. Cela peut se produire lorsque les
demandes d'authentification et de comptes RRAS correspondent à une stratégie de demande
de connexion configurée pour les transmettre à un groupe de serveurs RADIUS distants.

Éléments à prendre en compte pour la configuration du traitement

des demandes de connexion
La stratégie de demande de connexion par défaut
utilise le serveur NPS en tant que serveur RADIUS
et traite toutes les demandes d'authentification
localement.

Lorsque vous configurez le traitement des

demandes de connexion, prenez en compte
les éléments suivants :

• Pour configurer un serveur NPS afin

qu'il agisse en tant que proxy RADIUS
et transmette les demandes de connexion
à d'autres serveurs NPS ou RADIUS, vous
devez configurer un groupe de serveurs
RADIUS distants, puis ajouter une nouvelle stratégie de demande de connexion qui spécifie
les conditions et les paramètres auxquels doivent satisfaire les demandes de connexion.

• Au cours du processus de création d'une stratégie de demande de connexion, vous pouvez

utiliser l'Assistant Nouvelle stratégie de demande de connexion pour créer un groupe
de serveurs RADIUS distants.

• Si vous ne souhaitez pas que le serveur NPS agisse en tant que serveur RADIUS et traite les demandes
de connexion localement, vous pouvez supprimer la stratégie de demande de connexion par défaut.

• Si vous souhaitez que le serveur NPS agisse en tant que serveur RADIUS (pour traiter les demandes
de connexion localement) et en tant que proxy RADIUS (pour transmettre certaines demandes de
connexion à un groupe de serveurs RADIUS distants), ajoutez une nouvelle stratégie, puis vérifiez
que la stratégie de demande de connexion par défaut est la dernière stratégie traitée.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-25

Discussion : Conception d'une implémentation RADIUS

La société Northwind Traders est implantée
sur trois sites : un siège social et deux filiales.
Vous disposez des informations suivantes
sur le réseau de Northwind Traders :

• Le réseau de périmètre contient un

serveur Web et plusieurs serveurs VPN
qui exécutent RRAS.

• Le serveur DHCP fournit des

configurations IPv4 à tous les clients réseau.
• Exchange Server 2010 fournit le courrier
électronique à plusieurs serveurs de rôles
qui sont déployés sur chaque emplacement physique. Les boîtes aux lettres des utilisateurs sont
stockées sur leurs serveurs de messagerie locaux.

• Une application métier créée sur SQL Server réside sur le serveur de base de données du siège social.

• Les contrôleurs de domaine résident dans chaque emplacement physique et fournissent la résolution
de noms du système DNS.

• Une autorité de certification réside dans le siège social et est utilisée pour délivrer des certificats
privés au sein de l'organisation Northwind Traders.
Après le déploiement réussi de vos modifications de conception concernant l'implémentation des besoins
des utilisateurs du service des ventes, d'autres services se sont montrés intéressés par la mise en place du
travail à domicile pour leurs utilisateurs. Utilisez les conditions suivantes pour vous aider à déterminer une
conception d'accès réseau appropriée :

• La solution que vous configurez ne doit pas affecter la capacité des utilisateurs du service des ventes
à accéder à la base de données ou à leur messagerie électronique.
• Les utilisateurs de tous les services souhaiteraient l'accès depuis leur domicile pour classer et imprimer
les ressources dans leur réseau local.

• Les utilisateurs de tous les services souhaiteraient utiliser l'accès à la messagerie électronique à partir
de leurs ordinateurs personnels.

Examinez la configuration actuelle, puis en vous servant des informations contenues dans les rubriques
précédentes, déterminez de quelle manière vous concevriez l'accès à distance pour prendre en charge
les besoins des utilisateurs du service des ventes. Pour vous aider, utilisez les questions de discussion
suivantes.

Question : Il existe trois serveurs VPN sur le réseau de périmètre pour fournir une capacité
suffisante aux connexions d'accès à distance entrantes. Comment pouvez-vous simplifier
la gestion et l'application de la stratégie réseau ?

Question : Pouvez-vous fournir l'accès à la messagerie électronique à tous les utilisateurs

sans avoir besoin de VPN ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-26 Conception et implémentation des services d'accès réseau

Question : Comment vos stratégies réseau changent-elles suite à l'ajout de la prise

en charge permettant à tous les utilisateurs de se connecter à distance ?

Question : Quel type de VPN est suggéré ?

Question : Une stratégie de demande de connexion est-elle requise ?

Question : Un proxy RADIUS est-il requis ?

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-27

Leçon 3
Conception d'un réseau de périmètre
Pour rendre vos applications réseau disponibles aux utilisateurs, vous devez d'abord publier
ces applications. Un moyen communément utilisé pour publier des applications réseau tout en
garantissant la sécurité consiste à placer les serveurs sur un réseau de périmètre. Lors de la conception
de l'accès réseau, il est important de concevoir la connectivité Internet et votre solution de réseau de
périmètre de manière appropriée pour prendre en charge l'accès réseau et la publication d'accès réseau.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• expliquer comment sélectionner un type de connexion extranet approprié ;

• déterminez les services qui doivent être disponibles sur votre réseau de périmètre ;

• expliquer comment sélectionner une conception de pare-feu appropriée ;

• concevoir la connectivité Internet.

Options Extranet
L'objectif d'un extranet est de permettre à
un fournisseur, un sous-traitant, un partenaire
commercial ou un client, d'accéder à certaines
ou à toutes vos données privées d'entreprise.
Comme la plupart de ces parties ne disposent
pas d'une connexion de réseau étendu (WAN)
directe à votre intranet d'entreprise, vous devez
leur permettre d'accéder à votre réseau par une
connexion VPN, ou plus couramment, d'accéder
à vos données via Internet.

Windows Server 2012 prend en charge les options

de connectivité suivantes :

• Vous pouvez utiliser une connexion VPN pour fournir une connectivité de site à site entre
les partenaires sur Internet. Vous pouvez utiliser cette connexion pour permettre l'accès
à une grande partie de votre réseau.

• Vous pouvez utiliser un serveur Web sécurisé pour fournir l'accès à une application Web
ou à un sous-ensemble de données. La communication (y compris l'authentification) est
sécurisée à l'aide de SSL.

• Vous pouvez utiliser RPC sur HTTP pour fournir l'accès à une application RPC spécifique sur Internet.
La communication est sécurisée à l'aide de SSL.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-28 Conception et implémentation des services d'accès réseau

• Vous pouvez utiliser une passerelle RDP pour fournir un accès à distance sécurisé à une ou plusieurs
applications spécifiques, et à leurs données associées. Les services Bureau à distance et le Bureau
à distance sécurisent la communication en implémentant RDP sur HTTPS.

• Pour activer l'authentification sécurisée des utilisateurs extranet à votre réseau interne,
envisagez d'implémenter les services AD LDS (Active Directory Lightweight Directory Services).
Le services AD LDS vous permettent de fournir une authentification sécurisée aux applications Web
sans avoir besoin d'exposer votre forêt AD DS interne à votre réseau de périmètre. En outre,
envisagez d'implémenter les services AD FS (Active Directory Federation Services). Ces services
fournissent l'authentification AD LDS ou AD DS aux applications Web dans les réseaux de périmètre
ou dans des emplacements hébergés. Le processus de communication utilisé correctement par les
services AD FS traverse les pare-feu.

Quels sont les services qui doivent se trouver sur le réseau de périmètre ?
Il est rare qu'une entreprise fonctionne
aujourd'hui sans connecter son infrastructure
réseau au réseau Internet. Au minimum, la
plupart des organisations utilisent les applications
de messagerie électronique pour organiser
certains éléments de leurs activités principales.

Pour déterminer les services que votre

organisation souhaitera rendre disponibles aux
utilisateurs via Internet, vous devez mener un
audit des services réseau présents dans votre
organisation. Ensuite, pensez à la façon dont
vous souhaitez rendre ces services disponibles.
Par exemple, si les utilisateurs ont besoin d'accéder à leur messagerie électronique lorsqu'ils travaillent en
dehors du bureau, songez à utiliser des solutions Web de messagerie électronique telles qu'Outlook 2010,
car ces solutions constituent souvent un moyen facile de fournir un accès sécurisé.

Remarque : Vous pouvez configurer des applications pour utiliser des ports TCP
spécifiques. En fait, de nombreuses applications peuvent être configurées pour n'utiliser
qu'HTTP ou HTTPS. Cela signifie que vous pouvez configurer le pare-feu Internet pour
n'autoriser que le port TCP 80/443 entrant.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-29

Applications de périmètre typiques

Bien qu'il ne s'agisse pas d'une liste détaillée, le tableau suivant vous permet d'identifier les applications
courantes que vous devrez peut-être rendre disponibles sur votre réseau de périmètre.

Applications Protocoles Commentaires

Messagerie Post Office Protocol 3 (POP3), Exchange Server 2010 prend en

électronique Internet Message Access Protocol 4 charge le publication complète.
(IMAP4), Simple Mail Transfer Protocol En outre, le rôle serveur de transport
(SMTP), Microsoft Outlook Web App Edge Exchange active la fonctionnalité
(HTTPS), Outlook Anywhere (HTTPS), de relais SMTP de votre réseau de
Microsoft Exchange ActiveSync® périmètre.
(HTTPS)

Serveurs Web HTTP, HTTPS Placez les serveurs Web directement sur
le réseau de périmètre ou publiez-les.

AD LDS Lightweight Directory Access Protocol Il n'est pas recommandé de placer des
(LDAP) contrôleurs de domaine sur le réseau
de périmètre. Si votre application de
périmètre requiert l'accès à AD DS,
envisagez de déployer AD LDS dans
le périmètre.

Conférence HTTPS, Session Initiation Protocol (SIP), Microsoft Lync® Server 2010 prend en
Web Persistent Shared Object Model charge l'utilisation des serveurs Edge
(PSOM), Real-Time Transport Protocol pour étendre la conférence aux
(RTP), Real-Time Control Protocol participants Internet. Un proxy inverse
(RTCP) est requis pour activer certaines
fonctionnalités de conférence.

Messagerie SIP Le protocole SIP est le protocole

instantanée standard utilisé pour la messagerie
instantanée.

Périphériques Divers protocoles Vous pouvez souhaiter permettre aux

grand public utilisateurs d'utiliser des périphériques
électroniques grand public pour
accéder à Internet, mais vous ne voulez
peut-être pas que ces périphériques
accèdent au contenu sur votre réseau
interne. C'est le cas notamment des
lecteurs électroniques et des lecteurs de
musique qui accèdent au contenu via
Internet.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-30 Conception et implémentation des services d'accès réseau

(suite)

Applications Protocoles Commentaires

Serveurs proxy Divers protocoles, mais souvent HTTP, Le serveur proxy agit en tant
HTTPS qu'intermédiaire entre un client du
réseau interne et un serveur externe
dans une boîte de dialogue donnée.
En général, le client est configuré
pour demander des ressources, telles
que des pages Web, à partir du
serveur proxy. Le serveur proxy
demande ensuite ces ressources au
nom du client, en retournant les
ressources récupérées au client.

Proxy inverse Divers protocoles, mais souvent HTTP, Un proxy inverse se présente aux
HTTPS clients distants comme un serveur
sommé dans une boîte de dialogue
Communications. Le proxy inverse
demande ensuite les ressources des
serveurs internes au nom du client
distant.
Un proxy inverse publie des
applications sur Internet sans placer
ces applications sur Internet ou dans
le réseau de périmètre.

Conception d'une solution de pare-feu

Il existe plusieurs configurations possibles de
pare-feu que vous pouvez utiliser. Toutefois,
les trois configurations de pare-feu les plus
couramment utilisées sont les suivantes :

• Hôte bastion. Ce pare-feu est le seul point

de contact entre le réseau interne et Internet.
En général, vous implémentez le pare-feu
de type hôte bastion sur les petits réseaux
pour protéger les ressources du réseau
interne contre les attaques.

• Pare-feu multirésident. Il s'agit d'un seul

pare-feu contenant plusieurs cartes réseau.
Un premier adaptateur est connecté au réseau privé interne et un deuxième est connecté à
Internet. Les autres cartes sont connectées aux différents réseaux de périmètre qui contiennent
les serveurs Web, de messagerie, et autres, auxquels les utilisateurs accèderont sur Internet.
Le pare-feu multirésident utilise des filtres différents pour le trafic, en fonction du réseau
auquel le trafic est destiné.

• Pare-feu dos à dos. Cette configuration utilise deux pare-feu pour créer un réseau de périmètre,
qui est protégé d'Internet par un premier pare-feu, mais est également séparé du réseau interne
par un second pare-feu. Les plus grands réseaux utilisent souvent cette configuration.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-31

Éléments à prendre en compte pour l'implémentation d'une solution

de pare-feu hôte
En plus de la sélection de la conception de pare-feu appropriée, vous pouvez implémenter les solutions
de pare-feu hôtes sur vos ordinateurs client et serveur. L'implémentation de pare-feu hôte améliore
la sécurité en imposant une autre couche de sécurité. En implémentant une solution de pare-feu hôte
telle que le Pare-feu Windows avec fonctions avancées de sécurité, prenez en compte ce qui suit :

• Bloquez toutes les connexions entrantes par défaut. Cela assure la sécurité de l'ordinateur
en n'autorisant que les types de connexions connus.
• Créez des règles de trafic entrant pour permettre l'accès aux applications locales lorsque cela
est nécessaire. Par exemple, si vous avez installé une application serveur qui utilise le port 8000,
créez une règle de sécurité entrante qui permet la connexion du port 8000.
• Utilisez les règles de trafic sortant pour empêcher la communication avec des logiciels spécifiques.
Par exemple, vous pouvez créer une règle de trafic sortant qui empêche les utilisateurs d'accéder
à un serveur Web de journalisation interne. Vous pouvez également bloquer une application
de partage de fichiers.

• Pour améliorer la sécurité, empêchez les connexions sortantes par défaut. Cette option empêche les
logiciels inconnus sur les ordinateurs de communiquer avec d'autres ordinateurs. En procédant ainsi,
vous pouvez empêcher les programmes malveillants de se propager dans votre organisation, car
les programmes malveillants sur l'ordinateur infecté ne pourront pas créer des connexions avec
d'autres ordinateurs. Toutefois, un travail administratif significatif est nécessaire pour identifier toutes
les applications autorisées, puis créer des règles qui leur permettent de communiquer sur le réseau.

• Si vous utilisez le Pare-feu Windows avec fonctions avancées de sécurité, envisagez d'implémenter
des règles de sécurité de connexion. Celles-ci vous permettent d'authentifier et, éventuellement,
de chiffrer les communications réseau.

Discussion : Conception de la connectivité Internet

La société Northwind Traders possède
trois emplacements, comme indiqué sur la
diapositive. Vous disposez des informations
suivantes sur le réseau de Northwind Traders :

• Le réseau de périmètre contient actuellement

un serveur Web et plusieurs serveurs VPN
qui exécutent des services de rôle RRAS.

• Un serveur NPS qui est configuré en tant

que serveur RADIUS réside sur le réseau
de périmètre pour faciliter le traitement
des stratégies réseau des serveurs VPN.

• Pour prendre en charge les applications qui requièrent une authentification, un contrôleur
de domaine a été placé sur le réseau de périmètre.

• Le serveur DHCP fournit des configurations IPv4 à tous les clients réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-32 Conception et implémentation des services d'accès réseau

• Le courrier électronique est fournit par Exchange Server 2010 à plusieurs serveurs de rôles qui sont
déployés sur chaque emplacement physique. Les boîtes aux lettres des utilisateurs sont stockées
sur leurs serveurs de messagerie locaux.

• Une application métier créée sur SQL Server réside sur le serveur de base de données du siège social.

• Les contrôleurs de domaine résident dans chaque emplacement physique et fournissent la résolution
de noms du système DNS.

• Une autorité de certification réside dans le siège social et est utilisée pour délivrer des certificats
privés au sein de l'organisation Northwind Traders.

Après avoir correctement déployé vos modifications de conception pour implémenter les besoins
des utilisateurs du service, vous devez maintenant vérifier la conception du pare-feu et du réseau
de périmètre. Examinez la configuration actuelle, puis en vous servant des informations contenues
dans les rubriques précédentes, déterminez de quelle manière vous concevriez l'accès à distance
pour prendre en charge les besoins des utilisateurs du service des ventes. Pour vous aider dans
ce processus, utilisez les questions de discussion suivantes.

Question : Quel est le problème de la configuration actuelle ?

Question : Pour prendre en charge les communications par courrier électronique sortantes,
quels serveurs supplémentaires devez-vous déployer sur le périmètre, le cas échéant ?

Question : Pour prendre en charge l'infrastructure VPN conçue précédemment, quelles

modifications devez-vous apporter au pare-feu ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-33

Leçon 4
Planification et implémentation de DirectAccess
Les organisations comptent souvent sur les connexions VPN pour fournir à des utilisateurs distants
l'accès sécurisé aux données et aux ressources sur le réseau d'entreprise. Les connexions VPN sont
faciles à configurer et sont prises en charge par différents clients. Cependant, elles doivent d'abord être
initialisées par l'utilisateur et peuvent nécessiter une configuration supplémentaire au niveau du pare-feu
d'entreprise. En outre, les connexions VPN permettent généralement d'accéder à distance à l'ensemble
du réseau d'entreprise, les organisations ne peuvent pas gérer efficacement les ordinateurs distants,
à moins qu'ils ne soient connectés.

Pour aller au-delà de telles restrictions sur ces connexions VPN, les organisations peuvent implémenter
DirectAccess pour fournir une connexion transparente entre le réseau interne et l'ordinateur distant
sur Internet. DirectAccess permet aux organisations de gérer plus facilement des ordinateurs distants,
car ils sont toujours connectés.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
• décrire les composants requis pour implémenter DirectAccess ;

• décrire le processus de conception DirectAccess ;

• répertorier les connaissances préalables pour l'implémentation de DirectAccess ;

• décrire les nouvelles fonctionnalités de DirectAccess dans Windows Server 2012 ;

• implémenter DirectAccess ;

• configurer un serveur DirectAccess.

Composants de DirectAccess
Pour déployer et configurer DirectAccess,
votre organisation doit prendre en charge
les composants d'infrastructure suivants :

• Serveur DirectAccess

• Clients DirectAccess

• Serveur d'emplacement réseau (NLS)

• Ressources internes

• Domaine AD DS

• Stratégie de groupe

• PKI (en option pour le réseau interne)

• Serveur DNS

• Serveur NAP
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-34 Conception et implémentation des services d'accès réseau

Serveur DirectAccess
Le serveur DirectAccess peut être n'importe quel serveur Windows Server 2012 connecté à un domaine ;
il accepte les connexions à partir des clients DirectAccess et établit la communication avec les ressources
intranet. Ce serveur fournit les services d'authentification pour les clients DirectAccess et agit comme
point de terminaison de mode de tunnel IPsec pour le trafic externe. Le nouveau rôle de serveur d'accès
à distance permet l'administration centralisée, la configuration et l'analyse à la fois de la connectivité
DirectAccess et de la connectivité VPN.

Par rapport à la précédente implémentation dans Windows Server 2008 R2, le nouvel Assistant
DirectAccess simplifie la gestion DirectAccess pour les petites et moyennes organisations.
L'Assistant simplifie la gestion en supprimant le recours au déploiement PKI complet ainsi que le
besoin de deux adresses IPv4 publiques consécutives pour la carte physique connectée à Internet.
Dans Windows Server 2012, l'Assistant Installation DirectAccess détecte l'état réel de l'implémentation
du serveur DirectAccess et sélectionne automatiquement le meilleur déploiement. Cela épargne ainsi
à l'administrateur la complexité d'une configuration manuelle des technologies de transition IPv6.

Clients DirectAccess
Les clients DirectAccess peuvent être tout ordinateur connecté à un domaine fonctionnant
sous Windows 8 Enterprise, Windows 7 Enterprise ou Windows 7 Ultimate.

Remarque : Avec la mise en service hors site, vous pouvez associer l'ordinateur client
à un domaine sans le connecter en interne.

L'ordinateur client DirectAccess se connecte au serveur DirectAccess à l'aide d'IPv6 et IPsec. Si un

réseau IPv6 natif n'est pas disponible, le client établit un tunnel IPv6/IPv4 à l'aide de 6to4 ou Teredo.
Notez que l'exécution de cette étape ne requiert pas que l'utilisateur soit connecté à l'ordinateur.
Si un pare-feu ou un serveur proxy empêche l'ordinateur client utilisant 6to4 ou Teredo de se connecter
au serveur DirectAccess, l'ordinateur client essaie de se connecter automatiquement à l'aide du protocole
IP-HTTPS (Internet Protocol over HTTPS) qui utilise une connexion SSL pour garantir la connectivité.
Le client a accès aux règles de la table de stratégie de résolution de noms et de tunnel de sécurité
de connexion.

NLS
Les clients DirectAccess utilisent le serveur d'emplacement réseau (NLS) pour déterminer leur
emplacement. Si l'ordinateur client peut se connecter avec HTTPS, il suppose alors qu'il est sur
l'intranet et il désactive les composants DirectAccess. S'il est impossible de contacter le serveur NLS,
le client suppose qu'il est sur Internet. Le serveur NLS est installé avec le rôle serveur Web.

Remarque : L'URL pour le serveur NLS est distribué à l'aide de l'objet de stratégie
de groupe (GPO).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-35

Ressources internes
Vous pouvez configurer n'importe quelle application compatible avec IPv6 qui s'exécute sur les serveurs
internes ou les ordinateurs clients de manière à la rendre disponible pour les clients DirectAccess. Pour
les applications et serveurs plus anciens, qui ne sont pas basés sur les systèmes d'exploitation Windows
et qui ne prennent pas en charge IPv6, Windows Server 2012 inclut désormais la prise en charge native
d'une passerelle de traduction de protocole (NAT64) et de résolution de noms (DNS64) pour convertir
les communications IPv6 provenant d'un client DirectAccess vers IPv4 pour les serveurs internes.

Remarque : Comme dans le passé, vous pouvez également obtenir cette fonctionnalité
avec Microsoft Forefront® Unified Access Gateway. De même, comme dans les versions
antérieures, ces services de traduction ne prennent pas en charge les sessions lancées
par les périphériques internes, mais uniquement les demandes en provenance de clients
DirectAccess IPv6.

Domaine Active Directory

Vous devez déployer au moins un domaine Active Directory doté, au minimum, du niveau fonctionnel
du domaine Windows Server 2008 R2. Windows Server 2012 DirectAccess offre une prise en charge
intégrée de plusieurs domaines, ce qui permet aux ordinateurs clients provenant de différents
domaines d'accéder aux ressources qui peuvent être situées dans différents domaines approuvés.

Stratégie de groupe
La stratégie de groupe est nécessaire à l'administration centralisée et au déploiement des
paramètres DirectAccess. L'Assistant Installation DirectAccess crée un ensemble d'objets de stratégie
de groupe et les paramètres des clients DirectAccess, le serveur DirectAccess et les serveurs sélectionnés.

PKI
Le déploiement PKI est facultatif pour la configuration et la gestion simplifiées. DirectAccess
sous Windows Server 2012 permet l'envoi des demandes d'authentification client vers un service
d'authentification proxy Kerberos basé sur HTTPS qui s'exécute sur le serveur DirectAccess. Il n'est
donc plus nécessaire d'établir un second tunnel IPsec entre les clients et les contrôleurs de domaine.
Le proxy d'authentification Kerberos envoie alors les demandes d'authentification Kerberos aux
contrôleurs de domaine de la part du client.

Cependant, pour une configuration DirectAccess complète qui permet l'intégration de la protection
d'accès réseau (NAP), l'authentification à deux facteurs et le tunneling forcé, vous devez encore
implémenter les certificats d'authentification pour chaque client qui participera aux communications
DirectAccess.

Serveur DNS
Lorsque le protocole ISATAP est exécuté, vous devez utiliser au moins Windows Server 2008 R2,
Windows Server 2008 Service Pack 2 (SP2) ou une version plus récente, ou un serveur DNS
non Microsoft qui prend en charge les échanges de messages DNS sur le protocole ISATAP.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-36 Conception et implémentation des services d'accès réseau

Serveurs NAP
La protection d'accès réseau (NAP) est un composant facultatif de la solution DirectAccess que vous
pouvez utiliser pour effectuer un contrôle de conformité et appliquer la stratégie de sécurité pour
les clients DirectAccess sur Internet. DirectAccess sous Windows Server 2012 permet de configurer
une vérification d'intégrité NAP directement depuis l'interface utilisateur d'installation plutôt que
de modifier manuellement les objets de stratégie de groupe nécessaires avec DirectAccess sous
Windows Server 2008 R2.

Processus de conception DirectAccess

Vous pouvez ensuite décomposer le processus
de conception DirectAccess en quatre étapes de
niveau supérieur, dont chacune contient plusieurs
étapes de niveau inférieur. Vous devez maîtriser
ces étapes avant de démarrer le processus de
conception de votre propre solution DirectAccess.

Définir l'étendue du projet DirectAccess

Dans cette première étape, vous devez rassembler
les informations sur l'étendue de votre projet
d'implémentation de DirectAccess. Cela inclut
la détermination des réponses aux questions
suivantes :

• Quelles sont les parties de l'organisation qui participeront ?

• Quelles zones géographiques seront incluses ?

• Quels sont le nombre d'utilisateurs, le temps d'accès maximal et le nombre maximal de connexions
simultanées éventuels ?

• Quelles sont les ressources internes auxquelles les utilisateurs ont besoin d'accéder ?

• La cible pour disposer d'une seule application, de toutes les applications ou différer les niveaux
d'accès aux ressources internes est-elle disponible via DirectAccess ?

• Quel système d'exploitation s'exécute sur les contrôleurs de domaine et les serveurs DNS ?
• Quel système d'exploitation s'exécute sur chaque ressource interne qui sera accessible
aux clients DirectAccess ?

• Votre organisation doit-elle surveiller tout le trafic Web des utilisateurs ou des ordinateurs
spécifiques ?

• Utiliserez-vous DirectAccess pour gérer les ordinateurs distants ?

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-37

Déterminer la configuration réseau requise

Une fois les informations recueillies à l'aide des étapes précédentes, vous êtes prêt à déterminer la
configuration de votre réseau. Autrement dit, ce que vous devrez peut-être faire avec la configuration
réseau pour que votre réseau soit prêt pour DirectAccess. Pour ce faire, vous devez déterminer :

• Les besoins en matière de connectivité des clients DirectAccess. Le serveur DirectAccess se trouve à
la frontière entre votre intranet et Internet. En tant que tel, il fournit un lien aux clients DirectAccess
vers et en provenance de vos ressources intranet. Un client DirectAccess peut se connecter
au serveur DirectAccess à l'aide de l'une des méthodes suivantes :
o directement, sur le réseau Internet IPv6 ;

o à l'aide de 6to4 ;

o à l'aide de Teredo ;

o à l'aide d'IP-HTTPS.

• Les besoins en matière de connectivité des ressources internes. Vous devez déterminer
comment le serveur DirectAccess et les clients distants ont accès aux ressources internes.
Si les ressources bénéficient de la connectivité IPv6, vous n'avez rien d'autre à faire. Toutefois, si
ces ressources ne disposent pas de la connectivité IPv6, vous devrez peut-être implémenter ISATAP
ou un traducteur IPv6/IPv4 (Windows Server 2003 et les versions antérieures) pour fournir la
connectivité requise.

Concevoir l'infrastructure de serveur DirectAccess

Une fois que vous avez déterminé la configuration réseau requise, vous devez examiner la configuration
prévue pour le serveur DirectAccess. Ce processus comprend la détermination des éléments suivants :

• La configuration du serveur DirectAccess. Le serveur DirectAccess exécute les fonctions suivantes :

• Relais et serveur Teredo

• Relais 6to4

• Serveur IP-HTTPS

• Routeur ISATAP

• Routeur IPv6 natif

• Point de terminaison du tunnel et passerelle IPsec

Remarque : DirectAccess est conçu pour être installé et géré comme une seule unité.
Tout fractionnement de ces fonctions peut introduire une complexité supplémentaire et le risque
de problèmes de configuration.

• Le positionnement de chaque serveur DirectAccess. Le serveur DirectAccess doit être joint

à un domaine AD DS et doit exécuter Windows Server 2008 R2 ou Windows Server 2012.

Remarque : Bien que le serveur DirectAccess puisse être membre d'un domaine AD DS,
il ne peut pas être un contrôleur de domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-38 Conception et implémentation des services d'accès réseau

Concevoir l'infrastructure des serveurs Web et des certificats

Enfin, après avoir déterminé la configuration de votre serveur DirectAccess, vous pouvez passer à l'étape
de conception finale de niveau supérieur. Dans cette étape, vous devez concevoir des rôles de serveurs
supplémentaires pour prendre en charge DirectAccess. Cette étape comprend la détermination des
éléments suivants :

• Les certificats d'ordinateur dont vous aurez besoin. Le certificat SSL que vous installez sur votre
serveur DirectAccess doit avoir un point de distribution de liste de révocation de certificats qui est
accessible depuis Internet. Le champ Objet doit contenir le nom de domaine complet qui peut être
résolu en adresse IPv4 publique qui est attribuée au serveur DirectAccess à l'aide du DNS Internet.
Vous n'avez pas besoin de certificats externes.

Remarque : La publication des certificats d'ordinateur via une PKI au moyen de l'inscription
automatique est la façon la plus simple d'installer des certificats sur les clients DirectAccess.
L'inscription automatique garantit que tous les membres de domaine obtiennent un certificat
d'ordinateur d'une autorité de certification d'entreprise.

• La conception des serveurs d'emplacement réseau. Les clients DirectAccess essayent d'accéder
à une URL sur le serveur NLS pour déterminer s'ils sont situés sur l'intranet. Si la tentative échoue,
ils supposent qu'ils sont sur Internet et initialisent les tunnels DirectAccess.

Vous pouvez configurer le serveur DirectAccess en tant que serveur NLS, ou vous pouvez désigner
un autre serveur Web pour ce rôle. Il est essentiel que le serveur NLS soit hautement disponible,
car tous les clients DirectAccess l'utilisent pour déterminer leurs emplacements réseau.

Pour implémenter les certificats sur le serveur NLS, le certificat du site Web du serveur d'emplacement
réseau doit avoir les propriétés suivantes :

o Dans le champ Objet, une adresse IP de l'interface d'intranet du serveur Emplacement réseau,
ou le nom de domaine complet de l'URL d'emplacement réseau.

o Pour le champ Utilisation avancée de la clé, l'identificateur d'objet de l'authentification

de serveur (également appelé OID).

• Vous devez également déterminer l'emplacement d'une liste de révocation de certificats interne.
Les clients DirectAccess comptent souvent sur les listes de révocation de certificats disponibles pour
déterminer si le serveur NLS utilise un certificat valide. Vous devez publier la liste de révocation de
certificats intranet en utilisant un nom de domaine qui n'est pas inclus dans l'espace de noms, défini
par DirectAccess comme le réseau interne. La liste de révocation de certificats doit être hébergée
sur un serveur Web intranet, un serveur de fichiers ou un serveur LDAP, et peut être publiée dans
plusieurs emplacements.

Sans point de distribution de liste de révocation de certificats accessible sur l'intranet pour le certificat
du serveur d'emplacement réseau, la détection d'intranet échoue, ce qui peut altérer la connectivité
intranet pour les clients DirectAccess.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-39

Conditions préalables pour l'implémentation de DirectAccess

Avant d'implémenter DirectAccess, certaines
conditions préalables doivent être satisfaites par le
serveur DirectAccess, les clients et l'infrastructure.

Configuration requise pour

le serveur DirectAccess
Pour déployer DirectAccess, vous devez vous
vérifier que le serveur répond à la configuration
matérielle et réseau requise suivante :

• Le serveur doit être joint

à un domaine AD DS.

• Le serveur doit être doté du système

d'exploitation Windows Server 2012 ou Windows Server 2008 R2.
• Une seule carte réseau peut être installée sur le système d'exploitation Windows Server 2012
installé en tant que serveur DirectAccess. Elle doit être connectée à l'intranet et publiée sur
Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010 ou Microsoft Forefront
Unified Access Gateway ((Forefront UAG) 2010 pour la connexion Internet. Dans le scénario de
déploiement selon lequel DirectAccess est installé sur un serveur Edge, deux cartes réseau doivent
être disponibles : l'une étant connectée au réseau interne et l'autre, au réseau externe. Un serveur
Edge correspond à n'importe quel serveur qui réside à la périphérie entre deux, voire plusieurs,
réseaux ; en général, il s'agit d'un réseau privé et d'Internet.

• L'implémentation de DirectAccess dans Windows Server 2012 ne requiert pas que deux adresses IPv4
publiques, statiques consécutives soient attribuées à la carte réseau. Cependant, pour permettre
l'authentification à deux facteurs avec le déploiement de cartes à puce ou du mot de passe
à usage unique, le serveur DirectAccess aura toujours besoin de deux adresses IP publiques.
• Vous pouvez contourner le besoin d'une adresse publique supplémentaire en déployant
Windows Server 2012 DirectAccess derrière un périphérique NAT, avec la prise en charge d'une
ou plusieurs interface. Dans cette configuration, seul le protocole IP-HTTPS (IP sur HTTPS) est
déployé ; il permet l'établissement d'un tunnel IP sécurisé à l'aide d'une connexion HTTP sécurisée.

• Sur le serveur DirectAccess, vous pouvez installer le rôle d'accès à distance pour configurer
les paramètres DirectAccess pour le serveur et les clients DirectAccess et surveiller l'état du
serveur DirectAccess. L'Assistant Accès à distance fournit la possibilité de configurer des scénarios
DirectAccess uniquement, VPN uniquement, ou les deux à la fois sur le même serveur exécutant
Windows Server 2012. Cela n'était pas possible dans le déploiement Windows Server 2008 R2
de DirectAccess.

• Pour la prise en charge de l'équilibrage de charge, Windows Server 2012 peut utiliser l'équilibrage
de la charge réseau (jusqu'à huit nœuds) pour obtenir une haute disponibilité et l'évolutivité
à la fois pour DirectAccess et RAS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-40 Conception et implémentation des services d'accès réseau

Conditions requises pour le client DirectAccess

Pour déployer DirectAccess, vous devez également vous assurer que l'ordinateur client répond
à certaines exigences :

• L'ordinateur client doit être joint à un domaine Active Directory.

• Le nouveau scénario 2012 de DirectAccess permet de fournir hors connexion l'appartenance

au domaine aux ordinateurs sans que ceux-ci se trouvent sur le site.

• L'ordinateur client peut être chargé avec Windows 8, Windows 7 Enterprise, Windows 7 Ultimate,
Windows Server 2012 ou Windows Server 2008 R2. Il est impossible de déployer DirectAccess
sur des clients exécutant Windows Vista, Windows Server 2008 ou d'autres versions antérieures
des systèmes d'exploitation Windows.

Configuration requise pour l'infrastructure

Vous trouverez ci-après la configuration requise pour l'infrastructure lors du déploiement
de DirectAccess :

• AD DS. Vous devez déployer au moins un domaine Active Directory. Les groupes de travail
ne sont pas pris en charge.

• Stratégie de groupe. La stratégie de groupe est nécessaire à l'administration centralisée et au

déploiement des paramètres du client DirectAccess. L'Assistant Installation DirectAccess crée
un ensemble d'objets de stratégie de groupe et les paramètres des clients DirectAccess, des
serveurs DirectAccess ainsi que des serveurs de gestion.

• DNS et contrôleur de domaine. Vous devez avoir au moins un contrôleur de domaine et

un serveur DNS exécutant Windows Server 2012, Windows Server 2008 Service Pack 2 (SP2)
ou Windows Server 2008 R2.

• PKI. Vous devez utiliser l'infrastructure à clé publique (PKI) pour délivrer des certificats d'ordinateur
à des fins d'authentification et des certificats d'intégrité uniquement lorsque vous déployez la
protection d'accès réseau (NAP). Vous n'avez pas besoin de certificats externes. Le certificat SSL
qui est installé sur le serveur DirectAccess doit avoir un point de distribution de liste de révocation
de certificats qui est accessible depuis Internet. Le champ Objet Certificat doit contenir le nom
de domaine complet qui peut correspondre à une adresse IPv4 publique qui est attribuée au
serveur DirectAccess à l'aide du DNS Internet.
• Stratégies IPsec. DirectAccess utilise les stratégies IPsec configurées et administrées dans le cadre
du Pare-feu Windows avec fonctions avancées de sécurité.

• Trafic de requêtes d'écho ICMPv6. Vous devez créer des règles de trafic entrant et de trafic
sortant distinctes qui autorisent les messages de requêtes d'écho ICMPv6. La règle de trafic
entrant est requise pour permettre les messages de requêtes d'écho ICMPv6, et doit être étendue
à tous les profils. La règle de trafic sortant qui autorise les messages de requêtes d'écho ICMPv6
doit être étendue à tous les profils, et est requise uniquement si le bloc sortant est activé.
Les clients DirectAccess qui utilisent Teredo pour la connectivité IPv6 à l'intranet utilisent le
message ICMPv6 pour établir la communication.

• Technologies de transition IPv6. Les technologies de transition IPv6, telles qu'ISATAP, Teredo
et 6to4, doivent être disponibles pour l'utilisation sur le serveur DirectAccess. Pour chaque serveur
DNS exécutant Windows Server 2008 ou Windows Server 2008 R2, vous devez supprimer le nom
ISATAP de la liste rouge de requêtes globale.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-41

Nouveautés de DirectAccess dans Windows Server 2012 :

Plusieurs améliorations ont été apportées
à DirectAccess dans Windows Server 2012,
notamment le contournement de certains
problèmes technologiques courants tels que
les conditions requises relatives à l'infrastructure
à clé publique (PKI) et aux adresses IP publiques.

Optimisation de la gestion DirectAccess

DirectAccess dans Windows Server 2012
a été amélioré de plusieurs façons :

• Coexistence de DirectAccess et RRAS.

DirectAccess dans Windows Server 2012
et le rôle serveur RRAS unifié coexistent et interagissent pour protéger le serveur Windows contre le
trafic entrant hostile. L'implémentation de DirectAccess dans Windows Server 2012 utilise une version
modifiée des stratégies IKEv2 pour autoriser le trafic des technologies de transition IPv6 et une forme
modifiée de la protection contre les attaques par déni de service IPsec pour autoriser le trafic VPN.
Ces modifications permettent au rôle serveur d'accès unifié de servir les clients d'accès à distance
exécutant Windows 7 ou Windows 8 via DirectAccess, et les clients non Microsoft de niveau inférieur
via VPN.

• Analyse avancée des clients. Une unique console dans DirectAccess permet non seulement d'analyser
et de diagnostiquer le déploiement, mais également de visualiser l'intégrité des ordinateurs clients
et des serveurs. Le tableau de bord permet d'obtenir les informations de niveau supérieur relatives
aux serveurs d'accès à distance et à l'activité des clients. Grâce à l'analyse de l'ordinateur client
et des utilisateurs, vous pouvez consulter les informations relatives aux ressources auxquelles
les clients accèdent.

• Gestion des comptes et création de rapport intégrées. Les fonctionnalités de gestion des comptes
et de création de rapport sont désormais intégrées dans la console et permettent de mesurer
des métriques spécifiques. Les administrateurs peuvent également générer des rapports avancés
permettant d'identifier diverses statistiques sur les utilisateurs et les serveurs.

• Windows PowerShell® et prise en charge de l'installation minimale. Windows Server 2012 fournit
une prise en charge complète de Windows PowerShell pour l'installation, la configuration,
la gestion, l'analyse et le dépannage du rôle serveur d'accès à distance.

• Assistant de gestion unifiée et outils. Vous pouvez utiliser une console unique pour la configuration,
la gestion et l'analyse de DirectAccess.
• Fonctionne avec l'infrastructure existante. Vous n'avez plus besoin de mettre à niveau vos contrôleurs
de domaine existants vers Windows Server 2012.

• Les technologies de transition IPv6 pour réseau interne ne sont plus nécessaires. En effet, les
technologies de transition telles que la traduction d'adresses réseau 64 (NAT64) et le système DNS64
autorisent l'accès aux ressources internes qui figurent uniquement sur les ordinateurs IPv4.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-42 Conception et implémentation des services d'accès réseau

• Carte réseau unique. Vous pouvez implémenter votre serveur DirectAccess derrière un traducteur
d'adresses réseau avec une seule carte réseau.

• Adresse IP unique. Dans certains scénarios de déploiement, vous pouvez même utiliser une seule
adresse IP pour le serveur DirectAccess. Ceci facilite le déploiement par rapport au déploiement
de DirectAccess dans Windows Server 2008.

Déploiement simplifié de DirectAccess

Le déploiement de DirectAccess a été simplifié. Windows Server 2012 comprend l'installation rapide
pour faciliter le déploiement, notamment pour les petites et moyennes organisations. L'installation
rapide comprend les caractéristiques suivantes :

• Le déploiement PKI est facultative, car l'Assistant génère un certificat auto-signé sans nécessiter
de listes de révocation des certificats. Cette fonctionnalité est obtenue à l'aide du proxy Kerberos
basé sur HTTPS (intégré dans Windows Server 2012), qui accepte les demandes d'authentification
des clients et les envoie aux contrôleurs de domaine de la part du client.

• Configuration d'un seul tunnel IPsec.

• Authentification à un seul facteur uniquement ; aucune prise en charge pour l'intégration de cartes
à puce ou l'utilisation du mot de passe à usage unique.

• Fonctionne seulement avec les ordinateurs clients exécutant Windows 8.

Améliorations des performances et de l'évolutivité

DirectAccess comprend les fonctionnalités améliorées suivantes en termes de performances
et d'évolutivité :

• Prise en charge de l'équilibrage de charge externe haute disponibilité. Windows Server 2012 prend
en charge l'équilibrage de la charge réseau (NLB) afin d'obtenir un niveau de haute disponibilité
et évolutivité pour DirectAccess et RRAS. Le processus de configuration fournit également une
prise en charge intégrée de solutions matérielles non Microsoft d'équilibrage de charge externe.

• Amélioration de la prise en charge du partage du trafic entrant. DirectAccess fournit la prise en charge
du partage du trafic entrant (RSS) et prend en charge l'exécution de DirectAccess sur les ordinateurs
virtuels avec densité accrue :

o Améliorations des performances et de l'interopérabilité IP-HTTPS. L'implémentation de

Windows Server 2012 dans DirectAccess supprime le double chiffrement lors de l'utilisation
d'IP-HTTPS. En outre, cela réduit le temps de détection des adresses en double, entraînant
une amélioration potentielle significative des performances.

o Utilisation réduite de bande passante. Windows Server 2012 réduit les charges associées
à l'établissement de méthodes de connectivité, optimise le comportement d'envoi par lot
et reçoit les tampons, entraînant ainsi une utilisation globale réduite de bande passante. De
plus, dans Windows Server 2012, DirectAccess partage le trafic entrant avec le protocole UDP.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-43

Nouveaux scénarios de déploiement

Les nouveaux scénarios de déploiement de DirectAccess pour Windows Server 2012 comprennent :

• Déploiement de plusieurs points de terminaison. Quand vous implémentez DirectAccess sur

plusieurs serveurs dans différents emplacements du réseau, le périphérique Windows 8 choisit
automatiquement le point de terminaison le plus proche. (Pour le système d'exploitation Windows 7,
vous devez spécifier manuellement le point de terminaison). Cela fonctionne également pour
les parties du système de fichiers DFS (Distributed File System) qui sont redirigées vers un
site Active Directory approprié.
• Prise en charge de plusieurs domaines. Dans Windows Server 2008 R2, vous avez du procéder
à la configuration de plusieurs domaines manuellement. Cependant, cette fonctionnalité est
intégrée dans Windows Server 2012 à l'aide de l'Assistant Déploiement.
• Déploiement d'un serveur derrière un traducteur d'adresses réseau. Vous pouvez déployer
Windows Server 2012 DirectAccess derrière un périphérique NAT, avec la prise en charge d'une
ou plusieurs interfaces, qui supprime la nécessité d'une adresse publique. Dans cette configuration,
seul le protocole IP-HTTPS est déployé ; il permet l'établissement d'un tunnel IP sécurisé à l'aide
d'une connexion HTTP sécurisée.

• Prise en charge du mot de passe à usage unique et des cartes à puce virtuelles. Cette fonctionnalité
requiert un déploiement PKI. Si vous sélectionnez cette option dans l'Assistant Installation
DirectAccess, l'option Utiliser les certificats d'ordinateur est sélectionnée automatiquement.
En outre, DirectAccess peut utiliser la carte à puce virtuelle basée sur le module de plateforme
sécurisée (TPM)–, qui utilise le module TPM d'un ordinateur client pour agir en tant que carte
à puce virtuelle pour l'authentification à deux facteurs.

• Cartes réseau de déchargement avec prise en charge de l'association de cartes réseau. L'association
de cartes réseau dans Windows Server 2012 est entièrement prise en charge sans recourir à des
pilotes non Microsoft.

• Mise en service hors site. Avec le nouvel outil en ligne de commande djoin, vous pouvez facilement
mettre en service un ordinateur hors domaine avec un blob Active Directory, de façon à pouvoir
associer l'ordinateur à un domaine sans jamais avoir besoin d'être connecté dans vos locaux internes.

Implémentation de DirectAccess
Pour implémenter DirectAccess, procédez
comme suit :

1. Configurez les configurations requises

d'AD DS et de DNS :

a. Créez un groupe de sécurité dans AD DS,

et ajoutez tous les comptes d'ordinateur
client qui accéderont à l'intranet par
DirectAccess.
b. Configurez les serveurs DNS à la fois
internes et externes avec les noms
d'hôtes et les adresses IP appropriés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-44 Conception et implémentation des services d'accès réseau

2. Configurez l'environnement PKI :

• Ajoutez et configurez le rôle serveur Autorité de certification, créez le modèle de certificat et

le point de distribution de la liste de révocation de certificats, publiez la liste CRL et distribuez
les certificats d'ordinateur. La configuration de l'environnement PKI n'est pas requise si vous
utilisez l'Assistant Mise en route pour configurer le déploiement simplifié. Cependant,
il y a quelques les restrictions relatives à l'utilisation de l'Assistant Mise en route.

3. Configurez le serveur DirectAccess :

a. Installez Windows Server 2012 sur un ordinateur serveur doté d'une ou deux cartes réseau
physiques (selon le scénario de conception DirectAccess).

b. Associez le serveur DirectAccess à un domaine Active Directory.

c. Installez le rôle d'accès à distance et configurez le serveur DirectAccess de manière à ce qu'il

présente l'une des conditions suivantes :
 Le serveur DirectAccess est sur le réseau de périmètre avec une carte réseau connectée au
réseau de périmètre, et au moins une autre carte réseau connectée à l'intranet. Dans ce
scénario de déploiement, le serveur DirectAccess est placé entre un pare-feu frontal et le
pare-feu principal.
 Le serveur DirectAccess est publié à l'aide du serveur de passerelle IPsec (Forefront TMG
ou Forefront UAG). Dans ce scénario de déploiement, DirectAccess est placé derrière un
pare-feu frontal et il dispose d'une carte réseau connectée au réseau interne.
 Le serveur DirectAccess est installé sur un serveur Edge (en général, un pare-feu frontal),
avec une carte réseau connectée à Internet, et au moins une autre carte réseau connectée
à l'intranet.
Une autre possibilité réside dans le fait que le serveur DirectAccess dispose d'une interface réseau
uniquement (non de deux). Pour cette approche, procédez comme suit :

o Vérifiez que les ports et les protocoles nécessaires pour DirectAccess et la requête d'écho ICMP sont
autorisés dans les exceptions du pare-feu et ouverts sur les pare-feu Internet et de périmètre.

o Dans le cadre d'une implémentation simplifiée, le serveur DirectAccess peut utiliser une seule adresse
IP publique en association avec les services proxy d'authentification Kerberos pour authentifier le
client au niveau des contrôleurs de domaine. Dans le cadre de l'authentification à deux facteurs et de
l'intégration de protection d'accès réseau (NAP), vous devez configurer au moins deux adresses IPv4
publiques, statiques consécutives pouvant être résolues en externe via le serveur DNS. Assurez-vous
que vous avez une adresse IPv4 disponible et que vous pouvez la publier dans votre serveur DNS
externe.

o Si vous avez désactivé IPv6 sur les clients et les serveurs, vous devez le réactiver car il est
indispensable pour DirectAccess.

o Installez un serveur Web sur le serveur DirectAccess pour permettre aux clients DirectAccess de
déterminer s'ils se trouvent sur ou en dehors de l'intranet. Vous pouvez installer ce serveur Web sur
un serveur interne distinct pour déterminer l'emplacement réseau.

o Selon le scénario de déploiement, vous devez indiquer une des cartes réseau de serveur comme
l'interface Internet (dans un déploiement avec deux cartes réseau), ou publier le serveur DirectAccess
déployé derrière un périphérique NAT pour l'accès à Internet.

o Sur le serveur DirectAccess, assurez-vous que l'interface Internet est configurée pour être une
interface publique ou privée, selon la conception de votre réseau. Configurez les interfaces d'intranet
comme interfaces de domaine. Si vous disposez de plus de deux interfaces, vérifiez que seuls deux
types de classification au maximum sont sélectionnés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-45

4. Configurez les clients DirectAccess et testez l'intranet et l'accès à Internet :

a. Vérifiez que la stratégie de groupe DirectAccess a été appliquée et que des certificats
ont été distribués aux ordinateurs clients.

b. Testez si vous pouvez vous connecter au serveur DirectAccess depuis l'intranet.

c. Testez si vous pouvez vous connecter au serveur DirectAccess à partir d'Internet.

Démonstration : Configuration d'un serveur DirectAccess avec l'Assistant

Mise en route
Cette démonstration montre comment :

• créer un groupe de sécurité dans Active Directory pour les ordinateurs clients DirectAccess ;

• configurer DirectAccess.

Limites de l'utilisation de l'Assistant Mise en route

L'Assistant Mise en route est facile à implémenter, mais il n'est pas adapté aux grands déploiements
qui doivent prendre en charge l'accès multisite, qui requièrent une infrastructure hautement disponible,
ou qui requièrent la prise en charge de Windows 7 dans un scénario DirectAccess.

Certificats auto-signés

L'Assistant Mise en route crée un certificat auto-signé pour activer des connexions SSL aux serveurs
DirectAccess et d'emplacement réseau. Pour que DirectAccess fonctionne, vous devez vérifier que
le point de distribution de liste de révocation de certificats pour les deux certificats est disponible au
niveau externe. De plus, le certificat auto-signé ne peut pas être utilisé dans des déploiements multisites.

Remarque : La liste de révocation de certificats comprend l'ensemble des certificats

révoqués ainsi que l'objet de leur révocation.

En raison de ces limitations, la plupart des organisations configureront un certificat public pour le serveur
DirectAccess et le serveur NLS, ou fournissent les certificats générés par une Autorité de certification (CA)
interne.

Ces organisations qui ont implémenté une autorité de certification (CA) interne peuvent utiliser le modèle
de certificat de serveur Web pour délivrer un certificat aux serveurs DirectAccess et NLS. L'organisation
doit également vérifier que les points de distribution de liste de révocation de certificats sont accessibles
à partir d'Internet.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-46 Conception et implémentation des services d'accès réseau

Conception du serveur Emplacement réseau

Le serveur NLS est un élément critique d'un déploiement DirectAccess. L'Assistant Mise en route déploie
le serveur NLS sur le même serveur que le serveur DirectAccess. Si les ordinateurs clients DirectAccess
sur l'intranet ne parviennent pas à localiser, ni à accéder à, la page Web sécurisée sur le serveur
d'emplacement réseau, ils ne pourront peut être pas accéder aux ressources intranet.

Quand les clients DirectAccess obtiennent une connexion physique à l'intranet ou rencontrent une
modification d'état du réseau sur l'intranet (telle qu'une modification d'adresse lors de l'itinérance
entre les sous-réseaux), ils tentent une connexion HTTPS vers l'URL du serveur NLS. Si le client peut
établir une connexion HTTPS à NLS et vérifier l'état de révocation pour le certificat du serveur Web,
le client détermine qu'il est sur l'intranet. En conséquence, la table NRPT sera désactivée sur le client
et le Pare-feu Windows sera configuré pour utiliser le profil de domaine sans tunnels IPsec.
Le serveur NLS doit être déployé sur un serveur Web intranet hautement disponible et de grande
capacité. De plus grandes entreprises envisageront d'implémenter NLS sur un cluster de serveurs
Web frontaux ou à l'aide d'un équilibrage de matériel externe.

Prise en charge de Windows 7

L'Assistant Mise en route configure le serveur d'accès à distance pour agir en tant que proxy
d'authentification Kerberos pour exécuter l'authentification IPsec sans recourir à des certificats. Des
demandes d'authentification des clients sont envoyées à un service proxy Kerberos fonctionnant sur le
serveur DirectAccess. Le proxy Kerberos envoie alors les demandes Kerberos aux contrôleurs de domaine
de la part du client. Cette configuration s'applique seulement pour les clients exécutant Windows 8
ou Windows Server 2012. Si les clients Windows 7 ont besoin d'être pris en charge pour DirectAccess,
vous devez déployer une infrastructure à clé publique (PKI) pour délivrer les certificats d'ordinateurs
pour la rétrocompatibilité.

Procédure de démonstration

Créer un groupe de sécurité dans Active Directory pour les ordinateurs clients
DirectAccess
1. Sur LON-DC1, ouvrez la console Utilisateurs et ordinateurs Active Directory et créez
une unité d'organisation avec le nom DA_Clients OU, et, au sein de cette unité, créez
un groupe de sécurité global avec le nom DA_Clients.
2. Ajoutez LON-CL1 au groupe de sécurité DA_Clients.

Configurer DirectAccess
1. Sur LON-RTR, modifiez l'adresse IPv4 pour la connexion au réseau local 2 comme suit :

• Adresse IP : [Link]

• Masque de sous-réseau : [Link]

2. Redémarrez LON-RTR et connectez-vous en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-47

3. Sur LON-RTR, dans la console du Gestionnaire de serveur, sélectionnez Gestion de l'accès

à distance. Démarrez l'Assistant en cliquant sur Exécuter l'Assistant Mise en route dans
la console Gestion de l'accès à distance, avec les paramètres suivants :

• Configurer l'accès à distance : Déployer DirectAccess uniquement.

• Vérifiez que Périmètre est sélectionné, puis dans la zone Tapez le nom public ou l'adresse IPv4
utilisée par les clients pour se connecter au serveur d'accès à distance, tapez [Link].

• Dans la page Vérification de l'accès DirectAccess : Modification des clients distants.

• Ordinateurs du domaine : DA_Clients.

• Désactivez la case à cocher Activer DirectAccess pour les ordinateurs portables uniquement.

• Assistant Connectivité réseau : cliquez sur Terminer.

• Dans la page Vérification de l'accès DirectAccess : cliquez sur OK.

• Configurer l'accès à distance : cliquez sur Terminer pour fermer l'Assistant DirectAccess.

4. Cliquez sur Fermer dans la zone Application des paramètres de l'Assistant Mise en route.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-48 Conception et implémentation des services d'accès réseau

Atelier pratique : Conception et implémentation

des services d'accès réseau
Scénario
La société A. Datum évalue la configuration d'accès réseau requise pour les utilisateurs qui travaillent de
temps en temps depuis des chambres d'hôtel ou de leur domicile. Beaucoup de dirigeants du siège social
de Londres se rendent dans des endroits éloignés et doivent accéder aux données d'organisation depuis
des chambres d'hôtel. Les cadres souhaitent également travailler depuis leur domicile, ou lorsqu'ils sont
en vacances.

En outre, beaucoup d'employés de Trey Research et Contoso, Ltd travaillent depuis leur domicile. Ils
apportent de temps en temps leurs ordinateurs au siège social, et souvent, n'arrivent pas à se connecter
à toutes les ressources réseau de l'entreprise, car leurs systèmes enfreignent les stratégies de contrôle
d'intégrité réseau de l'entreprise.

Objectifs
À la fin de l'atelier pratique, vous serez à même d'effectuer les tâches suivantes :

• planifier et implémenter une solution VPN ;

• planifier et implémenter une solution DirectAccess.

Configuration de l'atelier pratique

Durée approximative : 90-120 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-SVR1
22413B-LON-RTR
22413B-LON-CL1
22413B-LON-CL2

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez effectuer les opérations suivantes :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration,
puis cliquez sur Gestionnaire Hyper-V®.

2. Dans le Gestionnaire Hyper-V, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions,
cliquez sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-49

4. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

5. Répétez les étapes 2 à 4 pour 22413B-LON-RTR et 22413B-LON-CL2.

Important : Ne démarrez pas 22413B-LON-SVR1 et 22413B-LON-CL1 avant d'être invité

à le faire.

Exercice 1 : Planification et implémentation d'une solution VPN

Scénario
Pour ces ordinateurs qui ne répondent pas aux critères de DirectAccess, vous devez implémenter
une solution VPN.

Bien qu'un serveur VPN soit actuellement en place dans le bureau de Londres, vous devez concevoir
une solution d'accès à distance en fonction des besoins des utilisateurs et de l'entreprise.

Stratégie de service d'accès réseau

Numéro de référence du document : BS0905/1

Auteur du document Brad Sutton

Date 5 septembre

Présentation des exigences

Pour concevoir une stratégie d'accès à distance prenant en charge les objectifs suivants :
• La sécurité des données est très importante.
• Le fournisseur de services actuel pour l'accès à Internet ne fournit aucune garantie en termes
de disponibilité. Les garanties en termes de disponibilité sont requises pour la planification
de la récupération d'urgence.
• Dans la mesure du possible, les ordinateurs doivent être placés dans l'étendue de gestion
des réseaux d'A. Datum ou de Trey Research.
• Les cadres sont autorisés à accéder à distance aux ressources réseau sans aucune restriction.
• Les dirigeants de filiale peuvent accéder à distance uniquement aux ressources du site du siège
social. Par exemple, les directeurs de filiale en Europe n'ont accès qu'aux ressources de Paris.
• Le personnel du service client n'a pas d'accès à distance.
• Le personnel du marketing a un accès à distance, mais uniquement pour le courrier électronique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-50 Conception et implémentation des services d'accès réseau

(suite)

Stratégie de service d'accès réseau

Informations supplémentaires
• Le déploiement VPN actuel se compose d'un seul serveur VPN.
• Les clients utilisent des connexions L2TP, et disposent d'une connexion à tout le réseau une fois
connectés.
• A Datum a une infrastructure en place pour déployer des certificats et des cartes à puce.
• Certains cadres ont eu des problèmes de blocages de connexions VPN par les pare-feu des hôtels.
• Les utilisateurs de sites non européens se sont plaints de la lenteur de l'accès aux données sur VPN.
• Il n'existe qu'une seule connexion Internet pour Contoso, qui est actuellement située à Paris.

Propositions
1. Quelle méthode d'authentification devez-vous utiliser pour les connexions VPN ?
2. Quel protocole de tunneling VPN devez-vous utiliser ?
3. Où devez-vous placer les serveurs VPN ?
4. Comment traiterez-vous les problèmes de lenteur d'accès aux données sur VPN des utilisateurs
non européens ?
5. Comment configurerez-vous des clients avec des connexions VPN ?
6. Comment traiterez-vous les problèmes de disponibilité de la connexion Internet ?
7. Comment le service RADIUS permettra-t-il à l'assistance technique d'A. Datum de contrôler
les mots de passe ?
8. Quelle configuration les administrateurs chez A. Datum doivent-ils exécuter ?
9. Comment l'implémentation RADIUS affecte-elle le serveur VPN local ?
10. Quelles stratégies réseau devez-vous créer ?
11. Comment l'ordre de traitement affecte-t-il vos stratégies réseau ?

Après avoir terminé la conception d'accès réseau, vous devez installer un serveur NPS dans l'infrastructure
existante avec pour fonction les services RADIUS. Dans cet exercice, vous allez configurer le serveur
RADIUS avec les modèles appropriés pour faciliter la gestion de toutes les implémentations futures. Vous
devez également configurer la gestion de comptes pour enregistrer les informations d'authentification
dans un fichier texte local sur le serveur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-51

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

5. Installer et configurer le système NPS.

6. Configurer des modèles NPS.

7. Configurer la gestion de comptes RADIUS.

8. Configurer un client RADIUS.

9. Configurer les stratégies réseau.

10. Tester l'accès VPN.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section de propositions du document Stratégie de service
d'accès réseau.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

 Tâche 5 : Installer et configurer le système NPS

1. Basculez vers LON-DC1.
2. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

3. À l'aide du Gestionnaire de serveur, installez le rôle Services de stratégie et d'accès réseau à l'aide
des valeurs par défaut pour exécuter l'Assistant d'installation.

4. Ouvrez la console Serveur NPS (Network Policy Server), puis inscrivez le serveur dans Active Directory.

5. Laissez la console Serveur NPS ouverte.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-52 Conception et implémentation des services d'accès réseau

 Tâche 6 : Configurer des modèles NPS

1. Dans Serveur NPS (Network Policy Server), sous Gestion, créer un nouveau modèle Secrets partagés
avec les propriétés suivantes :

• Nom : Secret d'Adatum

• Secret partagé : Pa$$w0rd

2. Créez un modèle Clients RADIUS avec les propriétés suivantes :

• Nom convivial : LON-RTR

• Adresse (IP ou DNS) : LON-RTR

• Secret partagé : Utilisez le modèle Secret d'Adatum

3. Laissez la console Serveur NPS ouverte.

 Tâche 7 : Configurer la gestion de comptes RADIUS

1. Dans la console Serveur NPS, sous Gestion, sélectionnez l'option Configurer la gestion
des comptes.

2. Choisissez l'option Enregistrer les données dans un fichier texte sur l'ordinateur local,
puis utilisez les valeurs par défaut pour exécuter l'Assistant.

3. Laissez la console Serveur NPS ouverte.

 Tâche 8 : Configurer un client RADIUS

1. Dans la console Serveur NPS, sous Clients et serveurs RADIUS, créer un Nouveau client RADIUS
avec la propriété suivante :

• Modèle : LON-RTR

2. Laissez la console ouverte, puis basculez vers LON-RTR.

3. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

4. Ouvrez Routage et accès distant, puis cliquez sur Désactiver le routage et l'accès à distance.

5. Cliquez sur Configurer et activer le routage et l'accès distant.

6. Reconfigurez LON-RTR en tant que serveur VPN :

• Connexion au réseau local 2 correspond à l'interface publique

• Sécuriser l'interface sélectionnée en configurant des filtres de paquet statiques

est désactivé

• Le serveur VPN alloue des adresses du pool : [Link] – [Link]

• Le serveur est configuré avec l'option Oui, configurer ce serveur pour travailler
avec un serveur RADIUS

• Serveur RADIUS principal : LON-DC1

• Secret : Pa$$w0rd

7. Le service VPN démarre.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-53

 Tâche 9 : Configurer les stratégies réseau

1. Basculez vers LON-DC1.

2. Basculez vers la console Serveur NPS.

3. Sous Stratégies, localisez les Stratégies réseau et désactivez les deux stratégies réseau existantes.
elles empêcheraient le traitement de la stratégie que vous êtes sur le point de créer.

4. Créez une stratégie réseau à l'aide des propriétés suivantes :

• Nom de la stratégie : Stratégie VPN Adatum

• Type de serveur d'accès réseau : Serveur d'accès à distance (VPN-Dial up)

• Condition : Type de port NAS = Virtuel (VPN)

• Autorisation : Accès accordé

• Méthodes d'authentification : valeur par défaut

• Contraintes : valeur par défaut

• Paramètres : valeur par défaut

 Tâche 10 : Tester l'accès VPN

1. Basculez vers LON-CL2 et connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

2. Créez une connexion VPN avec les propriétés suivantes :

• Adresse Internet de connexion : [Link]

• Nom de la destination : VPN Adatum

• Autoriser d'autres personnes à utiliser cette connexion : true

3. Une fois le VPN créé, modifiez ses paramètres en affichant les propriétés de la connexion,
puis sélectionnez l'onglet Sécurité. Notez que vous testez le processus de bout en bout
de l'authentification avec le service RADIUS au lieu de créer un réseau privé virtuel (VPN)
correctement configuré selon votre conception.

4. Utilisez les paramètres suivants pour reconfigurer le VPN :

• Type de réseau VPN : Protocole PPTP (Point to Point Tunneling Protocol)

• Authentification : Autoriser ces protocoles = Protocole Microsoft CHAP Version 2

(MS-CHAP v2)

5. Testez la connexion VPN à l'aide des informations d'identification suivantes :

• Nom d'utilisateur : ADATUM\Administrateur

• Mot de passe : Pa$$w0rd

Résultats : À la fin de cet exercice, vous aurez réussi à concevoir et à implémenter une solution VPN.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-54 Conception et implémentation des services d'accès réseau

 Préparer l'exercice suivant

Lorsque vous avez terminé cet exercice, rétablissez 22413B-LON-CL2 et démarrez des ordinateurs
virtuels supplémentaires. Pour cela, procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-CL2,
puis cliquez sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-RTR et 22413B-LON-DC1.

5. Cliquez sur 22413B-LON-DC1 et dans le volet Actions, cliquez sur Démarrer.

6. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

7. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

8. Répétez les étapes 5 à 7 pour 22413B-LON-RTR et 22413B-LON-SVR1.

9. Ne démarrez pas 22413B-LON-CL1 tant que vous n'avez pas été invité à le faire.

Exercice 2 : Planification et implémentation d'une solution DirectAccess

Scénario
Une fois que vous avez créé la solution VPN de prise en charge de ces utilisateurs qui ne peuvent pas
implémenter DirectAccess, vous devez maintenant déterminer comment implémenter DirectAccess chez
A. Datum. Vous devez déterminer les composants d'entreprise qui doivent être en place pour prendre
en charge le déploiement, et les rôles serveur que vous devez déployer avant de déployer DirectAccess.
Une fois que vous êtes satisfait et que la forêt A. Datum convient pour héberger DirectAccess, vous devez
ensuite implémenter DirectAccess.

Documentation supplémentaire
Stratégie de DirectAccess

Numéro de référence du document : BS0907/1

Auteur du document Brad Sutton

Date 7 septembre

Présentation des exigences

Pour créer un plan d'implémentation de DirectAccess pour une prise en charge des objectifs suivants :
• déterminer les composants d'entreprise qui sont requis pour DirectAccess ;
• déterminer les rôles serveur qui sont requis pour DirectAccess.

Propositions
1. Quels composants d'infrastructure doivent être en place pour prendre en charge
la fonctionnalité DirectAccess ?

2. Implémenterez-vous une infrastructure à clé publique ?

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-55

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

5. Configurer AD DS et DNS.

6. Configurer les certificats requis.

7. Configurer les ressources internes.

8. Configurer un serveur DirectAccess.

9. Configurer les paramètres de stratégie de groupe DirectAccess.

10. Vérifier la distribution de certificats.

11. Vérifier la configuration IP.

12. Déplacer LON-CL1 et vérifiez la connectivité aux ressources intranet.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section de propositions du document Stratégie de DirectAccess.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

 Tâche 5 : Configurer AD DS et DNS

1. Créez un groupe de sécurité pour les ordinateurs clients DirectAccess en procédant comme suit :

a. Basculez vers LON-DC1.

b. Ouvrez la console Utilisateurs et ordinateurs Active Directory et créez une unité

d'organisation nommée DA_Clients OU.

c. Au sein de cette unité d'organisation, créez un groupe de sécurité global nommé DA_Clients.

d. Modifiez les membres du groupe DA_Clients pour intégrer LON-CL1.

e. Fermez Utilisateurs et ordinateurs Active Directory.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-56 Conception et implémentation des services d'accès réseau

2. Configurez les règles de pare-feu pour le trafic ICMPv6 en procédant comme suit :

a. Ouvrez la console Gestion de stratégie de groupe (GPMC), puis ouvrez Default Domain Policy.

b. Dans l'Éditeur de gestion des stratégies de groupe, naviguez jusqu'à Configuration ordinateur\
Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec les
fonctions de sécurité avancées\Pare-feu Windows avec fonctions avancées de sécurité.

c. Créez une règle de trafic entrant avec les paramètres suivants :

 Type de règle : Personnalisée
 Type de protocole : ICMPv6
 Types d'ICMP spécifiques : Demande d'écho
 Nom : Requêtes d'écho ICMPv6 entrantes
d. Créez une nouvelle règle de trafic sortant avec les paramètres suivants :
 Type de règle : Personnalisée
 Type de protocole : ICMPv6
 Types d'ICMP spécifiques : Demande d'écho
 Action : Autoriser la connexion
 Nom : Requêtes d'écho ICMPv6 sortantes
e. Fermez l'Éditeur de gestion des stratégies de groupe et la console GPMC.

3. Créez les enregistrements DNS requis en procédant comme suit :

a. Ouvrez la console du Gestionnaire DNS console, puis créez de nouveaux enregistrements

hôte avec les paramètres suivants :
 Nom : nls
 Adresse IP : [Link]
 Nom : crl
 Adresse IP : [Link]
b. Fermez la console du Gestionnaire DNS.

4. Supprimez le nom ISATAP de la liste rouge de requêtes globale DNS en procédant comme suit :

a. Ouvrez une fenêtre d'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

dnscmd /config /globalqueryblocklist wpad

Vérifiez que le message La commande s'est terminée correctement s'affiche.

b. Fermez la fenêtre d'invite de commandes.

5. Basculez vers LON-RTR et configurez le suffixe DNS en procédant comme suit :

a. Dans la boîte de dialogue Propriétés de Connexion au réseau local, dans la boîte de
dialogue Protocole Internet Version 4 (TCP/IPv4), ajoutez le suffixe DNS [Link].

b. Fermez la boîte de dialogue Propriétés de Connexion au réseau local.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-57

6. Configurez les propriétés de la connexion au réseau local 2 comme suit :

a. Modifiez la configuration Connexion au réseau local 2\ Protocole Internet version 4

(TCP/IPv4) à l'aide des paramètres de configuration suivants :
 Adresse IP : [Link]
 Masque de sous-réseau : [Link]

 Tâche 6 : Configurer les certificats requis

1. Configurez les paramètres de distribution de la liste de révocation de certificats en procédant
comme suit :

a. Basculez vers LON-DC1 et ouvrez la console Autorité de certification.

b. Configurez l'autorité de certification Adatum-LON-DC1-CA avec les paramètres

d'extension suivants :

• Ajouter un emplacement : [Link]

• Variable : <NomAutoritéCertification>, <SuffixeNomListeRévocationCertificats>,

<ListeRévocationCertificatsDeltaAutorisée>
• Emplacement : .crl

• Sélectionnez les conditions suivantes :

 Inclure dans les listes de révocation des certificats afin de pouvoir rechercher les
listes de révocation des certificats delta.
 Inclure dans l'extension CDP des certificats émis.
• Ne redémarrez pas les services de certificats
• Ajouter un emplacement : \\LON-RTR\crldist$\

• Variable : <NomAutoritéCertification>, <SuffixeNomListeRévocationCertificats>,

<ListeRévocationCertificatsDeltaAutorisée>
• Emplacement : .crl

• Sélectionnez les conditions suivantes :

 Inclure dans les listes de révocation des certificats afin de pouvoir rechercher les
listes de révocation des certificats delta.
 Inclure dans l'extension CDP des certificats émis.
• Redémarrez les services de certificats.
• Fermez la console Autorité de certification.

2. Pour dupliquer le modèle de certificat Web et configurer une autorisation appropriée, procédez
comme suit :
a. Dans la console Modèles de certificats, dans le volet Contenu, dupliquez le modèle Serveur Web
en utilisant les options suivantes :

o Nom complet du modèle : Certificat de serveur Web Adatum

o Traitement de la demande : Autoriser l'exportation de la clé privée

o Autorisations Utilisateurs authentifiés : sous Autoriser, cliquez sur Inscrire

b. Fermez la console Modèles de certificats.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-58 Conception et implémentation des services d'accès réseau

c. Dans la console Autorité de certification, choisissez de délivrer un nouveau modèle de certificat

et sélectionnez le modèle Certificat de serveur Web Adatum.

d. Redémarrez l'Autorité de certification Adatum-LON-DC1-CA.

e. Fermez la console Autorité de certification.

3. Configurez l'inscription automatique de certificat de l'ordinateur en procédant comme suit :

a. Sur LON-DC1, ouvrez la Console de gestion des stratégies de groupe.

b. Dans la Console de gestion des stratégies de groupe, naviguez jusqu'à Forêt :

[Link]\Domains\[Link].

c. Modifiez la Default Domain Policy.

d. Dans l'Éditeur de gestion des stratégies de groupe, naviguez jusqu'à Configuration ordinateur\
Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique.

e. Sous Paramètres de demande automatique de certificat, configurez Demande automatique

de certificat pour délivrer le certificat d'ordinateur.

f. Fermez l'Éditeur et la Console de gestion des stratégies de groupe.

 Tâche 7 : Configurer les ressources internes

1. Demandez un certificat pour LON-SVR1 en procédant comme suit :

a. Sur LON-SVR1, ouvrez une invite de commandes, tapez la commande suivante et appuyez
sur Entrée :

gpupdate /force

b. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

mmc

c. Ajoutez le composant logiciel enfichable Certificats pour l'ordinateur local.

d. Dans l'arborescence de la console du composant logiciel enfichable Certificats, naviguez

jusqu'à Certificats (ordinateur local)\Personnel\Certificats et demandez un nouveau
certificat.

e. Sous Demander des certificats, sélectionnez Certificat de serveur Web Adatum

avec le paramètre suivant :
 Nom de sujet : Sous Nom commun, tapez [Link].
f. Dans le composant logiciel enfichable de certificats, dans le volet d'informations, vérifiez
qu'un nouveau certificat avec le nom [Link] a été inscrit avec Rôles prévus
de Authentification du serveur.

g. Fermez la fenêtre de la console. Lorsque vous êtes invité à enregistrer les paramètres,
cliquez sur Non.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-59

2. Pour changer les liaisons HTTPS, procédez comme suit :

a. Ouvrez le Gestionnaire des services Internet (IIS).

b. Dans la console Gestionnaire des services Internet (IIS), naviguez jusqu'à et cliquez sur
Site Web par défaut.

c. Configurez les liaisons de site en sélectionnant [Link] pour Certificat SSL.

d. Fermez la console Gestionnaire des services Internet (IIS).

3. Créez un dossier partagé sur LON-SVR1 :

a. Créer et partager un dossier nommé C:\Files avec les valeurs par défaut.

b. Créez un fichier texte dans ce dossier nommé [Link].

c. Remplissez-le avec le texte C'est un fichier d'entreprise.

d. Enregistrez le fichier.

 Tâche 8 : Configurer un serveur DirectAccess

1. Demandez les certificats nécessaires pour LON-RTR en procédant comme suit :

a. Basculez vers LON-RTR.

b. Ouvrez une fenêtre d'invite de commandes et actualisez la stratégie de groupe en tapant

la commande suivante :

gpupdate /force

c. Ouvrez la console MMC (Microsoft Management Console) en tapant mmc

à l'invite de commandes.

d. Ajoutez le composant logiciel enfichable Certificats pour l'ordinateur local.

e. Dans le composant logiciel enfichable Certificates, dans la console MMC,

demandez un nouveau certificat avec les paramètres suivants :
 Modèle de certificat : Certificat de serveur Web Adatum
 Nom commun : [Link]
 Nom convivial : Certificat IP-HTTPS
f. Fermez la console MMC.

2. Créez le point de distribution de liste de révocation de certificats sur LON-RTR en procédant

comme suit :
a. Basculez vers le Gestionnaire de serveur.

b. Dans le Gestionnaire des services Internet (IIS), créez un répertoire virtuel nommé CRLD
et attribuez c:\crldist comme répertoire d'accueil.
c. Activez l'exploration de répertoire et la fonctionnalité Autoriser le double-échappement.

Question : Pourquoi avez-vous rendu la liste de révocation de certificats disponible

sur le serveur Edge ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-60 Conception et implémentation des services d'accès réseau

3. Partagez et sécurisez le point de distribution de la liste de révocation de certificats en exécutant

l'étape suivante :

Remarque : Cette étape permet d'attribuer les autorisations au point de distribution

de liste de révocation de certificats.

• Dans le volet d'informations d'une fenêtre de l'explorateur de fichiers, cliquez avec le bouton
droit sur le dossier CRLDist, cliquez sur Propriétés et accordez les autorisations de partage
Contrôle total et NTFS.

4. Publiez la liste de révocation de certificats vers LON-RTR en procédant comme suit :

Remarque : Cette étape rend la liste de révocation de certificats disponible

sur le serveur Edge pour les clients DirectAccess basés sur Internet.

a. Basculez vers LON-DC1.

b. Démarrez la console Autorité de certification.

c. Dans l'arborescence de la console, ouvrez Adatum-LON-DC1-CA, cliquez avec le bouton droit

sur Certificats révoqués, pointez le curseur sur Toutes les tâches, puis cliquez sur Publier.
5. Terminez la procédure avec l'Assistant de configuration DirectAccess sur LON-RTR en procédant
comme suit :

a. Redémarrez LON-RTR et connectez-vous en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.

b. Sur LON-RTR, ouvrez le Gestionnaire de serveur.

c. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Routage et accès distant.

d. Dans Routage et accès distant, désactivez la configuration existante et fermez la console.

e. Dans la console Gestionnaire de serveur, démarrez la console Gestion à distance, cliquez

sur Configuration et démarrez l'Assistant Activation de DirectAccess.

f. Suivez les instructions de l'Assistant avec les paramètres suivants :

 Topologie de réseau : Périmètre est sélectionné
 [Link] est utilisé par les clients pour se connecter au serveur d'accès à distance
g. Dans la console Gestion de l'accès à distance, sous Étape 1, cliquez sur Modifier.

h. Ajoutez le groupe DA_Clients.

i. Dans le volet d'informations de la console Gestion de l'accès à distance, sous Step 2, cliquez
sur Modifier.

j. Dans la page Topologie de réseau page, vérifiez que Périmètre est sélectionné, puis tapez
sur [Link].

k. Dans la page Cartes réseau, vérifiez que CN=[Link] est utilisé comme certificat
d'authentification de la connexion IP-HTTPS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-61

l. Dans la page Authentification, cliquez sur Utiliser les certificats d'ordinateur, cliquez
sur Parcourir, puis sur Adatum Lon-Dc1 CA.

m. Dans la page Configuration VPN, cliquez sur Terminer.

n. Dans le volet d'informations de la console Gestion de l'accès à distance sous Étape 3, cliquez
sur Modifier.

o. Dans la page Server Emplacement réseau, cliquez sur Le serveur Emplacement réseau
est déployé sur un serveur Web distant (recommandé), et dans l'URL du serveur NLS,
tapez [Link] et cliquez sur Valider.

Vérifiez que l'URL est validée.

p. Dans la page DNS, examinez les valeurs, puis cliquez sur Suivant.

q. Dans la Liste de recherche de suffixes DNS, cliquez sur Suivant.

r. Dans la page Gestion, cliquez sur Terminer.

s. Dans le volet d'informations de la console Gestion de l'accès à distance console, examinez

le paramètre pour l'Étape 4.
t. Dans Vérification de l'accès DirectAccess, cliquez sur Appliquer.

u. Sous Application des paramètres de l'Assistant Configuration de l'accès à distance,

cliquez sur Fermer.
6. Mettez à jour les paramètres de la stratégie de groupe sur LON-RTR en procédant comme suit :

a. Ouvrez l'invite de commandes et tapez les commandes ci-dessous, en appuyant sur Entrée
après chaque ligne :

gpupdate /force
Ipconfig

Remarque : Vérifiez que LON-RTR a une adresse IPv6 pour Interface IPHTTPS de la carte
Tunnel commençant par 2002.

 Tâche 9 : Configurer les paramètres de stratégie de groupe DirectAccess

1. Basculez vers LON-DC1 et ouvrez la console Gestion des stratégies de groupe.

2. Localisez l'objet de stratégie de groupe des Paramètres du client DirectAccess.

3. Dans le volet de résultats, supprimez le filtre WMI DirectAccess – Laptop only WMI filter.

4. Fermez les consoles Éditeur de gestion des stratégies de groupe et Gestion des stratégies de groupe.

5. Démarrez LON-CL1 et connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe

Pa$$w0rd.

6. Ouvrez une fenêtre d'invite de commandes, puis tapez les commandes ci-dessous, en appuyant
sur Entrée à la fin de chaque ligne :

gpupdate /force
gpresult /R

7. Vérifiez que l'objet de la stratégie de groupe Paramètres du client DirectAccess s'affiche

correctement dans la liste des objets de stratégie de groupe pour les paramètres de l'ordinateur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-62 Conception et implémentation des services d'accès réseau

 Tâche 10 : Vérifier la distribution de certificats

1. Sur LON-CL1, ouvrez la console Certificats console.

2. Vérifiez qu'un certificat avec le nom [Link] s'affiche avec Rôles prévus
de Authentification du client et Authentification du serveur.

3. Fermez la fenêtre de la console sans enregistrer les modifications.

 Tâche 11 : Vérifier la configuration IP

1. Sur LON-CL1, à partir du Bureau, ouvrez une fenêtre Windows Internet Explorer®, et dans la barre
d'adresses, tapez [Link] La page Web par défaut IIS 8 pour LON-SVR1
s'affiche.

2. Dans Internet Explorer, dans la barre d'adresses, tapez [Link] La page Web
par défaut IIS 8 pour LON-SVR1 s'affiche.

3. Ouvrez une fenêtre de l'Explorateur de fichiers. Dans la barre d'adresses, tapez \\Lon-SVR1\Fichiers,
puis appuyez sur Entrée. Une fenêtre avec le contenu du dossier partagé Fichiers s'affichera.

4. Fermez toutes les fenêtres actives excepté l'invite de commandes.

 Tâche 12 : Déplacer LON-CL1 et vérifiez la connectivité aux ressources intranet

1. Sur LON-CL1, modifiez la configuration de la carte réseau comme suit :

• Adresse IP : [Link]
• Masque de sous-réseau : [Link]

• Passerelle par défaut : [Link]

2. Désactivez puis réactivez la carte Connexion au réseau local.

3. Fermez la fenêtre Connexions réseau.

4. Sur votre hôte, dans le Gestionnaire Hyper-V, cliquez avec le bouton droit sur 22413B-LON-CL1,
puis cliquez sur Paramètres. Modifiez la carte réseau héritée pour qu'elle soit sur le réseau
Réseau privé 2, puis cliquez sur OK.

5. Ouvrez Internet Explorer et dans la barre des tâches, tapez [Link]

La page Web par défaut IIS 8 pour LON-SVR1 s'affiche.

6. Ouvrez l'Explorateur de fichiers, et dans la barre d'adresses, tapez \\LON-SVR1\Fichiers, puis

appuyez sur Entrée. Une fenêtre de dossier avec le contenu du dossier partagé Fichiers doit s'afficher.

7. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

ping [Link]

Vérifiez que vous recevez les réponses de [Link].

8. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

gpupdate /force

9. Fermez toutes les fenêtres actives.

10. Basculez vers LON-RTR.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 11-63

11. Ouvrez la console Gestion de l'accès à distance et examinez les informations sur
l'État du client distant.

Remarque : Vous remarquerez que LON-CL1 est connecté via IPHttps. Dans
le volet d'informations de connexion en bas à droite de l'écran, observez l'utilisation
de l'authentification Kerberos pour l'ordinateur et l'utilisateur.

12. Fermez toutes les fenêtres actives.

Résultats : À la fin de cet exercice, vous aurez planifié et implémenté DirectAccess.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-CL1,
puis cliquez sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-RTR, 22413B-LON-SVR1 et 22413B-LON-DC1.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
11-64 Conception et implémentation des services d'accès réseau

Contrôle des acquis et éléments à retenir

Question(s) de contrôle des acquis
Question : Quel type de stratégie pouvez-vous appliquer pour déterminer si une tentative
de connexion réseau sera réussie ?

Question : Lors de la configuration d'ordinateurs privés pour permettre un accès à la

messagerie de l'entreprise, laquelle des propositions suivantes constitue généralement
la meilleure démarche : RPC sur HTTPS, ou un VPN ?

Question : Dans un environnement client mixte qui requiert de forts niveaux de sécurité,
lequel des types de tunnel VPN suivants choisiriez-vous : PPTP, L2TP/IPsec, SSTP ou IKEv2 ?

Question : Vrai ou faux ? Le serveur NPS peut fonctionner en tant que client RADIUS.

Question : Laquelle des propositions suivantes constitue la solution de pare-feu

la plus sécurisée : hôte bastion, pare-feu multirésident ou pare-feu dos à dos ?

Question : Quelle est la fonction du NLS dans une solution DirectAccess ?

Question : De quelles manières les clients DirectAccess peuvent-ils se connecter

aux ressources réseau ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-1

Module 12
Conception et implémentation de la protection réseau
Table des matières :
Vue d'ensemble du module 12-1

Leçon 1 : Vue d'ensemble de la conception de la sécurité du réseau 12-2

Leçon 2 : Identification et atténuation des menaces courantes

sur la sécurité du réseau 12-9

Leçon 3 : Conception et implémentation d'une stratégie

de Pare-feu Windows 12-16

Leçon 4 : Conception et implémentation d'une infrastructure

de protection d'accès réseau (NAP) 12-26

Atelier pratique : Conception et implémentation de la protection réseau 12-38

Contrôle des acquis et éléments à retenir 12-54

Évaluation du cours 12-55

Vue d'ensemble du module

La conception de la sécurité d'un réseau comprend plusieurs points importants, notamment un
processus cohérent d'identification des menaces et de surveillance et de gestion de la sécurité.
Les modèles de sécurité, tels que le modèle de défense en profondeur, fournissent des infrastructures
cohérentes pour l'identification des menaces pesant sur le réseau. Si vous utilisez l'un des modèles pour
identifier des risques de sécurité potentiels, vous pouvez ensuite analyser ces risques pour déterminer
comment les atténuer.
Windows Server® 2012 fournit des fonctionnalités et des applications que vous pouvez utiliser
pour sécuriser votre réseau contre les menaces prévues pesant sur la sécurité. Celles-ci comprennent
le Pare-feu Windows®, la sécurité du protocole Internet (IPsec, Internet Protocol Security) et la
protection d'accès réseau (NAP, Network Access Protection) Vous devez soigneusement étudier les
menaces liées à la sécurité qui visent les éléments de votre réseau, puis concevoir l'implémentation
de ces fonctionnalités et applications pour contrer ces menaces perçues.

Objectifs
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

• décrire le processus de conception de la sécurité réseau ;

• expliquer comment identifier et atténuer les menaces liées à la sécurité réseau ;

• concevoir et mettre en œuvre une implémentation du Pare-feu Windows ;

• concevoir et implémenter la protection d'accès réseau (NAP).

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-2 Conception et implémentation de la protection réseau

Leçon 1
Vue d'ensemble de la conception de la sécurité du réseau
De nombreuses organisation sous-estiment la valeur de leur environnement informatique, en grande
partie parce qu'une partie non négligeable des frais indirects est exclue des calculs. Cependant, une
attaque sur vos serveurs pourrait causer un grave préjudice à l'ensemble de votre organisation. Par
exemple, une attaque au cours de laquelle le site Web de votre organisation serait mis hors connexion
pourrait provoquer une baisse importante du chiffre d'affaires ou la perte de confiance de votre clientèle,
ce qui à son tour pourrait affecter la rentabilité de votre organisation. Une conception efficace de la
sécurité permet à une organisation de protéger ses biens.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les vulnérabilités courantes des réseaux ;

• décrire les principes clés de la sécurité réseau ;

• expliquer le modèle de défense en profondeur ;

• décrire le processus de conception de la sécurité réseau ;

• décrire l'importance des stratégies et des procédures de la sécurité réseau.

Discussion : À quelles menaces liées au réseau les organisations

s'exposent-elles ?
Vous avez été invité par le responsable
informatique de Wingtip Toys à donner
quelques conseils sur les menaces liées au
réseau qu'ils pourraient rencontrer. Vous
décidez de rédiger un rapport qui répertoriera
les dix menaces les plus courantes liées au
réseau et les mesures d'atténuations possibles
pour ces différentes menaces.

Question : Quelles sont les dix menaces

les plus courantes liées à la sécurité réseau
que rencontrent les entreprises ?

Question : Quelles sont les mesures de

correction ou solutions possibles pour contrer ces menaces ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-3

Principes clés de la sécurité réseau

Les utilisateurs doivent avoir accès aux ressources
réseau qui leur sont autorisées. En outre, le
réseau requiert une infrastructure informatique
sécurisée et partagée. Pour atteindre ces objectifs,
appliquez les quatre principes suivants :

• Appliquer une stratégie de défense

en profondeur. Le concept de défense en
profondeur fait référence à une combinaison
de personnes, d'opérations et de technologies
de sécurité. L'implémentation d'une approche
de défense en profondeur offre plusieurs
niveaux de protection sur un réseau contre les
menaces en plusieurs points à l'intérieur du réseau.

• Implémenter le privilège minimum. Le privilège minimum fait référence à l'octroi systématique

à un utilisateur, une ressource ou une application des privilèges ou autorisations minimaux
nécessaires à l'exécution de la tâche requise. L'octroi d'autorisations excessives peut introduire
de nombreuses vulnérabilités que les pirates informatiques peuvent éventuellement exploiter.
Par exemple, n'accordez jamais à un utilisateur les autorisations Contrôle total sur un dossier
lorsque les autorisations Modifier sur des fichiers spécifiques contenus dans ce dossier
suffiraient à l'utilisateur pour effectuer les tâches opérationnelles requises.

• Réduire la surface d'attaque. Ceci réduit le nombre de point d'entrée possibles pour un pirate
informatique en supprimant les logiciels, les services, et les périphériques inutiles. Par exemple,
en implémentant l'installation basée sur les rôles de Windows Server 2012, vous déployez
seulement les rôles serveur dont votre organisation a besoin, et rien de plus.

• Éduquer vos utilisateurs. Les utilisateurs doivent comprendre pourquoi certaines fonctionnalités
de sécurité sont importantes. Vous pouvez avoir implémenté de nombreuses fonctionnalités de
sécurité pour aider à protéger votre réseau, mais si les utilisateurs ne les mettent pas en œuvre
(par exemple, s'ils diffusent leurs mots de passe), alors votre réseau n'est plus sécurisé.

Vous devez appliquer ces quatre principes à tous les aspects de votre conception de la sécurité réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-4 Conception et implémentation de la protection réseau

Qu'est-ce que le modèle de défense en profondeur ?

Quand vous commencez à réfléchir aux problèmes
de sécurité, il vaut mieux adopter une approche
globale. Par exemple, quand vous garez votre
voiture sur un emplacement public, vous tenez
compte d'un certain nombre de facteurs avant
de la quitter : où elle est garée, si les portes
sont verrouillées, et si vous avez laissé des
objets de valeur en évidence. Vous comprenez
les risques associés avec le stationnement sur
un emplacement public et vous tentez d'atténuer
ces risques. Comme avec votre voiture, vous
ne pouvez pas implémenter correctement
des fonctionnalités de sécurité sur un réseau d'ordinateurs sans comprendre avant tout les risques
de sécurité posés à votre réseau.

Vous pouvez atténuer les risques pesant sur votre réseau d'ordinateurs en prenant en compte ces
risques, puis en sécurisant diverses couches de l'infrastructure. Le terme défense en profondeur est
souvent utilisé pour décrire l'utilisation de plusieurs technologies de sécurité à des points différents
de votre organisation.

Stratégies, procédures et sensibilisation

Vous devez vérifier que vos utilisateurs adhèrent aux stratégies de sécurité de l'organisation, et pratiquent
les mesures de sécurité physiques. La mise en place d'une stratégie de mot de passe utilisateur rigoureuse
n'est pas utile si les utilisateurs notent et affichent leurs mots de passe sur leur écran d'ordinateur. Les
utilisateurs doivent également être informé des risques de sécurité posés à leurs ordinateurs s'ils visitent
certains types de sites Web. C'est pourquoi les organisations ont en général des règles de bon usage.

Sécurité physique
Si une personne non autorisée peut accéder physiquement à vos ordinateurs, alors la plupart des autres
mesures de sécurité n'auront que de peu de conséquence. Vous devez vous assurer que les ordinateurs
contenant les données les plus sensibles, comme les serveurs, sont physiquement sécurisés.

En outre, faites en sorte qu'il soit difficile de se connecter à votre réseau. Si une personne peut brancher
un portable à votre réseau et accéder à votre intranet, vous risquez de rencontrer de graves problèmes.
La sécurité physique comprend la sécurisation de l'infrastructure réseau. Le problème, normalement,
est que vous souhaitez rendre difficile l'accès à vos ordinateurs et à votre infrastructure aux personnes
non autorisées, tout en le rendant relativement simple aux employés autorisés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-5

Périmètre
De nos jours, aucune organisation ne fonctionne en étant isolée. Les organisations fonctionnent
au sein d'une communauté globale et les ressources réseau doivent être disponibles pour servir
cette communauté globale. Cela peut comprendre la création d'un site Web pour décrire les services
de votre organisation, ou le fait de rendre des services internes, comme les conférences sur le Web
et la messagerie électronique, accessibles de l'extérieur, afin que les utilisateurs puissent travailler
de leur domicile ou depuis des bureaux annexes.

Afin que votre organisation soit sécurisée, vous devez créer un réseau privé et un réseau de périmètre
comprenant des pare-feu, un système anti-intrusion, des systèmes de détection et d'autres composants.
Les réseaux de périmètre marquent la limite entre les réseaux publics et privés. En déployant des serveurs
dans le périmètre réseau, tels que ceux qui publient des sites Web ou permettent l'accès aux boîtes de
réception du courrier électronique aux utilisateur externes, vous pouvez fournir de façon mieux sécurisée
des services d'entreprise sur le réseau public.

Réseaux
Une fois que vous connectez des ordinateurs à un réseau, ils sont susceptibles de faire l'objet d'un certain
nombre de menaces. Ces menaces comprennent l'écoute illicite, l'usurpation d'identité, le déni de service
et les attaques par relecture. C'est particulièrement le cas lorsque la communication a lieu via des réseaux
publics par des utilisateurs qui travaillent à domicile ou depuis des bureaux distants. Vous pouvez utiliser
un grand nombre de technologies afin d'atténuer ces menaces.

Remarque : Vous pouvez placer les données extrêmement sensibles sur des serveurs qui
se connectent à un réseau isolé. Cependant, cette approche n'est pas toujours appropriée pour
une grande partie des données que vous stockez sur votre réseau.

L'authentification se trouve au centre de plusieurs de ces risques. Si deux ordinateurs peuvent

s'identifier mutuellement, ils peuvent communiquer de façon plus sécurisée. Vous pouvez fournir des
services d'authentification de différentes manières, par exemple via des certificats numériques échangés
pendant les communications initiales. La façon dont vous distribuez et gérez ces certificats dépend de
votre organisation, mais elle peut inclure l'implémentation d'une infrastructure à clé publique (PKI).

Outre l'authentification, pensez à utiliser le chiffrement pour vous assurer que les données sont
sécurisée durant le transit. Vous pouvez chiffrer la communication du réseau public vers les serveurs Edge
ou de périmètre avec les technologies de tunneling, et vous pouvez chiffrer la communication entre
les serveurs Edge et le réseau interne avec IPsec.

En outre, Secure Sockets Layer (SSL), qui est largement utilisé sur Internet, peut fournir
des communications sécurisées et authentifiées sur les réseaux.

Remarque : Pensez à implémenter la détection d'intrus de réseau dans votre réseau.

Cela vous aidera à identifier les accès réseau inappropriés, potentiellement avant que les données
soient compromises ou le service perturbé.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-6 Conception et implémentation de la protection réseau

Hôte
La couche suivante de défense est celle qui est utilisée pour l'ordinateur hôte. Vous devez garder
ces ordinateurs sécurisés avec les dernières mises à jour de sécurité et les derniers correctifs logiciels.
Windows Update et les services WSUS (Windows Server Update Services) peuvent permettre de maintenir
à jour vos ordinateurs Windows 8 et Windows Server 2012. En outre, pensez à utiliser un pare-feu hôte,
tel que le Pare-feu Windows, et à implémenter un antivirus et une protection contre les programmes
malveillants.

Application
Les applications ne sont sécurisées que si les dernières mises à jour de sécurité ont été installées.
Vous devez utiliser régulièrement Windows Update pour maintenir à jour vos applications.

Si votre organisation s'appuie sur des applications qui sont conçues et écrites en interne, il est
important de les concevoir de façon à ce qu'elles soient sécurisée. Cela implique l'implémentation
de l'authentification sécurisée et la prise en charge d'autres fonctionnalités de sécurité. Par exemple,
si l'application requiert l'utilisation d'un compte de service, veillez à configurer le compte avec
les autorisations minimales requises pour exécuter l'application. En outre, concevez l'application
de façon pour qu'elle prenne en charge le trafic réseau chiffré.

Données
La dernière couche de sécurité concerne les données. Cela peut inclure l'utilisation des autorisations
de dossier partagé et NTFS pour garantir que seuls les utilisateurs autorisés peuvent accéder aux
fichiers à un niveau d'accès défini. Vous pourriez également être concerné par des droits de propriété
intellectuelle et devoir assurer l'utilisation appropriée de vos données, peut-être en utilisant des services
RMS Active Directory® (AD RMS). Enfin, pour des raisons de confidentialité des données, vous pouvez
utiliser des technologies de chiffrement de disques et de fichier, telles que le système de fichiers EFS
(Encrypting File System) ou le chiffrement de lecteur BitLocker.

Processus de conception de la sécurité

Les étapes du processus de conception
de la sécurité réseau sont les suivantes :

1. Créez une équipe de conception de

la sécurité. Sollicitez plusieurs points
de vue pour concevoir la sécurité, afin
de vous permettre d'atténuer autant de
vulnérabilités et de menaces que possible.
Gardez toujours à l'esprit qu'une consultation
à grande échelle favorise l'acceptation
du plan terminé.

2. Exécutez une modélisation des menaces.

La modélisation des menaces permet de
prévoir les menaces pesant sur un actif ou une ressource donnés. Connaître les menaces qui
pourraient éventuellement affecter un actif vous aide à concevoir des contre-mesures destinées
à le protéger.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-7

3. Exécutez la gestion des risques. Elle analyse la probabilité de réalisation d'une menace et le danger
potentiel que celle-ci peut représenter. C'est un outil précieux qui peut vous aider à convaincre
la hiérarchie que des mesures de sécurité sont nécessaires pour protéger de manière adéquate
une ressource contre une menace.

4. Concevez des mesures de sécurité pour vos éléments de réseau. Créez des stratégies et procédures
appropriées pour protéger votre réseau selon la modélisation des menaces et la gestion des risques
que vous avez effectuées.

5. Détectez et réagissez. Identifiez les méthodes permettant de détecter les intrusions et réagissez
de manière contrôlée aux incidents affectant la sécurité. La détection précoce d'une attaque
est essentielle pour limiter les dommages que celle-ci peut entraîner. Une réaction réfléchie
et minutieuse à l'attaque peut faciliter la récupération et éviter des erreurs susceptibles de faire
empirer la situation.

6. Gérez et vérifiez la sécurité du réseau de façon continue. Créez, implémentez, puis examinez
les stratégies pour le bon usage, la gestion du réseau et le fonctionnement sécurisé du réseau.

Stratégies et procédures de sécurité réseau

Les stratégies de sécurité sont des stratégies
et instructions individuelles que vous créez pour
déterminer l'utilisation sécurisée et appropriée
de la technologie et des processus dans votre
organisation. Voici certains types de stratégies de
sécurité que vous pouvez avoir déjà mis en place :

• Stratégies administratives. Les stratégies

administratives sont appliquées par la
hiérarchie. Ces stratégies ne peuvent pas être
appliquées par des systèmes d'exploitation,
des applications ou des contrôles physiques.
Par exemple, un contrat de confidentialité.

• Stratégies techniques. Les stratégies techniques (modèles de sécurité, par exemple) sont appliquées
par les systèmes d'exploitation et les applications.

• Stratégies physiques. Les stratégies physiques (verrous, par exemple) sont appliquées via la mise
en œuvre de contrôles physiques.

Les procédures de sécurité décrivent comment respecter les stratégies de sécurité. Vos procédures de
sécurité doivent comprendre les étapes détaillées nécessaires pour implémenter vos stratégies de sécurité.

Raisons de l'échec des stratégies de sécurité

Les stratégies de sécurité échouent pour de nombreuses raisons. Si vous anticipez ces raisons,
vous pouvez faire en sorte que vos stratégies les prennent en compte.

Les stratégies de sécurité échouent le plus souvent pour les raisons suivantes :

• Elles ne sont pas appliquées. Les employés ont tendance à ne pas tenir compte des stratégies
de sécurité si elles ne sont pas imposées et que les contrevenants ne sont pas pénalisés.

• Elles sont difficiles à comprendre. Les stratégies de sécurité sont souvent rédigées selon un langage
légal ou technique qui ne simplifie pas leur compréhension par les employés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-8 Conception et implémentation de la protection réseau

• Elles sont difficiles à trouver. Des stratégies de sécurité stockées dans des emplacements méconnus
ou inaccessibles font que les employés ont du mal à les appliquer.

• Elles sont obsolètes. Des stratégies de sécurité qui ne sont pas actualisées deviennent rapidement
obsolètes lorsque les technologies et les processus de gestion évoluent.

• Elles sont trop vagues. Des stratégies de sécurités sujettes à interprétation par les employés résultent
souvent en un déploiement incohérent de la sécurité.

• Elles sont trop strictes. Des stratégies de sécurité dont la mise en vigueur ou l'effet sur les processus
de gestion est trop strict ne sont pas généralement prises au sérieux par les employés ou ne sont
pas appliquées par la hiérarchie.

• Elles n'ont pas reçu l'aval de la direction. Si la hiérarchie ne soutient pas les stratégies de sécurité
ou n'avalise pas leur mise en œuvre, il est fréquent que les employés fassent de même.

Instructions de création de stratégies et de procédures

Les instructions de création de stratégies et de procédures de sécurité sont les suivantes :

• Assurez-vous que vos stratégies de sécurité répondent à un objectif clair et qu'elles sont rédigées
avec concision.

• Rédigez des stratégies et des procédures simples démontrant comment s'y conformer correctement.

• Vous devez obtenir l'aval de la hiérarchie pour l'objectif, la mise en œuvre et l'application
des stratégies de sécurité.

• Diffusez vos stratégies de sécurité afin que les employés puissent s'y référer aisément. Par exemple,
distribuez sur papier les stratégies aux employés ou diffusez-les sur des sites Intranet d'accès facile,
et actualisez-les régulièrement.

• Avant d'appliquer des stratégies de sécurité, assurez-vous qu'elles ne vont pas à l'encontre
ou n'entrave pas de processus de gestion.

• Appliquez les stratégies de sécurité par des moyens technologiques. Cela permet d'empêcher
les employés ne les enfreignent par inadvertance. Toutefois, n'oubliez pas que la technologie
ne constitue pas la seule méthode d'application.
• Assurez-vous que les conséquences d'une infraction à la stratégie de sécurité sont en adéquation
avec l'importance de l'infraction et avec la culture de votre organisation. Assurez-vous que les
responsables soient habilités à faire appliquer les conséquences d'une infraction à la stratégie
de sécurité.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-9

Leçon 2
Identification et atténuation des menaces courantes
sur la sécurité du réseau
Lorsque vous incorporez la sécurité réseau dans le réseau de votre organisation, comprendre comment
les pirates informatiques pensent peut s'avérer utile. En réfléchissant comme les pirates informatiques
et en prenant conscience des menaces sur la sécurité qu'ils constituent, vous pouvez être plus efficace
lors de l'application de contre-mesures. Vous pouvez utiliser la modélisation des menaces afin d'identifier
et d'atténuer les menaces courantes pesant sur le réseau.

Après avoir identifié les menaces courantes pesant sur la sécurité du réseau, vous devez effectuer une
évaluation des risques liés à la sécurité du réseau. Cela consiste à examiner la valeur relative de vos actifs,
puis à affecter vos ressources de sécurité en fonction de la probabilité du risque et de la valeur de l'actif.
L'analyse des risques vous aide à classer vos efforts et vos dépenses de protection du réseau selon un
ordre de priorité.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les caractéristiques des attaques de réseau courantes ;

• décrire les vulnérabilités courantes des réseaux et comment les combattre ;

• exécuter une évaluation des risques et une analyse d'impact ;

• décrire le processus de gestion des risques Microsoft Operations Framework (MOF) ;

• implémenter les meilleures pratiques pour créer un plan de gestion des risques.

Vue d'ensemble des attaques de réseau

Avant de développer un plan pour atténuer les
effets des attaques de réseau, il est important
de comprendre leurs origines, les étapes
d'une attaque de réseau et leurs causes
les plus fréquentes.

Pourquoi des attaques de réseaux

ont-elles lieu ?
Les raisons pour lesquelles les attaques réseau
se produisent sont notamment :

• Le profit. Un motif courant pour les attaques

est le profit. Les pirates informatiques peuvent
utiliser la menace d'une attaque par déni de service pour extorquer de l'argent ou implémenter
des attaques par phishing pour encombrer votre réseau.
• La vengeance. Des pirates informatiques peuvent estimer avoir subi un affront de la part d'une
organisation et souhaiter s'en prendre à elle. Par exemple, d'anciens employés peuvent attaquer
leurs anciennes entreprises s'ils pensent que leur licenciement était injustifié. Ce type de pirate
informatique est particulièrement dangereux, en raison de sa connaissance intime du réseau
et de sa motivation personnelle.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-10 Conception et implémentation de la protection réseau

• L'espionnage. Des pirates informatiques peuvent espionner une organisation ou un gouvernement

afin d'obtenir des secrets. Ce type de pirate informatique est souvent motivé par le patriotisme
ou l'appât du gain.

• La publicité. Des pirates informatiques peuvent attaquer un réseau ou une application pour se
faire connaître auprès du public ou pour faire de la publicité pour leur propres services. Les intrus
à la recherche de publicité font souvent état de leurs attaques.

• La satisfaction personnelle. Des pirates informatiques peuvent attaquer des réseaux comme
passe-temps, pour le défi que cela représente ou pour leur autosatisfaction. Ces pirates
informatiques sont dangereux, car ils attaquent les réseaux de façon aléatoire.

• Le terrorisme. Des pirates informatiques peuvent attaquer des réseau dans le cadre d'une opération
de terrorisme d'état ou émanant d'un groupe. Il s'agit des types d'attaques les plus graves, car il se
peut que des vies humaines soient alors en danger.

Étapes d'une attaque de réseau

En comprenant les principales étapes que les pirates informatiques suivent pour cibler votre réseau,
vous êtes mieux équipé pour prendre des mesures défensives. Voici les principales étapes que les
pirates informatiques suivent pour cibler votre réseau :

1. La première étape consiste habituellement à étudier la cible potentielle pour identifier et évaluer
ses caractéristiques. Celles-ci peuvent comprendre les services et protocoles pris en charge, ainsi
que les vulnérabilités potentielles et les points d'entrée.

2. Après l'étude d'une cible potentielle, l'étape suivante consiste à exploiter et pénétrer. Les pirates
informatiques recherchent les vulnérabilités identifiées d'après la liste des ressources réseau qu'ils
ont collectée pendant l'étude et l'analyse.

3. Après la corruption d'un réseau, les pirates informatiques tentent immédiatement d'augmenter
leurs privilèges en accédant aux comptes administrateur et système.

4. Après avoir accédé à un système, les pirates informatiques prennent des mesures pour faciliter
l'accès futur, comme insérer des programmes secrets, en utilisant un compte existant dont la
protection est défaillante, ou en créant un nouveau compte. Ensuite, les pirates informatiques
brouillent les pistes en effaçant les journaux et en masquant les outils.

5. Les pirates informatiques qui ne parviennent pas à obtenir d'accès peuvent monter une attaque
par déni de service pour empêcher les autres personnes d'utiliser les services de votre réseau.
Pour d'autres pirates informatiques, l'option de déni de service est l'objectif visé dès le début.

Attaques de réseau courantes

Il est important que vous puissiez identifier les attaques de réseau courantes, afin de pouvoir concevoir
des mesures d'atténuation des risques de sécurité. Voici certains types d'attaques de réseau courants.

• Écoutes clandestines. L'écoute clandestine est exécutée à l'aide d'un renifleur réseau pour capturer
la communication réseau. Toutes les données en texte clair sont en danger. Cependant, la détection
de paquets est relativement difficile sur un réseau commuté, ou lorsque l'accès physique a été
restreint.

• Modification des données. La modification des données peut être exécutée une fois que les données
a été capturées avec un renifleur réseau. La plupart des renifleurs réseau prennent en charge la
modification des paquets et leur relecture. Encore une fois, il peut être difficile d'implémenter
la détection de paquets.

• Usurpation d'identité. L'usurpation d'identité peut être utilisée pour faire croire à certains pare-feu
que la communication provient d'une source interne au lieu d'une source externe, en falsifiant
l'adresse IP source.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-11

• Mot de passe. Les attaques par mot de passe s'appuient sur les utilisateurs avec des mots de passe
simples. Une fois qu'elles ont deviné le mot de passe d'un utilisateur, les personnes malveillantes
peuvent consulter les ressources réseau auxquelles cet utilisateur peut accéder. Utiliser le privilège
minimum peut atténuer ce type d'attaque, car les utilisateurs standard doivent avoir un accès très
limité aux ressources sensibles.
• Déni de service. Les attaques par déni de service empêchent les utilisateurs normaux d'accéder aux
services réseau. La plupart des attaques par déni de service exploitent des imperfections de logiciels.
En conservant vos logiciels réseaux à jour, vous pouvez éviter certaines attaques de ce type.
• Intercepteur. Les attaques d'intercepteur requièrent un ordinateur pour surveiller et éventuellement
modifier la communication réseau entre deux hôtes.

• Clé compromise. L'intégrité d'une clé est compromise quand une clé utilisée pour le chiffrement est
connue de quiconque autre que les personnes autorisées pour la communication. Avoir connaissance
de la clé permet aux personnes non autorisées de consulter le contenu de la communication chiffrée.
Ceci comprend également la connaissance non autorisée des clés privées pour des certificats utilisés
pendant l'authentification.

• Couche Application. Les attaques de la couche Application provoquent des défaillances dans
un système d'exploitation ou une application afin de contourner les contrôles d'accès normaux.
Le dépassement de mémoire tampon est une attaque courante de la couche Application.

• Réseau sociaux et ingénierie sociale. L'omniprésence et l'utilisation généralisée des sites de réseaux
sociaux, et la gêne continue des courriers électroniques non sollicités constituent également des
menaces. La plupart de ces types d'attaques sont difficiles à empêcher, car elles reposent sur la
confiance inhérente aux utilisateurs de votre réseau. Pour contrer ces menaces, informez vos
utilisateurs afin de veiller à ce qu'ils puissent identifier les activités éventuelles de hameçonnage
ou les autres menaces d'ingénierie sociales.

Lutte contre les vulnérabilités courantes des réseaux

La plupart des attaques de réseaux réussies
parviennent à leur fin en exploitant des
vulnérabilités ou des faiblesses bien connues.
Ces vulnérabilités et faiblesses peuvent être
regroupées dans les catégories générales
suivantes :

• Mots de passe et systèmes d'authentification

vulnérables. Les mots de passe et systèmes
d'authentification vulnérables permettent
aux pirates informatiques d'accéder à votre
système à l'aide d'attaques par mot de
passe en force brute. Vous pouvez renforcer
la sécurité en exigeant des mots de passe complexes, ou en introduisant l'authentification
à deux facteurs (cartes à puce, par exemple). Cependant, vous devez trouver un équilibre entre
sécurité accrue des mots de passe et facilité d'utilisation.

• Absence de suivi des tentatives d'accès au réseau. Vous devez utiliser des journaux d'audit
pour surveiller quels utilisateurs ont accédé aux ressources réseau, et quand. Si vous n'avez
pas activé ou configuré de journaux d'audit pour collecter les informations appropriées,
il peut être impossible de détecter les pirates informatiques accédant à votre réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-12 Conception et implémentation de la protection réseau

• Non implémentation des privilèges minimum. Les droits et autorisations accordés à tous les
utilisateurs doivent être le minimum requis pour effectuer leur travail. De cette façon, si un compte
est compromis par une personne malveillante, le dommage qu'il peut provoquer est réduit. Cela
s'applique également pour les comptes de service.

• Chaque service ou application est un point d'attaque potentiel. Pour réduire le risque d'attaque
d'applications et de services, vous devez supprimer l'ensemble des applications et services inutiles.
En outre, vous devez régulièrement appliquer les mises à jour de sécurité de vos applications
et services.

Instructions pour la modélisation et la maîtrise des vulnérabilités

Un modèle de menace est une approche structurée de prévision des menaces potentielles pesant sur
la sécurité des informations. En détectant les menaces potentielles lors de la modélisation des menaces,
vous pouvez créer un plan précis de gestion des risques. La prédiction des menaces vous permet
de réduire votre risque de manière proactive.

Meilleures pratiques
Les instructions suivantes vous seront utiles lors de la modélisation des menaces pesant sur votre réseau :

• Encouragez les membres de l'équipe à faire preuve de créativité. Certaines suggestions, bien qu'elles
puissent être irréalistes, peuvent susciter chez d'autres membres de l'équipe la découverte d'autres
menaces réelles.

• Assurez-vous que les membres de l'équipe possèdent toutes les informations nécessaires, comme
les diagrammes de réseau ou le code source d'applications.
• Dirigez les discussions de sorte qu'elles mettent l'accent sur la validité d'une menace pesant sur
le réseau et évitent tout désaccord portant sur de petites différences d'opinion.

• Lors de la composition de votre équipe, envisagez d'inclure une personne extérieure en qui vous
avez confiance et qui soit spécialisée en tests de sécurité réseau. Cette personne extérieure a des
compétences dont vous ne disposez probablement pas en interne et apporte un point de vue
différent.

• Agissez avec prudence lorsque vous incluez dans l'équipe des membres pouvant présenter des
conflits d'intérêts. Par exemple, un développeur qui a rédigé le code de l'application en cours
d'évaluation, ou un gestionnaire qui a financé le projet de création de l'application peut surestimer
l'aptitude de l'application à résister à une attaque, ou peut être trop familiarisé avec pour être
objectif concernant son évaluation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-13

Évaluation des risques et impact

L'évaluation des risques aide à garantir que
votre plan de sécurité est rationnel et que
l'application de vos ressources maximise les
résultats. En évaluant les risques et en créant
un plan de gestion des risques, vous pouvez :

• Classer les risques de sécurité dans votre

organisation par rapport à d'autres risques.
Ce classement aide l'organisation
à déterminer comment affecter les
ressources pour sécuriser le réseau.

• Découvrir le point à partir duquel

de nouvelles améliorations de sécurité
deviennent inefficaces et trop coûteuses.

• Recourir à une analyse de risque quantitative pour justifier les dépenses de personnel, de matériel
et de logiciels de sécurité.
• Créer une liste complète des menaces et de leurs incidences potentielles sur votre réseau. Ceci est
nécessaire pour allouer correctement des ressources pour la sécurité du réseau.

• Vous assurer que les menaces importantes sont identifiées. Une organisation qui choisit de répondre
aux menaces de sécurité de manière aléatoire risque de négliger des problèmes de sécurité
importants sur son réseau.

• Créer des mesures qui vous aideront à juger le succès de votre plan de sécurité. Vous pouvez
également utiliser ces mesures pour élaborer des plans de compensation destinés aux cadres
et au personnel de sécurité.

Remarque : Il est important de vous assurer que votre plan de gestion des risques
comporte des éléments proactifs et réactifs. En d'autres termes, planifiez de manière proactive
l'atténuation des menaces sur la sécurité, et ayez des plans prêts à résoudre de façon réactive
les problèmes de sécurité, au cas où ils se produiraient.

Quels éléments sont en péril ?

Lorsque vous évaluez le risque, vous devez commencer par rédiger une liste complète des actifs qui
sont susceptibles d'être attaqués. Vous pouvez ensuite analyser les divers risques pour chaque actif.
Les catégories de risque incluent notamment :

• Matériel. Ceci comprend les ordinateurs portables et de bureau, les routeurs et les commutateurs,
les périphériques de stockage et les supports de sauvegarde.

• Logiciels. Ceci comprend des supports d'installation de logiciel, des images du système d'exploitation,
le code et les applications de logiciels personnalisés, et les serveurs virtualisés.
• Documentation. Cela comprend les stratégies de sécurité, les procédures de sécurité, les diagrammes
réseaux et les plans de mise en œuvre.

• Données. Cela comprend des secrets commerciaux, les informations confidentielles des utilisateurs
et les données client.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-14 Conception et implémentation de la protection réseau

Une grande partie du rôle de sécurité consiste à protéger la confiance du public et conserver celle des
partenaires commerciaux. C'est ce qu'on appelle la réputation. S'il est difficile quantifier la réputation
en termes monétaire, la dégradation de sa réputation peut être coûteuse pour une organisation.

Par exemple, supposez qu'un pirate informatique endommage le site Web de votre organisation.
Vous informez vos clients qu'un pirate informatique a volé les informations confidentielles des
utilisateurs du site, notamment leur adresse et leur numéro de carte de crédit. Outre les pertes
financières directes résultant de la perte d'activité, votre organisation subit une atteinte à sa
réputation du fait de la dégradation de l'image de votre société.

Processus de gestion des risques MOF

La plupart des entreprises informatiques tentent
de réduire le risque en limitant les modifications.
Il s'agit d'une manière efficace de réduire
le risque, mais cela empêche également les
entreprises de réagir aux modifications de leur
environnement, et de tirer parti des occasions.
Le processus de gestion des risques MOF permet
de gérer les risques au lieu de tenter de les éviter.

Remarque : L'infrastructure MOF est une

collection de documents qui fournir des conseils
sur la création, l'implémentation et la gestion
de services IT efficaces et rentables. Elle offre une alternative à la bibliothèque ITIL
(Information Technology Infrastructure Library).

Les étapes du processus de gestion des risques sont les suivantes :

1. Identifiez les risques fréquemment et dès que possible pour vous assurer que tous les risques
sont identifiés et qu'ils peuvent être gérés convenablement.

2. Analysez les risques et classez-les par ordre de priorité en utilisant un processus cohérent pour
classer ou évaluer les risques identifiés.

3. Planifiez et programmez la façon d'atténuer les risques selon les classements ou valeurs produits
par l'évaluation des risques.
4. Suivez et enregistrez les risques spécifiques et leur occurrence. Cela garantit l'exactitude de vos
évaluations de coût et de risque d'occurrence.

5. Contrôlez les risques en implémentant des plans d'atténuation des risques. Ceci comprend également
le lancement de demandes de contrôle des modifications lorsque les changements dont l'état est
à risque affectent des contrats de niveau de service (SLA) ou la disponibilité des services.

6. Tirez des enseignements des risques en documentant de façon formelle les occurrences des risques
et les autres informations se rapportant au processus de gestion des risques. Ceci est essentiel pour
affiner ultérieurement les plans de gestion des risques.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-15

Instructions de création d'un plan de gestion des risques

Pour que votre plan de gestion des risques
soit réussi, vous devez prendre en compte
les éléments suivants :

• L'approbation et le soutien de la hiérarchie

sont des facteurs essentiels de réussite.
L'assistance d'un dirigeant unique, le cas
échéant, est encore plus souhaitable.

• Le fait de déterminer l'étendue dès le début

de la conception aide à garantir l'adéquation
de vos efforts et des objectifs de votre plan.

• Les données recueillies durant votre analyse

peuvent changer, aussi est-il important de mettre en œuvre les actions reposant sur ces informations
aussi rapidement que possible.

• Lorsque les ressources de votre réseau changent, les risques qui pèsent sur ces ressources peuvent
évoluer. Veillez à actualiser votre plan de gestion des risques en conséquence.

• Le plan de gestion des risques peut servir de guide pour définir un propriétaire pour chaque risque
et suivre les dépenses de gestion associées à chaque risque.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-16 Conception et implémentation de la protection réseau

Leçon 3
Conception et implémentation d'une stratégie
de Pare-feu Windows
Lors de la planification de la sécurité du réseau, vous devez tenir compte des exigences de sécurité de
votre réseau de périmètre et de la menace des attaques provenant d'Internet. Vous devez également
réfléchir à la manière d'appliquer la sécurité dans les réseaux internes. Il est fréquent de protéger
les réseaux internes à l'aide du Pare-feu Windows.

La fonctionnalité de Pare-feu Windows fournit une protection via des règles de pare-feu de
trafic entrant et sortant, et l'authentification et, le cas échéant, le chiffrement du trafic réseau par
l'intermédiaire de règles de sécurité de connexion. Le Pare-feu Windows est un pare-feu hôte
pour les systèmes d'exploitation Windows Server et client Windows. Le Pare-feu Windows utilise
les règles de sécurité de connexion pour implémenter IPsec.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
• décrire les scénarios résolus par le Pare-feu Windows ;

• décrire les avantages d'IPsec et les cas dans lesquels son utilisation est recommandée ;

• décrire comment utiliser des règles de sécurité de connexion pour authentifier et chiffrer
le trafic réseau ;

• sélectionner les méthodes et options d'authentification appropriées ;

• Implémenter les meilleures pratiques lors de la conception des règles de sécurité du réseau ;

• décrire comment configurer des règles de sécurité de connexion.

Discussion : Scénarios résolus par le Pare-feu Windows

Le Pare-feu Windows est un pare-feu hôte
pour les systèmes d'exploitation client
et Windows Server. Le Pare-feu Windows
comprend la prise en charge de différents
types de réseau, des règles de trafic sortant
et des règles de sécurité de connexion. Dans
le cadre de la conception de votre sécurité,
vous devez décider quelles règles vous devez
implémenter et comment les déployer sur
des hôtes sur votre réseau.

Question : Quels sont les scénarios que le

Pare-feu Windows peut aider à résoudre ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-17

Avantages et utilisation d'IPsec

IPsec est une infrastructure de normes ouvertes
visant à protéger les communications sur les
réseaux IP par le biais de services de sécurité de
chiffrement. IPsec prend en charge les éléments
suivants :

• Authentification de l'homologues réseau

• Authentification de l'origine des données

• Intégrité des données

• Confidentialité des données grâce

au chiffrement

• Protection de la relecture

IPsec est également une suite de protocoles qui contribuent à la protection des données en transit sur
un réseau en utilisant des services de sécurité et, dans certains cas, des certificats numériques dotés
de clés publiques et privées. De par sa conception, IPsec offre une protection nettement supérieure
aux méthodes de protection précédentes. Les administrateurs réseau qui ont recours à IPsec n'ont
normalement pas besoin de configurer la sécurité pour des programmes individuels.

Avantages de la sécurité IPsec

Vous pouvez utiliser la sécurité IPsec pour assurer la confidentialité, l'intégrité et l'authentification
des données lors de leur transfert sur des canaux non sécurisés. Bien que son objectif, à l'origine,
était de sécuriser le trafic sur les réseaux publics, beaucoup d'organisations ont choisi d'implémenter
IPsec pour résoudre les faiblesses de leurs propres réseaux privés qui pourraient être exploitées.
Lorsqu'il est correctement mis en place, IPsec fournit un canal privé pour l'envoi et l'échange de données
potentiellement vulnérables et sensibles, telles que des données relatives à des partenaires et à la chaîne
logistique, des dossiers médicaux ou tout autre type de données TCP/IP, que ce soit par l'intermédiaire
de messages électroniques, du trafic TCP ou de flux d'actualités.

La sécurité IPsec présente les avantages suivants :

• offre une authentification mutuelle avant et pendant les communications ;

• force les deux parties à s'identifier elles-mêmes au cours du processus de communication ;

• garantit la confidentialité grâce au chiffrement du trafic IP et à l'authentification numérique

des paquets.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-18 Conception et implémentation de la protection réseau

Recommandations en matière d'utilisation d'IPsec

Certains environnements réseau sont propices à l'utilisation d'IPsec comme solution de sécurité,
d'autres non. Nous recommandons l'utilisation de la sécurité IPsec dans les situations suivantes :

• Filtrage des paquets. IPsec fournit des fonctions de pare-feu limitées pour les systèmes en fin de
chaîne. Vous pouvez autoriser ou bloquer le trafic entrant ou sortant en utilisant la sécurité IPsec
avec le composant Pare-feu de base/NAT (Network Address Translation) du service de routage
et d'accès à distance.

• Sécurisation du trafic d'hôte à hôte sur des chemins d'accès spécifiques. Vous pouvez utiliser IPsec
pour protéger le trafic entre serveurs ou d'autres adresses ou sous-réseaux IP statiques. Par exemple,
IPsec peut sécuriser le trafic entre des contrôleurs de domaine dans différents sites, ou entre des
serveurs Web et des serveurs de base de données.
• Sécurisation du trafic vers les serveurs. Vous pouvez exiger une protection IPsec pour tous les
ordinateurs client qui accèdent à un serveur. Vous pouvez également définir des restrictions quant
aux ordinateurs qui sont autorisés à se connecter à un serveur qui exécute Windows Server 2012.

• Protocole L2TP (Layer 2 Tunneling Protocol)/IPsec pour les connexions VPN. Vous pouvez combiner
le protocole L2TP et IPsec (L2TP/IPsec) pour tous les scénarios VPN. Cela ne vous oblige pas à
configurer et à déployer des stratégies IPsec.
• Tunneling de site à site (de passerelle à passerelle). Vous pouvez utiliser IPsec en mode de tunnel
pour les tunnels de site à site (de passerelle à passerelle) lorsque vous souhaitez bénéficier d'une
interopérabilité avec des routeurs, des passerelles ou des systèmes en fin de chaîne qui ne prennent
pas en charge les connexions L2TP/IPsec ou PPTP (Point-to-Point Tunneling Protocol).

• Mise en œuvre de réseaux logiques (isolation du serveur/domaine). Dans un réseau basé sur
Microsoft Windows, vous pouvez isoler logiquement les ressources du serveur et du domaine pour
limiter l'accès aux ordinateurs authentifiés et autorisés. Par exemple, vous pouvez créer un réseau
logique au sein du réseau physique existant, où les ordinateurs ont des exigences communes en
matière de communications sécurisées. Pour établir la connectivité, chaque ordinateur dans ce
réseau isolé logiquement doit fournir des informations d'authentification aux autres ordinateurs.

Cette isolation empêche les ordinateurs et les programmes non autorisés d'accéder de manière
inappropriée aux ressources. Les demandes des ordinateurs qui ne font pas partie du réseau isolé
sont ignorées. L'isolation du serveur et du domaine peut permettre de protéger les serveurs et les
données de grande valeur, ainsi que les ordinateurs gérés, contre les ordinateurs et les utilisateurs
non gérés ou non autorisés.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-19

Pour protéger un réseau, vous pouvez utiliser deux types d'isolation :

o Isolation du serveur. Pour isoler un serveur, vous configurez des serveurs spécifiques de manière
à exiger la stratégie IPsec lors de l'acceptation des communications authentifiées provenant
d'autres ordinateurs. Par exemple, vous pouvez configurer le serveur de base de données
pour qu'il n'accepte que les connexions du serveur d'applications Web.

o Isolation du domaine. Pour isoler un domaine, vous utilisez l'appartenance au domaine

Active Directory pour vérifier que les ordinateurs qui appartiennent à un domaine acceptent
uniquement des communications authentifiées et sécurisées en provenance d'autres ordinateurs
inclus dans ce domaine. Le réseau isolé se compose uniquement des ordinateurs membres
de ce domaine. L'isolation de domaine utilise la stratégie IPsec pour protéger le trafic envoyé
entre les membres du domaine, y compris tous les ordinateurs client et serveur.

Remarque : Du fait qu'IPsec dépend des adresses IP pour établir des connexions sécurisées,
vous ne pouvez pas spécifier d'adresses IP dynamiques. Un serveur doit souvent posséder
une adresse IP statique dans les filtres de stratégie IPsec. Dans les déploiements de réseaux
volumineux, et dans certains scénarios impliquant des utilisateurs itinérants, l'utilisation
d'adresses IP dynamiques aux deux extrémités de la connexion peut accroître la complexité
de la conception de la stratégie IPsec.

Pratiques non recommandées en matière d'utilisation d'IPsec

La sécurité IPsec peut réduire les performances de traitement et augmenter la consommation de la bande
passante réseau. En outre, les stratégies IPsec peuvent se révéler assez complexes à configurer et à gérer,
et l'utilisation d'IPsec peut introduire des problèmes de compatibilité des applications. C'est pourquoi,
il est préférable d'éviter d'utiliser IPsec dans les situations suivantes :

• Sécurisation des communications entre des membres d'un domaine et leurs contrôleurs de domaine.
Utiliser IPsec dans cette situation réduit les performances réseau. En outre, nous déconseillons
d'utiliser IPsec pour une communication sécurisée entre les membres d'un domaine et leurs
contrôleurs de domaine, car la configuration et la gestion de la stratégie IPsec requise est complexe.
• Sécurisation de tout le trafic réseau. Utiliser IPsec pour sécuriser tout le trafic réseau réduit
les performances réseau et introduit les problèmes potentiels suivants :

o la sécurité IPsec ne peut pas négocier la sécurité pour le trafic de multidiffusion et de diffusion ;

o le trafic des communications en temps réel, des applications qui nécessitent le protocole
ICMP (Internet Control Message Protocol) et des applications pair à pair peut être incompatible
avec IPsec ;

o les fonctions de gestion du réseau qui doivent inspecter les en-têtes TCP (Transmission
Control Protocol), UDP (User Datagram Protocol) et de protocole sont moins efficaces, ou
non opérationnelles, en raison de l'encapsulation IPsec ou du chiffrement des charges utiles IP.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-20 Conception et implémentation de la protection réseau

Par ailleurs, le protocole et l'implémentation de la sécurité IPsec ont des caractéristiques qui nécessitent
une attention particulière dans les situations suivantes :

• Protection du trafic sur les réseaux sans fil 802.11. Vous pouvez utiliser le mode de transport IPsec
pour protéger le trafic envoyé sur les réseaux 802.11. Toutefois, n'utilisez pas la sécurité IPsec pour
sécuriser les réseaux LAN sans fil d'entreprise 802.11. À la place, utilisez le chiffrement WPA2 ou WPA
(Wi-Fi Protected Access) 802.11 et l'authentification 802.1X de l'institut IEEE (Institute of Electrical
and Electronics Engineers, Inc.). Les ordinateurs clients et les serveurs doivent prendre en charge
IPsec, la gestion de la configuration et l'approbation. Du fait que de nombreux ordinateurs sur un
réseau ne prennent pas en charge la sécurité IPsec, ou ne sont pas gérés, il est inapproprié d'utiliser
la sécurité IPsec seule pour protéger tout le trafic LAN sans fil d'entreprise.

• Tenez compte du fait que les stratégies de mode de tunnel IPsec ne sont pas optimisées pour les
clients mobiles avec des adresses IP dynamiques, et que le mode de tunnel IPsec ne prend en charge
ni l'attribution d'adresses dynamiques, ni l'authentification utilisateur, deux fonctionnalités requises
dans les scénarios VPN d'accès à distance. Utilisez des connexions VPN L2TP/IPsec pour sécuriser
le trafic d'accès à distance aux réseaux d'organisation lorsque ce trafic est envoyé sur des réseaux
sans fil publics connectés à Internet.

• Utilisation de la sécurité IPsec en mode de tunnel pour les connexions VPN d'accès à distance.
Pour les clients et les serveurs VPN Windows, nous vous déconseillons d'utiliser IPsec en mode
de tunnel pour des scénarios de VPN d'accès à distance. Utilisez plutôt la combinaison L2TP/IPsec
ou le protocole PPTP.

Règles de sécurité de connexion

Les règles de pare-feu autorisent (ou interdisent)
le trafic à traverser le pare-feu, mais ne sécurisent
pas ce trafic. Pour sécuriser le trafic, vous pouvez
créer des règles de sécurité de connexion.
Le Pare-feu Windows avec fonctions avancées
de sécurité utilise des règles pour évaluer le trafic
réseau, puis bloque ou autorise des messages
en fonction de critères que vous établissez
dans la règle.

Dans certaines circonstances, le Pare-feu

Windows avec fonctions avancées de sécurité
bloque la communication. Si vous configurez
des paramètres qui nécessitent une connexion sécurisée (dans une direction ou dans l'autre) et que
les deux ordinateurs ne peuvent pas s'authentifier, la connexion est bloquée. Le Pare-feu Windows
avec fonctions avancées de sécurité utilise IPsec pour mettre en œuvre ces règles.

Les règles configurables du Pare-feu Windows sont les suivantes :

• Règles d'isolation. Une règle d'isolation isole des ordinateurs en limitant les connexions en fonction
des informations d'identification telles que l'appartenance à un domaine ou l'état d'intégrité. Les
règles d'isolation vous permettent d'implémenter une stratégie d'isolement pour des serveurs
ou des domaines.

• Exemption d'authentification. Vous pouvez utiliser une règle exemption d'authentification

pour désigner des connexions qui ne nécessitent pas d'authentification. Vous pouvez désigner
des ordinateurs en spécifiant une adresse IP spécifique, une plage d'adresses IP, un sous-réseau
ou un groupe prédéfini tel qu'une passerelle.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-21

• Règles de serveur à serveur. Une règle de serveur à serveur protège les connexions entre des
ordinateurs spécifiques. Ce type de règle protège habituellement les connexions entre serveurs.
Lorsque vous créez la règle, vous spécifiez les points de terminaison du réseau entre lesquels les
communications sont protégées. Vous indiquez ensuite les conditions requises et l'authentification
à utiliser.
• Règle de tunnel. Une règle de tunnel vous permet de protéger les connexions entre des ordinateurs
de passerelle. En général, vous utilisez une règle de tunnel pour établir une connexion sur Internet
entre deux passerelles de sécurité. Vous devez spécifier les points de terminaison du tunnel par
adresse IP, puis spécifier la méthode d'authentification.

• Règle personnalisée. Utilisez une règle personnalisée pour authentifier les connexions entre deux
points de terminaison lorsque vous ne pouvez pas définir les règles d'authentification dont vous avez
besoin à l'aide des autres règles disponibles dans l'Assistant Nouvelle règle de sécurité de connexion.

Méthodes et options d'authentification

Options d'authentification
Lorsque vous utilisez l'Assistant Nouvelle règle
de sécurité de connexion pour créer une règle,
vous pouvez utiliser l'Assistant Conditions
d'authentification pour spécifier la façon dont
l'authentification est appliquée aux connexions
entrantes et sortantes. Si vous demandez
l'authentification, les communications
sont activées même en cas d'échec
de l'authentification. Si vous imposez
l'authentification, la connexion s'interrompt
en cas d'échec de l'authentification.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-22 Conception et implémentation de la protection réseau

Voici une liste des options de configuration de l'authentification :

• Demander l'authentification des connexions entrantes et sortantes. Sélectionnez cette option

pour demander à authentifier tout le trafic entrant et sortant, mais autoriser la connexion même
si l'authentification échoue. Si l'authentification réussit, alors le trafic est protégé. Vous utilisez en
général cette option soit dans des environnements à basse sécurité, soit dans des environnements
où les ordinateurs doivent se connecter, mais ne peuvent pas exécuter les types d'authentification
disponibles avec le Pare-feu Windows avec fonctions avancées de sécurité.

• Imposer l'authentification des connexions entrantes et demander l'authentification des

connexions sortantes. Sélectionnez cette option si vous exigez que tout le trafic entrant soit
authentifié, ou bloqué (en cas d'échec de l'authentification). Le trafic sortant peut être authentifié,
mais il est autorisé même si l'authentification échoue. Si l'authentification réussit pour le trafic
sortant, ce trafic est authentifié. Cette option est utilisée dans la plupart des environnements
informatiques dans lesquels les ordinateurs qui doivent se connecter prennent en charge les
types d'authentification disponibles dans le Pare-feu Windows avec fonctions avancées de sécurité.
• Imposer l'authentification des connexions entrantes et sortantes. Sélectionnez cette
option si vous exigez l'authentification de tout le trafic entrant et sortant et, en cas d'échec
de l'authentification, le blocage du trafic. Vous utilisez en général cette option dans les
environnements informatiques sensibles où vous devez protéger et contrôler le flux du
trafic, et dans lesquels les ordinateurs qui doivent se connecter prennent en charge les types
d'authentification disponibles dans le Pare-feu Windows avec fonctions avancées de sécurité.

Méthodes d'authentification
Les méthodes d'authentification suivantes sont disponibles :

• Ordinateur et utilisateur [protocole Kerberos version 5 (V5)]. Cette méthode utilise

l'authentification de l'ordinateur et de l'utilisateur, ce qui signifie que vous pouvez
demander ou exiger l'authentification de l'utilisateur et de l'ordinateur avant la poursuite
des communications. Vous pouvez utiliser le protocole d'authentification Kerberos V5
uniquement si les ordinateurs et les utilisateurs sont membres d'un domaine.

• Ordinateur (protocole Kerberos V5). Cette méthode demande ou exige l'authentification

de l'ordinateur au moyen du protocole d'authentification Kerberos V5. Vous pouvez utiliser
le protocole d'authentification Kerberos V5 uniquement si les ordinateurs sont membres
d'un domaine.

• Utilisateur (protocole Kerberos V5). Cette méthode demande ou exige l'authentification

de l'utilisateur au moyen du protocole d'authentification Kerberos V5. Vous pouvez utiliser le
protocole d'authentification Kerberos V5 uniquement si l'utilisateur est membre d'un domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-23

• Certificat d'ordinateur. Cette méthode demande ou exige un certificat d'ordinateur valide pour
l'authentification. Pour ce faire, vous devez disposer d'au moins une autorité de certification.
Utilisez cette méthode si les ordinateurs ne font pas partie du même domaine AD DS
(Active Directory Domain Services).

Remarque : Vous pouvez utiliser la stratégie de groupe pour distribuer des certificats dans
l'ensemble de votre organisation. Ceci simplifie l'administration des certificats pour les règles
de sécurité de connexion.

• Accepter seulement les certificats d'intégrité. La méthode demande ou exige un certificat d'intégrité
valide pour l'authentification. Les certificats d'intégrité assurent qu'un ordinateur répond aux
spécifications d'intégrité du système, comme déterminé par un serveur de stratégie de contrôle
d'intégrité NAP, tel que tous les logiciels et les autres mises à jour que l'accès réseau requiert.
Ces certificats sont distribués au cours du processus d'évaluation de l'intégrité NAP. Utilisez
cette méthode uniquement pour prendre en charge le NAP.

Remarque : Vous pouvez également spécifier des méthodes d'authentification avancées

dans lesquelles vous déterminez plusieurs méthodes et l'ordre dans lesquels elles doivent
être tentées.

Meilleures pratiques pour la conception des règles de sécurité du réseau

Parmi les considérations à prendre
en compte pour concevoir les règles
de sécurité de connexion, citons :
• Des règles de sécurité de connexion
compatibles doivent exister sur les deux
hôtes pour créer une connexion IPsec.
Par exemple, l'authentification doit être
configurée de la même manière sur
les deux hôtes.

• Lorsqu'une règle de sécurité de connexion

est en place, d'autres règles peuvent être
appliquées selon l'utilisateur ou l'ordinateur.
Ceci offre une plus grande souplesse pour limiter l'accès à certaines applications par l'utilisateur
ou l'ordinateur plutôt que par l'adresse IP. Cela permet d'éviter les problèmes de modification
des adresses IP en raison de l'adressage IP dynamique.
• Utilisez l'authentification Kerberos V5 pour permettre l'authentification de l'utilisateur et de
l'ordinateur. Le protocole Kerberos V5 repose sur l'authentification de domaine et ne requiert
aucune configuration supplémentaire. Cependant, il convient uniquement aux ordinateurs
qui sont membres du domaine.

Remarque : Utiliser l'authentification Kerberos V5 pour les règles de sécurité de connexion

qui impliquent des contrôleurs de domaine peuvent rendre le domaine inutilisable.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-24 Conception et implémentation de la protection réseau

• Évitez d'appliquer des stratégies IPsec et des règles de sécurité de connexion sur le même ordinateur.
Vous pouvez appliquer simultanément des stratégies IPsec et des règles de sécurité de connexion,
mais nous le déconseillons, car les deux méthodes peuvent entrer en conflit. En cas de conflit, il est
difficile de déterminer où le problème se produit.

Remarque : Les stratégies IPsec qui sont appliquées via des règles de sécurité de connexion
remplacent les stratégies IPsec qui sont appliquées via la stratégie de groupe. Les stratégies IPsec
dans la stratégie de groupe sont uniquement fournies à des fins de compatibilité descendante
pour les clients qui ne prennent pas en charge les règles de sécurité de connexion, comme
Windows XP ou Windows Server 2003.

• Effectuez un test complet avant l'implémentation pour vous assurer que tous les ordinateurs sont
configurés correctement. La meilleure pratique consiste à demander l'authentification IPsec, puis
à vérifier la fonctionnalité avant de l'imposer.
• Utilisez la sécurité IPsec seulement si nécessaire dans le cadre de votre plan de sécurité.
L'utilisation d'IPsec augmente la complexité de votre réseau, et vous ne devez pas l'implémenter
sans objectif défini.
• Utilisez la stratégie de groupe pour déployer les règles sur un grand nombre d'ordinateurs.
C'est un processus automatisé et qui est donc moins sujet aux erreurs. Les règles sont appliquées
automatiquement à tous les nouveaux ordinateurs ajoutés à une unité d'organisation. Les règles
déployées à l'aide de la stratégie de groupe remplacent les règles en conflit qui sont créées sur
un serveur local.

• Utilisez l'interface de ligne de commande Windows PowerShell® ou l'outil en ligne de commande

Netsh pour créer des scripts qui gèrent les règles de pare-feu. Les scripts vous permettent de
configurer différents ordinateurs d'une manière reproductible permettant d'éliminer les erreurs
éventuellement introduites lors de l'utilisation du Pare-feu Windows avec fonctions avancées
de sécurité. Dans la plupart des cas, vous utilisez des scripts uniquement lorsqu'il est difficile
de configurer un objet de stratégie de groupe (GPO) approprié.

Démonstration : Configuration des règles de sécurité de connexion

Cette démonstration montre comment :

• activer le trafic ICMP sur LON-SVR1 ;

• créer une règle de serveur à serveur sur des serveurs de connexion ;

• créer une règle de serveur à serveur sur LON-CL1 ;

• tester la règle.

Procédure de démonstration

Activer le trafic ICMP sur LON-SVR1

• Sur LON-SVR1, ouvrez Pare-feu Windows avec fonctions avancées de sécurité et créez une règle
de pare-feu de trafic entrant pour autoriser tout le trafic ICMPv4, s'il est sécurisé.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-25

Créer une règle de serveur à serveur sur des serveurs de connexion

1. Sur LON-SVR1, dans le Pare-feu Windows avec fonctions avancées de sécurité, créez une règle
de sécurité de connexion avec les paramètres suivants :

a. Type : Serveur à serveur

b. Imposer l'authentification des connexions entrantes et sortantes

c. Authentification : Clé pré-partagée

d. Nom : Adatum-Serveur à serveur

Créer une règle de serveur à serveur sur LON-CL1

1. Basculez vers LON-CL1 et ouvrez Pare-feu Windows avec fonctions avancées de sécurité.

2. Créez une nouvelle règle de sécurité de connexion avec les paramètres suivants :

a. Type : Serveur à serveur

b. Imposer l'authentification des connexions entrantes et sortantes

c. Authentification : Clé pré-partagée

d. Nom : Adatum-Serveur à serveur

Tester la règle
1. Sur LON-CL1, ouvrez une invite de commandes et utilisez la commande ping pour vérifier
les communications vers LON-SVR1.

2. Dans Pare-feu Windows avec fonctions avancées de sécurité, utilisez le nœud Analyse pour vérifier
les communications sécurisées.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-26 Conception et implémentation de la protection réseau

Leçon 4
Conception et implémentation d'une infrastructure
de protection d'accès réseau (NAP)
La protection d'accès réseau est une fonctionnalité de Windows Server 2008 et Windows Server 2012 qui
empêche les ordinateurs défectueux d'accéder à un réseau. Lorsque vous concevez la protection d'accès
réseau, vous devez vérifier que sa conception répond aux besoins de votre organisation. Quant aux autres
technologies, vous devez recueillir les exigences professionnelles des différents services.

Les stratégies NAP sont utilisées pour définir les clients sains et défectueux. Les options disponibles pour
définir les clients sains et défectueux sont contrôlées par les agents d'intégrité système et les programmes
de validation d'intégrité système qui sont disponibles.

Si vous concevez votre infrastructure de protection d'accès réseau avec soin et de façon à répondre
aux impératifs professionnels de votre organisation et à vos exigences en matière de sécurité réseau,
l'implémentation devient transparente aux utilisateurs dont les ordinateurs sont conformes.

Objectifs de la leçon
À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

• décrire les agents d'intégrité système et les programmes de validation d'intégrité système ;

• définir les propriétés d'une stratégie NAP ;

• expliquer comment sélectionner les paramètres appropriés des programmes de validation

d'intégrité système ;

• déterminer comment gérer les systèmes d'exploitation clients non pris en charge ;

• définir une stratégie réseau pour prendre en charge votre implémentation de NAP ;

• sélectionner une méthode de contrainte de mise en conformité NAP ;

• sélectionner un modèle approprié de mise à jour ;

• décrire comment implémenter la protection d'accès réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-27

Agents d'intégrité système et programmes de validation

d'intégrité système
Un agent d'intégrité système (SHA) est
responsable de la publication de l'état d'intégrité
à un point de contrainte de mise en conformité.
Un agent d'intégrité système, qui est présent
sur les clients NAP, est fourni avec les systèmes
d'exploitation Windows suivants :

• Windows XP Service Pack 3 (SP3)

• Windows Vista®

• Windows 7

• Windows 8
• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

Un agent d'intégrité système peut également être attribué par d'autres sociétés pour surveiller
l'état de leurs produits.

Un programme de validation d'intégrité système (SHV)), qui est présent sur un serveur qui exécute NPS
(Network Policy Server), est chargé de comparer l'intégrité des clients à l'état d'intégrité requis. Chaque
agent d'intégrité système côté client doit avoir un programme de validation d'intégrité système
correspondant côté serveur.
Un programme de validation d'intégrité système est fourni avec Windows Server 2012. Il est capable
d'analyser l'intégrité pour les systèmes d'exploitation Windows suivants :

• Windows XP SP3

• Windows Vista

• Windows 7

• Windows 8

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-28 Conception et implémentation de la protection réseau

Les paramètres pour Windows 8 s'appliquent également pour Windows Server 2012. Voici les paramètres
que vous pouvez analyser pour Windows 8 :

• Activation du pare-feu

• Activation et mise à jour de l'antivirus

• Activation et mise à jour du logiciel anti-espion

• Activation de la mise à jour automatique

• Installation de toutes les mises à jour de sécurité disponibles

• Emplacements où les mises à jour de sécurité peuvent être téléchargées répertoriés

Les paramètres analysés par le programme de validation d'intégrité système dans Windows 8 sont
basés sur les paramètres qui sont analysés le Centre de sécurité Windows sur l'ordinateur client. Pour
que les logiciels soient analysés, ils doivent être compatibles avec le Centre de sécurité Windows.

Vous pouvez étendre la protection d'accès réseau afin d'analyser des paramètres et logiciels
supplémentaires. Pour cela, déployez des agents d'intégrité système supplémentaires sur les clients NAP
et des programmes de validation d'intégrité système supplémentaires sur des serveurs NPS.

Éléments à prendre en compte pour définir une stratégie NAP

Une stratégie NAP comprend plusieurs éléments :
• Contrôles SHV. Les contrôles des
programmes de validation d'intégrité
système déterminent la façon dont vous
effectuez le suivi de l'état d'intégrité
des ordinateurs clients. Les contrôles des
programmes de validation d'intégrité système
comprennent les paramètres suivants :

o Pare-feu

o Logiciel antivirus

o Protection contre les logiciels espions

o Mises à jour automatiques

o Mises à jour de sécurité

Les exigences de votre organisation déterminent ceux de ces contrôles que vous sélectionnez pour le
programme de validation d'intégrité système. Par exemple, vous pouvez être préoccupé uniquement
par la présence de logiciels antivirus et anti-programmes malveillants sur les ordinateurs clients.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-29

• Stratégies de contrôle d'intégrité. Les stratégies de contrôle d'intégrité déterminent comment votre
organisation définit l'état d'intégrité des ordinateurs clients, en évaluant les contrôles SHV pour le
client. Lorsqu'un ordinateur client tente de se connecter au réseau, des contrôles SHV sont exécutés,
et les résultats sont évalués par rapport aux stratégies de contrôle d'intégrité définies. L'ordinateur
client doit être classé selon l'une des conditions définies suivantes :
o Réussite de tous les contrôles SHV pour le client.

o Échec de tous les contrôles SHV pour le client.

o Réussite d'un ou de plusieurs contrôles SHV pour le client.

o Échec d'un ou de plusieurs contrôles SHV pour le client.

o Client signalé comme à l'état transitoire par un ou plusieurs SHV.

o Client signalé comme infecté par un ou plusieurs SHV.

o Client signalé comme inconnu par un ou plusieurs SHV.

En général, vous définissez au moins deux stratégies de contrôle d'intégrité : une pour les ordinateurs
sains sur lesquels tous les contrôles SHV ont réussi, et une pour les ordinateurs défectueux sur lesquels
le client a échoué à un ou plusieurs contrôles SHV. Lors de la planification de vos stratégies de contrôle
d'intégrité, vous pouvez décider de définir plus de deux stratégies de contrôle d'intégrité pour identifier
les clients en bon état d'intégrité, défectueux ou non pris en charge.

Éléments à prendre en compte lors de la définition de vos paramètres

de programme de validation d'intégrité système
Lors de la définition des paramètres du
programme de validation d'intégrité système,
vous devez réfléchir à la façon dont votre
organisation souhaite contrôler la configuration
client. L'utilisation avisée des paramètres du
programmes de validation d'intégrité système
peut aider à protéger vos ordinateurs contre les
menaces sur la sécurité véhiculées par le réseau
et faire partie de votre approche de défense
en profondeur de la protection du réseau.
Voici les aspects de la configuration du client.

Paramètres de pare-feu
Le programme de validation d'intégrité système Windows prend en charge le contrôle de la présence et
de l'état d'activation d'un pare-feu hôte. Plus précisément, vous pouvez sélectionner l'option Un pare-feu
est activé pour toutes les connexions réseau. En sélectionnant ce contrôle SHV et en l'incorporant
dans une stratégie de contrôle d'intégrité, vous pouvez vérifier que tous les ordinateurs clients incluent
un pare-feu activé.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-30 Conception et implémentation de la protection réseau

Paramètres antivirus
Les exigences en matière de protection contre les virus peuvent varier considérablement d'une
organisation à une autre. Alors qu'une organisation peut simplement exiger une présence d'un package
antivirus en cours d'exécution sur les ordinateurs clients, une autre organisation peut insister sur un
modèle d'antivirus à jour et exiger qu'une analyse récente ait été exécutée sur l'ordinateur client.

Lorsque vous déterminez comment appliquer au mieux les exigences d'intégrité relatives aux antivirus,
tenez compte des facteurs suivants :

• Fabricant. Exigez-vous un produit particulier d'un éditeur de logiciels spécifié, ou bien la présence
d'un produit antivirus quel qu'il soit est-elle suffisante ?

• Version du produit. Si votre organisation impose un produit spécifique, exigez-vous que les
ordinateurs sains aient une version spécifique du produit, ou la version la plus récente est-elle
suffisante ?

• Mises à jour. Exigez-vous que les modèles d'antivirus soient à jour ? Si oui, comment définissez-vous
« à jour » : au cours de la dernière journée, de la dernière semaine, du dernier mois ?
• Configuration de l'analyse. Souhaitez-vous qu'une planification d'analyse complète soit configurée
sur les ordinateurs sains ? Si oui, souhaitez-vous en outre exiger que l'analyse complète soit exécutée
dans un intervalle de temps défini ? Par exemple, l'analyse devrait-elle avoir été exécutée au cours
de la dernière semaine ?

Remarque : L'agent d'intégrité système Windows est capable de déterminer si un antivirus

est activé et s'il est à jour. Les agents d'intégrité système d'autres fournisseurs peuvent peut-être
déterminer d'autres caractéristiques.

Paramètres de la protection contre les logiciels espions

Comme avec les paramètres antivirus, vous pouvez incorporer les exigences en matière de protection
contre les logiciels espions à vos stratégies de contrôle d'intégrité. Le programme de validation d'intégrité
système Windows peut déterminer si une application de protection contre les logiciels espions est activée
et si elle est à jour. Les agents d'intégrité système d'autres fournisseurs peuvent peut-être déterminer
des caractéristiques supplémentaires.

Paramètres des mises à jour automatiques

L'agent d'intégrité système Windows est capable de déterminer si les mises à jour automatiques
sont activées sur l'ordinateur client. Veiller à la mise à jour des ordinateurs est un aspect important
du maintien de la sécurité de votre réseau.

Paramètres des mises à jour de sécurité

Outre les mises à jour automatiques, le programme de validation d'intégrité système Windows prend
également en charge la configuration des paramètres des mises à jour de sécurité. En concevant votre
stratégie de paramètres des mises à jour de sécurité, réfléchissez aux questions suivantes :

• Est-il important que les mises à jour qui peuvent améliorer la sécurité du système d'exploitation
Windows soient installées sur les ordinateurs du réseau ? Si ce n'est pas le cas, n'activez pas l'option
Restreindre l'accès des clients qui nont pas installé toutes les mises à jour de sécurité
disponibles dans le programme de validation d'intégrité système Windows.

• S'il est important que les mises à jour de sécurité du système d'exploitation Windows soient installées,
à quelle fréquence les clients devraient-ils vérifier ces mises à jour de sécurité ?
• Comment souhaitez-vous que vos clients obtiennent ces mises à jour ? Les clients devraient-ils utiliser
Windows Update, WSUS, ou les deux ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-31

Gestion des systèmes d'exploitation non pris en charge

Lorsque vous concevez la protection d'accès
réseau (NAP), réfléchissez à la façon d'accueillir
les plateformes qui ne sont pas compatibles
avec la protection d'accès réseau. Par exemple,
la plateforme Linux n'est pas compatible avec la
protection d'accès réseau. Si certains ordinateurs
client de votre organisation s'exécutent sur Linux,
vous devez déterminer comment les prendre
en charge.

Les plateformes non prise en charge sont

enregistrées comme non compatibles avec
la protection d'accès réseau, plutôt que non
conformes. Cela vous permet de différencier les deux stratégies. Cependant, un ordinateur client
compatible NAP est enregistré comme non compatible NAP si l'ordinateur client NAP est désactivé.

Avec les plateformes non prises en charge, vous pouvez effectuer l'une des actions suivantes :
• Les empêcher d'accéder au réseau. Vous pouvez empêcher complètement un ordinateur client
qui n'est pas compatible NAP de se connecter. Ceci est probablement trop restrictif, mais plus
sûr que d'autoriser un ordinateur client incompatible d'accéder aux ressources réseau.
• Les placer sur un réseau restreint. Les plateformes non prises en charge sont ainsi limitées à utiliser
uniquement des ressources spécifiques. Cependant, il peut être difficile d'organiser votre réseau de
telle sorte que les plateformes non prises en charge aient accès aux ressources dont elles ont besoin,
tout en maintenant sa sécurité avec la protection d'accès réseau.

• Autoriser l'accès complet. Autoriser les plateformes non prises en charge à disposer de l'accès
complet peut être une solution provisoire pendant votre transition vers l'utilisation d'ordinateurs
clients pris en charge. Cependant, elle crée un risque, car les ordinateurs client non pris en charge
qui exécutent des systèmes d'exploitation Windows plus anciens sont davantage susceptibles d'être
des sources de programmes malveillants et de virus.

Éléments à prendre en compte pour la définition de vos stratégies réseau

Pour implémenter la protection d'accès réseau, en
plus de configurer les paramètres du programme
de validation d'intégrité système et de créer les
stratégies de contrôle d'intégrité requises, vous
devez également configurer des stratégies réseau
appropriées. Ces stratégies réseau nécessitent les
stratégies de contrôle d'intégrité définies en tant
que condition unique. En général, vous créez
une stratégie réseau pour chaque stratégie de
contrôle d'intégrité définie, avec cette stratégie
de contrôle d'intégrité comme condition définie.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-32 Conception et implémentation de la protection réseau

En définissant une stratégie réseau, une fois que vous avez défini les conditions, vous devez définir si
vous accordez l'accès aux ordinateurs répondant aux conditions de la stratégie. Vous devez sélectionner
l'option Accès accordé même pour les stratégies réseau relatives aux ordinateurs non conformes. Cela
est dû au fait que vous configurez les paramètres de contrainte de mise en conformité NAP dans la page
Paramètres de stratégie réseau.
Lorsque vous réfléchissez à la façon de configurer les paramètres de protection d'accès réseau dans
vos stratégies réseau, pensez soigneusement à ce que vous souhaitez accomplir :

• Souhaitez-vous isoler les ordinateurs non conformes et les empêcher de se connecter à un aspect
de votre infrastructure réseau ?

• Souhaitez-vous autoriser les ordinateurs non conformes à se connecter sans restriction, mais
seulement pendant une durée limitée ? Par exemple, vous pouvez choisir cette configuration
pour tester la protection d'accès réseau plutôt que pour l'appliquer.

• Souhaitez-vous que les ordinateurs non conformes se connectent à un réseau de mise à jour afin
qu'ils puissent devenir conformes ? Si oui, les clients doivent-ils pouvoir appliquer eux-mêmes
la mise à jour automatique ?

Éléments à prendre en compte pour la sélection d'une méthode

de contrainte de mise en conformité
La protection d'accès réseau (NAP) prend en
charge quatre méthodes de contrainte de mise
en conformité : IPsec, 802.1X, VPN et DHCP.
En concevant la contrainte de mise en conformité
NAP, réfléchissez aux avantages de chacune
de ces méthodes. Vous devez également
comprendre comment vos utilisateurs
fonctionnent et comment leurs ordinateurs
se connectent à votre réseau. Par exemple,
il n'est pas utile de configurer la contrainte
de mise en conformité VPN si vos utilisateurs
ne tentent pas de se connecter via des réseaux
privés virtuels (VPN).

Éléments à prendre en compte pour la contrainte de mise en conformité IPsec

Avec la contrainte de mise en conformité IPsec, un ordinateur doit être conforme avant d'être en mesure
d'établir des communications avec d'autres ordinateurs conformes. La contrainte de mise en conformité
IPsec restreint la communication aux ordinateurs conformes une fois qu'ils se sont correctement
connectés et qu'ils ont obtenu une configuration d'adresse IP valide. La contrainte de mise en conformité
IPsec constitue la forme de communication ou d'accès réseau limité la plus puissante de la protection
d'accès réseau.

Pour implémenter la contrainte de mise en conformité IPsec, vous devez installer des composants logiciels
supplémentaires sur le réseau. Vous devez avoir une autorité HRA (Health Registration Authority) qui agira
en tant que point de contrainte de mise en conformité et une autorité de certification qui générera des
certificats d'intégrité. Cependant, aucun composant matériel spécifique n'est requis. C'est pourquoi vous
pouvez implémenter la contrainte de mise en conformité IPsec dans n'importe quel environnement.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-33

L'autorité HRA vérifie l'état d'intégrité d'un ordinateur. L'autorité HRA émet ensuite un certificat
d'intégrité à l'ordinateur. IPsec utilise alors le certificat d'intégrité pour l'authentification IPsec.

Lorsqu'un ordinateur n'est pas conforme, il ne peut pas exécuter l'authentification IPsec et est limité
à un réseau restreint. Le réseau restreint dispose de serveurs de mise à jour.

La contrainte de mise en conformité IPsec divise un réseau physique en trois réseaux logiques : réseau
sécurisé, réseau de périmètre et réseau restreint. Un ordinateur peut être membre d'un seul de ces
réseaux logiques à la fois. Les réseaux logiques sont définis d'après les ordinateurs qui possèdent des
certificats d'intégrité et ceux qui nécessitent l'authentification IPsec avec des certificats d'intégrité pour
les tentatives de communications entrantes. Les réseaux logiques autorisent l'accès réseau limité et la mise
à jour, et ils affectent aux ordinateurs conformes le niveau de protection des ordinateurs non conformes.

Les éléments à prendre en compte pour la contrainte de mise en conformité IPsec sont les suivants :

• La contrainte de mise en conformité IPsec est plus complexe à implémenter que d'autres méthodes,
car elle requiert une autorité HRA et une autorité de certification.

• Aucun matériel supplémentaire n'est requis pour implémenter la contrainte de mise

en conformité IPsec. Il n'est pas nécessaire de mettre à niveau des commutateurs ou des
protocoles WAP (Wireless Application Protocol), alors que ce serait le cas si vous sélectionniez
la contrainte de mise en conformité 802.1X. Vous pouvez implémenter la contrainte de mise
en conformité IPsec dans n'importe quel environnement.

• La contrainte de mise en conformité IPsec est très sécurisée et difficile à contourner.

• Vous pouvez configurer IPsec pour chiffrer la communication pour plus de sécurité.

• La contrainte de mise en conformité IPsec s'applique à la communication IPv4 et IPv6.

Éléments à prendre en compte pour la contrainte de mise en conformité 802.1X

Avec la contrainte de mise en conformité IEEE 802.1X, un ordinateur doit être conforme pour pouvoir
obtenir un accès réseau illimité via une connexion réseau authentifiée par le protocole IEEE 802.1X ;
par exemple, un commutateur d'authentification Ethernet ou un point d'accès sans fil IEEE 802.11.

Pour implémenter la contrainte de mise en conformité 802.1X vous devez vérifier que les commutateurs
réseau ou les points d'accès sans fil prennent en charge l'authentification 802.1X Les commutateurs ou
les points d'accès sans fil agissent alors en tant que point de contrainte de mise en conformité pour des
ordinateurs clients NAP. L'état d'intégrité de l'ordinateur client est envoyé dans le cadre de la procédure
d'authentification.

Quand un ordinateur n'est pas conforme, le commutateur le place sur un réseau VLAN
(Virtual Local Area Network) distinct ou utilise des filtres de paquets pour restreindre l'accès
aux serveurs de mise à jour seulement.

Les éléments à prendre en compte pour la contrainte de mise en conformité 802.1X sont les suivants :

• L'isolation de l'ordinateur non conforme est gérée par le commutateur ou le point d'accès sans fil
qui se connecte avec l'ordinateur client. Ceci est très difficile à contourner, et est par conséquent
très sécurisé.

• Vous devriez utiliser la contrainte de mise en conformité 802.1X pour les ordinateurs internes.
Ce type de mise en conformité est approprié pour des ordinateurs du réseau local (LAN) avec
des connexions câblées et sans fil.

• Vous ne pouvez pas utiliser la contrainte de mise en conformité 802.1X si vos commutateurs
et vos points d'accès sans fil ne prennent pas en charge l'utilisation du protocole 802.1X
pour l'authentification.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-34 Conception et implémentation de la protection réseau

Éléments à prendre en compte pour la contrainte de mise en conformité VPN

Avec la contrainte de mise en conformité VPN, un ordinateur doit être conforme pour pouvoir obtenir
un accès réseau illimité via une connexion VPN d'accès à distance. Pour les ordinateurs non conformes,
l'accès réseau est limité au moyen d'un jeu de filtres de paquets IP que le serveur VPN applique à la
connexion VPN.

La contrainte de mise en conformité VPN requiert l'utilisation d'un serveur VPN à protection d'accès
réseau intégrée. Le serveur RRAS (Routing and Remote Access Service) inclus dans Windows Server 2012
dispose de la protection d'accès réseau intégrée. L'état d'intégrité de l'ordinateur client est envoyé dans
le cadre de la procédure d'authentification.

Lorsqu'un ordinateur est pas conforme, la connexion VPN est toujours authentifiée. Cependant, les filtres
IP restreignent l'accès aux serveurs de mise à jour uniquement.

Les éléments à prendre en compte pour la contrainte de mise en conformité VPN sont les suivants :

• La contrainte de mise en conformité VPN est la plus adaptée aux situations dans lesquelles un VPN
est déjà utilisé. Il est peu probable que vous implémentiez des connexions VPN sur un réseau interne
pour utiliser la contrainte de mise en conformité VPN.

• Utilisez la contrainte de mise en conformité VPN pour vous assurer que les membres du personnel
se connectant à partir d'ordinateurs personnels n'introduisent pas de programmes malveillants
dans votre réseau. Les ordinateurs personnels sont souvent mal entretenus par les utilisateurs
et représentent un risque élevé. Beaucoup d'utilisateurs n'ont pas d'antivirus, ou n'appliquent
pas régulièrement les mises à jour du système d'exploitation Windows.
• Utilisez la contrainte de mise en conformité VPN pour vous assurer que les ordinateurs portables
d'employés itinérants n'introduisent pas de programmes malveillants dans votre réseau. Les
ordinateurs portables d'employés itinérants sont plus sensibles aux attaques malveillantes que
les ordinateurs directement connectés au réseau d'entreprise, car ils ne peuvent pas forcément
télécharger les mises à jour des virus et les mises à jour du système d'application et des applications
Windows en dehors du réseau d'entreprise. Ils sont également plus susceptibles de se trouver dans
des environnements où un programme malveillant est présent.

Éléments à prendre en compte pour la contrainte de mise en conformité DHCP

Avec la contrainte de mise en conformité DHCP, un ordinateur doit être conforme pour pouvoir obtenir
une configuration d'adresse IPv4 d'accès illimité à partir d'un serveur DHCP. Pour les ordinateurs non
conformes, l'accès réseau est limité par une configuration d'adresse IPv4 qui limite l'accès au réseau
restreint.

La contrainte de mise en conformité DHCP requiert l'utilisation d'un serveur DHCP à protection d'accès
réseau intégrée. Le serveur DHCP compris dans Windows Server 2012 dispose de la protection d'accès
réseau intégrée pour l'adressage IPv4, mais pas pour IPv6. L'état d'intégrité de l'ordinateur client est
envoyé avec la demande de bail DHCP.

Si l'ordinateur client n'est pas conforme, un bail est accordé avec les paramètres suivants :

• une passerelle par défaut de [Link] ;

• un masque de sous-réseau de [Link] ;

• des itinéraires statiques aux serveurs de mise à jour.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-35

Les éléments à prendre en compte pour la contrainte de mise en conformité DHCP sont les suivants :

• La contrainte de mise en conformité par DHCP est facile à implémenter, et peut être appliquée
à n'importe quel ordinateur avec une adresse IP dynamique.

• Il est facile de contourner la contrainte de mise en conformité par DHCP. Un ordinateur client
peut contourner la contrainte de mise en conformité par DHCP à l'aide d'une adresse IP statique.
De plus, un ordinateur non conforme peut ajouter des itinéraires hôtes statiques pour atteindre
les serveurs qui ne sont pas des serveurs de mise à jour.

• La contrainte de mise en conformité par DHCP n'est pas possible pour des clients IPv6.
Si les ordinateurs de votre réseau utilisent les adresses IPv6 pour communiquer, la contrainte
de mise en conformité par DHCP est inefficace.

Groupes de serveurs de mise à jour

Un groupe de serveurs de mise à jour est une liste
de serveurs sur le réseau restreint qui fournissent
des ressources permettant de mettre les clients
compatibles NAP non conformes en conformité
avec la stratégie de contrôle d'intégrité client
définie par vous.

Un serveur de mise à jour héberge les mises à

jour qu'un agent NAP peut utiliser pour que les
ordinateurs clients non conformes deviennent
conformes à la stratégie de contrôle d'intégrité
définie par NPS. Par exemple, un serveur de
mise à jour peut héberger des signatures antivirus.
Si une stratégie de contrôle d'intégrité impose que les ordinateurs clients incluent les définitions
antivirus les plus récentes, alors l'agent d'intégrité système antivirus, le programme de validation
d'intégrité système antivirus, le serveur de stratégie antivirus et le serveur de mise à jour interagissent
pour mettre à jour les ordinateurs non conformes.

En fonction de vos exigences en matière de stratégies de contrôle d'intégrité, envisagez la mise

en place des serveurs suivants dans votre réseau de mise à jour :

• Serveurs de signatures antivirus. Ces serveurs permettent aux ordinateurs non conformes d'accéder
aux mises à jour d'antivirus.

• Service WSUS. Ce service permet aux ordinateurs non conformes d'obtenir les mises à jour logicielles
requises.

• Serveurs du composant Microsoft® System Center Configuration Manager. Les points de gestion
de Configuration Manager, les points de mise à jour logicielle et les points de distribution
hébergent les mises à jour logicielles requises pour la mise en conformité des ordinateurs.

• Contrôleurs de domaine. Les ordinateurs non conformes peuvent avoir besoin d'accéder aux services
de domaine sur le réseau non conforme à des fins d'authentification, pour télécharger des stratégies
de la stratégie de groupe ou pour gérer les paramètres de profil de domaine.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-36 Conception et implémentation de la protection réseau

• Serveurs DNS (Domain Name System). Les ordinateurs non conformes doivent avoir accès au DNS
pour résoudre les noms d'hôtes.

• Serveurs DHCP. Les ordinateurs non conformes doivent avoir accès à un serveur DHCP si le profil IP
du client change sur le réseau non conforme, ou si le bail DHCP expire.

• Serveurs de résolution des problèmes. Lorsque vous configurez un groupe de serveurs de mise à
jour, vous pouvez fournir une URL de résolution des problèmes avec des instructions sur la façon
de rétablir la conformité des ordinateurs avec vos stratégies de contrôle d'intégrité.

• Autres services. Vous pouvez envisager de fournir l'accès à Internet sur votre réseau de mise à jour
de sorte que les ordinateurs non conformes puissent atteindre les services de mise à jour, tels que
Windows Update et d'autres ressources Internet.

Démonstration : Implémentation de la protection d'accès réseau

Cette démonstration montre comment :

• installer le rôle de serveur NPS ;

• configurer le serveur NPS en tant que serveur de stratégie de contrôle d'intégrité NAP ;

• configurer les stratégies de contrôle d'intégrité ;

• configurer des stratégies réseau pour les ordinateurs conformes ;

• configurer des stratégies réseau pour les ordinateurs non conformes ;

• configurer le rôle de serveur DHCP pour la protection d'accès réseau ;

• configurer les paramètres NAP du client ;

• tester la protection d'accès réseau.

Procédure de démonstration

Installer le rôle de serveur NPS

1. Basculez vers LON-DC1 et connectez-vous en tant qu'administrateur de domaine.

2. Ouvrez le Gestionnaire de serveur et installez le rôle de Stratégie réseau et services d'accès.

Configurer le serveur NPS en tant que serveur de stratégie de contrôle

d'intégrité NAP
1. Ouvrez la console Serveur NPS.

2. Configurez le programme de validation d'intégrité de la sécurité Windows pour demander

que tous les ordinateurs sous Windows 8 exécutent un pare-feu.

Configurer les stratégies de contrôle d'intégrité

1. Créez une stratégie de contrôle d'intégrité nommée Conforme qui spécifie la condition Réussite
de tous les contrôles SHV pour le client.

2. Créez une autre stratégie de contrôle d'intégrité nommée Non conforme qui spécifie la condition
Échec d'un ou de plusieurs contrôles SHV pour le client.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-37

Configurer des stratégies réseau pour les ordinateurs conformes

1. Désactivez les deux stratégies réseau existantes ; elles empêcheraient le traitement des stratégies
que vous êtes sur le point de créer.

2. Créez une nouvelle stratégie réseau nommée Conforme – Accès Complet ayant une condition
de stratégie de contrôle d'intégrité Conforme. Pour cette stratégie, accordez un accès illimité
aux ordinateurs.

Configurer des stratégies réseau pour les ordinateurs non conformes

• Créez une nouvelle stratégie réseau nommée Non conforme-restreint ayant une condition
de stratégie de contrôle d'intégrité non conforme. Accordez un accès limité aux ordinateurs.

Configurer le rôle de serveur DHCP pour la protection d'accès réseau

1. Ouvrez la console DHCP.

2. Modifiez les propriétés de la portée IPv4 pour prendre en charge la protection d'accès réseau.

3. Créez une nouvelle stratégie DHCP qui alloue des options de portée DHCP appropriées aux
ordinateurs non conformes. Ces options doivent attribuent un suffixe DNS [Link].

Configurer les paramètres NAP du client

1. Sur LON-CL1, activez le Client de contrainte de quarantaine DHCP.

2. Démarrez le service Agent de protection d'accès réseau.

3. Utilisez la Console de gestion de stratégie de groupe locale pour activer le centre de sécurité.

4. Reconfigurez LON-CL1 pour obtenir une adresse IP à partir d'un serveur DHCP.

Tester la protection d'accès réseau

1. Vérifiez la configuration obtenue avec l'outil ipconfig.

2. Désactivez et arrêtez le service Pare-feu Windows.

3. Dans la zone de barre d'état système, cliquez sur la fenêtre contextuelle Protection d'accès réseau.
Passez en revue les informations dans la boîte de dialogue Protection d'accès réseau, puis cliquez
sur Fermer.

Remarque : Si la fenêtre contextuelle n'apparaît pas, poursuivez.

4. Vérifiez la configuration obtenue avec ipconfig.

5. Notez que l'ordinateur a un masque de sous-réseau de [Link] et un suffixe DNS

[Link]. Ne fermez aucune fenêtre.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-38 Conception et implémentation de la protection réseau

Atelier pratique : Conception et implémentation

de la protection réseau
Scénario
A. Datum a récemment rencontré des problèmes de programmes malveillants introduits sur le réseau
à la filiale de Paris. L'introduction de programmes malveillants a été provoquée par la non conformité
de certains ordinateurs avec les stratégies de sécurité et de maintenance de l'entreprise. Aucun de ces
problèmes n'a été le résultat de tentatives de contournement des consignes de sécurité par des pirates
informatiques.

Objectifs
• Concevoir une solution de Pare-feu Windows.

• Implémenter le Pare-feu Windows.

• Concevoir une solution NAP.

• Implémenter une solution de protection d'accès réseau avec contrainte de mise en conformité VPN.

Configuration de l'atelier pratique

Durée approximative : 75 minutes

Ordinateurs virtuels 22413B-LON-DC1

22413B-LON-RTR
22413B-LON-SVR1
22413B-LON-CL1
22413B-LON-CL2

Nom d'utilisateur ADATUM\Administrateur

Mot de passe Pa$$w0rd

Pour cet atelier pratique, utilisez l'environnement d'ordinateur virtuel disponible. Avant de commencer
cet atelier pratique, procédez comme suit :

1. Sur l'ordinateur hôte, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.

2. Dans le Gestionnaire Hyper-V®, cliquez sur 22413B-LON-DC1, puis, dans le volet Actions,
cliquez sur Démarrer.

3. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

4. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

5. Répétez les étapes 2 à 4 pour 22413B-LON-SVR1 et 22413B-LON-CL1.

Important : Ne démarrez pas 22413B-LON-RTR et 22413B-LON-CL2 avant d'être invité à

le faire.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-39

Exercice 1 : Concevoir une solution de Pare-feu Windows

Scénario
Le personnel informatique de Trey Research est préoccupé par le fait que la structure de sécurité actuelle
n'est pas efficace pour l'allocation des ressources. Une équipe de consultants en sécurité a récemment
effectué une analyse des besoins et des risques en matière de sécurité, et vous devez maintenant
implémenter certaines des modifications proposées dans l'infrastructure réseau.

Après avoir analysé la sécurité du réseau en utilisant le modèle de défense en profondeur, l'équipe de
consultants en sécurité vous recommande d'améliorer la sécurité interne en implémentant le Pare-feu
Windows. Pour optimiser la sécurité, ils proposent d'implémenter les règles de trafic sortant sur les
serveurs et les stations de travail.
Pour mieux sécuriser les communications, le consultant a proposé que vous sécurisiez les communications
entre tous les utilisateurs dans le groupe de recherche de l'entreprise Trey Research. Cela empêchera
les utilisateurs ne faisant pas partie du groupe de recherche d'accéder aux applications ou données
de recherche.

Pour prendre en charge l'implémentation des règles du Pare-feu Windows, le personnel informatique
a créé une liste complète des applications réseau actuellement en service chez Trey Research.
Les applications et leurs ports sont répertoriés dans les tableaux suivants.

Application cliente Port de destination Fichier exécutable

Bloc de message serveur (SMB, Server 445 N/A

Message Block) de partage de fichiers
et d'imprimantes

Application personnalisée de recherche 10101 [Link]

Windows Internet Explorer® 80, 443, 8080 [Link]

Client de messagerie électronique Appel de procédure [Link]

distante aléatoire (RPC)

Application serveur Port entrant Fichier exécutable

Partage de fichiers et d'imprimantes 445 N/A

(SMB)

Application personnalisée de recherche 10101 [Link]

Application Web de service client 8080 N/A

Serveur de messagerie Aléatoire (RPC) [Link]

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-40 Conception et implémentation de la protection réseau

Stratégie de déploiement du Pare-feu Windows

Numéro de référence du document : BS0929/1

Auteur du document Brad Sutton

Date 29 septembre

Présentation des exigences

Concevoir le Pare-feu Windows pour permettre de résoudre les problèmes suivants :
• La sécurité IPsec est implémentée uniquement pour sécuriser la communication entre
les ordinateurs du service de recherche.
• La communication avec les ordinateurs extérieurs au groupe de travail Research n'est
pas authentifiée par IPsec.
• Tous les ordinateurs qui ne sont pas membres du service de recherche ne peuvent pas initier
de communication avec des serveurs et stations de travail Research.
• Outre l'authentification simple, des règles de Pare-feu Windows avec des comptes d'utilisateurs
et d'ordinateurs spécifiques seront implémentées.
• La configuration doit prendre en charge les adresses IP attribuées dynamiquement aux stations
de travail de Trey Research.

Informations supplémentaires
• Outre les applications serveur répertoriées, vous devez également prendre en compte les services
réseau, tels que les connexions au domaine et les recherches DNS.
• Il n'existe pas plus de deux serveurs qui exécutent n'importe quelle application spécifique.

Propositions
1. Quelles règles de trafic entrant devez-vous implémenter sur les serveurs ?

2. Quelles règles de trafic sortant devez-vous implémenter sur les serveurs ?

3. Quelles règles de trafic entrant devez-vous implémenter sur les stations de travail Windows 8 ?

4. Quelles règles de trafic sortant devez-vous implémenter sur les stations de travail Windows 8 ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-41

(suite)

Stratégie de déploiement du Pare-feu Windows

Propositions
5. Quels problèmes posent les systèmes d'exploitation autres que Windows Server 2012
et Windows 8 ?

6. Comment déploierez-vous le Pare-feu Windows sur les serveurs exécutant Windows Server ?

7. Comment déploierez-vous le Pare-feu Windows sur les stations de travail ?

8. Quels éléments liés à l'authentification sont à prendre en compte pour les règles de sécurité
de connexion requises ?

9. Quelle méthode d'authentification devez-vous utiliser ?

10. Quel type de règle de sécurité de connexion devez-vous utiliser ?

11. Comment déploierez-vous les règles de sécurité de connexion sur les serveurs ?

12. Comment déploierez-vous les règles de sécurité de connexion sur les stations de travail ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-42 Conception et implémentation de la protection réseau

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie de déploiement
du Pare-feu Windows.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir terminé la conception du Pare-feu Windows
pour Trey Research.

Exercice 2 : Implémenter une solution de Pare-feu Windows

Scénario
Vous devez maintenant implémenter un test de la solution de Pare-feu Windows que vous proposez
dans le réseau d'A. Datum.

Les tâches principales de cet exercice sont les suivantes :

1. Placer les ordinateurs dans l'unité d'organisation Research.

2. Créer un objet de stratégie de groupe et le lier à l'unité d'organisation Research.

3. Créer les règles de sécurité de connexion requises.

4. Créer les règles de pare-feu.

5. Actualiser les paramètres de stratégie de groupe.

6. Essayer de vous connecter au serveur Web.

7. Vérifier les paramètres.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-43

 Tâche 1 : Placer les ordinateurs dans l'unité d'organisation Research

1. Basculez vers LON-DC1.

2. Ouvrez Utilisateurs et ordinateurs Active Directory

3. Déplacez LON-CL1 et LON-SVR1 du conteneur Computers vers l'unité d'organisation Research.

 Tâche 2 : Créer un objet de stratégie de groupe et le lier à l'unité

d'organisation Research
1. Ouvrez Gestion de stratégie de groupe.

2. Créez et liez un nouvel objet de stratégie de groupe nommé Stratégie de sécurité de l'application
du service de recherche à l'unité d'organisation Research.

 Tâche 3 : Créer les règles de sécurité de connexion requises

1. Ouvrez Stratégie de sécurité de l'application du service de recherche pour modification.

2. Dans l'Éditeur de gestion des stratégies de groupe, sous Configuration ordinateur, accédez
à \Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows
avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées
de sécurité - LDAP://CN={GUID}, puis cliquez sur Règles de sécurité de connexion.
3. Créez une nouvelle règle de sécurité de connexion avec les propriétés suivantes :

o Type de règle : Personnalisée

o Points de terminaison : Valeur par défaut

o Configuration requise : Imposer l'authentification des connexions entrantes et demander
l'authentification des connexions sortantes

o Méthode d'authentification : Ordinateur et utilisateur (Kerberos V5)

o Protocoles et ports :
 Point de terminaison 1 : Port TCP 80
 Point de terminaison 2 : Valeur par défaut
o Profil : Domaine

o Nom : Règle de sécurité de l'application du service de recherche

 Tâche 4 : Créer les règles de pare-feu

1. Créez une nouvelle règle de pare-feu de trafic entrant avec les propriétés suivantes :

o Type de règle : Personnalisée

o Programme : Valeur par défaut

o Protocoles et ports : Port local : TCP 80

o Étendue : Valeur par défaut

o Action :
 Autoriser la connexion si elle est sécurisée
 Autoriser la connexion si elle est authentifiée et que sont intégrité est protégée
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-44 Conception et implémentation de la protection réseau

o Utilisateurs : Valeur par défaut

o Ordinateurs : Autoriser uniquement les connexions à partir de ces ordinateurs :

 LON-CL1
 LON-SVR1
o Profil : Domaine

o Nom : Règle de pare-feu de l'application du service de recherche

 Tâche 5 : Actualiser les paramètres de stratégie de groupe

1. Basculez vers LON-CL1.

2. Ouvrez une invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée.

3. Redémarrez l'ordinateur.

4. Basculez vers LON-SVR1.

5. Ouvrez une invite de commandes, tapez gpupdate /force, puis appuyez sur Entrée.

6. Redémarrez l'ordinateur. Attendez le redémarrage de LON-SVR1 avant de continuer.

 Tâche 6 : Essayer de vous connecter au serveur Web

1. Basculez vers LON-CL1. Vous devez attendre le redémarrage de LON-SVR1 avant de continuer.
2. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

3. À partir du Bureau, démarrez Internet Explorer, et essayez d'ouvrir la page Web [Link]
La page Web par défaut IIS 8 devrait se charger.

 Tâche 7 : Vérifier les paramètres

1. Ouvrez Pare-feu Windows avec fonctions avancées de sécurité.

2. Ouvrez Analyse, cliquez sur Associations de sécurité, puis sur Mode principal.

3. Double-cliquez sur les associations répertoriées.

4. Notez la première méthode d'authentification.

5. Développez Mode rapide.

6. Dans le volet droit, double-cliquez sur l'élément répertorié.

7. Notez le port distant.

 Préparer l'exercice suivant

Lorsque vous avez terminé l'exercice, rétablissez deux des ordinateurs virtuels à leur état initial
et démarrez deux ordinateurs virtuels supplémentaires. Pour cela, procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-CL1,
puis cliquez sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-SVR1.

5. Cliquez sur 22413B-LON-RTR et dans le volet Actions, cliquez sur Démarrer.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-45

6. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

7. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

8. Répétez les étapes 5 à 7 pour 22413B-LON-CL2.

Résultats : À la fin de cet exercice, vous devriez avoir configuré les règles de pare-feu requises.

Exercice 3 : Concevoir une solution NAP

Scénario
Vous devez concevoir et d'implémenter une solution NAP afin d'assurer une protection supplémentaire
au réseau d'A. Datum.

Le site de Paris fournit des services pour toutes les filiales de la zone européenne. La protection d'accès
réseau est implémentée à Londres comme test pour le reste d'A. Datum. Vous devez étudier divers
scénarios, puis les tester.

Stratégie de déploiement NAP

Numéro de référence du document : BS1001/1

Auteur du document Brad Sutton

Date 1er octobre

Présentation des exigences

Concevez une stratégie de protection d'accès réseau pour atteindre les objectifs suivants :
• permettre d'empêcher la diffusion des programmes malveillants dans les bureaux européen
d'A Datum ;
• sécuriser les connexions distantes entrantes établies sur les serveurs VPN de la société à partir
des ordinateurs personnels et portables.

Informations supplémentaires
• Les serveurs VPN exécutent Windows Server 2012.
• La plupart, mais tous les commutateurs et les points d'accès sans fil prennent en charge
l'authentification 802.1X.
• Tous les ordinateurs clients ont été mis à niveau vers Windows 8.
• Aucun produit supplémentaire avec un agent d'intégrité système ou un programme
de validation d'intégrité système n'a été installé.
• Tous les ordinateurs clients utilisent des adresses IP dynamiques.
• Le serveur DHCP dans Windows Server 2012 est utilisé pour louer des adresses IP.
• Les réseaux VPN sont toujours le principal mécanisme pour se connecter à distance,
bien que l'utilisation de Windows 8 DirectAccess soit prévue à l'avenir.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-46 Conception et implémentation de la protection réseau

(suite)

Stratégie de déploiement NAP

Propositions
1. La contrainte de mise en conformité VPN est-elle appropriée ?

2. Quels composants sont requis pour la contrainte de mise en conformité VPN ?

3. Les composants nécessaires pour la contrainte de mise en conformité VPN sont-ils en place ?

4. Quels sont les avantages de l'utilisation de la contrainte de mise en conformité VPN ?

5. Quels sont les inconvénients de l'utilisation de la contrainte de mise en conformité VPN ?

6. Quelle est la façon la plus simple d'appliquer simultanément la configuration des ordinateurs
clients requise à plusieurs ordinateurs ?

7. Comment pouvez-vous vous assurer que seuls les ordinateurs clients soient configurés, et pas
les serveurs ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-47

(suite)

Stratégie de déploiement NAP

Propositions
8. Qu'est-ce qui détermine les options disponibles pour vérifier l'état des ordinateurs clients ?
Comment pouvez-vous développer ces options ?

9. Comment les ordinateurs non conformes accèdent-ils aux serveurs de mise à jour ?

10. Quels serveurs devez-vous configurer comme serveurs de mise à jour ?

Les tâches principales de cet exercice sont les suivantes :

1. Lire la documentation fournie avec le produit.

2. Mettre à jour le document de proposition en fonction du plan d'action planifié.

3. Examiner les propositions suggérées dans le corrigé de l'atelier pratique.

4. Présenter la solution que vous proposez à la classe, comme indiqué par votre instructeur.

 Tâche 1 : Lire la documentation fournie avec le produit

• Lisez la documentation fournie.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document Stratégie de déploiement NAP.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez votre propositions avec celles du corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir terminé la conception de la protection d'accès
réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-48 Conception et implémentation de la protection réseau

Exercice 4 : Implémenter la protection d'accès réseau avec la contrainte

de mise en conformité VPN
Scénario
Vous devez maintenant implémenter la protection d'accès réseau avec la contrainte de mise
en conformité VPN.

Les tâches principales de cet exercice sont les suivantes :

1. Configurer les certificats pour la NAP.

2. Configurer les stratégies de contrôle d'intégrité.

3. Configurer les stratégies réseau.

4. Configurer des stratégies de demande de connexion.

5. Configurer un serveur VPN.

6. Activer l'écho ICMPv4 à des fins de test.

7. Configurer l'ordinateur client NAP.

8. Établir une connexion VPN.

 Tâche 1 : Configurer les certificats pour la NAP

1. Basculez sur le serveur virtuel LON-DC1.
2. Ouvrez l'outil Autorité de certification.

3. Dans la Console des modèles de certificats, ouvrez les propriétés du modèle de certificat Ordinateur

4. Sous l'onglet Sécurité, accordez l'autorisation Autoriser l'inscription au groupe Utilisateurs

authentifiés.

5. Fermez la Console des modèles de certificats.

6. Redémarrez l'Autorité de certification Adatum-LON-DC1-CA, puis fermez la console.

 Tâche 2 : Configurer les stratégies de contrôle d'intégrité

1. Basculez vers LON-RTR.

2. Créez une console de gestion en exécutant [Link].

3. Ajoutez le composant logiciel enfichable Certificats en mettant l'accent sur le compte

d'ordinateur local.

4. Naviguez jusqu'au magasin de certificats personnel, et cliquez sur Demander un nouveau certificat.

5. Dans la page Sélectionner la stratégie d'inscription de certificat, cliquez sur Stratégie

d'inscription à Active Directory, puis sur Suivant.

6. Inscrivez le certificat Ordinateur répertorié.

7. Fermez la console de gestion sans enregistrer ses paramètres.

8. À l'aide du Gestionnaire de serveur, installez le serveur NPS avec les services de rôle suivants :

o Serveur NPS
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-49

9. Ouvrez la console Serveur NPS.

10. Sous Protection d'accès réseau, ouvrez la configuration par défaut pour le programme de validation
d'intégrité de la sécurité Windows.

11. Dans l'onglet Windows 8/Windows 7/Windows Vista, désactivez toutes les cases à cocher,
puis activez la case à cocher Un pare-feu est activé pour toutes les connexions réseau.

12. Créez une stratégie de contrôle d'intégrité avec les paramètres suivants :

o Nom : Conforme

o Contrôles du client par les programmes de validation d'intégrité système (SHV) : Réussite
de tous les contrôles SHV pour le client

o Programme de validation d'intégrité système utilisés dans cette stratégie de contrôle

d'intégrité : Programme de validation d'intégrité de la sécurité Windows

13. Créez une autre stratégie de contrôle d'intégrité avec les paramètres suivants :

o Nom : Non conforme

o Contrôles du client par les programmes de validation d'intégrité système (SHV) : Échec
d'un ou de plusieurs contrôles SHV pour le client

o Programme de validation d'intégrité système utilisés dans cette stratégie de contrôle

d'intégrité : Programme de validation d'intégrité de la sécurité Windows

 Tâche 3 : Configurer les stratégies réseau

1. Désactivez toutes les stratégies réseau existantes.

2. Configurez une nouvelle stratégie réseau avec les paramètres suivants :

o Nom : Conforme-Accès complet

o Conditions : Stratégies de contrôle d'intégrité, Conforme

o Autorisations d'accès : Accès accordé

o Paramètres : Contrainte de mise en conformité NAP, Autoriser un accès réseau complet

3. Configurez une nouvelle stratégie réseau avec les paramètres suivants :

o Nom : Non conforme-Restreint

o Conditions : Stratégies de contrôle d'intégrité, Non Conforme

o Autorisations d'accès : Accès accordé

o Paramètres :
 Activer la case à cocher : Contrainte de mise en conformité NAP, Autoriser un accès
restreint
 Désactivez la case à cocher : Activer la mise à jour automatique des ordinateurs clients
o Filtres IP :
 Filtre d'entrée IPv4
 Réseau de destination : [Link]/[Link]
 Filtre de sortie IPv4
 Réseau source : [Link]/[Link]
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-50 Conception et implémentation de la protection réseau

 Tâche 4 : Configurer des stratégies de demande de connexion

1. Désactivez les stratégies de demande de connexion existantes.

2. Créez une stratégie de demande de connexion avec les paramètres suivants :

o Nom de la stratégie : Connexions VPN

o Type de serveur d'accès réseau : Serveur d'accès à distance (VPN-Dial-up)

o Conditions, type de tunnel : L2TP, SSTP et PPTP

o Authentifier les demandes sur ce serveur : Activé

o Dans la page Spécifier les méthodes d'authentification, exécutez la procédure ci-dessous :

i. Sélectionnez Remplacer les paramètres d'authentification de stratégie réseau.

ii. Ajoutez Microsoft : PEAP (Protected EAP).

iii. Ajoutez Microsoft: Mot de passe sécurisé (EAP-MSCHAP version 2).

iv. Modifiez Microsoft : PEAP (Protected EAP) pour vous assurer que l'option Appliquer
la protection d'accès réseau est activée.

 Tâche 5 : Configurer un serveur VPN

1. Basculez vers LON-RTR, puis ouvrez Routage et accès distant.

2. Désactivez le routage et l'accès distant.

3. Sélectionnez Configurer et activer le routage et l'accès à distance.

4. Utilisez les paramètres suivants pour terminer la configuration :

a. Sélectionnez Accès à distance (connexion à distance ou VPN).

b. Activer la case à cocher VPN.

c. Sélectionnez l'interface appelée Public, et désactivez la case à cocher Sécuriser l'interface

sélectionnée en configurant des filtres de paquet statiques.

d. Sous Attribution d'adresses IP, À partir d'une plage d'adresses spécifiée : [Link]
à [Link]

e. Terminez le processus en acceptant les valeurs par défaut à chaque invite, puis en confirmant
les messages en cliquant sur OK.

5. Dans Serveur NPS, cliquez sur le nœud Stratégies de demande de connexion, et vérifiez que
Stratégie du service Routage et accès à distance Microsoft est désactivée. Celle-ci a été créée
automatiquement quand le routage et l'accès à distance ont été activés.

Remarque : Vous devrez peut-être actualiser l'affichage pour contrôler l'état actuel
des stratégies.

6. Fermez la console de gestion NPS, puis la console Routage et accès distant.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-51

 Tâche 6 : Activer l'écho ICMPv4 à des fins de test

1. Sur LON-RTR, ouvrez Pare-feu Windows avec fonctions avancées de sécurité.

2. Créez une règle de trafic entrant ayant les propriétés suivantes :

o Type : Personnalisée

o Tous les programmes

o Type de protocole : ICMPv4, puis cliquez sur Personnaliser

o Types d'ICMP spécifiques : Requête d'écho

o Étendue par défaut

o Action : Autoriser la connexion

o Profil par défaut

o Nom : Demande d'écho ICMPv4

3. Fermez la console Pare-feu Windows avec fonctions avancées de sécurité.

 Tâche 7 : Configurer l'ordinateur client NAP

1. Basculez vers LON-CL2.

2. Exécutez l'outil Configuration du client NAP ([Link]).

3. Sous Clients de contrainte, activez Client de contrainte de quarantaine EAP.

4. Fermez l'outil Configuration du client NAP.

5. Exécutez [Link], puis configurez le service Agent de protection d'accès réseau

pour un démarrage Automatique.

6. Démarrez le service.

7. Fermez la console Services.

8. Ouvrez l'Éditeur de stratégie de groupe locale ([Link]), puis activez le paramètre

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/
Composants Windows/Centre de sécurité/Activer le Centre de sécurité
(ordinateurs appartenant à un domaine uniquement).

9. Fermez l'Éditeur de stratégie de groupe locale.

 Tâche 8 : Établir une connexion VPN

1. Sur LON-CL2, créez une connexion VPN avec les propriétés suivantes :

o Adresse Internet de connexion : [Link]

o Nom de la destination : VPN Adatum

o Activer : Autoriser d'autres personnes à utiliser cette connexion

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-52 Conception et implémentation de la protection réseau

2. Une fois le VPN créé, modifiez ses paramètres en affichant les propriétés de la connexion,
puis sélectionnez l'onglet Sécurité. Utilisez les paramètres suivants pour reconfigurer le VPN :

o Type d'authentification : Microsoft : PEAP (Protected EAP) (chiffrement activé)

o Propriétés de ce type d'authentification

o Activer : Valider le certificat du serveur

o Désactiver : Connexion à ces serveurs

o Méthode d'authentification : Mot de passe sécurisé (EAP-MSCHAP version 2)

o Désactiver : Activer la reconnexion rapide

o Activer : Appliquer la protection d'accès réseau

3. Testez la connexion VPN :

o Dans la fenêtre Connexions réseau, connectez la connexion VPN Adatum.

o Affichez les détails de la boîte de dialogue Alerte de sécurité Windows. Vérifiez que les
informations de certificat de connexion affichées sont correctes, et cliquez sur Connexion.

4. À l'invite de commandes, exécutez la commande ipconfig /all pour vérifier que l'état de quarantaine
du système est Non restreint.

5. Effectuez un test ping de [Link].

6. Déconnectez VPN Adatum.

7. Basculez vers LON-RTR.

8. Ouvrez le serveur NPS.

9. Dans la configuration par défaut du programme de validation d'intégrité de la sécurité Windows,

dans la page Windows 8/Windows 7/Windows Vista, activez l'option Restreindre l'accès
des clients qui n'ont pas installé toutes les mises à jour de sécurité disponibles.

10. Rebasculez vers LON-CL2, puis reconnectez le VPN.

11. Exécutez la commande ipconfig /all pour vérifier que l'état de quarantaine du système est Restreint.

12. Déconnectez le VPN.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-CL2, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-RTR et 22413B-LON-DC1.

Résultats : À la fin de cet exercice, vous devez avoir implémenté la protection d'accès réseau avec
la contrainte de mise en conformité VPN.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-53

Question : Pour quelle approche avez-vous opté lors de l'exercice de conception

du pare-feu ?

Question : Pour quelle approche avez-vous opté lors de l'exercice de conception

de la protection d'accès réseau ?

Question : En quoi la conception de l'accès réseau diffère-t-elle de l'implémentation

de l'accès réseau dans votre organisation ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
12-54 Conception et implémentation de la protection réseau

Contrôle des acquis et éléments à retenir

Question(s) de contrôle des acquis
Évaluez l'exactitude de l'énoncé en indiquant votre choix dans la colonne de droite.

Énoncé Réponse

Le programme de validation d'intégrité système Windows peut déterminer

à la fois l'état du pare-feu (activé ou désactivé) et s'il est à jour.

Question : Citez quelques formes courantes d'attaques réseau.

Question : Quel(s) rôle(s) serveur devez-vous déployer pour prendre en charge la protection
d'accès réseau ?

Question : Quelles sont les utilisations conseillées d'IPsec ?

Problèmes réels et scénarios

Scénario : Tailspin Toys envisage d'implémenter la protection d'accès réseau dans le cadre de son
infrastructure de sécurité globale. Ils souhaitent une méthode de mise en œuvre qui s'applique
à tous les clients réseau, quelle que soit la façon dont ils se connectent. Une infrastructure à clé
publique est en place. Quelle(s) méthode(s) de mise en œuvre recommanderiez-vous ?
Scénario : Wingtip Toys souhaite implémenter la contrainte de mise en conformité NAP IPsec.
Quels composants d'infrastructure doivent être en place pour prendre en charge cette méthode ?
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server 12-55

Évaluation du cours
Votre évaluation de ce cours aidera Microsoft
à comprendre la qualité de votre expérience
de formation.

Consultez votre formateur pour accéder

au formulaire d'évaluation du cours.

Votre évaluation est strictement confidentielle

et vos réponses à cette enquête seront utilisées
dans le seul but d'améliorer la qualité des
prochains cours Microsoft. Vos commentaires
ouverts et honnêtes sont très précieux.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L1-1

Module 1 : Planification de la mise à niveau

et de la migration d'un serveur
Atelier pratique : Planification de la mise
à niveau et de la migration d'un serveur
Exercice 1 : Planifier la stratégie de mise à niveau et de migration
d'un serveur
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le scénario d'exercice d'atelier pratique.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Analysez les réseaux interne et de périmètre séparément. En effet, les configurations
et les paramètres de sécurité pour chacun de ces réseaux sont différents.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

Examinez les propositions suggérées dans le corrigé de l'atelier pratique.

1. Vous envisagez d'exécuter l'outil Microsoft® Application and Planning Toolkit (MAP) pour vous aider
à choisir une stratégie de consolidation de serveur. Quel résultat comptez-vous obtenir de cet outil ?

Dans un premier temps, vous devez exécuter l'outil MAP pour analyser l'inventaire de l'infrastructure
du serveur d'une organisation, exécuter une évaluation, puis créer des rapports à utiliser pour des
plans de mise à niveau et de migration. Vous pouvez aussi exécuter l'outil MAP pour analyser
l'utilisation moyenne du processeur et de la mémoire de tous les serveurs.

2. En fonction des résultats de l'outil MAP (ou d'une analyse manuelle), vous devez identifier
les serveurs qui sont candidats à la virtualisation.

Vous allez habituellement choisir les machines physiques dont l'utilisation du processeur
et le stockage sur disque sont inférieurs à la moyenne.
3. Quelle est votre décision en ce qui concerne la virtualisation des contrôleurs de domaine ?

Les premiers candidats à la virtualisation seraient les contrôleurs de domaine, en raison de leur
faible consommation de la mémoire. Toutefois, veillez à ne pas stocker les deux ordinateurs
virtuels contrôleurs de domaine sur le même hôte, car les contrôleurs de domaine auraient
un point de défaillance unique (l'hôte physique).

4. Quelle est votre décision en ce qui concerne la virtualisation des serveurs d'infrastructure LON-IF1
et LON-IF2 ?

Vous devez également planifier de virtualiser les serveurs d'infrastructure qui exécutent
les services DNS (Domain Name System) et DHCP (Dynamic Host Configuration Protocol), LON-INF1
et LON-INF2, car ils utilisent tous deux en moyenne 50 pour cent de l'unité centrale. Veillez à ne
pas stocker les deux ordinateurs virtuels des serveurs d'infrastructure sur le même hôte, car
les contrôleurs de domaine auraient un point de défaillance unique, qui est l'hôte physique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L1-2 Planification de la mise à niveau et de la migration d'un serveur

5. Est-ce que les ordinateurs virtualisés nécessitent une haute disponibilité ?

Oui. A. Datum a réglé la question de la haute disponibilité des contrôleurs de domaine et des
serveurs d'infrastructure en déployant deux contrôleurs de domaine (LON-DC1 et LON-DC2)
et deux serveurs d'infrastructure (LON-INF1 et LON-INF2).

6. Devez-vous allouer plus de ressources à des rôles serveur ?

Vous pouvez envisager d'ajouter plus de ressources uniquement si plus de rôles serveur ont été
colocalisés. En outre, si vous envisagez de virtualiser certains des serveurs, vous devez allouer des
ressources physiques supplémentaires à la mémoire de l'ordinateur hôte en fonction des besoins.

7. Quels sont les meilleurs candidats à la virtualisation sur le réseau interne, en tenant compte de
l'utilisation actuelle des serveurs physiques, et des besoins en matière de haute disponibilité ?

Sur le réseau interne, vous pouvez choisir les serveurs suivants pour la virtualisation en raison de leur
faible utilisation de la mémoire et de l'unité centrale sur LON-CA : LON-DC1, LON-DC2, LON-DC3,
LON-INF1 et LON-INF2. En raison de la haute disponibilité, vous ne devez pas placer les ordinateurs
virtuels LON-CA : LON-DC1, LON-DC2, LON-DC3, LON-INF1 et LON-INF2 sur un hôte unique, mais
sur deux hôtes physiques ou plus.

8. Quels sont les éléments de votre plan à prendre en compte en matière de licences pour les
serveurs du réseau interne ? Ces éléments ont-ils un impact sur le système d'exploitation hôte ?

Si l'organisation déploie ces six ordinateurs virtuels sur deux serveurs physiques, vous avez besoin
de trois instances de l'édition Standard de Windows Server® 2012 Standard, où chaque serveur
physique dispose d'une licence pour deux ordinateurs virtuels maximum. +Par conséquent, le fait
d'utiliser l'édition Datacenter de Windows Server 2012 serait plus approprié car il prend en charge
des licences virtuelles supplémentaires.

9. Quels sont les meilleurs candidats à la virtualisation sur le réseau de périmètre, en tenant compte
de l'utilisation actuelle des serveurs physiques, et des besoins en matière de haute disponibilité ?

Sur le réseau de périmètre, les candidats à la virtualisation sont LON-PER-NS1, LON-PER-NS2,

LON-RADIUS, LON-VPN1 et LON-VPN2, en raison de leur faible utilisation de la mémoire et de
l'unité centrale. Comme avec le réseau interne, vous ne devez pas placer d'ordinateurs virtuels
du réseau de périmètre sur un hôte unique, mais sur deux hôtes physiques ou plus, pour
une question de haute disponibilité.
10. Quels sont les éléments de votre plan à prendre en compte en matière de licences pour les
serveurs du réseau de périmètre ? De quelle manière cela impacte t-il la sélection du système
d'exploitation hôte ?

Si l'organisation déploie ces cinq ordinateurs virtuels sur deux serveurs physiques, ils auraient besoin
de deux instances de l'édition Windows Server 2012 Datacenter, où chaque serveur physique dispose
d'une licence pour un nombre illimité d'ordinateurs virtuels.
11. Comment devez-vous gérer les licences et leur activation ?

Pour gérer les licences et l'activation, vous devez implémenter le programme de licence en volume
selon l'activation Active Directory®. Cela est dû au fait que l'organisation déploie des systèmes
d'exploitation Windows® 8 et Windows Server 2012.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L1-3

12. Tracez les zones du réseau appropriées de votre plan.

Sur le réseau interne, LON-HOST1 hébergera les serveurs virtualisés suivants : LON-DC1, LON-INF1
et LON-CA. LON-HOST2 hébergera les serveurs virtualisés suivants : LON-DC2 et LON-INF2.
Sur le réseau de périmètre, LON-HOST3 hébergera les serveurs virtualisés suivants : LON-VPN1 et
LON-PER-NS1. LON-HOST4 hébergera les serveurs virtualisés suivants : LON-VPN2, LON-PER-NS2
et LON-RADIUS.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
1. Pour quelle approche avez-vous opté lors du plan de conception ?

Les réponses varient.

2. Votre plan de conception était-il différent de la solution suggérée ?

Les réponses varient.

Résultats : À la fin de cet exercice, vous aurez planifié une mise à niveau et une migration de serveur.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L2-5

Module 2 : Planification et implémentation

d'une infrastructure de déploiement de serveur
Atelier pratique : Planification
et implémentation d'une infrastructure
de déploiement de serveur
Exercice 1 : Planification d'une stratégie d'installation et de déploiement
automatisés de serveur
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le scénario d'exercice d'atelier pratique.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie d'installation
et de déploiement automatisés de serveurs d'A. Datum.

1. Quel type d'image allez-vous utiliser : fine ou épaisse ?

Dans ce scénario, aucune configuration n'étant requise concernant la présence d'applications

personnalisées dans Windows Server® 2012, des images fines peuvent être utilisées. Pour ce
déploiement, vous avez besoin des images de démarrage et d'installation par défaut situées
dans le support de Windows Server 2012.

2. Dans le contexte de ce scénario, un déploiement de type Lite-touch ou Zero-touch pourrait-il

être appliqué ?

Pour accomplir le scénario de déploiement désiré, les deux stratégies sont possibles ; cependant,
le scénario de type Lite-touch requiert moins de conditions requises d'infrastructure.

3. Quelles technologies de déploiement pensez-vous utiliser pour implémenter le plan de mise

à niveau serveur ?

Dans ce scénario, la mise à niveau des paramètres existants à partir des serveurs existants
n'étant pas nécessaire, vous pouvez envisager d'implémenter le déploiement en utilisant des
services de déploiement Windows®. (Il est possible que des réponses incluent l'utilisation de
Microsoft Deployment Toolkit (MDT) pour personnaliser l'installation, ou que des compagnies
considèrent effectuer le déploiement avec le Microsoft® System Center 2012 Configuration Manager.)

4. Quelles sont les configurations requises pour implémenter cette technologie de déploiement ?

Pour implémenter le déploiement avec les services de déploiement Windows, vérifiez que les
conditions requises suivantes sont respectées : protocole DHCP (Dynamic Host Configuration
Protocol), DNS (Domain Name System) et services de déploiement Windows. Pour l'intégration
d'Active Directory®, les Services de domaine Active Directory (AD DS) sont requis.

5. Répertoriez les composants de déploiement nécessaires pour prendre en charge votre plan
de déploiement de serveur.

LON-DC1 est le serveur hébergeant les rôles AD DS, DNS, et DHCP nécessaires au déploiement
de Windows Server 2012. LON-SVR1 est le serveur configuré avec les services de déploiement
Windows pour répondre à tous les ordinateurs connus et inconnus. Cependant, pour des raisons
de sécurité, une approbation d'administrateur sera requise pour tous les ordinateurs inconnus.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L2-6 Planification et implémentation d'une infrastructure de déploiement de serveur

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Examinez les propositions suggérées dans le corrigé de l'atelier pratique.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : Une fois cet exercice terminé, vous devez avoir planifié une stratégie d'installation
et de déploiement automatisés de serveur pour A. Datum Corporation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L2-7

Exercice 2 : Préparation de l'image Windows Server 2012

 Tâche 1 : Créer le magasin d'images, et connecter un lecteur réseau à ce dernier
1. Basculez vers LON-SVR1.

2. Dans la barre des tâches, cliquez sur Explorateur de fichiers.

3. Dans l'Explorateur de fichiers, dans le volet de navigation, développez Ordinateur, cliquez sur le
lecteur Allfiles (E:), cliquez avec le bouton droit sur le volet d'informations, cliquez sur Nouveau,
puis sur Dossier, dans la zone Nouveau dossier, tapez Images, puis appuyez sur Entrée.

4. Dans l'Explorateur de fichiers, dans le volet de navigation, double-cliquez sur Images, cliquez
avec le bouton droit sur le volet d'informations, puis cliquez sur Nouveau. Cliquez sur Dossier,
dans la zone Nouveau dossier, tapez Custom Images, puis appuyez sur Entrée.

5. Sur l'hôte, dans la fenêtre 22413B-LON-SVR1, dans la barre d'outils, cliquez sur Support, pointez
sur Lecteur de DVD, puis cliquez sur Insérer un disque.

6. Dans la boîte de dialogue Ouvrir, dans la zone Nom de fichier, tapez C:\Program Files\
Microsoft Learning\22413\Drives\windows2012_RTM.ISO, puis cliquez sur Ouvrir.
7. Copiez D:\sources\[Link] dans le dossier E:\Images\Custom Images.

8. Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur E:\Images, puis cliquez sur Propriétés.

9. Dans la boîte de dialogue Propriétés de : Images, cliquez sur l'onglet Partage, puis cliquez
sur Partage avancé.

10. Dans la boîte de dialogue Partage avancé, activez la case à cocher Partager ce dossier.

11. Cliquez sur Autorisations, puis sur Ajouter.

12. Dans la boîte de dialogue Sélectionnez des utilisateurs, des ordinateurs, des comptes de
service ou des groupes, dans la zone Entrez les noms des objets à sélectionner (exemple) :
tapez Administrateur, puis cliquez sur OK.
13. Dans la boîte de dialogue Autorisations pour Images, cliquez sur Administrateur
(ADATUM\Administrateur), dans la colonne Autoriser, activez la case à cocher Contrôle total,
puis cliquez sur OK.

14. Dans la boîte de dialogue Partage avancé, cliquez sur OK, puis sur Fermer.

15. Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur Ordinateur, puis cliquez
sur Connecter un lecteur réseau.

16. Dans la boîte de dialogue Connecter un lecteur réseau, dans la zone Dossier,
tapez \\lon-svr1\Images, puis cliquez sur Terminer.

 Tâche 2 : Monter l'image appropriée

1. Sur LON-SVR1, déplacez le curseur de la souris vers le coin inférieur droit de la barre des tâches,
cliquez sur Rechercher, puis tapez [Link].

2. Dans la liste Applications, cliquez avec le bouton droit sur [Link], puis cliquez sur Exécuter
comme administrateur.

3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Mkdir c:\mounted
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L2-8 Planification et implémentation d'une infrastructure de déploiement de serveur

4. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /get-imageinfo /imagefile:”z:\Custom Images\[Link]”

5. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /mount-wim /wimfile:”z:\Custom Images\[Link]” /index:4 /mountdir:c:\mounted

 Tâche 3 : Ajouter le rôle de serveur Web (IIS) à l'image

1. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /get-features

2. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /get-featureinfo /featurename:IIS-WebServerRole

3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /imag[Link]\mounted /enable-feature /featurename:IIS-WebServerRole –all

4. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Dism /unmount-wim /mountdir:c:\mounted /commit

5. Ne fermez pas la fenêtre d'invite de commandes.

Résultats : Une fois cet exercice terminé, vous devez avoir préparé l'image et avoir ajouté à cette dernière
le rôle de serveur Web (IIS).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L2-9

Exercice 3 : Déploiement de Windows Server 2012

 Tâche 1 : Installer le rôle AD DS
1. Sur LON-SVR1, basculez vers le Gestionnaire de serveur.

2. Dans la console du Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles
et fonctionnalités.

3. Dans l'Assistant Ajout de rôles et de fonctionnalités, dans la page Avant de commencer,

cliquez sur Suivant.

4. Dans la page Sélectionner le type d'installation, cliquez sur Suivant.

5. Dans la page Sélectionner le serveur de destination, cliquez sur Suivant.

6. Dans la page Sélectionner des rôles de serveurs, dans la liste Rôles, activez la case à cocher
Services de déploiement Windows, dans la boîte de dialogue Assistant Ajout de rôles
et de fonctionnalités, cliquez sur Ajouter des fonctionnalités, puis cliquez sur Suivant.

7. Dans la page Sélectionner des fonctionnalités, cliquez sur Suivant.

8. Dans la page WDS, cliquez sur Suivant.

9. Dans la page Sélectionner des services de rôle, vérifiez que Serveur de déploiement et Serveur
de transport sont sélectionnés, puis cliquez sur Suivant.

10. Cliquez sur Installer pour terminer l'installation des services de déploiement Windows. Une fois
l'installation terminée, cliquez sur Fermer.

 Tâche 2 : Configurer les services de déploiement Windows

1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Services de déploiement Windows.

2. Dans les Services de déploiement Windows, dans le volet de navigation, développez Serveurs,
cliquez avec le bouton droit sur [Link], puis cliquez sur Configurer le serveur.

3. Dans l'Assistant Configuration des services de déploiement Windows, dans la page Avant
de commencer, cliquez sur Suivant.

4. Dans la page Options d'installation, vérifiez que Intégré à Active Directory est sélectionné,
puis cliquez sur Suivant.

5. Dans la page Emplacement du dossier d'installation à distance, dans la zone Chemin d'accès,
tapez E:\RemoteInstall, puis cliquez sur Suivant.

6. Dans la page Paramètres initiaux du serveur PXE, vérifiez que Ne répondre à aucun ordinateur
client est sélectionné, puis sur Suivant.

7. Une fois que l'Assistant a terminé, décochez la case Ajouter les images au serveur maintenant,
puis cliquez sur Terminer.

 Tâche 3 : Ajouter une image de démarrage à l'aide de WDSUtil

1. Revenez à l'invite de commandes.

2. Tapez la commande suivante, puis appuyez sur Entrée :

Wdsutil /add-image /ImageFile:”d:\sources\[Link]” /ImageType:boot

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L2-10 Planification et implémentation d'une infrastructure de déploiement de serveur

3. Basculez vers les Services de déploiement Windows.

4. Dans le volet de navigation, développez [Link], puis cliquez sur Images

de démarrage.

5. Vérifiez qu'une image de démarrage est répertoriée pour l'architecture 64 bits.

 Tâche 4 : Ajouter une image d'installation

1. Dans la console Services de déploiement Windows, cliquez avec le bouton droit sur Images
d'installation, puis cliquez sur Ajouter un groupe d'images.

2. Dans la boîte de dialogue Ajouter un groupe d'images, dans la zone Entrez un nom pour
le groupe d'images, tapez ImageGroup1, puis cliquez sur OK.

3. Cliquez avec le bouton droit sur ImageGroup1, puis cliquez sur Ajouter une image d'installation.

4. Dans l'Assistant Ajout d'images, dans la zone Emplacement du fichier, tapez

Z:\custom images\[Link], puis cliquez sur Suivant.
5. Dans la page Images disponibles, désactivez toutes les cases à cocher excepté
Windows Server 2012 SERVERDATACENTER, puis cliquez sur Suivant.

6. Pour importer l'image de démarrage, dans la page Résumé, cliquez sur Suivant, puis sur Terminer.

Remarque : La durée de ce processus d'ajout d'images d'installation peut prendre entre

5 et 10 minutes.

 Tâche 5 : Configurer l'attribution automatique de noms

1. Dans la console Services de déploiement Windows, cliquez avec le bouton droit sur
[Link], puis cliquez sur Propriétés.

2. Sous l'onglet Réponse PXE, puis cliquez sur Répondre à tous les ordinateurs clients
(connus et inconnus).

3. Cliquez sur l'onglet AD DS, puis dans la zone Format, tapez Lon-Svr%0#, puis cliquez sur OK.

 Tâche 6 : Lancer le processus de déploiement

1. Sur l'ordinateur hôte, basculez vers le Gestionnaire Hyper-V, le cas échéant.

2. Dans le Gestionnaire Hyper-V, cliquez sur 22413B-LON-SVR3, puis dans le volet Actions, cliquez
sur Se connecter.

3. Dans la boîte de dialogue 22413B-LON-SVR3 sur localhost – Connexion à un ordinateur virtuel,

cliquez sur Démarrer.

4. Lorsque vous y êtes invité, appuyez sur la touche F12 pour le démarrage du service réseau.

5. Dans l'Assistant Services de déploiement Windows, dans la page Services de déploiement Windows,
cliquez sur Suivant.

6. Lorsque la zone de message s'affiche vous invitant à vous connecter au serveur de services
de déploiement Windows [Link], spécifiez les informations d'identification
suivantes, puis cliquez sur OK :

• Nom d'utilisateur : ADATUM\Administrateur

• Mot de passe : Pa$$w0rd

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L2-11

7. Dans la page Sélectionner le système d'exploitation à installer, sélectionnez

Windows Server 2012 SERVERDATACENTER, puis cliquez sur Suivant.

8. Conservez la sélection Lecteur par défaut, puis cliquez sur Suivant.

Remarque : Vous êtes libre de terminer le processus de déploiement, mais cela n'est
pas obligatoire.

9. Une fois l'ordinateur installé, dans la page Paramètres, activez la case à cocher J'accepte les termes
du contrat de licence pour l'utilisation de Windows, puis cliquez sur Accepter.
10. Dans la page Région et langue, cliquez sur Suivant.

11. Pour le compte administrateur intégré, dans les zones Mot de passe et Entrer de nouveau le mot
de passe, tapez Pa$$w0rd, puis cliquez sur Terminer.

12. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

13. Dans le Gestionnaire de serveur, dans le volet de navigation, vérifiez la présence de l'IIS.

Résultats : À la fin de cet exercice, vous devez avoir déployé Windows Server 2012 à l'aide des services
de déploiements Windows.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-SVR1 et 22413B-LON-SVR3.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L3-13

Module 3 : Conception et gestion d'une solution de gestion

d'adresses et de configuration IP
Atelier pratique : Conception et gestion
d'une solution de gestion d'adresses
et de configuration IP
Exercice 1 : Conception d'un modèle d'adressage IP pour Contoso
(facultatif)
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de propositions en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Modèle d'adressage IP de Contoso.
1. Quelles ressources requièrent des adresses IPv4 publiques ?

Une adresse IPv4 publique est requise pour chaque interface externe de pare-feu.

2. Combien d'adresses IPv4 publiques sont requises ?

Cinq adresses IPv4 publiques sont requises : une pour Paris et une pour chaque bureau concentrateur
régional. Les filiales et les centres de distribution ne requièrent pas d'adresses IP publiques.

3. Quelle adresse réseau interne utiliserez-vous ?

L'administrateur d'A. Datum a fourni une adresse de début. Cette adresse est utilisée pour les
communications réseau d'A. Datum vers Contoso. Par conséquent, vous devez utiliser la plage
[Link]/19 pour tous les périphériques au sein de Contoso. Vous devez diviser cet espace
d'adressage afin de fournir suffisamment de sous-réseaux et d'hôtes au sein de chaque sous-réseau.

4. Quel masque de sous-réseau utiliserez-vous pour les filiales ou les centres de distribution ?

Ni les filiales, ni les centres de distribution n'ont plus de 50 utilisateurs. Bien que vous ne sachiez
pas combien de périphériques ce nombre représente, vous pouvez supposer qu'il sera égal au
nombre d'utilisateurs. Par conséquent, pour fournir une capacité pour 50 utilisateurs, vous devez
disposer d'au moins 6 bits de sous-réseau ; cela représente un masque de [Link].

Afin de répondre aux besoins de croissance, vous pouvez envisager de fournir sept bits pour
le sous-réseau des filiales les plus petites, ce qui requiert un masque de [Link].

5. Quel masque de sous-réseau utiliserez-vous pour les sites concentrateur régionaux ?

Les concentrateurs régionaux ont 250 utilisateurs. Cela ne correspond pas exactement au nombre
de périphériques, mais vous pouvez vous en servir comme guide.

Huit bits de sous-réseau sont nécessaires pour 250 utilisateurs. Si nécessaire, vous pouvez donc
facilement adapter plusieurs sous-réseaux au niveau de ces concentrateurs régionaux pour
répondre aux besoins de croissance.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L3-14 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

6. Quel masque de sous-réseau utiliserez-vous pour Contoso ?

Celui-ci est fourni ; [Link] pour l'interface de routeur qui se connecte aux bureaux
londoniens d'A. Datum. Sur l'interface qui se connecte aux routeurs de la filiale parisienne,
qui se connecte à son tour aux concentrateurs régionaux, le masque [Link] conviendrait.
Le nombre de sous-réseaux est donc suffisant (la solution en fournit six) pour se connecter aux
concentrateurs régionaux et aux filiales. Le bureau de Paris serait subdivisé en fonction des besoins.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez sélectionné un modèle d'adressage IP approprié
pour Contoso.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L3-15

Exercice 2 : Planification du protocole DHCP

(Dynamic Host Configuration Protocol) pour la prise
en charge du modèle proposé
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de propositions en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie de déploiement DHCP
de Contoso.

1. Comment les clients et serveurs du siège social à Paris doivent-ils obtenir une configuration IP ?

Tous les ordinateurs doivent être configurés de manière à obtenir automatiquement une adresse IP
auprès du serveur DHCP. Seuls les routeurs doivent être configurés manuellement. Les serveurs ayant
besoin d'une adresse IP spécifique seront mieux configurés avec une réservation ; cela vous permet
de configurer le serveur de manière centralisée, tout en résolvant l'adresse IP.

2. Comment les clients des bureaux concentrateur régionaux doivent-ils obtenir une configuration IP ?

Les ordinateurs clients doivent obtenir une configuration IP auprès d'un serveur DHCP.

3. Comment fournirez-vous la haute disponibilité pour DHCP dans le bureau de Paris ?

Vous pouvez configurer la haute disponibilité en configurant le basculement DHCP entre deux
serveurs DHCP.

4. Comment fournirez-vous la haute disponibilité pour DHCP dans les sites concentrateur régionaux ?
Potentiellement, les ordinateurs clients et serveur des concentrateurs régionaux peuvent obtenir
leurs configurations IP auprès des serveurs DHCP à Paris. Toutefois, cette solution ne protège pas
d'une défaillance de ligne. Si la liaison entre Paris et Athènes échoue, DHCP sera indisponible.
Une solution possible consiste à fournir un serveur DHCP à chaque bureau local afin de permettre
l'allocation d'adresses dans les régions.

5. Combien d'étendues devez-vous configurer sur les serveurs DHCP dans les sites concentrateur
régionaux ?

Vous devez configurer une étendue pour chaque sous-réseau. Par exemple, cinq filiales
sont rattachées à Athènes. Cela signifie que vous auriez besoin d'au moins six étendues.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez planifié DHCP pour la prise en charge du modèle
d'adressage IP de Contoso.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L3-16 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Exercice 3 : Planification d'un déploiement de gestion des adresses IP

(IPAM)
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de propositions en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Plan de déploiement d'IPAM
pour A. Datum.

1. Un modèle centralisé est-il mieux qu'un modèle distribué ?

Actuellement, seule la stratégie IPAM s'appliquant à A. Datum peut être implémentée car
Windows Server® 2012 n'est pas encore déployé au sein de Contoso et de Trey Research.
Cependant, les serveurs IPAM peuvent surveiller et gérer DHCP, les systèmes DNS (Domain
Name System), les contrôleurs de domaine et les serveurs NPS (Network Policy Server)
exécutant Windows Server 2008.

Puisque Contoso ou Trey Research ne disposent d'aucun serveur Windows Server 2012, un
modèle centralisé serait plus adapté. De cette façon, le serveur IPAM d'A. Datum (basé à Londres)
pourrait gérer les rôles requis ailleurs.

Dans la mesure où le plan de déploiement Windows Server 2012 se poursuit et s'étend à Contoso
et Trey Research, des serveurs IPAM supplémentaires peuvent être déployés à ces emplacements.

2. Quels rôles de serveur seront gérés ?

Il serait logique de gérer tous les rôles serveur : DNS, DHCP, contrôleurs de domaine et serveurs NPS.

3. Quels éléments AD DS (Active Directory® Domain Services) devez-vous prendre en considération

pour l'inclusion des organisations Contoso et Trey Research ?

IPAM ne peut gérer des rôles qu'au sein d'une forêt AD DS unique. Si Contoso est intégré dans la
même forêt AD DS, aucun élément IPAM supplémentaire n'est à prendre en considération. Lorsque
AD DS est déployé, et Contoso est déployé en tant que forêt AD DS distincte, des serveurs IPAM
supplémentaires sont requis.

Trey Research dispose actuellement d'une forêt AD DS distincte et requiert son propre déploiement
d'IPAM. Cependant, Trey Research n'a pour le moment aucun serveur Windows Server 2012.

4. Quelles sont les conditions préalables au déploiement d'IPAM au niveau de l'organisation

et du serveur ?

Pour garantir une implémentation correcte d'IPAM, les conditions préalables suivantes doivent
être respectées :

• Le serveur IPAM doit être un membre du domaine, mais ne peut pas être un contrôleur
de domaine.

• Le serveur IPAM doit être un serveur dédié. Vous ne devez pas installer d'autres rôles réseau,
tels que DHCP ou DNS, sur le même serveur.

• Pour gérer l'espace d'adressage IPv6, IPv6 doit être activé sur le serveur IPAM.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L3-17

• Vous devez vous connecter au serveur IPAM avec un compte de domaine et non avec
un compte local.

• Vous devez être membre du groupe de sécurité local IPAM correct sur le serveur IPAM.

• Vous devez activer la journalisation des événements d'ouverture de session de compte

sur le contrôleur de domaine et les serveurs NPS pour les fonctionnalités de suivi et d'audit
des adresses IP d'IPAM.

• Configuration serveur requise :

o processeur double cœur de 2,0 gigahertz (GHz) ou plus ;

o système d'exploitation Windows Server 2012 ;

o 4 gigaoctets (Go) de mémoire vive (RAM) ou plus ;

o 80 Go d'espace disponible sur le disque dur.

• Configuration requise pour Windows Server 2008 et Windows Server 2008 R2 :

o Service Pack 2 (SP2) doit être installé sur Windows Server 2008.

o Microsoft® .NET Framework 4.0 doit avoir fait l'objet d'une installation complète.

o Windows® Management Framework 3.0 Beta doit être installé (KB2506146).

o Pour Windows Server 2008 SP2, Windows Management Framework Core (KB968930)
est également requis.

o La gestion à distance de Windows doit être activée.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez planifié une stratégie de déploiement IPAM pour A. Datum.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L3-18 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

Exercice 4 : Implémentation de DHCP et d'IPAM

 Tâche 1 : Installer le rôle serveur DHCP
1. Si nécessaire, connectez-vous à LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Dans le volet de résultats du Gestionnaire de serveur, cliquez sur Ajouter des rôles
et des fonctionnalités.

3. Cliquez sur Suivant à trois reprises.

4. Dans la page Sélectionner des rôles de serveurs, cliquez sur le rôle Serveur DHCP, puis cliquez
sur Ajouter des fonctionnalités.

5. Cliquez sur Suivant à trois reprises, puis cliquez sur Installer.

6. Lorsque le rôle est installé, cliquez sur Fermer.

7. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DHCP dans la liste déroulante.

8. Sélectionnez puis cliquez avec le bouton droit sur [Link], puis cliquez sur Autoriser.

 Tâche 2 : Configurer une relation de basculement DHCP

1. Basculez vers LON-DC1.
2. Si nécessaire, connectez-vous à LON-DC1 en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

3. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DHCP dans la liste déroulante.
4. Dans la console DHCP, développez [Link], sélectionnez et cliquez avec
le bouton droit sur IPv4, puis cliquez sur Configurer un basculement.

5. Dans l'Assistant de configuration du basculement, cliquez sur Suivant.

6. Dans la page Spécifier le serveur partenaire à utiliser pour le basculement, dans le champ
Serveur partenaire, tapez [Link], puis cliquez sur Suivant.

7. Dans la page Créer une relation de basculement, dans le champ Nom de la relation, tapez
Basculement DHCP d'Adatum.

8. Dans le champ Délai de transition maximal du client (MCLT), définissez les heures sur 0
et les minutes sur 15.
9. Vérifiez que le champ Mode est défini sur Équilibrage de charge.

10. Vérifiez que le champ Pourcentage d'équilibrage de charge est défini sur 50 %.

11. Activez la case à cocher Intervalle de basculement d'état. Remplacez la valeur par 45 minutes.
12. Activez la case à cocher Activer l'authentification du message, puis dans le champ Secret partagé,
tapez Pa$$w0rd, puis cliquez sur Suivant.

13. Cliquez sur Terminer, puis sur Fermer.

14. Basculez vers LON-SVR1. Notez que le nœud IPv4 est actif.

15. Développez le nœud IPv4, puis développez Étendue [[Link]] Adatum.

16. Cliquez sur Pool d'adresses et notez que le pool d'adresses est configuré.
17. Cliquez sur Options d'étendue et notez que les options d'étendue sont configurées.

18. Fermez la console DHCP sur LON-DC1 et LON-SVR1.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L3-19

 Tâche 3 : Déployer la fonctionnalité IPAM

1. Si nécessaire, connectez-vous à LON-SVR2 en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Dans le volet de résultats du Gestionnaire de serveur, cliquez sur Ajouter des rôles
et des fonctionnalités.

3. Dans l'Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant.

4. Dans la page Sélectionner le type d'installation, cliquez sur Suivant.

5. Dans la page Sélectionner le serveur de destination, cliquez sur Suivant.

6. Dans la page Sélectionner des rôles de serveurs, cliquez sur Suivant.

7. Dans la page Sélectionner des fonctionnalités, activez la case à cocher Serveur de gestion
des adresses IP (IPAM).

8. Dans la boîte de dialogue contextuelle Ajouter les fonctionnalités requises pour Serveur
de gestion des adresses IP (IPAM), cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

9. Dans la page Confirmer les sélections d'installation, cliquez sur Installer.

10. Quand l'Assistant Ajout de rôles et de fonctionnalités a terminé, cliquez sur Fermer.

 Tâche 4 : Configurer IPAM

1. Dans le volet de navigation du Gestionnaire de serveur, cliquez sur IPAM.

2. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Se connecter au serveur IPAM. Sélectionnez
[Link], puis cliquez sur OK.

3. Cliquez sur Configurer le serveur IPAM.

4. Dans l'Assistant Approvisionner IPAM, cliquez sur Suivant.

5. Dans la page Sélectionner la méthode d'approvisionnement, vérifiez que l'option Basée sur
une stratégie de groupe est sélectionnée, dans la zone Préfixe du nom d'objet de stratégie
de groupe, tapez IPAM, puis cliquez sur Suivant.

6. Dans la page Confirmer les paramètres, cliquez sur Appliquer. La configuration prend
quelques instants.

7. Une fois l'approvisionnement terminé, cliquez sur Fermer.

8. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Configurer la découverte de serveurs.

9. Dans la boîte de dialogue Configurer la découverte de serveurs, cliquez sur Ajouter pour ajouter
le domaine [Link], puis cliquez sur OK.

10. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Démarrer la découverte de serveurs. Le processus
de découverte peut durer 5 à 10 minutes. La barre jaune indique quand la découverte est terminée.

11. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Sélectionner ou ajouter des serveurs à gérer et
vérifier l'accès IPAM. Notez que la valeur du champ État de l'accès IPAM est Bloqué pour les deux
serveurs. Faites défiler l'écran jusqu'au volet Détails et notez le rapport d'état. Le serveur IPAM n'a
pas encore obtenu l'autorisation de gérer LON-DC1 par l'intermédiaire de la stratégie de groupe.

12. Dans la barre des tâches, cliquez avec le bouton droit sur l'icône Windows PowerShell, puis cliquez
sur Exécuter en tant qu'administrateur.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L3-20 Conception et gestion d'une solution de gestion d'adresses et de configuration IP

13. À l'invite Windows PowerShell, tapez la commande suivante, puis appuyez sur Entrée :

Invoke-IpamGpoProvisioning –Domain [Link]

–GpoPrefixName IPAM
–IpamServerFqdn
[Link]
–DelegatedGpoUser Administrateur

14. Quand vous êtes invité à confirmer l'action, tapez O, puis appuyez sur Entrée. Cette commande
demande quelques minutes pour s'exécuter.

15. Fermez Windows PowerShell.

16. Rebasculez vers Gestionnaire de serveur.

17. Dans le volet d'informations sur IPv4, cliquez avec le bouton droit sur lon-dc1, puis cliquez
sur Modifier le serveur.
18. Dans la boîte de dialogue Ajouter ou modifier un serveur, définissez le champ État de gérabilité
sur Géré, puis cliquez sur OK.

19. Dans le volet d'informations sur IPv4, cliquez avec le bouton droit sur lon-svr1, puis cliquez
sur Modifier le serveur.

20. Dans la boîte de dialogue Ajouter ou modifier un serveur, définissez le champ État de gérabilité
sur Géré, puis cliquez sur OK.
21. Basculez vers LON-DC1.

22. Dans la barre des tâches, cliquez sur l'icône Windows PowerShell.

23. À l'invite de Windows PowerShell, tapez Gpupdate /force, puis appuyez sur Entrée.

24. Fermez la fenêtre Windows PowerShell.

25. Basculez vers LON-SVR1.

26. Dans la barre des tâches, cliquez sur l'icône Windows PowerShell.
27. À l'invite de Windows PowerShell, tapez Gpupdate /force, puis appuyez sur Entrée.

28. Fermez la fenêtre Windows PowerShell.

29. Rebasculez vers LON-SVR2 et, dans le Gestionnaire de serveur, cliquez avec le bouton droit
sur LON-DC1, puis cliquez sur Actualiser l'état de l'accès serveur. Répétez cette étape
pour LON-SVR1.

30. Une fois la découverte terminée, actualisez IPv4 en cliquant sur l'icône Actualiser. La modification
de l'état peut prendre jusqu'à 5 minutes.

31. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Récupérer les données des serveurs gérés.
L'exécution de cette action prend quelques minutes.

Résultats : À la fin de cet exercice, vous aurez déployé DHCP et IPAM pour la prise en charge de vos
propositions.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L3-21

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 à 4 pour 22413B-LON-SVR1 et 22413B-LON-SVR2.

UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L4-23

Module 4 : Conception et implémentation de la résolution

de noms
Atelier pratique : Conception et
implémentation de la résolution de noms
Exercice 1 : Conception d'une stratégie de résolution de noms DNS
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie de résolution de noms DNS.

1. L'utilisation du même nom ([Link]) représente-t-elle une approche raisonnable ?

Cette approche a l'avantage d'être plus simple pour les utilisateurs mais peut être plus complexe
à gérer dans les réseaux plus importants.

2. Comment recommanderiez-vous que Contoso gère son espace de noms interne pour
Domain Name System (DNS) ?

Étant donné la croissance prévue du réseau, il serait mieux d'utiliser un nom différent pour les
espaces de noms internes ou externes. Par exemple, [Link] pour l'espace de noms public
et [Link] en interne.

Sinon, Contoso peut envisager d'utiliser un sous-domaine du domaine externe pour son domaine
interne. Par exemple, [Link] en externe et [Link] en interne.

3. La configuration DNS mixte serait-elle appropriée ?

Si Contoso utilise le même nom de domaine en interne et en externe, il est probable que Contoso
utilise déjà une configuration DNS mixte. Si l'objectif est de continuer à utiliser le même nom
de domaine en interne et en externe, nous recommandons d'utiliser la configuration DNS mixte.
Si la conception propose un passage à l'utilisation de noms de domaine différents, il ne sera pas
nécessaire d'utiliser une configuration DNS mixte.

4. Quel espace de noms DNS recommandez-vous à Contoso d'utiliser pour Active Directory®
Domain System (AD DS) ?

Il existe un certain nombre de facteurs à prendre en compte, dont le principal est le suivant : quels
sont le plans d'intégration de Contoso dans la forêt AD DS d'A. Datum ? Vous ne disposez pas de ces
informations actuellement, donc vous ne pouvez faire qu'une suggestion à ce stade. Il serait logique
de faire correspondre les noms de domaine AD DS et les noms de domaine DNS dont vous décidez.
Par conséquent, si vous choisissez d'utiliser un sous-domaine de l'espace de noms DNS externe pour
le DNS interne, le nom de domaine AD DS doit correspondre au nom de domaine DNS interne choisi.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L4-24 Conception et implémentation de la résolution de noms

5. Quels sont les éléments à prendre en compte lorsque vous envisagez de reconfigurer un espace
de noms DNS existant ?

Actuellement, les hôtes UNIX assurent la résolution de noms en utilisant

Berkeley Internet Name Domain (BIND). Cela suggère de déployer des zones principales
et secondaires. Lors de la migration vers un DNS basé sur Windows Server, il convient de
considérer la procédure à suivre pour gérer les serveurs DNS existants et migrer les données
de zone vers les serveurs Windows Server.

Un autre élément à prendre en compte est que l'espace de noms [Link] est bien connu sur
Internet et est en principe utilisé par les clients et les fournisseurs pour accéder à leur messagerie
et au Web. Bien qu'il soit possible de modifier les noms publics, cela n'est pas souhaitable sauf
si l'organisation propose de changer sa marque.

6. Comment intégreriez-vous les exigences de tolérance de pannes ?

Dans l'infrastructure existante, des serveurs DNS supplémentaires sont requis dans les concentrateurs
régionaux et, idéalement, dans les succursales. Actuellement, une défaillance de liaison entre
une succursale et son concentrateur régional entraîne l'échec de la résolution de noms dans cette
succursale. De même, si le serveur DNS unique qui prend en charge les zones secondaires dans
chaque concentrateur régional est hors connexion, la résolution de noms sera compromise dans
ce concentrateur régional. Pour atténuer ce dernier problème, les ordinateurs clients peuvent être
configurés avec l'adresse IP d'un serveur DNS adjacent et d'un serveur DNS situé au siège social.
Toutefois, il ne s'agit pas d'une solution parfaite.
7. Comment proposeriez-vous de gérer la croissance prévue du réseau ?

Des serveurs DNS supplémentaires sont requis pour prendre en charge la charge de travail accrue.

8. Comment recommanderiez-vous de configurer la résolution de noms au vu des noms de domaine

des partenaires commerciaux de Contoso, [Link] et [Link] ?

Étant donné que la résolution de noms des ressources situées dans ces domaines augmente et ne
peut qu'augmenter, la redirection conditionnelle doit être configurée pour accélérer le processus
de résolution de noms.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez créé une conception de résolution de noms DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L4-25

Exercice 2 : Planification d'une stratégie de placement de serveurs DNS

 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie de placement
des serveurs DNS de Contoso.

1. Combien de serveurs DNS envisagez-vous au siège social à Paris ?

Les réponses varient. Toutefois, il existe actuellement seulement deux serveurs DNS pour la résolution
interne. Il est prévu presque trois fois plus d'ordinateurs clients aux bureaux de Paris dans un proche
avenir lorsque la fusion aura eu lieu avec A Datum. Par conséquent, il semble logique de mesurer la
charge de travail sur les serveurs DNS existants et de prendre une décision concernant des serveurs
supplémentaires. Pour l'instant, deux serveurs sont insuffisants.

2. Des serveurs DNS sont-ils requis dans les emplacements des succursales ? Quels éléments devez-vous
prendre en considération ?

Actuellement, la résolution de noms est possible uniquement lorsque la liaison réseau (WAN)
est opérationnelle pour le concentrateur régional. Vous pouvez penser que si une liaison connaît
une défaillance, l'accès aux services sera affecté de telle façon qu'il sera en grande partie inutile
de savoir si la résolution de noms a été fonctionnelle dans ces circonstances.

Toutefois, étant donné que chaque succursale utilise un serveur local, l'ajout d'un rôle DNS à ce
serveur est conseillé. Étant donné que pour prendre en charge AD DS, il est très possible de déployer
un contrôleur de domaine en lecture seule (RODC) dans ces succursales, il n'y a aucune raison que
ce rôle ne puisse pas être combiné avec celui du rôle Serveur DNS.

L'ajout d'un serveur de noms dans les succursales réduit la nécessité d'avoir un trafic de requête
sur les liaisons WAN mais génère le trafic de réplication de zone DNS. Vous pouvez atténuer cela
largement à l'aide de zones intégrées à Active Directory qui utilisent le réplication AD DS pour
les mises à jour.

3. Des serveurs DNS supplémentaires sont-ils requis dans chaque site concentrateur régional ?

Il y a un seul serveur DNS pour chaque concentrateur régional. Ces concentrateurs prennent
chacun en charge quelques centaines d'utilisateurs. Un seul serveur DNS peut supporter cette
charge de travail. Toutefois, cela peut ne pas être suffisant en matière de haute disponibilité.
Au moins un autre serveur DNS doit être déployé sur les emplacements des concentrateurs
régionaux.

4. Comment l'implémentation imminente d'AD DS modifie-t-elle votre plan de placement

des serveurs DNS ?

Bien que l'implémentation AD DS ne soit pas importante en nombres de serveurs, elle permet
toutefois de combiner les rôles serveur. Tout contrôleur de domaine peut également fonctionner
en tant que serveur DNS lorsque cela est nécessaire.

5. Existe-t-il des points de défaillance que votre plan n'englobe pas ?

Actuellement, l'infrastructure DNS est construite sur BIND en utilisant un modèle de zone principale
et de zone secondaire standard. Si le serveur DNS principal se déconnecte, les mises à jour du DNS
ne sont pas possibles. Cela s'atténue avec les zones intégrées à Active Directory car elles sont
multimaîtres. Cela signifie que des modifications peuvent être apportées à chaque instance
de la zone sur tout contrôleur de domaine qui est également un serveur DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L4-26 Conception et implémentation de la résolution de noms

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : Après avoir terminé cet exercice, vous aurez déterminé où placer les serveurs DNS
de Contoso pour prendre en charge votre conception initiale de DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L4-27

Exercice 3 : Planification de zones DNS et réplication de zone DNS

 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie de zones DNS Contoso
et de réplication de zones.

1. Quelles zones devez-vous créer sur les serveurs DNS internes ?

Bien qu'AD DS ne soit pas déployé, il sera anticipé que son déploiement est imminent. Une seule
zone est requise pour prendre en charge le nom de domaine unique pour une utilisation interne.
Il importe peu qu'il s'agisse d'un nom de domaine différent du nom externe [Link] ou
d'un de ses sous-domaines. Les serveurs DNS internes hébergeront seulement une zone unique.

2. Quelles zones devez-vous créer sur les serveurs DNS externes ?

La zone [Link] existe déjà et est la seule qui contient les enregistrements externes.

3. Comment configurerez-vous la réplication ou les transferts de zone pour chaque zone ?

Lorsque AD DS est implémenté, les zones peuvent être configurées comme zones intégrées
à Active Directory. Cela signifie que l'ensemble de la réplication de zone est gérée automatiquement
par la réplication AD DS et en toute sécurité.

Jusqu'à ce qu'AD DS soit déployé, les transferts de zone doivent être configurés du serveur
principal à chaque serveur secondaire au siège social et dans les concentrateurs régionaux.
Les concentrateurs régionaux doivent être configurés comme des maîtres pour les serveurs DNS
des succursales. L'ensemble du trafic DNS doit être sécurisé avec Internet Protocol security (IPsec).
4. Comment l'implémentation AD DS affecterait-elle votre conception ?

Comme déjà mentionné, cela simplifiera l'implémentation globale de DNS, des zones
et de la réplication.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez obtenu une conception de zone DNS utilisable pour
implémenter DNS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L4-28 Conception et implémentation de la résolution de noms

Exercice 4 : Implémentation de DNS

 Tâche 1 : Installer le rôle serveur DNS
1. Basculez vers LON-SVR1.

2. Si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

3. Dans le volet de résultats du Gestionnaire de serveur, cliquez sur Ajouter des rôles
et des fonctionnalités.

4. Dans l'Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant.

5. Dans la page Sélectionner le type d'installation, cliquez sur Installation basée sur un rôle
ou une fonctionnalité, puis cliquez sur Suivant.

6. Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur du pool
de serveurs, puis cliquez sur Suivant.

7. Dans la page Sélectionner des rôles de serveurs, dans la liste Rôles, activez la case à cocher
Serveur DNS, cliquez sur Ajouter des fonctionnalités, puis cliquez sur Suivant.

8. Dans la page Sélectionner des fonctionnalités, cliquez sur Suivant.

9. Dans la page Serveur DNS, cliquez sur Suivant.

10. Dans la page Confirmer les sélections d'installation, cliquez sur Installer.

11. Lorsque le rôle a été ajouté correctement, cliquez sur Fermer.

 Tâche 2 : Créer et configurer des zones secondaires

1. Sur LON-SVR1, dans la barre des tâches, cliquez avec le bouton droit sur Windows PowerShell,
puis cliquez sur Exécuter en tant qu'administrateur.

2. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

add-dnsserversecondaryzone –masterservers [Link] –Name [Link] –Zonefile

C:\windows\system32\dns\[Link]

3. Basculez vers LON-DC1. Si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur

avec le mot de passe Pa$$w0rd.

4. Si nécessaire, basculez vers le Gestionnaire de serveur.

5. Cliquez sur Outils, puis sur DNS.

6. Dans la console DNS, développez Zones de recherche directes, puis cliquez sur [Link].

7. Cliquez avec le bouton droit sur [Link], puis cliquez sur Propriétés.

8. Dans la boîte de dialogue Propriétés de : [Link], cliquez sur l'onglet Transferts de zone.

9. Activez la case à cocher Autoriser les transferts de zone, cliquez sur Uniquement vers les serveurs
listés dans l'onglet Serveurs de noms, puis cliquez sur Notifier.

10. Dans la boîte de dialogue Notifier, dans la liste Les serveurs suivants, tapez [Link],
puis appuyez sur Entrée.

11. Cliquez sur OK, puis cliquez sur l'onglet Serveurs de noms.

12. Cliquez sur Ajouter, et dans la boîte de dialogue Nouvel enregistrement de serveur de noms,
dans la zone Nom de domaine complet (FQDN) du serveur, tapez [Link],
cliquez sur Résoudre, puis cliquez deux fois sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L4-29

13. Basculez vers LON-SVR1.

14. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.

15. Dans le Gestionnaire DNS, développez LON-SVR1, développez Zones de recherche directes,
puis cliquez sur [Link].

16. Dans la console DNS, cliquez avec le bouton droit sur [Link], puis cliquez sur Transfert
à partir du maître.

17. Dans le Gestionnaire DNS, appuyez sur la touche F5. Les données de zone doivent s'afficher. Sinon,
cliquez avec le bouton droit sur [Link], puis cliquez sur Transfert à partir du maître.

 Tâche 3 : Configurer les options DNS

1. Dans le Gestionnaire DNS, cliquez avec le bouton droit sur LON-SVR1, puis cliquez sur Propriétés.

2. Dans la boîte de dialogue Propriétés de LON-SVR1, cliquez sur l'onglet Redirecteurs.

3. Dans l'onglet Redirecteurs, cliquez sur Modifier.

4. Dans la boîte de dialogue Modifier les redirecteurs, dans la liste Adresse IP, tapez [Link],
puis appuyez sur Entrée.

5. Une fois la validation terminée, cliquez sur OK.

6. Cliquez sur l'onglet Avancé. Désactivez la case à cocher Activer le tourniquet (round robin),
puis cliquez sur Appliquer.

7. Cliquez sur l'onglet Indications de racine. Cliquez sur Supprimer à plusieurs reprises pour vider
la liste Serveurs de noms, puis cliquez sur OK.

 Tâche 4 : Activer la prise en charge de la zone GlobalNames

1. Basculez vers LON-DC1.

2. Dans la barre des tâches, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez
sur Exécuter en tant qu'administrateur.

3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

set-dnsserverglobalnamezone
–enable $true

4. Dans la console DNS, développez LON-DC1, développez Zones de recherche directes, cliquez
avec le bouton droit sur Zones de recherche directes, puis cliquez sur Nouvelle zone.

5. Cliquez sur Suivant, dans la page Type de zone, cliquez sur Zone principale, puis cliquez
sur Suivant.

6. Dans la page Étendue de la zone de réplication de Active Directory, cliquez sur Vers tous
les serveurs DNS exécutés sur des contrôleurs de domaine dans cette forêt : [Link],
puis cliquez sur Suivant.

7. Dans la page Nom de la zone, dans la zone Nom de la zone, tapez GlobalNames, puis cliquez
sur Suivant.

8. Dans la page Mise à niveau dynamique, cliquez sur Suivant, puis sur Terminer.

9. Dans la console DNS, cliquez sur GlobalNames.

Résultats : À la fin de cet exercice, vous aurez implémenté correctement DNS.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L4-30 Conception et implémentation de la résolution de noms

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-SVR1.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L5-31

Module 5 : Conception et implémentation d'une

infrastructure de forêt et de domaine pour les services
de domaine Active Directory
Atelier pratique A : Conception et
implémentation d'une infrastructure
de forêt pour les services de domaine
Active Directory
Exercice 1 : Concevoir une infrastructure de forêt AD DS
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de propositions en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie d'intégration
des forêts d'A. Datum, Trey Research et Contoso.

1. De combien de forêts le déploiement actuel se compose-t-il ?

Le déploiement actuel comporte deux forêts : [Link] et [Link]. Ces deux forêts
ne sont pas liées.

2. Ce nombre est-il suffisant ?

Il varie selon si vous proposez d'implémenter une forêt supplémentaire pour Contoso ou
d'implémenter des services de domaine Active Directory® (AD DS) chez Contoso en configurant
Contoso comme un élément de la forêt d'A. Datum. Il est évident que la forêt de Trey Research
doit rester distincte pour assurer le degré de séparation requis entre l'administration et les ressources
afin de respecter les objectifs de conception. En outre, les modifications de schéma apportées à la
forêt peuvent ne pas convenir dans l'environnement d'A. Datum et le coût des tests associés peut
être élevé. Pour cette raison, le nombre de forêts doit être limité à deux.

3. Quelle conception de forêt et quelle conception d'approbation de forêt permettront la collaboration

entre A. Datum Corporation, Contoso Ltd et Trey Research ? Existe-t-il des exigences spéciales
concernant ce scénario ?

En implémentant Contoso dans la forêt A. Datum existante, la collaboration sera simplifiée.

Les utilisateurs des différentes parties d'une même forêt peuvent partager facilement leurs ressources.

Concernant l'intégration de Trey Research, une option plus simple pour la collaboration serait
de créer une approbation de forêt entre A. Datum et Trey Research. Cependant, pour séparer
l'administration des deux organisations, il est préférable d'implémenter des approbations non
transitives.

Il existe des solutions alternatives aux approbations entre A. Datum et Trey Research, telles
que l'implémentation des services AD FS (Active Directory Federation Services).
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L5-32 Conception et implémentation d'une infrastructure de forêt pour les services de domaine Active Directory

4. Comment pouvez-vous répondre à la nécessité de protéger les données confidentielles

de Trey Research contre tout accès non autorisé ?

Trey Research étant implémentée en tant que forêt distincte, il est possible de continuer à contrôler
l'accès aux données de recherche sensibles de la même manière qu'auparavant. La conception
ne compromet pas cet objectif majeur.

5. Comment devez-vous planifier la configuration du serveur de périmètre d'A. Datum Corporation ?

Les services de périmètre doivent être déployés dans le cadre d'une forêt AD DS autonome sur
le réseau de périmètre, ou les services AD LDS (Active Directory Lightweight Directory Services)
doivent être déployés dans le périmètre et configurés pour interagir avec la forêt interne d'A. Datum.

6. Existe-t-il des solutions alternatives à la conception de forêt que vous envisagez d'utiliser ?

Les réponses peuvent varier, mais vous pouvez avoir envisagé d'implémenter trois forêts, soit une
pour chaque organisation. Sinon, vous avez peut-être sélectionné une forêt unique pour l'ensemble
de l'entité fusionnée.

7. Quels sont les avantages et inconvénients d'une conception alternative, le cas échéant ?

Une conception composée de trois forêts serait trop compliquée à configurer et à gérer si on tient
compte des objectifs requis. La meilleure conception consiste à fusionner Contoso dans la forêt
existante. Cette conception étant plus facile à configurer et à administrer, elle sera probablement
plus économique. En outre, elle répond aux critères de conception en termes de collaboration
et de simplicité.

La fusion de Trey Research serait plus compliquée et par conséquent plus coûteuse que nécessaire.
Elle compromet également les impératifs de sécurité de la conception. Par conséquent, Trey Research
nécessite de séparer l'administration et les ressources.

8. Représentez la conception de forêt AD DS proposée sous forme de schéma dans l'espace fourni.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L5-33

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : Une fois cet exercice terminé, vous aurez créé une conception de forêt intégrant A. Datum,
Trey Research et Contoso, Ltd.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L5-34 Conception et implémentation d'une infrastructure de forêt pour les services de domaine Active Directory

Exercice 2 : Implémenter des approbations de forêt AD DS

 Tâche 1 : Configurer DNS pour prendre en charge les approbations de forêt
1. Basculez vers LON-DC1 et, si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.

3. Dans DNS, dans le volet de navigation, développez LON-DC1, puis Redirecteurs conditionnels,
cliquez avec le bouton droit sur Redirecteurs conditionnels, puis cliquez sur Nouveau redirecteur
conditionnel.

4. Dans la boîte de dialogue Nouveau redirecteur conditionnel, dans la zone Domaine DNS, tapez
[Link], dans la liste Adresse IP, tapez [Link], appuyez sur Entrée, puis cliquez
sur OK.

5. Positionnez le pointeur de la souris dans l'angle inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

6. Tapez [Link], puis appuyez sur Entrée.

7. À l'invite de commandes, tapez nslookup [Link], puis appuyez sur Entrée.
La requête doit aboutir et retourner l'adresse IP [Link].

8. Basculez vers TREY-DC1.

9. Au besoin, connectez-vous en tant que Treyresearch\Administrateur avec le mot
de passe Pa$$w0rd.

10. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur DNS.

11. Dans DNS, dans le volet de navigation, développez TREY-DC1, puis Redirecteurs conditionnels,
cliquez avec le bouton droit sur Redirecteurs conditionnels, puis cliquez sur Nouveau redirecteur
conditionnel.
12. Dans la boîte de dialogue Nouveau redirecteur conditionnel, dans la zone Domaine DNS, tapez
[Link], dans la liste Adresse IP, tapez [Link], appuyez sur Entrée, puis cliquez sur OK.

13. Cliquez sur Démarrer, dans la zone Rechercher les programmes et fichiers, tapez [Link],
puis appuyez sur Entrée.

14. À l'invite de commandes, tapez nslookup [Link], puis appuyez sur Entrée.
La requête doit aboutir et retourner l'adresse IP [Link].

 Tâche 2 : Créer les approbations de forêt requises entre A. Datum et Trey Research
1. Basculez vers LON-DC1.

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Domaines et approbations
Active Directory.

3. Dans la fenêtre Domaines et approbations Active Directory, cliquez sur [Link], cliquez
avec le bouton droit sur [Link], puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés de : [Link], cliquez sur l'onglet Approbations.

5. Sous l'onglet Approbations, cliquez sur Nouvelle approbation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L5-35

6. Dans la boîte de dialogue Assistant Nouvelle approbation, cliquez sur Suivant.

7. Dans la page Nom d'approbation, dans la zone Nom, tapez [Link], puis cliquez
sur Suivant.

8. Dans la page Type d'approbation, cliquez sur Approbation de forêt, puis cliquez sur Suivant.

9. Dans la page Direction de l'approbation, cliquez sur Bidirectionnel, puis sur Suivant.
10. Dans la page Sens de l'approbation, cliquez sur Ce domaine et le domaine spécifié,
puis sur Suivant.

11. Dans la page Nom d'utilisateur et mot de passe, dans la zone Nom d'utilisateur,
tapez Treyresearch\Administrateur.

12. Dans la zone Mot de passe, tapez Pa$$w0rd, puis cliquez sur Suivant.

13. Dans la page Niveau d'authentification d'approbations sortantes--Forêt locale, cliquez

sur Suivant.

14. Dans la page Niveau d'authentification d'approbations sortantes -- Forêt spécifiée, cliquez
sur Suivant.
15. Dans la page Fin de la sélection des approbations, cliquez sur Suivant.

16. Dans la page Fin de la création de l'approbation, cliquez sur Suivant.

17. Dans la page Confirmer l'approbation sortante, cliquez sur Oui, confirmer l'approbation
sortante, puis sur Suivant.

18. Dans la page Confirmer l'approbation entrante, cliquez sur Oui, confirmer l'approbation
entrante, puis cliquez sur Suivant.
19. Dans la page Fin de l'Assistant Nouvelle approbation, cliquez sur Terminer.

20. Dans la boîte de dialogue Propriétés de : [Link], cliquez sur OK.

Résultats : Une fois cet exercice terminé, vous aurez implémenté une partie de la stratégie
d'infrastructure de forêt que vous avez conçue.

 Pour préparer l'atelier suivant

• Laissez tous les ordinateurs virtuels en cours d'exécution.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L5-36 Conception et implémentation d'une infrastructure de forêt pour les services de domaine Active Directory

Atelier pratique B : Conception et

implémentation d'une infrastructure
de domaine AD DS
Exercice 1 : Concevoir une infrastructure de domaine AD DS
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie d'intégration AD DS
de Contoso.

1. Devez-vous créer une forêt distincte pour prendre en charge l'organisation Contoso ?

Non. Dans la mesure du possible, une forêt unique doit toujours être privilégiée car elle est plus
simple à gérer et permet une meilleure intégration. Dans certains cas, plusieurs forêts sont utiles,
mais pas dans ce scénario. Par conséquent, une conception qui consolide Contoso dans la forêt
[Link] constitue la meilleure approche.

2. Si vous décidez d'implémenter Contoso dans le cadre de la forêt A. Datum existante, vaut-il mieux
implémenter Contoso en tant que domaine distinct ou en tant qu'unité d'organisation du domaine
A Datum existant ?

Il est probablement préférable d'implémenter un nouveau domaine. L'utilisation d'une unité

d'organisation limite les options de séparation et de délégation administratives.

3. En supposant que vous choisissiez de recourir à un domaine distinct pour Contoso, quel nom
de domaine AD DS devrez-vous utiliser pour Contoso ? (Contoso utilise déjà [Link] pour
son DNS (Domain Name System).)

Contoso utilise le nom de domaine externe [Link] (qui n'est pas un nom de domaine AD DS,
mais un nom de domaine DNS).
Actuellement, le nom de domaine interne correspond à l'espace de noms externe, et la configuration
DNS mixte a été définie pour tenir compte de cette configuration. Cependant, il est généralement
préférable d'utiliser un espace de noms interne qui ne correspond pas à l'espace de noms externe.
Par conséquent, deux stratégies sont possibles : implémenter un nom de domaine différent (tel
que [Link]) ou implémenter AD DS en tant que sous-domaine de l'espace de noms externe
(par exemple, [Link]).

Toutefois, modifier le nom de domaine [Link] pour toutes les ressources internes peut
prendre beaucoup de temps et s'avérer coûteux. Étant donné qu'[Link] et [Link]
utilisent le même nom de domaine en interne et en externe, le nom [Link] est adéquat.

L'espace de noms Contoso ne doit pas nécessairement être subordonné à l'espace de noms
d'[Link]. Ils peuvent être configurés comme des arborescences AD DS distinctes.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L5-37

4. Quel est le domaine racine de la forêt ?

Le premier domaine de la forêt est appelé domaine racine de la forêt. Dans cet exemple, le
premier domaine était [Link] ; il s'agissait donc de la racine de la forêt. En sa qualité
de racine de la forêt, [Link] ne peut pas être modifié.

5. Est-il judicieux de déployer des contrôleurs de domaine supplémentaires du domaine [Link]

à Paris ? Expliquez pourquoi.

Oui, c'est une bonne idée. Il est judicieux de s'assurer que les contrôleurs de domaine de la racine
de la forêt sont accessibles à partir de tous les domaines qui comptent le plus d'utilisateurs.
Par exemple, pour le traitement des objets de stratégie de groupe (GPO) basés sur des conteneurs
de site, les stratégies sont appliquées à partir des contrôleurs de domaine situés dans le domaine
racine de la forêt.

6. Comment envisagez-vous de procéder pour que les utilisateurs de Contoso puissent accéder
aux ressources de l'organisation Trey Research ?

Une approbation de forêt est déjà établie entre [Link] et [Link]. Cela peut suffire.
Cependant, si les performances sont un facteur important, vous pouvez améliorer les temps d'accès
en créant des raccourcis d'approbation entre les domaines [Link] et [Link] (selon
le nom de domaine choisi pour Contoso).

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : Une fois cet exercice terminé, vous aurez conçu une stratégie d'infrastructure de domaine
pour l'intégration de Contoso dans l'organisation A. Datum.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L5-38 Conception et implémentation d'une infrastructure de forêt pour les services de domaine Active Directory

Exercice 2 : Implémenter une infrastructure de domaine AD DS

 Tâche 1 : Vérifier que les conditions préalables à l'ajout un nouveau domaine
sont satisfaites
1. Basculez vers CON-SVR.

2. Connectez-vous en tant qu'Administrateur avec le mot de passe Pa$$w0rd.

3. Dans le Gestionnaire de serveur, dans le volet d'informations, cliquez sur Ajouter des rôles
et des fonctionnalités.

4. Dans l'Assistant Ajout de rôles et de fonctionnalités, dans la page Avant de commencer, cliquez
sur Suivant.

5. Dans la page Sélectionner le type d'installation, cliquez sur Suivant.

6. Dans la page Sélectionner le serveur de destination, cliquez sur Suivant.

7. Dans la page Sélectionner des rôles de serveurs, dans la liste Rôles, activez la case à cocher
Services AD DS.

8. Cliquez sur Ajouter des fonctionnalités, puis sur Suivant.

9. Dans la page Sélectionner des fonctionnalités, cliquez sur Suivant.

10. Dans la page Services de domaine Active Directory, cliquez sur Suivant.

11. Dans la page Confirmer les sélections d'installation, cliquez sur Installer.

12. Une fois l'installation des rôles terminée, cliquez sur Fermer.

 Tâche 2 : Ajouter CON-SVR en tant que contrôleur de domaine à un nouveau

domaine d'une forêt existante
1. Dans le Gestionnaire de serveur, dans le volet de navigation, cliquez sur AD DS.

2. Dans le volet d'informations, cliquez sur Autres...

3. Dans la boîte de dialogue Détails et notifications de la tâche Tous les serveurs, cliquez
sur Promouvoir ce serveur en contrôleur de domaine.

4. Dans l'Assistant Configuration des services de domaine Active Directory, dans la page Configuration
de déploiement, cliquez sur Ajouter un nouveau domaine à une forêt existante.

5. Dans la liste Sélectionnez le type du domaine, cliquez sur Domaine de l'arborescence.

6. Dans la zone Nom de la forêt, tapez [Link].

7. Dans la zone Nouveau nom de domaine, tapez [Link].

8. Cliquez sur Modifier.

9. Dans la boîte de dialogue Sécurité de Windows, dans la zone Nom d'utilisateur, tapez
ADATUM\Administrateur. Dans la zone Mot de passe, tapez Pa$$w0rd.
10. Cliquez sur OK, puis sur Suivant.

11. Dans la page Options du contrôleur de domaine, dans les zones Mot de passe et Confirmer
le mot de passe, tapez Pa$$w0rd, puis cliquez sur Suivant.
12. Dans la page Options DNS, cliquez sur Suivant.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L5-39

13. Dans la page Options supplémentaires, cliquez sur Suivant.

14. Dans la page Chemins d'accès, cliquez sur Suivant.

15. Dans la page Examiner les options, cliquez sur Suivant.

16. Une fois les conditions préalables vérifiées, cliquez sur Installer.

17. Votre ordinateur redémarre. À l'invite, connectez-vous en tant que Contoso\Administrateur

avec le mot de passe Pa$$w0rd.

Résultats : Une fois cet exercice terminé, vous aurez implémenté une partie de la stratégie
d'infrastructure de domaine que vous avez conçue.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 à 4 pour 22413B-TREY-DC1 et 22413B-CON-SVR.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L6-41

Module 6 : Conception et implémentation d'une

infrastructure d'unités d'organisation Active Directory
Atelier pratique : Conception et
implémentation d'une infrastructure
et d'un modèle de délégation d'unités
d'organisation Active Directory
Exercice 1 : Conception d'une infrastructure d'unités d'organisation
 Tâche 1 : Lire la documentation fournie avec le produit
1. Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Proposition de reconception des unités
d'organisation A. Datum.

1. Selon vous, quel modèle de conception d'unités d'organisation fonctionnerait dans cette situation ?

Il existe plusieurs modèles possibles. Toutefois, un modèle hybride avec une approche basée sur
une architecture mutualisée avec des unités d'organisation supplémentaires au niveau supérieur
représente la meilleure solution. A. Datum souhaite fournir à l'avenir des services centraux pour
Contoso et Trey Research. En outre, A. Datum souhaite séparer l'administration de son infrastructure
de l'administration des données (utilisateurs/groupes).

2. Comment l'administration centralisée à Londres affecte-t-elle la conception globale des unités

d'organisation ?

Dans la partie A. Datum du modèle d'unités d'organisation, une unité d'organisation pour
les utilisateurs et les groupes doit être placée au niveau inférieur suivant. Il convient également
de séparer les services. Toutefois, comme une seule équipe doit disposer des droits de créer
et de supprimer tous les utilisateurs et groupes, la solution la plus judicieuse consiste à séparer
ces types d'objet à un niveau supérieur avant d'effectuer la séparation en services (ou en types
de groupe, ce qui est probable mais non demandé dans la proposition actuelle).

3. Comment placer les objets Active Directory® dans la structure d'unités d'organisation ?

La manière la plus simple de placer les objets Active Directory dans la structure d'unités
d'organisation consiste à utiliser des scripts. Dans une invite de commandes, utilisez la commande
dsquery redirigée vers dsmove. Dans une interface de ligne de commande Windows PowerShell®,
utilisez les applets de commande get-ADObject et move-ADObject. Vous pouvez effectuer une
requête sur objecttype et, par exemple, sur le service, puis placer les objets obtenus dans leurs
nouvelles unités d'organisation respectives.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L6-42 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

4. Quelles unités d'organisation suggérez-vous pour le niveau supérieur d'unités d'organisation ?

Il existe plusieurs options valides. Ce qui suit correspond à l'une de ces approches :

• Central-IT (héberge les comptes administratifs centraux et les groupes de délégation)

• Enterprise (services à l'échelle de l'entreprise : dans ce cas, uniquement les serveurs)

• ADatum (tous les utilisateurs, groupes, clients et serveurs standard d'A. Datum)

• TreyResearch (tous les utilisateurs, groupes, clients et serveurs standard de Trey Research)

• Contoso (tous les utilisateurs, groupes, clients et serveurs standard de Contoso)

5. Quelles unités d'organisation devez-vous créer pour déléguer l'administration ?

• Central-IT : aucune délégation, les modifications doivent être effectuées uniquement
par les administrateurs de domaine.

• Enterprise\Servers\SQL, WEB, APP : l'équipe appropriée d'administration de serveurs ou

d'applications obtient des droits délégués ou des droits locaux (Opérateurs de serveur)
via un objet de stratégie de groupe.

• ADatum\Users et ADatum\Groups : pour l'équipe ADatum à Londres qui crée/supprime

des utilisateurs ou des groupes.

• ADatum\Users\Marketing (et autres services) : pour l'administration par les services

de la réinitialisation des mots de passe des utilisateurs.
• ADatum\Clients\Sydney (et London, Toronto, puis peut-être ultérieurement de plus
petites filiales) : pour l'équipe d'administration locale qui administre les clients et se
verra accorder des droits d'administrateur locaux via un objet de stratégie de groupe,
pour prendre en charge les problèmes des utilisateurs sur les ordinateurs clients.

• ADatum\Servers\Sydney (London, Toronto) : pour l'équipe d'administration locale

qui administre les serveurs et se verra accorder des droits d'opérateur de serveur
via un objet de stratégie de groupe sur les serveurs.

• Trey Research et Contoso peuvent copier le modèle ADatum ou incorporer leurs besoins
spécifiques.
6. Quelles unités d'organisation devez-vous créer afin de pouvoir gérer les serveurs et ordinateurs
clients locaux ?

• ADatum\Clients\Sydney
• ADatum\Servers\Sydney

7. Quelles unités d'organisation devez-vous créer afin de pouvoir gérer la réinitialisation des mots
de passe des utilisateurs ?
• ADatum\Users\Marketing et autres services.

8. Quelles unités d'organisation devez-vous créer pour gérer les serveurs d'applications d'entreprise ?

• Enterprise\Servers\SQL (WEB, APP)

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L6-43

9. Créez un schéma de conception préliminaire.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L6-44 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez créé une conception d'unités d'organisation reflétant
le modèle de tâches d'administration d'A. Datum Corporation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L6-45

Exercice 2 : Implémentation de la conception des unités d'organisation

 Tâche 1 : Créer la nouvelle structure d'unités d'organisation
1. Basculez vers LON-DC1 et, si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

Remarque : Pour les étapes suivantes, vous pouvez également utiliser l'applet de
commande Windows PowerShell New-ADOrganizationalUnit. La syntaxe est la suivante :
New-ADOrganizationalUnit –name OU-Name –path “parentDN”,
like “ou=users,dc=adatum,dc=com”

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Centre d'administration
Active Directory.

3. Dans le Centre d'administration Active Directory, dans le volet de navigation, cliquez sur
Adatum (local).

4. Dans le volet Tâches, dans la section Adatum (local), cliquez sur Nouveau, puis sur
Unité d'organisation.

5. Dans la boîte de dialogue Créer Unité d'organisation, dans la zone Nom, tapez Central-IT.

6. Dans la zone Description, tapez Groupes et comptes administratifs pour la délégation.

Administrés à partir du groupe DOMAIN ADMINS UNIQUEMENT, puis cliquez sur OK.

7. Répétez les étapes 4 à 6 pour créer les unités d'organisation de niveau supérieur suivantes :

• Nom : Enterprise

o Description : Objets gérés à l'échelle de l'entreprise

• Nom : ADatum

o Description : Objets standard pour A. Datum

• Nom : Contoso

o Description : Objets standard pour Contoso

• Nom : TreyResearch

o Description : Objets standard pour Trey Research

8. Utilisez le script Windows PowerShell fourni pour créer les sous-unités d'organisation :

a. Dans la barre des tâches, cliquez avec le bouton droit sur l'icône Windows PowerShell,
puis cliquez sur Exécuter ISE en tant qu'administrateur.

b. Dans la fenêtre Administrateur : Windows PowerShell ISE, cliquez sur Fichier, puis sur Ouvrir.

c. Dans la boîte de dialogue Ouvrir, dans la zone Nom du fichier, tapez

E:\Labfiles\Create-SubOUs.ps1, puis cliquez sur Ouvrir.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L6-46 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

d. Cliquez sur Fichier, puis sur Exécuter.

e. Laissez Windows PowerShell ouvert pour la suite de l'atelier pratique.

Utilisez le script Windows PowerShell fourni pour créer les sous-unités d'organisation.

Create-SubOUs.ps1

$subous = @(`
("Admin-Accounts","ou=Central-IT,dc=adatum,dc=com","Admin-accounts uniquement"),`
("Groups","ou=Central-IT,dc=adatum,dc=com","Groupes pour la délégation de tâches
d'administration"),`
("Servers","ou=Enterprise,dc=adatum,dc=com","Serveurs gérés à l'échelle de
l'entreprise"),`
("SQL","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),`
("WEB","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),`
("APP","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),`
("Users","ou=ADatum,dc=adatum,dc=com","Comptes d'utilisateurs normaux ADatum"),`
("Groups","ou=ADatum,dc=adatum,dc=com","Comptes de groupes normaux ADatum"),`
("Clients","ou=ADatum,dc=adatum,dc=com","Clients d'ADatum"),`
("Servers","ou=ADatum,dc=adatum,dc=com","Serveurs ADatum"),`
("Marketing","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("Sales","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("Development","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("IT","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("Research","ou=Users,ou=ADatum,dc=adatum,dc=com",""),`
("London","ou=Clients,ou=ADatum,dc=adatum,dc=com",""),`
("Sydney","ou=Clients,ou=ADatum,dc=adatum,dc=com",""),`
("Toronto","ou=Clients,ou=ADatum,dc=adatum,dc=com",""),`
("London","ou=Servers,ou=ADatum,dc=adatum,dc=com",""),`
("Sydney","ou=Servers,ou=ADatum,dc=adatum,dc=com",""),`
("Toronto","ou=Servers,ou=ADatum,dc=adatum,dc=com",""))

$subous | %{New-ADOrganizationalUnit -Name $_[0] -Path $_[1] -Description $_[2]}

9. Revenez au Centre d'administration Active Directory et vérifiez la présence des unités d'organisation.
La structure d'unités d'organisation doit correspondre à la conception que vous avez créée dans le
dernier exercice. Une représentation graphique est illustrée dans le corrigé de l'atelier pratique.

 Tâche 2 : Migrer les comptes d'utilisateurs et de groupes vers les nouvelles unités
d'organisation
1. Sur LON-DC1, basculez vers Windows PowerShell ISE.

2. Cliquez sur Fichier, puis sur Fermer.

3. Cliquez sur Fichier, puis sur Ouvrir.

4. Dans la boîte de dialogue Ouvrir, dans la zone Nom du fichier, tapez E:\Labfiles\
Move-ADatumUserGroups.ps1, puis cliquez sur Ouvrir.

Utilisez le script Windows PowerShell fourni pour placer les utilisateurs et les groupes dans leurs
nouvelles unités d'organisation.

Move-ADatumUserGroups.ps1

("Marketing","Sales","IT","Development","Research") | %{(Get-ADUser -filter

{department -eq $_} | Move-ADObject -TargetPath
"ou=$_,ou=Users,ou=ADatum,dc=adatum,dc=com");(Get-ADGroup -filter {name -eq $_} |
Move-ADObject -TargetPath "ou=Groups,ou=ADatum,dc=adatum,dc=com")}
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L6-47

5. Cliquez sur Fichier, puis sur Exécuter.

6. Cliquez sur Fichier, puis sur Fermer.

7. Revenez au Centre d'administration Active Directory et vérifiez que les objets utilisateur
et de groupe ont été déplacés :

a. Dans le volet de navigation, cliquez sur Adatum (local).

b. Dans le volet d'informations, double-cliquez sur ADatum, sur Users, puis sur Sales.

Remarque : L'unité d'organisation Sales doit contenir les objets utilisateur. Si tel n'est pas
le cas, demandez à votre instructeur de vous guider avec le script. Si vous le souhaitez, vous
pouvez vérifier chaque unité d'organisation pour rechercher les utilisateurs.

c. Dans le volet de navigation, cliquez sur Adatum (local).

d. Dans le volet d'informations, double-cliquez sur ADatum, puis sur Groups.

Remarque : L'unité d'organisation Groups doit contenir les objets de groupe. Si tel n'est
pas le cas, demandez à votre instructeur de vous guider avec le script.

Résultats : À la fin de cet exercice, vous aurez implémenté une partie de la conception des unités
d'organisation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L6-48 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

Exercice 3 : Conception et implémentation d'un modèle d'autorisations

Active Directory
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Modèle de délégation de tâches
d'administration d'unités d'organisation A. Datum.

1. Quels comptes d'utilisateurs administratifs devez-vous créer pour faciliter le respect des impératifs
de haut niveau ?

Vous devez créer des comptes administratifs personnalisés pour :

• Brad Sutton, Samaccountname a-Brad

• Charlotte Weiss, Samaccountname a-Charlotte

Ces deux comptes sont membres du groupe Domain Administrators. Les comptes d'utilisateurs
standard pour Brad et Charlotte seront supprimés du groupe Domain Admins.

D'autres comptes administratifs sont requis mais devront être conçus ultérieurement lorsque
ces tâches seront attribuées.

2. Quels groupes devez-vous créer pour faciliter le respect des impératifs de haut niveau ?

Nom Type Membres Description

London- Globale À déterminer Création et

UserGroupProvisioning suppression
de comptes
d'utilisateurs
et de groupes
dans ADatum

acl_adatum-users_ccdc Locale de London-

domaine UserGroupProvisioning

acl_adatum-groups_ccdc Locale de London-

domaine UserGroupProvisioning

Enterprise-ServerOps Globale À déterminer Gestion des

serveurs
d'applications
d'entreprise

acl_enterprise_serveroperator Locale de Enterprise-ServerOps

domaine

Marketing-Admins Globale À déterminer Gestion des

utilisateurs
Marketing
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L6-49

(suite)

Nom Type Membres Description

acl_Users-Marketing_resetpwd Locale de Marketing-Admins

domaine

Xyz-Department-Admins Globale À déterminer Gestion des

utilisateurs du
service xyz

acl_xyzDepartment_resetpwd Locale de Xyz-Department-

domaine Admins

London-Admins Globale À déterminer Gestion des clients

et serveurs de
Londres

acl_clients- Locale de London-Admins

London_computer_ccdc domaine

acl_servers- Locale de London-Admins

London_computer_ccdc domaine

3. Quelles délégations devez-vous configurer ?

Groupe Où ? Autorisations S'applique à

acl_adatum-users_ccdc Adatum\Users Créer des objets Tous les objets

Utilisateur et Suppr. descendants
des objets Utilisateur

acl_adatum-groups_ccdc Adatum\Group Créer des objets Tous les objets

Groupe et Suppr. descendants
des objets Groupe

acl_enterprise- Objet de stratégie

serveroperator de groupe pour
l'attribution de droits
d'opérateur de serveur
uniquement

acl_Users- Adatum\Users\ Réinitialiser les mots Objets

Marketing_resetpwd Marketing de passe Utilisateur
descendants
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L6-50 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

(suite)

Groupe Où ? Autorisations S'applique à

acl_clients- Adatum\Clients\ Créer des objets

London_computer_ccdc London Ordinateur et
Suppr. des objets
Ordinateur,

objet de stratégie
de groupe
supplémentaire pour
l'attribution des droits
d'administrateur local

acl_servers- Adatum\Servers\ Créer des objets

London_computer_ccdc London Ordinateur et
Suppr. des objets
Ordinateur,
objet de stratégie
de groupe
supplémentaire pour
l'attribution des droits
d'opérateur de serveur

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

 Tâche 5 : Créer les groupes requis

1. Sur LON-DC1, basculez vers le Centre d'administration Active Directory.

2. Dans le Centre d'administration Active Directory, dans le volet de navigation, cliquez

sur Adatum (local).

3. Dans le volet d'informations, double-cliquez sur l'unité d'organisation Central-IT.

4. Dans le volet d'informations, cliquez sur l'unité d'organisation Groups.

5. Dans le volet Tâches, dans la section Groups, cliquez sur Nouveau, puis sur Groupe.

6. Dans la boîte de dialogue Créer Groupe, dans la zone Nom du groupe, tapez
London-UserGroupprovisioning, puis cliquez sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L6-51

7. Répétez les étapes 4 et 5 pour créer les groupes supplémentaires suivants :

• Nom : Enterprise-ServerOps

o Type : Global/Sécurité

• Nom : Marketing-Admins

o Type : Global/Sécurité

• Nom : London-Admins

o Type : Global/Sécurité

8. Dans le volet Tâches, dans la section Groups, cliquez sur Nouveau, puis sur Groupe.
9. Dans la boîte de dialogue Créer Groupe, dans la zone Nom du groupe,
tapez acl_adatum-users_ccdc.

10. Sous Étendue du groupe, cliquez sur Domaine local.

11. Faites défiler l'écran vers le bas jusqu'à la section Membres. Cliquez sur Ajouter.

12. Dans la boîte de dialogue Sélectionnez des utilisateurs, des contacts, des ordinateurs, des
comptes de service ou des groupes, dans la zone Entrez les noms des objets à sélectionner
(exemples) :, tapez London-UserGroupProvisioning, cliquez sur Vérifier les noms, puis sur OK.

13. Dans la boîte de dialogue Créer Groupe : acl_adatum-users_ccdc, cliquez sur OK.

14. Répétez les étapes 8 à 12 pour créer les groupes suivants :

• Nom : acl_adatum-groups_ccdc

o Type : Domaine local/Sécurité

o Membres : London-UserGroupProvisioning

• Nom : acl_enterprise-serveroperator

o Type : Domaine local/Sécurité

o Membres : Enterprise-ServerOps

• Nom : acl_Users-Marketing_resetpwd

o Type : Domaine local/Sécurité

o Membres : Marketing-Admins

• Nom : acl_clients-London_computer_ccdc

o Type : Domaine local/Sécurité

o Membres : London-Admins

• Nom : acl_servers-London_computer_ccdc

o Type : Domaine local/Sécurité

o Membres : London-Admins
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L6-52 Conception et implémentation d'une infrastructure d'unités d'organisation Active Directory

 Tâche 6 : Déléguer des autorisations aux groupes de gestion

Remarque : Vous pouvez éventuellement réaliser cet exercice en utilisant l'outil en ligne
de commande [Link]. Par exemple, pour accorder des droits de création ou de suppression
des objets de groupe, la syntaxe est la suivante :

dsacls ou=… /G adatum\acl_...:CCDC;group

Pour obtenir de l'aide sur l'outil dsacls, à une invite de commandes,
tapez dsacls /?.

1. Dans le Centre d'administration Active Directory, dans le volet de navigation, basculez

vers Arborescence.

2. Développez ADatum, puis cliquez sur Users.

3. Dans le volet Tâches, dans la section Users, cliquez sur Propriétés.

4. Dans la boîte de dialogue Users, faites défiler l'écran vers le bas jusqu'à la section Extensions.

5. Cliquez sur l'onglet Sécurité, puis cliquez sur Avancé.

6. Dans la boîte de dialogue Paramètres de sécurité avancés pour Users, sous l'onglet Autorisations,
cliquez sur Ajouter.

7. Dans la boîte de dialogue Autorisations pour Users, cliquez sur Sélectionnez un principal.

8. Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service

ou un groupe, dans la zone de texte Entrez le nom de l'objet à sélectionner (exemples) : ,
tapez acl_adatum-users_ccdc.
9. Cliquez sur Vérifier les noms, puis sur OK.

10. Dans la boîte de dialogue Autorisations pour Users, faites défiler l'écran vers le bas et cliquez
sur Effacer tout.

11. Dans la section Autorisations, activez les deux cases à cocher Créer des objets Utilisateur
et Suppr. des objets Utilisateur, puis cliquez sur OK.

12. Dans la boîte de dialogue Paramètres de sécurité avancés pour Users, cliquez sur OK, puis,
dans la boîte de dialogue Users, cliquez sur Annuler.

Remarque : En utilisant l'outil dsacls, vous pouvez effectuer la même tâche à l'aide
de la commande suivante :

dsacls ou=users,ou=adatum,dc=adatum,dc=com /G adatum\acl_adatum-users_ccdc:CCDC;group

Pour obtenir de l'aide sur l'outil dsacls, à une invite de commandes,
tapez dsacls /?.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L6-53

13. Répétez les étapes 3 à 12 pour configurer les paramètres suivants :

o Unité d'organisation : ADatum\Groups

Groupe : acl_adatum-groups_ccdc
Autorisations : Créer des objets Groupe, Suppr. des objets Groupe

o Unité d'organisation : ADatum\Users\Marketing

Groupe : acl_users-Marketing_resetPwd
S'applique à : Objets Utilisateur descendants
Autorisations : Réinitialiser le mot de passe

o Unité d'organisation : ADatum\Clients\London

Groupe : acl_clients-London_computer_ccdc
Autorisations : Créer des objets Ordinateur, Suppr. des objets Ordinateur

o Unité d'organisation : ADatum\Servers\London

Groupe : acl_servers-London_computer_ccdc
Autorisations : Créer des objets Ordinateur, Suppr. des objets Ordinateur

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

Résultats : À la fin de cet exercice, vous aurez conçu et implémenté un modèle d'autorisations
administratives.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L7-55

Module 7 : Conception et implémentation d'une stratégie

d'objet de stratégie de groupe
Atelier pratique : Conception
et implémentation d'une stratégie
d'objet de stratégie de groupe
Exercice 1 : Conception d'une stratégie d'objet de stratégie de groupe
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
• Répondez aux questions de la section Propositions du document de proposition de stratégie
d'objet de stratégie de groupe pour A. Datum.

Propositions
1. Quelles sont les exigences qui nécessitent la création d'un ou de plusieurs objets de stratégie
de groupe ?

Les administrateurs informatiques centraux à Londres doivent pouvoir gérer tous les objets
de stratégie de groupe et paramètres de l'organisation. Les administrateurs de chaque bureau
doivent pouvoir gérer uniquement les objets de stratégie de groupe qui s'appliquent à ce bureau.
Bien que vous puissiez effectuer les tâches restantes manuellement sur chaque ordinateur, l'utilisation
d'objets de stratégie de groupe est la meilleure solution et nécessite le minimum d'efforts. D'autres
exigences, telles que l'avertissement de sécurité ou le blocage de l'accès aux outils de modification
du Registre peuvent être implémentées à l'aide de stratégies locales uniquement. Toutefois, dans
la mesure où les stratégies locales sont difficiles à gérer, les objets de stratégie de groupe sont
également bénéfiques pour ces paramètres.

2. Existe-t-il des exigences auxquelles vous pouvez répondre sans créer d'objets de stratégie
de groupe ?

Vous pouvez répondre à toutes les exigences sans créer d'objets de stratégie de groupe à l'exception
de la délégation configurée pour les administrateurs basés à Londres.

3. Existe-t-il des exceptions à prendre en compte pour l'application d'objets de stratégie de groupe
par défaut ?

Oui, il existe une exception : le filtrage de sécurité des postes de travail des administrateurs afin
de les empêcher d'accéder aux outils de modification du Registre.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L7-56 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

4. Dressez la liste des objets de stratégie de groupe que vous devez créer pour répondre aux exigences
du scénario de l'atelier pratique. Indiquez les informations suivantes dans le tableau fourni :

• Nom de l'objet de stratégie de groupe

• Exigences auxquelles répond l'objet de stratégie de groupe

• Paramètres de configuration (stratégies utilisateur, stratégies ordinateur, préférences utilisateur

ou préférences ordinateur) contenus dans l'objet de stratégie de groupe

• Conteneur (domaine, unité d'organisation, site) auquel l'objet de stratégie de groupe doit être lié

Nom Exigences satisfaites Paramètres de configuration S'applique à

All_Clients Configurer Configuration ordinateur\ OU=Clients

les comptes Stratégies\
d'administrateurs Paramètres Windows\
locaux Paramètres de sécurité\
Groupes restreints

All_Clients Configurer les Configuration ordinateur\ OU=Clients

paramètres Stratégies\
Windows® Update Modèles d'administration\
généraux Composants Windows\
Windows Update\Configurer
les mises à jour automatiques

All_Users_but_Admins Empêcher la Configuration utilisateur\ DC=adatum

modification Stratégies\
du Registre Modèles d'administration\
Système\Empêche l'accès
aux outils de modifications
du Registre

London_ Afficher un message Configuration ordinateur\ OU=London,

de conformité Paramètres Windows\ OU=Clients
Clients
Paramètres de sécurité\
Stratégies locales\Options de
sécurité\Ouverture de session
interactive : Message pour
les utilisateurs essayant de
se connecter

Ouverture de session
interactive : titre du message
pour les utilisateurs essayant
de se connecter

Marketing_Share Les utilisateurs Configuration utilisateur\ OU=Marketing

doivent disposer Préférences\
d'un ensemble par Paramètres Windows\
défaut de lecteurs Mappages de lecteurs
mappés qui leur
sont affectés
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L7-57

5. Répertoriez d'autres tâches de configuration que vous devez effectuer dans l'outil de gestion
des stratégies de groupe pour répondre aux exigences du scénario.

• La stratégie All_Users_but_Admins nécessite un filtrage de sécurité pour refuser l'accès.

Cela permet d'appliquer la stratégie aux utilisateurs mais pas aux administrateurs (Groupe IT).

• Vous devez configurer l'administration des objets de stratégie de groupe comme vous
le souhaitez.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous aurez créé une conception d'objets de stratégie de groupe
qui répond aux exigences d'A. Datum Corporation en matière d'objets de stratégie de groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L7-58 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

Exercice 2 : Implémentation de la conception d'objets de stratégie

de groupe
 Tâche 1 : Préparer l'environnement
1. Basculez vers LON-DC1 et, si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

2. Dans la barre des tâches, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez
sur Exécuter ISE en tant qu'administrateur.

3. Dans Sans titre1.ps1, tapez le script Windows PowerShell® suivant, en appuyant sur Entrée à la fin
de chaque ligne :

New-ADOrganizationalUnit –name Clients –path "dc=adatum,dc=com"

New-ADOrganizationalUnit –name London
–path "ou=clients,dc=adatum,dc=com"
Get-ADObject –filter {name –eq 'LON-CL1'} | Move-ADObject –TargetPath
"ou=London,ou=Clients,dc=adatum,dc=com"

4. Cliquez sur Fichier, puis sur Exécuter.

5. Cliquez sur Fichier, puis sur Fermer. Lorsque vous y êtes invité, cliquez sur Non.

6. Cliquez sur Fichier, puis sur Nouveau.

7. Dans Sans titre2.ps1, tapez le script Windows PowerShell suivant, en appuyant sur Entrée à la fin
de chaque ligne :

New-Item c:\shares –ItemType Directory

New-Item c:\shares\Marketing –ItemType Directory
New-SmbShare –Name Marketing –Path c:\shares\Marketing –FullAccess ADatum\Marketing

8. Cliquez sur Fichier, puis sur Exécuter.

 Tâche 2 : Créez les objets de stratégie de groupe requis et liez-les aux conteneurs
de domaine requis
1. Sur LON-DC1, basculez vers le Gestionnaire de serveur.
2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion des stratégies de groupe.

3. Dans la Console de gestion des stratégies de groupe, dans le volet de navigation, développez
Forêt : [Link], développez Domaines, développez [Link], puis cliquez sur Objets
de stratégie de groupe.

4. Dans le menu Action, cliquez sur Nouveau.

5. Dans la boîte de dialogue Nouvel objet GPO, dans la zone Nom, tapez All_Clients, puis cliquez
sur OK.

6. Cliquez avec le bouton droit sur la stratégie All_Clients, puis cliquez sur Modifier.

7. Dans l'Éditeur de gestion des stratégies de groupe, dans le volet de navigation, développez
Configuration ordinateur, développez Stratégies, développez Paramètres Windows, développez
Paramètres de sécurité, puis cliquez sur Groupes restreints.

8. Dans le volet d'informations, cliquez avec le bouton droit dans la zone vide, puis cliquez sur Ajouter
un groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L7-59

9. Dans la boîte de dialogue Ajouter un groupe, dans la zone de texte Groupe, tapez
Administrateurs, puis cliquez sur OK.

10. Dans la boîte de dialogue Administrateurs Propriétés, en regard de Membres de ce groupe,

cliquez sur Ajouter.

11. Dans la boîte de dialogue Ajouter un membre, cliquez sur le bouton Parcourir.

12. Dans la boîte de dialogue Sélectionnez des utilisateurs, des comptes de service ou des groupes,
dans la zone Entrez les noms des objets à sélectionner (exemples), tapez IT, puis cliquez sur
Vérifier les noms.

13. Cliquez à trois reprises sur OK pour fermer les boîtes de dialogue.

14. Dans l'Éditeur de gestion des stratégies de groupe, sous Configuration ordinateur, développez
Stratégies, développez Modèles d'administration, développez Composants Windows, puis
cliquez sur Windows Update.

15. Double-cliquez sur le paramètre de stratégie de groupe Configuration du service Mises à jour
automatiques. Cliquez sur Activé, dans la zone de liste déroulante Configuration de la mise
à jour automatique, cliquez sur 4 – Téléchargement automatique et planification des
installations, puis sur OK pour fermer le paramètre de stratégie de groupe.

16. Fermez l'Éditeur de gestion des stratégies de groupe.

17. Dans la Console de gestion des stratégies de groupe, dans le volet de navigation, recherchez
et sélectionnez l'unité d'organisation Clients.

18. Cliquez avec le bouton droit sur l'unité d'organisation Clients, puis cliquez sur Lier un objet
de stratégie de groupe existant.

19. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet de stratégie de groupe
All_Clients, puis sur OK.

20. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

21. Dans la boîte de dialogue Nouvel objet GPO, dans la zone Nom, tapez All_Users_but_Admins,
puis cliquez sur OK.

22. Dans le volet de navigation, cliquez avec le bouton droit sur la stratégie All_Users_but_Admins,
puis cliquez sur Modifier.

23. Dans l'Éditeur de gestion des stratégies de groupe, dans le volet de navigation, développez
Configuration utilisateur, développez Stratégies, développez Modèles d'administration,
cliquez sur le nœud Système, puis double-cliquez sur la stratégie Empêche l'accès aux outils
de modifications du Registre.

24. Cliquez sur Activé, puis cliquez sur OK pour fermer la boîte de dialogue.

25. Fermez l'Éditeur de gestion des stratégies de groupe.

26. Cliquez avec le bouton droit sur le domaine [Link], puis cliquez sur Lier un objet
de stratégie de groupe existant.

27. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet de stratégie de groupe
All_Users_but_Admins, puis sur OK.
28. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

29. Dans la boîte de dialogue Nouvel objet GPO, dans la zone Nom, tapez London_Clients, puis
cliquez sur OK.

30. Cliquez avec le bouton droit sur la stratégie London_Clients, puis cliquez sur Modifier.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L7-60 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

31. Dans l'Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur,
développez Stratégies, développez Paramètres Windows, développez Paramètres de sécurité,
développez Stratégies locales, puis cliquez sur Options de sécurité.

32. Dans le volet d'informations, double-cliquez sur le paramètre de stratégie Ouverture de session
interactive : contenu du message pour les utilisateurs essayant de se connecter.

33. Activez la case à cocher Définir ce paramètre de stratégie dans le modèle, puis tapez le message
Seuls les employés A. Datum sont autorisés à se connecter à cet ordinateur.

34. Cliquez sur OK pour fermer le paramètre de stratégie.

35. Dans le volet d'informations de l'Éditeur de gestion des stratégies de groupe, double-cliquez
sur le paramètre de stratégie Ouverture de session interactive : titre du message pour
les utilisateurs essayant de se connecter.

36. Activez la case à cocher Définir ce paramètre de stratégie, puis tapez le titre de message
Propriété d'A. Datum.

37. Cliquez sur OK pour fermer le paramètre de stratégie.

38. Fermez l'Éditeur de stratégies de groupe.

39. Cliquez avec le bouton droit sur l'unité d'organisation clients\London, puis cliquez sur Lier un objet
de stratégie de groupe existant.
40. Dans la boîte de dialogue Sélectionner un objet GPO, sélectionnez l'objet de stratégie de groupe
London_Clients, puis cliquez sur OK.

41. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.
42. Dans la boîte de dialogue Nouvel objet GPO, dans la zone de texte Nom, tapez Marketing_Share,
puis cliquez sur OK.

43. Cliquez avec le bouton droit sur la stratégie Marketing_Share, puis cliquez sur Modifier.
44. Dans l'Éditeur de gestion des stratégies de groupe, développez Configuration utilisateur,
développez Préférences, développez Paramètres Windows, puis cliquez sur Mappages
de lecteurs.

45. Dans le volet d'informations, cliquez avec le bouton droit dans la zone vide, cliquez sur Nouveau,
puis cliquez sur Lecteur mappé.

46. Sous Nouvelles propriétés de Lecteur, dans la zone Emplacement, tapez \\LON-DC1\Marketing.

47. Dans la zone Libeller en tant que, tapez Marketing-Materials.

48. Dans la liste Lettre de lecteur, cliquez sur le lecteur M, puis sur OK.

49. Dans la Console de gestion des stratégies de groupe, cliquez avec le bouton droit sur l'unité
d'organisation Marketing, puis cliquez dans le menu contextuel sur Lier un objet de stratégie
de groupe existant.

50. Dans la boîte de dialogue Sélectionner un objet GPO, cliquez sur l'objet de stratégie de groupe
Marketing_Share, puis sur OK.

 Tâche 3 : Configurer le filtrage

1. Dans la Console de gestion des stratégies de groupe, dans le volet de navigation, développez Objets
de stratégie de groupe, puis cliquez sur la stratégie de groupe All_Users_but_Admins.

2. Dans le volet d'informations, cliquez sur l'onglet Délégation, puis sur le bouton Avancé.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L7-61

3. Dans la boîte de dialogue Paramètres de sécurité pour All_Users_but_Admins, cliquez

sur le bouton Ajouter.

4. Dans la boîte de dialogue Sélectionnez des utilisateurs, des ordinateurs, des comptes de service
ou des groupes, dans la zone de texte Entrez les noms des objets à sélectionner, tapez IT, puis
cliquez sur Vérifier les noms.

5. Cliquez sur OK pour fermer la boîte de dialogue.

6. Dans Paramètres de sécurité pour All_Users_but_Admins, dans la zone Noms de groupes

ou d'utilisateurs, vérifiez que IT (ADATUM\IT) est sélectionné.

7. Dans la zone Autorisations pour IT, pour le paramètre Appliquer la stratégie de groupe, activez
la case à cocher Refuser, puis cliquez sur OK.

8. Dans la boîte de dialogue Sécurité de Windows qui apparaît pour vous demander si vous souhaitez
continuer, cliquez sur Oui.

 Tâche 4 : Tester la conception

1. Basculez vers LON-CL1, puis connectez-vous en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Dans l'écran d'accueil, tapez cmd, cliquez avec le bouton droit sur Invite de commandes,
puis cliquez sur Exécuter comme administrateur.

3. Dans la fenêtre Administrateur : Invite de commandes, tapez gpupdate /force, puis appuyez
sur Entrée. Fermez la fenêtre d'invite de commandes.

4. Dans le menu Icônes, cliquez sur Paramètres, sur Marche/Arrêt, puis sur Redémarrer.

5. Une fois que LON-CL1 a redémarré, connectez-vous en tant qu'ADATUM\Adam avec le mot
de passe Pa$$w0rd.

Adam Barr est membre du groupe Marketing.

Notez qu'avant de se connecter, Adam reçoit un message de conformité.

6. Une fois la connexion effectuée, sur le Bureau, dans le menu Icônes, cliquez sur Paramètres,
puis sur Panneau de configuration.

7. Dans le Panneau de configuration, cliquez sur Système et sécurité.

8. Dans Système et sécurité, cliquez sur Windows Update.

9. Sur le côté gauche, cliquez sur Modifier les paramètres.

10. Dans la boîte de dialogue Modifier les paramètres du Panneau de configuration, notez que le
message suivant s'affiche : Certains paramètres sont gérés par votre administrateur système.
Notez également que dans la section Mises à jour importantes, le menu déroulant Installer les
mises à jour automatiquement (recommandé) est grisé, ce qui indique que l'accès est refusé.
11. Cliquez sur Annuler, puis fermez le Panneau de configuration.

12. Dans l'écran d'accueil, tapez Regedit.

13. Cliquez sur la vignette Regedit.

14. Notez que vous recevez le message suivant : La modification du Registre a été désactivée
par votre administrateur.

15. Dans la barre des tâches, ouvrez l'Explorateur de fichiers.

16. Dans l'Explorateur de fichiers, cliquez sur le nœud Ordinateur.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L7-62 Conception et implémentation d'une stratégie d'objet de stratégie de groupe

17. Dans la section Emplacement réseau, notez que Marketing-Materials est connecté au lecteur M.

18. Dans l'écran d'accueil, dans le coin supérieur droit, cliquez sur Adam Barr, puis sur Se déconnecter.

19. Basculez vers LON-CL1 et connectez-vous en tant qu'ADATUM\Brad avec le mot

de passe Pa$$w0rd.

20. Notez qu'avant de se connecter, Brad reçoit un message de conformité.

21. Une fois la connexion effectuée, sur le Bureau, dans le menu Icônes, cliquez sur Paramètres,
puis sur Panneau de configuration.

22. Dans le Panneau de configuration, cliquez sur Système et sécurité.

23. Dans Système et sécurité, cliquez sur Windows Update.

24. Sur le côté gauche, cliquez sur Modifier les paramètres.

25. Dans la boîte de dialogue Modifier les paramètres du Panneau de configuration, notez que le
message suivant s'affiche : Certains paramètres sont gérés par votre administrateur système.
Notez également que dans la section Mises à jour importantes, le menu déroulant Installer les
mises à jour automatiquement (recommandé) est grisé, ce qui indique que l'accès est refusé.
26. Cliquez sur Annuler, puis fermez le Panneau de configuration.

27. Dans l'écran d'accueil, tapez Regedit.

28. Cliquez sur la vignette Regedit.

Si vous y êtes invité, confirmez le message du Contrôle de compte d'utilisateur en cliquant sur Oui.
Notez que l'outil de modification du Registre s'ouvre.

29. Dans la barre des tâches, ouvrez l'Explorateur de fichiers.

30. Dans l'Explorateur de fichiers, cliquez sur le nœud Ordinateur.

31. Notez que le partage Marketing ne s'affiche pas comme étant connecté. Fermez l'Explorateur
de fichiers.

32. Dans l'écran d'accueil, tapez Cmd, puis cliquez sur la vignette Invite de commandes.
33. À l'invite de commandes, tapez whoami /all, puis appuyez sur Entrée. Vérifiez que Brad
est membre du groupe Administrateurs local.

34. Dans l'écran d'accueil, dans le coin supérieur droit, cliquez sur Brad Sutton, puis sur
Se déconnecter.

Résultats : À la fin de cet exercice, vous aurez implémenté la conception d'objets de stratégie de groupe
que vous avez créée.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial des ordinateurs virtuels. Pour cela, procédez
comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 1 à 3 pour 22413B-LON-CL1.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L8-63

Module 8 : Conception et implémentation d'une topologie

de services de domaine Active Directory
Atelier pratique : Conception et
implémentation d'une topologie physique
de services de domaine Active Directory
Exercice 1 : Conception des sites et de la réplication Active Directory
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Conception de site A. Datum initiale.

1. Comment pouvez-vous résoudre les problèmes que les utilisateurs rencontrent actuellement
avec la durée d'ouverture de session ?

Puisque les différents emplacements réseau n'ont actuellement pas de sites Active Directory®
associés, il est probable que les demandes d'authentification des utilisateurs à ces emplacements
soient traitées par des contrôleurs de domaine géographiquement distants, même si un contrôleur
de domaine local existe à certains emplacements. Les liaisons WAN entre les succursales, les
concentrateurs régionaux et Paris ont une capacité limitée, ce qui expliquerait peut-être la
lenteur de la durée d'ouverture de session. Il est nécessaire de créer des sites Active Directory
qui correspondent à des emplacements physiques sur le schéma de réseau, et si nécessaire,
pour déployer des contrôleurs de domaine supplémentaires.

2. Comment pouvez-vous résoudre les problèmes que les utilisateurs rencontrent actuellement
avec Microsoft® Exchange Server ?

La lenteur de la remise des messages peut indiquer un problème avec Exchange Server ou avec
la résolution de noms, mais elle peut également signaler que les serveurs Transport Exchange ne
peuvent pas atteindre les contrôleurs de domaine et les serveurs de catalogue global appropriés.
Puisque A. Datum n'a pas une topologie de site Active Directory définie par l'utilisateur et a déployé
Exchange Server, il est probable que les retards de remise des messages électroniques se produisent
parce que les serveurs Exchange de Toronto et Sydney contactent d'autres contrôleurs de domaine
sur des liens distants.

Si vous établissez une topologie de site AD DS qui représente les emplacements physiques dans
le réseau, puis déployez des contrôleurs de domaine supplémentaires si nécessaire, les problèmes
de remise des messages électroniques se réduiront.

En outre, vous devez vérifier que le contrôleur de domaine local dans le concentrateur régional
est un serveur de catalogue global.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L8-64 Conception et implémentation d'une topologie de services de domaine Active Directory

3. Devez-vous créer de nouveaux sites Active Directory ? Si oui, pour quels bureaux ?

Oui, vous devez créer d'autres sites. Vous avez besoin d'un site pour chaque concentrateur régional :
Rome, Barcelone, Munich, Athènes, Toronto et Sydney. Si vous avez l'intention de déployer des
contrôleurs de domaine dans les succursales, vous devrez également configurer les objets de site
pour chaque succursale.

4. Devez-vous restructurer des sites existants ?

Oui, vous devez soit renommer le site par défaut, soit arrêter de l'utiliser.

5. Que devez-vous planifier d'autre pour les nouveaux sites ?

Après l'établissement de nouveaux sites, vous devez planifier le placement des contrôleurs de
domaine pour ces sites. Chaque nouveau site doit avoir au moins un contrôleur de domaine.
En outre, vous devez vérifier que les nouveaux sites sont bien connectés à d'autres sites par des
liens de sites, et que les nouveaux sites sont associés à des sous-réseaux IP appropriés. Si vous
ne configurez pas de serveurs de catalogue global dans les nouveaux sites, vous devez envisager
une option pour mettre en cache l'appartenance au groupe universel.
6. Y a-t-il d'autres solutions ?

Oui, il existe plusieurs autres solutions. Pour résoudre le problème lié à la durée de connexion, vous
pouvez tenter d'augmenter la bande passante entre Paris et les emplacements concernés par ce
problème de connexion et qui n'ont aucun site AD DS défini, comme Londres. Pour les emplacements
qui ont un site Active Directory, vous devez configurer au moins un contrôleur de domaine comme
serveur de catalogue global. Pour Exchange Server, vous pouvez déployer un site Active Directory
dédié aux serveurs Exchange Server, puis déplacer les serveurs Exchange Server vers ce site. Vous
devez également déployer au moins un contrôleur de domaine pour ce site. Avec cette approche,
vous forcez Exchange Server à communiquer uniquement sur les contrôleurs de domaine déployés
localement, ce qui accélère la recherche d'annuaire et la remise du courrier électronique.

7. Quels sites devez-vous lier aux liens de sites Active Directory ?

Vous devez créer et configurer des liens de sites entre tous les sites récemment créés.

8. Devez-vous configurer des attributs de liens de sites supplémentaires ? Si oui, quels attributs devez-
vous configurer, et comment ?

Vous pouvez souhaiter configurer la planification de réplication sur des liens de sites qui sont établis
sur des liaisons plus lentes (par exemple, entre les succursales et les concentrateurs régionaux).

9. Avez-vous besoin de configurer des serveurs tête de pont ?

Vous pouvez souhaiter configurer un serveur spécifique à Londres et Paris en tant que serveur
tête de pont par défaut. Londres et Paris sont effectivement des sites hub par lesquels le trafic
de réplication transite vers d'autres sites. Le fait de choisir un serveur tête de pont qui a une
spécification plus élevée peut améliorer la réplication Active Directory.

10. Devez-vous configurer un pontage entre des liens de sites ?

Non. Par défaut, tous les liens de sites sont transitifs, et le réseau est routé entièrement.
Par conséquent, il est inutile de configurer le pontage entre des liens de sites.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L8-65

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir créé une conception de site Active Directory
appropriée pour A. Datum Corporation.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L8-66 Conception et implémentation d'une topologie de services de domaine Active Directory

Exercice 2 : Planification du placement des contrôleurs de domaine

 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie de placement des contrôleurs
de domaine.

1. Comment pourrez-vous résoudre les problèmes que les utilisateurs rencontrent actuellement
avec la durée d'ouverture de session ?

Les utilisateurs sont plus susceptibles de connaître des lenteurs à l'ouverture de session à
cause du manque de contrôleurs de domaine au niveau de leurs emplacements. Les demandes
d'authentification passent par des liaisons WAN, et lorsque ces liaisons sont utilisées à d'autres
fins, les utilisateurs connaissent des lenteurs d'ouverture de session. La solution au problème est
de déployer au moins un contrôleur de domaine local à chaque emplacement où les utilisateurs
rencontrent ces problèmes.

2. Comment éviteriez-vous d'avoir un point de défaillance unique aux services de domaine

Active Directory (AD DS) actifs ?

Actuellement, un point de défaillance unique a été détecté sur les rôles serveur d'opérations à
maître unique flexible (FSMO). Tous les rôles FSMO sont situés sur un seul serveur du bureau
principal. Pour atténuer cela, vous devez distribuer les rôles FSMO sur plusieurs contrôleurs de
domaine. Vous pouvez héberger le contrôleur de schéma et le maître d'opérations des noms
de domaine sur un contrôleur de domaine, et le maître d'émulateur de contrôleur de domaine
principal (PDC), ainsi que le maître RID sur un autre contrôleur de domaine. En outre, vous
pouvez localiser le maître d'infrastructure sur un troisième contrôleur de domaine, si vous
ne l'avez pas configuré en tant que serveur de catalogue global.
3. Comment fournirez-vous les services de recherche Active Directory et d'authentification permanents
qui ne dépendront pas des liens entre les emplacements ?

Vous pouvez fournir une authentification qui est indépendante des liaisons WAN en déployant les
contrôleurs de domaine sur chaque site. En désignant au moins un contrôleur de domaine par site
en tant que serveur de catalogue global, vous permettrez aux utilisateurs de rechercher AD DS.

4. Comment fournirez-vous la gestion et la maintenance des services informatiques dans de nouveaux

emplacements de vente ?

Ces sites n'auront pas de personnel informatique dédié. Certains employés locaux peuvent
exécuter la maintenance et l'administration de base des services informatiques locaux, alors
qu'un administrateur distant exécute l'administration restante.

5. Comment répondrez-vous aux critères de sécurité dans les succursales ?

Puisque les succursales doivent avoir un fournisseur de services d'authentification local, qui implique
l'installation d'un contrôleur de domaine, la solution la mieux adaptée aux problèmes de sécurité
consiste à déployer un contrôleur de domaine en lecture seule (RODC). Vous pouvez également
envisager d'accroître davantage la sécurité en déployant un RODC sur une installation minimale.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L8-67

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir créé une stratégie de placement des contrôleurs
de domaine appropriée.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L8-68 Conception et implémentation d'une topologie de services de domaine Active Directory

Exercice 3 : Implémentation des sites et des contrôleurs de domaine

Active Directory
 Tâche 1 : Installer le contrôleur de domaine de Paris
1. Sur LON-SVR4, connectez-vous en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Suspendez le pointeur de votre souris dans le coin inférieur droit de la barre des tâches, cliquez
sur Paramètres, puis sur Panneau de configuration.

3. Dans le Panneau de configuration, cliquez sur Système et sécurité, puis sur Système.

4. Dans Système, cliquez sur Modifier les paramètres.

5. Dans la boîte de dialogue Propriétés système, cliquez sur Modifier.

6. Dans la boîte de dialogue Modification du nom ou du domaine de l'ordinateur, sous la zone

Nom de l'ordinateur, tapez PARIS-DC1, puis cliquez sur OK.

7. Dans la boîte de dialogue Modification du nom ou du domaine de l'ordinateur, cliquez sur OK.
8. Dans Propriétés système, cliquez sur Fermer.

9. Cliquez sur Redémarrer maintenant.

Remarque : Les étapes de l'atelier pratique se rapporteront à présent à cet ordinateur

en tant que PARIS-DC1 (22413B-LON-SVR4).

10. Sur PARIS-DC1 (22413B-LON-SVR4), connectez-vous en tant qu'ADATUM\Administrateur

avec le mot de passe Pa$$w0rd.

11. Sur PARIS-DC1, dans le Gestionnaire de serveurs, cliquez sur Gérer, et dans la zone de liste
déroulante, cliquez sur Ajouter des rôles et fonctionnalités.

12. Dans la page Avant de commencer, cliquez sur Suivant.

13. Dans la page Sélectionner le type d'installation, confirmez que Installation basée sur un rôle
ou une fonctionnalité est sélectionnée, puis cliquez sur Suivant.

14. Dans la page Sélectionner le serveur de destination, vérifiez que Sélectionner un serveur du pool
de serveurs est sélectionné et que [Link] est mis en surbrillance, puis cliquez
sur Suivant.

15. Dans la page Sélectionner des rôles de serveurs, cliquez sur Services AD DS.

16. Dans la page Ajouter les fonctionnalités requises pour Services AD DS, cliquez sur Ajouter
des fonctionnalités, puis cliquez sur Suivant.
17. Dans la page Sélectionner des fonctionnalités, cliquez sur Suivant.

18. Dans la page Services de domaine Active Directory, cliquez sur Suivant.

19. Dans la page Confirmer les sélections d'installation, cliquez sur Installer. Cette opération peut
prendre quelques minutes.

20. Quand les binaires AD DS sont installés, cliquez sur Fermer.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L8-69

21. Dans le volet de navigation, cliquez sur AD DS.

22. En haut du volet de résultats, dans la barre jaune, cliquez sur Autres.

23. Dans la boîte de dialogue Détails et notifications de la tâche Tous les serveurs, cliquez
sur Promouvoir ce serveur en contrôleur de domaine.

24. Dans la fenêtre Configuration de déploiement, cliquez sur Ajouter un contrôleur de domaine
à un domaine existant, puis cliquez sur Suivant.

25. Dans la boîte de dialogue Options du contrôleur de domaine, vérifiez que les cases à cocher
Serveur DNS (Domain Name System) et Catalogue global (GC) sont activées et confirmez
que Nom du site est défini sur Default-First-Site-Name.

26. Sous Taper le mot de passe du mode de restauration des services d'annuaire (DSRM), tapez
Pa$$w0rd dans les champs Mot de passe et Confirmer le mot de passe, puis cliquez sur Suivant.

27. Dans la page Options DNS, cliquez sur Suivant.

28. Dans la page Options supplémentaires, cliquez sur Suivant.

29. Dans la page Chemins d'accès, cliquez sur Suivant.

30. Dans la fenêtre Examiner les options, cliquez sur Suivant.

31. Dans la page Vérification de la configuration requise, confirmez qu'il n'y a aucun problème,
puis cliquez sur Installer. Le serveur redémarrera automatiquement.
32. Après le redémarrage de PARIS-DC1, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

 Tâche 2 : Renommer le site par défaut

1. Basculez vers LON-DC1 et, si nécessaire, connectez-vous en tant qu'ADATUM\Administrateur
avec le mot de passe Pa$$w0rd.

2. Si nécessaire, sur LON-DC1, ouvrez la console du Gestionnaire de serveur.

3. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Sites et services Active Directory.
4. Dans la console Sites et services Active Directory, dans le volet de navigation, développez Sites,
cliquez avec le bouton droit sur Default-First-Site-Name, puis cliquez sur Renommer.

5. Tapez London, puis appuyez sur Entrée.

6. Développez London, développez le dossier Servers, puis vérifiez que chacun des deux sites
LON-DC1 et PARIS-DC1 appartiennent à London.

 Tâche 3 : Configurer des sous-réseaux Active Directory

1. Sur LON-DC1, dans la console Sites et services Active Directory, dans le volet de navigation,
développez Sites, puis cliquez sur le dossier Subnets.

2. Cliquez avec le bouton droit sur Subnets, puis cliquez sur Nouveau sous-réseau.

3. Dans la boîte de dialogue Nouvel objet – Sous-réseau dans Préfixe, tapez [Link]/16.

4. Sous Sélectionnez un objet du site pour ce préfixe, cliquez sur London, puis cliquez sur OK.

 Tâche 4 : Créer les sites Active Directory

1. Sur LON-DC1, dans la console Sites et services Active Directory, dans le volet de navigation, cliquez
avec le bouton droit sur Sites, puis cliquez sur Nouveau site.

2. Dans la boîte de dialogue Nouvel objet - Site, à côté de Nom, tapez Paris. Dans Sélectionnez
un objet lien de sites pour ce site, sélectionnez DEFAULTIPSITELINK, puis cliquez sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L8-70 Conception et implémentation d'une topologie de services de domaine Active Directory

3. Dans la boîte de dialogue Services de domaine Active Directory, cliquez sur OK. Le site de Paris
s'affiche dans le volet de navigation.

4. Dans la console Sites et services Active Directory, dans le volet de navigation, développez Sites,
puis cliquez sur le dossier Subnets.

5. Cliquez avec le bouton droit sur Subnets, puis cliquez sur Nouveau sous-réseau.

6. Dans la boîte de dialogue Nouvel objet – Sous-réseau dans Préfixe, tapez [Link]/16.

7. Sous Sélectionnez un objet du site pour ce préfixe, cliquez sur Paris, puis cliquez sur OK.

8. Dans la console Sites et services Active Directory, dans le volet de navigation, développez Sites,
puis cliquez sur le dossier Subnets.

9. Dans le dossier Subnets, vérifiez que les deux sous-réseaux étaient créés et associés avec leur
site approprié.

 Tâche 5 : Configurer des liens de site

1. Sur LON-DC1, dans la console Sites et services Active Directory, dans le volet de navigation,
développez Sites, développez Inter-Site Transports, et cliquez sur le dossier IP.

2. Cliquez avec le bouton droit sur DEFAULTIPSITELINK, puis cliquez sur Renommer.

3. Tapez LON-PARIS, puis appuyez sur Entrée.

4. Cliquez avec le bouton droit sur LON-PARIS, puis cliquez sur Propriétés.

5. Dans la boîte de dialogue Propriétés de : LON-PARIS, en regard de Répliquer toutes les,

appliquez la valeur 60 minutes, puis cliquez sur OK.

 Tâche 6 : Déplacer le nouveau contrôleur de domaine vers le site approprié

1. Sur LON-DC1, dans la console Sites et services Active Directory, dans le volet de navigation,
développez Sites, développez London, puis développez le dossier Servers.

2. Cliquez avec le bouton droit sur PARIS-DC1, puis cliquez sur Déplacer.

3. Dans la boîte de dialogue Déplacer un serveur, cliquez sur Paris, puis cliquez sur OK.

4. Dans le volet de navigation, développez le site Paris, développez Servers, puis cliquez
sur PARIS-DC1.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-RTR et 22413B-LON-SVR4.

Résultats : À la fin de cet exercice, vous devriez avoir configuré avec succès les sites, les contrôleurs
de domaine et la réplication AD DS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L9-71

Module 9 : Planification et implémentation du stockage

Atelier pratique : Planification
et implémentation du stockage
Exercice 1 : Planification d'une solution de stockage
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section de propositions du document Stratégie de stockage d'applications
de vente.

1. Comment configurerez-vous le stockage ?

Vous devez configurer le stockage en implémentant un réseau de zone de stockage (SAN)

Iscsi (Internet SCSI).

2. Quel est le type de stockage indiqué ?

Le stockage réseau est indiqué.

3. Comment tenterez-vous de vous assurer que le stockage est rendu hautement disponible ?

L'implémentation de MPIO (Multipath I/O) permet de garantir la haute disponibilité. Sinon,

vous pouvez implémenter la mise en miroir double ou triple ou le mode de parité avec les
espaces de stockage.

4. Comment les espaces de stockage peuvent-ils aider à répondre aux besoins ?

5. Les espaces de stockage peuvent fournir une solution de stockage peu coûteuse qui répond
à la nécessité de gérer les coûts.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir planifié le stockage pour l'application de vente.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L9-72 Planification et implémentation du stockage

Exercice 2 : Implémentation du stockage iSCSI

 Tâche 1 : Installer la cible iSCSI
1. Si nécessaire, connectez-vous à LON-DC1 avec le nom d'utilisateur ADATUM\Administrateur
et le mot de passe Pa$$w0rd.

2. Dans le Gestionnaire de serveur, cliquez sur Ajouter des rôles et des fonctionnalités.

3. Dans l'Assistant Ajout de rôles et de fonctionnalités , dans la page Avant de commencer, cliquez
sur Suivant.

4. Dans la page Sélectionner le type d'installation, cliquez sur Suivant.

5. Dans la page Sélectionner le serveur de destination, vérifiez que Sélectionner un serveur du pool
de serveurs est sélectionné, puis cliquez sur Suivant.

6. Dans la page Sélectionner des rôles de serveurs, développez Services de fichiers

et de stockage (Installé), développez Services de fichiers et iSCSI (Installé), activez la case
à cocher Serveur cible iSCSI, puis cliquez sur Suivant.

7. Dans la page Sélectionner des fonctionnalités, cliquez sur Suivant.

8. Dans la page Confirmer les sélections d'installation, cliquez sur Installer.

9. Une fois l'installation terminée, cliquez sur Fermer.

10. Lorsque vous êtes invité à redémarrer l'ordinateur, cliquez sur Redémarrer maintenant.

11. Connectez-vous à LON-DC1 avec le nom d'utilisateur ADATUM\Administrateur et le mot

de passe Pa$$w0rd.

 Tâche 2 : Configurer des cibles iSCSI

1. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez dans le volet de navigation sur Services
de fichiers et de stockage.

2. Dans le volet Services de fichiers et de stockage, cliquez sur iSCSI.

3. Dans le volet DISQUES VIRTUELS iSCSI, cliquez sur TÂCHES, puis, dans la zone de liste déroulante
TÂCHES, cliquez sur Nouveau disque virtuel iSCSI.

4. Dans l'Assistant Nouveau disque virtuel iSCSI, dans la page Sélectionner l'emplacement
du disque virtuel iSCSI, sous Emplacement de stockage, cliquez sur C:, puis sur Suivant.

5. Dans la page Indiquer le nom du disque dur virtuel iSCSI, dans la zone de texte Nom,
tapez iSCSIDisk1, puis cliquez sur Suivant.

6. Dans la page Indiquer la taille du disque dur virtuel iSCSI, dans la zone de texte Taille, tapez 5,
vérifiez que Go est sélectionné dans la zone de liste déroulante, puis cliquez sur Suivant.

7. Dans la page Affecter la cible iSCSI, cliquez sur Nouvelle cible iSCSI, puis sur Suivant.

8. Dans la page Indiquer le nom de la cible, dans la zone Nom, tapez LON-DC1, puis cliquez
sur Suivant.

9. Dans la page Indiquer les serveurs d'accès, cliquez sur Ajouter.

10. Dans la boîte de dialogue Sélectionnez une méthode pour identifier l'initiateur, cliquez sur
Entrer une valeur pour le type sélectionné. Dans la zone de liste déroulante Type, cliquez sur
Adresse IP, dans la zone de texte Valeur, tapez [Link], puis cliquez sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L9-73

11. Dans la page Indiquer les serveurs d'accès, cliquez sur Suivant.

12. Dans la page Activer l'authentification, cliquez sur Suivant.

13. Dans la page Confirmer les sélections, cliquez sur Créer.

14. Dans la page Afficher les résultats, attendez que la création soit terminée, puis cliquez sur Fermer.

15. Dans le volet DISQUES VIRTUELS iSCSI, cliquez sur TÂCHES, puis, dans la zone de liste déroulante
TÂCHES, cliquez sur Nouveau disque virtuel iSCSI.

16. Dans l'Assistant Nouveau disque virtuel iSCSI, dans la page Sélectionner l'emplacement
du disque virtuel iSCSI, sous Emplacement de stockage, cliquez sur C:, puis sur Suivant.

17. Dans la page Indiquer le nom du disque dur virtuel iSCSI, dans la zone Nom, tapez iSCSIDisk2,
puis cliquez sur Suivant.

18. Dans la page Indiquer la taille du disque dur virtuel iSCSI, dans la zone Taille, tapez 5, vérifiez
que Go est sélectionné dans la zone de liste déroulante, puis cliquez sur Suivant.

19. Dans la page Affecter la cible iSCSI, cliquez sur lon-dc1, puis sur Suivant.

20. Dans la page Confirmer les sélections, cliquez sur Créer.

21. Dans la page Afficher les résultats, attendez que la création soit terminée, puis cliquez sur Fermer.

 Tâche 3 : Se connecter aux cibles iSCSI et les configurer

1. Basculez vers LON-SVR1 et, dans le Gestionnaire de serveur, cliquez sur le menu Outils,
puis sur Initiateur iSCSI.

2. Dans la boîte de message Microsoft iSCSI, cliquez sur Oui.

3. Dans la boîte de dialogue Propriétés de : Initiateur iSCSI, dans l'onglet Cible, tapez LON-DC1,
puis cliquez sur Connexion rapide.

4. Dans la fenêtre Connexion rapide, dans la section Cibles découvertes, cliquez sur
[Link]:lon-dc1-lon-dc1-target, puis sur Terminer.

5. Dans la boîte de dialogue Propriétés de : Initiateur iSCSI, cliquez sur OK.

6. Sur LON-SVR1, dans le Gestionnaire de serveur, cliquez sur le menu Outils, puis sur Gestion
de l'ordinateur.

7. Dans la console Gestion de l'ordinateur, sous le nœud Stockage , cliquez sur Gestion des disques.
Notez que les nouveaux disques sont ajoutés. Ils sont toutefois tous Hors connexion et non formatés
pour le moment.

8. Fermez la console Gestion de l'ordinateur.

Résultats : À la fin de cet exercice, vous devez avoir correctement implémenté un réseau de zone
de stockage iSCSI.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L9-74 Planification et implémentation du stockage

Exercice 3 : Configuration d'un espace de stockage redondant

 Tâche 1 : Créer un pool de stockage à l'aide des disques iSCSI connectés au serveur
1. Sur LON-SVR1, basculez vers le Gestionnaire de serveur.

2. Dans le volet de navigation, cliquez sur Services de fichiers et de stockage, puis dans le volet
Serveurs, cliquez sur Pools de stockage.

3. Dans le volet POOLS DE STOCKAGE, cliquez sur TÂCHES, puis dans la liste déroulante TÂCHES,
cliquez sur Nouveau pool de stockage.

4. Dans l'Assistant Nouveau pool de stockage, dans la page Avant de commencer, cliquez sur Suivant.
5. Dans la page Indiquer un pool de stockage et son sous-système, dans la zone Nom, tapez
StoragePool1, puis cliquez sur Suivant.

6. Dans la page Sélectionner les disques physiques pour le pool de stockage, sélectionnez
les deux disques physiques, puis cliquez sur Suivant.

7. Dans la page Confirmer les sélections, cliquez sur Créer.

8. Dans la page Afficher les résultats, attendez que la création soit terminée, puis cliquez sur Fermer.

 Tâche 2 : Créer un disque en miroir

1. Sur LON-SVR1, dans le Gestionnaire de serveur, dans le volet POOLS DE STOCKAGE, cliquez
sur StoragePool1.

2. Dans le volet DISQUES VIRTUELS, cliquez sur TÂCHES, puis dans la liste déroulante TÂCHES, cliquez
sur Nouveau disque virtuel.

3. Dans l'Assistant Nouveau disque virtuel, dans la page Avant de commencer, cliquez sur Suivant.

4. Dans la page Sélectionner le pool de stockage, cliquez sur StoragePool1, puis sur Suivant.
5. Dans la page Spécifier le nom du disque virtuel, dans la zone Nom, tapez vDisk en mirror, puis
cliquez sur Suivant.

6. Dans la page Sélectionner la disposition de stockage, dans la liste Disposition, cliquez sur Mirror,
puis sur Suivant.

7. Dans la page Spécifier le type d'approvisionnement, cliquez sur Fin, puis sur Suivant.

8. Dans la page Spécifier la taille du disque virtuel, dans la zone Taille du disque virtuel, tapez 8,
puis cliquez sur Suivant.

9. Dans la page Confirmer les sélections, cliquez sur Créer.

10. Dans la page Afficher les résultats, attendez que la création soit terminée, vérifiez que
Créer un volume lorsque l'Assistant se ferme est sélectionné, puis cliquez sur Fermer.

11. Dans l'Assistant Nouveau volume, dans la page Avant de commencer, cliquez sur Suivant.

12. Dans la page Sélectionner le serveur et le disque, dans le volet Disque, cliquez sur le disque virtuel
vDisk en mirror, puis sur Suivant.

13. Dans la page Spécifier la taille du volume, cliquez sur Suivant pour confirmer la sélection
par défaut.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L9-75

14. Dans la page Affecter à la lettre d'un lecteur ou à un dossier, vérifiez que le lecteur F
est sélectionné dans la liste déroulante Lettre du lecteur, puis cliquez sur Suivant.

15. Dans la page Sélectionner les paramètres du système de fichiers, dans la liste déroulante
Système de fichiers, cliquez sur ReFS. Dans la zone Nom de volume, tapez Volume en mirror,
puis cliquez sur Suivant.

16. Dans la page Confirmer les sélections, cliquez sur Créer.

17. Dans la page Dernière étape, attendez que la création soit terminée, puis cliquez sur Fermer.

 Tâche 3 : Copier un fichier dans le volume et vérifier sa visibilité dans l'Explorateur

de fichiers
1. Positionnez le pointeur de la souris dans l'angle inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

2. Dans l'écran d'accueil, tapez Invite de commandes, puis appuyez sur Entrée.

3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Copy C:\windows\system32\[Link] F:\

4. Fermez la fenêtre d'invite de commandes.

5. Dans la barre des tâches, ouvrez l'Explorateur de fichiers.

6. Dans l'Explorateur de fichiers, développez Ordinateur, puis cliquez sur Volume en mirror (F:).
Vous devez maintenant voir [Link] dans la liste des fichiers.

7. Fermez l'Explorateur de fichiers.

 Tâche 4 : Déconnecter un disque iSCSI et vérifier que le fichier est toujours accessible
1. Basculez vers LON-DC1.
2. Dans le Gestionnaire de serveur, dans le volet DISQUES VIRTUELS iSCSI, dans la liste LON-DC1, cliquez
avec le bouton droit sur [Link], puis cliquez sur Désactiver le disque virtuel iSCSI.

3. Dans la boîte de message d'avertissement Désactiver le disque virtuel iSCSI, cliquez sur Oui.
4. Basculez vers LON-SVR1.

5. Dans la barre des tâches, cliquez sur Explorateur de fichiers.

6. Dans l'Explorateur de fichiers, cliquez sur Volume en mirror (F:).

7. Dans le volet de liste de fichiers, double-cliquez sur [Link] pour vérifier que l'accès au volume
est encore disponible.

8. Fermez la fenêtre Document - WordPad.

9. Fermez l'Explorateur de fichiers.

10. Dans le Gestionnaire de serveur, dans le volet POOLS DE STOCKAGE, dans la barre de menus,
cliquez sur Actualiser « Pools de stockage ». Attendez que tous les volets soient actualisés.
Notez l'avertissement qui s'affiche en regard de vDisk en mirror.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L9-76 Planification et implémentation du stockage

11. Dans le volet DISQUES VIRTUELS, cliquez avec le bouton droit sur vDisk en mirror, puis dans
la liste déroulante, cliquez sur Propriétés.

12. Dans la boîte de dialogue Propriétés de vDisk en mirror, dans le volet de navigation, cliquez
sur Intégrité.

Remarque : Notez que l'état d'intégrité signale un avertissement. État opérationnel

doit indiquer Détérioré.

13. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de vDisk en mirror.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-SVR1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-DC1.

Résultats : À la fin de cet exercice, vous aurez créé un pool de stockage.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L10-77

Module 10 : Planification et implémentation des services

de fichiers
Atelier pratique : Conception
et implémentation des services de fichiers
Exercice 1 : Planification de l'accès aux données
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section de propositions du document Stratégie d'accès aux données.

1. Quel rôle de serveur comptez-vous implémenter pour prendre en charge les conditions requises
pour la collecte de données automatisée des filiales ?

Vous pouvez implémenter le système de fichiers distribués (DFS).

2. Quel scénario d'accès aux données recommanderiez-vous ?

Le scénario de collecte de données serait la meilleure recommandation. Les technologies DFS peuvent
collecter des fichiers d'une succursale et les répliquer sur un site concentrateur, ce qui permet une
utilisation des fichiers à différentes fins. Des données essentielles peuvent être répliquées sur un site
concentrateur à l'aide de la réplication de fichiers distribués (réplication DFS), puis sauvegardées
sur le site concentrateur à l'aide de procédures de sauvegarde standard.

3. Quelle technologie implémenteriez-vous pour prendre en charge les conditions requises

de liaison lente ?

Vous pouvez implémenter Windows® BranchCache®.

4. Comment pouvez-vous vous assurer que les paramètres côté client pour cette technologie
s'appliquent uniquement aux ordinateurs appropriés ?

Vous devez configurer un objet de stratégie de groupe (GPO) doté des paramètres requis, puis
l'associer à un conteneur de services de domaine Active Directory® (AD DS) approprié, tel qu'un
conteneur d'unité d'organisation (OU).

5. Comment configureriez-vous la technologie d'accès aux données des filiales pour assurer cette
prise en charge ?

Vous pouvez implémenter BranchCache en mode de cache hébergé ; ce mode fonctionne en

déployant un ordinateur qui exécute Windows Server® 2012 en tant qu'hôte dans la succursale.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L10-78 Planification et implémentation des services de fichiers

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir planifié une stratégie d'accès aux données appropriée
pour les succursales de vente.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L10-79

Exercice 2 : Planification et implémentation du contrôle d'accès

dynamique
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section de propositions du document Stratégie de sécurité des fichiers.

• Comment allez-vous concevoir le contrôle d'accès dynamique pour remplir les conditions
du contrôle d'accès décrites dans le scénario ?

Les réponses peuvent varier, mais les réponses possibles peuvent inclure les éléments suivants :

o Les dossiers qui appartiennent au service Recherche doivent être accessibles et modifiables
uniquement par les employés appartenant à ce service.
o Les fichiers classés hautement confidentiels doivent être uniquement accessibles aux
responsables.

o Les responsables doivent accéder aux dossiers confidentiels uniquement à partir des stations
de travail appartenant au groupe de sécurité ManagersWKS.

Pour répondre à ces exigences, vous devez implémenter des revendications, des propriétés de
ressources et des classifications de fichiers, puis les utiliser dans le contrôle d'accès dynamique.
Pour implémenter cette solution, vous devez :

1. Créer des revendications appropriées pour les utilisateurs et les périphériques. La revendication
d'utilisateur utilise le service en tant qu'attribut source et la revendication de périphérique
utilise la description comme attribut source.

2. Configurer une propriété de ressource pour le service Recherche.

3. Configurer des règles d'accès centralisées et des stratégies d'accès centralisées de manière
à protéger les ressources.

4. Configurer une classification des fichiers pour les documents confidentiels.

5. Appliquer la stratégie d'accès centralisée aux dossiers dans lesquels se trouvent les fichiers
destinés au service Recherche et aux responsables.

Pour résoudre le problème des utilisateurs recevant des messages d'erreur, vous devez implémenter
l'assistance en cas d'accès refusé.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L10-80 Planification et implémentation des services de fichiers

 Tâche 5 : Préparer AD DS pour le contrôle d'accès dynamique et examiner

les types de revendications par défaut
1. Sur LON-DC1, au besoin, connectez-vous en tant qu'ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs
Active Directory.

3. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit
sur [Link], cliquez sur Nouveau, puis sur Unité d'organisation.

4. Dans la boîte de dialogue Nouvel objet – Unité d'organisation, dans le champ Nom, tapez Test,
puis cliquez sur OK.

5. Dans la console Utilisateurs et ordinateurs Active Directory, développez [Link], puis cliquez
sur le conteneur Computers.

6. Appuyez sur la touche Ctrl, cliquez à la fois sur les ordinateurs LON-SVR1 et LON-CL1, cliquez avec
le bouton droit, puis sélectionnez Déplacer.

7. Dans la fenêtre Déplacer, cliquez sur Test, puis sur OK.

8. Fermez la console Utilisateurs et ordinateurs Active Directory.

9. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

10. Développez Forêt : [Link], Domaines, [Link], puis cliquez sur le conteneur Objets
de stratégie de groupe.
11. Dans le volet des résultats, cliquez avec le bouton droit sur Default Domain Controllers Policy,
puis cliquez sur Modifier.

12. Dans l'Éditeur de gestion des stratégies de groupe, sous Configuration ordinateur, développez
Stratégies, Modèles d'administration : définitions de stratégies (fichiers ADMX) récupérées
à partir de l'ordinateur local, Système, puis cliquez sur KDC.

13. Dans le volet droit, double-cliquez sur Prise en charge du contrôleur de domaine Kerberos
pour les revendications, l'authentification composée et le blindage Kerberos.

14. Dans la fenêtre Prise en charge du contrôleur de domaine Kerberos pour les revendications,
l'authentification composée et le blindage Kerberos, cliquez sur Activé. Dans la section Options,
dans la liste déroulante, cliquez sur Pris en charge, puis sur OK.

15. Fermez les consoles Éditeur de gestion des stratégies de groupe et Gestion de stratégie de groupe.

16. Dans la barre des tâches, cliquez sur l'icône Windows PowerShell®.

17. Dans la fenêtre Windows PowerShell, tapez gpupdate /force, puis appuyez sur Entrée.

18. Une fois la stratégie de groupe mise à jour, fermez Windows PowerShell.

19. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs
Active Directory.

20. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Users,
cliquez sur Nouveau, puis sur Groupe.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L10-81

21. Pour le Nom du groupe, tapez ManagersWKS, puis cliquez sur OK.

22. Cliquez sur le conteneur Test.

23. Cliquez avec le bouton droit sur LON-CL1, puis cliquez sur Propriétés.

24. Dans la boîte de dialogue Propriétés de : LON-CL1, cliquez sur l'onglet Membre de,
puis sur Ajouter.

25. Dans la page Sélectionnez des groupes, tapez ManagersWKS. Cliquez sur Vérifier les noms,
sur OK, puis à nouveau sur OK.

26. Cliquez sur l'unité d'organisation Managers.

27. Cliquez avec le bouton droit sur Aidan Delaney, puis cliquez sur Propriétés.

28. Dans la boîte de dialogue Propriétés de : Aidan Delaney, cliquez sur l'onglet Organisation.
Vérifiez que le champ Service est rempli avec la valeur Managers, puis cliquez sur Annuler.
29. Cliquez sur l'unité d'organisation Research.

30. Cliquez avec le bouton droit sur Allie Bellew, puis cliquez sur Propriétés.

31. Dans la boîte de dialogue Propriétés de : Allie Bellew, cliquez sur l'onglet Organisation.
Vérifiez que le champ Service est rempli avec la valeur Research, puis cliquez sur Annuler.

32. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Centre d'administration
Active Directory.

33. Dans la console Centre d'administration Active Directory, dans le volet de navigation,
cliquez sur Contrôle d'accès dynamique.

34. Dans le volet central, double-cliquez sur Claim Types.

35. Vérifiez qu'aucune revendication par défaut n'est définie.

36. Dans le volet de navigation, cliquez sur Contrôle d'accès dynamique, puis double-cliquez
sur Resource Properties.
37. Examinez les propriétés de ressource par défaut.

Remarque : Notez que toutes les propriétés sont désactivées par défaut.

38. Dans le volet de navigation, cliquez sur Contrôle d'accès dynamique, puis double-cliquez
sur Resource Property Lists.

39. Dans le volet central, cliquez avec le bouton droit sur Global Resource Property List, puis cliquez
sur Propriétés.
40. Dans Global Resource Property List, dans la section Resource Properties, examinez les propriétés
de ressource disponibles, puis cliquez sur Annuler.

 Tâche 6 : Configurer les revendications pour les utilisateurs et les périphériques

1. Dans le Centre d'administration Active Directory, dans le volet de navigation, cliquez sur Contrôle
d'accès dynamique.

2. Double-cliquez sur Claim Types.

3. Dans le volet des tâches, cliquez sur Nouveau, puis sur Type de revendication.

4. Dans la boîte de dialogue Créer Type de revendication, dans la section Attribut source, cliquez
sur department. Dans la zone de texte Nom complet, tapez Service de société.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L10-82 Planification et implémentation des services de fichiers

5. Activez les deux cases à cocher Utilisateur et Ordinateur, puis cliquez sur OK.

6. Dans le Centre d'administration Active Directory, dans le volet des tâches, cliquez sur Nouveau,
puis sur Type de revendication.

7. Dans la page Créer Type de revendication, dans la section Attribut source, cliquez sur description.

8. Désactivez la case à cocher Utilisateur, activez la case à cocher Ordinateur, puis cliquez sur OK.

 Tâche 7 : Configurer les propriétés des ressources pour les fichiers

1. Dans le Centre d'administration Active Directory, cliquez sur Contrôle d'accès dynamique.

2. Dans le volet central, double-cliquez sur Resource Properties.

3. Dans la liste Resource Properties, recherchez et cliquez avec le bouton droit sur Department,
puis cliquez sur Activer.

4. Dans la liste Resource Properties, recherchez et cliquez avec le bouton droit sur Confidentiality,
puis cliquez sur Activer.
5. Assurez-vous que les propriétés Department et Confidentiality sont activées dans la liste.

6. Double-cliquez sur Department.

7. Allez à la section Valeurs suggérées, puis cliquez sur Ajouter.

8. Dans la fenêtre Ajouter une valeur suggérée, tapez Research dans les zones de texte Valeur
et Nom complet, puis cliquez deux fois sur OK.

9. Cliquez sur Contrôle d'accès dynamique, puis double-cliquez sur Resource Property Lists.

10. Dans le volet central, double-cliquez sur Global Resource Property List.

11. Vérifiez que les propriétés Department et Confidentiality s'affichent dans la liste Propriétés
de ressources, puis cliquez sur Annuler.
12. Fermez le Centre d'administration Active Directory.

 Tâche 8 : Classer les fichiers et dossiers

1. Basculez vers LON-SVR1.

2. Dans le Gestionnaire de serveur, cliquez sur Ajouter des rôles et des fonctionnalités.

3. Dans l'Assistant Ajout de rôles et de fonctionnalités, cliquez trois fois sur Suivant.

4. Dans la page Sélectionner des rôles de serveurs, développez Services de fichiers et de stockage
(Installé), Services de fichiers et iSCSI (Installé), puis activez la case à cocher Gestionnaire
de ressources du serveur de fichiers.

5. Lorsque vous y êtes invité, cliquez sur Ajouter des fonctionnalités.

6. Cliquez sur Suivant à deux reprises, puis sur Installer. Une fois l'installation terminée, cliquez
sur Fermer.

7. Sur le Bureau, dans la barre des tâches, cliquez sur l'icône de l'Explorateur de fichiers.

8. Dans l'Explorateur de fichiers, dans la barre d'adresses, tapez C:\, puis appuyez sur Entrée.

9. Dans l'Explorateur de fichiers, cliquez avec le bouton droit dans un espace libre, pointez
sur Nouveau, puis cliquez sur Dossier.

10. Tapez Docs, puis appuyez sur Entrée.

11. Double-cliquez sur le dossier Docs.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L10-83

12. Cliquez avec le bouton droit dans un espace libre, pointez sur Nouveau, puis cliquez
sur Document texte.

13. Tapez Doc1, puis appuyez sur Entrée.

14. Double-cliquez sur Doc1.

15. Dans le Bloc-notes, tapez Ce document est secret.

16. Fermez le fichier et, lorsque vous y êtes invité, cliquez sur Enregistrer.

17. Dans l'Explorateur de fichiers, dans le dossier Docs, cliquez avec le bouton droit dans un espace libre,
pointez sur Nouveau, puis cliquez sur Document texte.

18. Tapez Doc2, puis appuyez sur Entrée.

19. Double-cliquez sur Doc2.

20. Dans le Bloc-notes, tapez Ce document est secret.

21. Fermez le fichier et, lorsque vous y êtes invité, cliquez sur Enregistrer.

22. Dans l'Explorateur de fichiers, dans le dossier Docs, cliquez avec le bouton droit dans un espace libre,
pointez sur Nouveau, puis cliquez sur Document texte.

23. Dans le Bloc-notes, tapez Doc3, puis appuyez sur Entrée.

24. Double-cliquez sur Doc3.

25. Tapez Ceci est un document.

26. Fermez le fichier et, lorsque vous y êtes invité, cliquez sur Enregistrer.

27. Dans l'Explorateur de fichiers, dans la barre d'adresses, tapez C:\, puis appuyez sur Entrée.

28. Cliquez avec le bouton droit sur Docs, pointez sur Partager avec, puis cliquez sur Des personnes
spécifiques.

29. Dans la boîte de dialogue Partage de fichiers, dans la zone de texte, tapez Utilisateurs
authentifiés, puis cliquez sur Ajouter.

30. Dans la liste Nom, cliquez sur Utilisateurs authentifiés, puis dans Niveau d'autorisation,
cliquez sur Lecture/écriture.

31. Cliquez sur Partager, puis sur Terminé.

32. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire de ressources
du serveur de fichiers.

33. Dans la console du Gestionnaire de ressources du serveur de fichiers, développez Gestion

de la classification.

34. Sélectionnez puis cliquez avec le bouton droit sur Propriétés de classification, puis cliquez
sur Actualiser.

35. Vérifiez que les propriétés Confidentiality et Department s'affichent dans la liste.

36. Cliquez sur Règles de classification.

37. Dans le volet Actions, cliquez sur Créer une règle de classification.

38. Dans la fenêtre Créer une règle de classification, dans la zone de texte Nom de la règle,
tapez Définir la confidentialité.

39. Cliquez sur l'onglet Portée, puis sur Ajouter.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L10-84 Planification et implémentation des services de fichiers

40. Dans la boîte de dialogue Rechercher un dossier, développez Disque local (C:), cliquez sur
le dossier Docs, puis sur OK.

41. Cliquez sur l'onglet Classification.

42. Assurez-vous que les paramètres suivants sont définis, puis cliquez sur Configurer :

• Méthode de classification : Classifieur de contenus

• Propriété : Confidentiality

• Spécifier une valeur : High

43. Dans la boîte de dialogue Paramètres de classification, cliquez sur la liste déroulante Expression
régulière, puis sur Chaîne.

44. Dans le champ Expression (à côté du mot Chaîne), tapez secret, puis cliquez sur OK.

45. Cliquez sur l'onglet Type d'évaluation. Activez la case à cocher Réévaluer les valeurs de propriété
existantes, cliquez sur Remplacer la valeur existante, puis sur OK.

46. Dans le Gestionnaire de ressources du serveur de fichiers, dans le volet Actions, cliquez sur Exécuter
la classification avec toutes les règles maintenant.
47. Cliquez sur Attendre la fin de la classification, puis sur OK.

48. Une fois la classification terminée, un rapport s'affiche. Vérifiez que les deux fichiers ont été classés.

Remarque : Vous constatez que les deux fichiers ont été classés dans la section Totaux
des rapports du rapport.

49. Fermez le rapport.

50. Basculez vers l'Explorateur de fichiers, développez le lecteur C, puis cliquez sur le dossier Docs.

51. Cliquez avec le bouton droit sur Doc1, puis cliquez sur Propriétés.
52. Dans la boîte de dialogue Propriétés de : [Link] , cliquez sur l'onglet Classification, puis vérifiez
que Confidentiality a la valeur High.

53. Répétez les étapes 51 et 52 sur les fichiers Doc2 et Doc3.

Remarque : [Link] doit avoir la même confidentialité que [Link], et [Link]

ne doit avoir aucune valeur. C'est parce que seuls Doc1 et Doc2 contiennent le mot secret
dans leur contenu.

54. Dans l'Explorateur de fichiers, dans la barre d'adresses, tapez C:\, puis appuyez sur Entrée.
55. Dans l'Explorateur de fichiers, cliquez avec le bouton droit dans un espace libre, pointez
sur Nouveau, puis cliquez sur Dossier.

56. Tapez Research, puis appuyez sur Entrée.

57. Dans l'Explorateur de fichiers, double-cliquez sur Research, cliquez avec le bouton
droit dans un espace libre, pointez sur Nouveau, puis cliquez sur Document texte.

58. Tapez Research1, puis appuyez sur Entrée.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L10-85

59. Double-cliquez sur Research1.

60. Dans le Bloc-notes, tapez Ceci est un document de recherche, puis fermez le fichier. À l'invite,
cliquez sur Enregistrer.

61. Dans l'Explorateur de fichiers, dans la barre d'adresses, tapez C:\, puis appuyez sur Entrée.

62. Cliquez avec le bouton droit sur Research, pointez sur Partager avec, puis cliquez sur Des
personnes spécifiques.

63. Dans la boîte de dialogue Partage de fichiers, dans la zone de texte, tapez Utilisateurs
authentifiés, puis cliquez sur Ajouter.
64. Dans la liste Nom, cliquez sur Utilisateurs authentifiés, puis dans Niveau d'autorisation, cliquez
sur Lecture/écriture.

65. Cliquez sur Partager, puis sur Terminé.

66. Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur le dossier Research, puis cliquez
sur Propriétés.

67. Dans la boîte de dialogue Propriétés de : Research, cliquez sur l'onglet Classification, sur
Department, puis dans la section Valeur, cliquez sur Research, sur Appliquer, puis sur OK.

 Tâche 9 : Configurer des règles de stratégie d'accès centralisée

1. Basculez vers LON-DC1.

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Centre d'administration
Active Directory.

3. Dans la console Centre d'administration Active Directory, dans le volet de navigation,

cliquez sur Contrôle d'accès dynamique.

4. Double-cliquez sur Central Access Rules.

5. Dans le volet des tâches, cliquez sur Nouveau, puis sur Règle d'accès central.

6. Dans la boîte de dialogue Créer Règle d'accès central, dans la zone Nom, tapez Correspondance
de service. Dans la section Ressources cibles, cliquez sur Modifier.

7. Dans la boîte de dialogue Règle d'accès central, cliquez sur Ajouter une condition.

8. Définissez une condition comme suit : Ressource-Department-Est égal à-Valeur-Research,

puis cliquez sur OK.

9. Dans la section Autorisations, cliquez sur Utiliser les autorisations suivantes en tant
qu'autorisations actuelles.

10. Dans la section Autorisations, cliquez sur Modifier.

11. Cliquez sur Administrateurs (ADATUM\Administrateurs), puis sur Supprimer.

12. Dans la boîte de dialogue Paramètres de sécurité avancés pour Autorisations, cliquez sur Ajouter.

13. Dans la boîte de dialogue Autorisations pour Autorisations, cliquez sur Sélectionnez un principal.

14. Dans la boîte de dialogue Sélectionnez un utilisateur, un ordinateur, un compte de service

ou un groupe, tapez Utilisateurs authentifiés, cliquez sur Vérifier les noms, puis sur OK.

15. Dans la section Autorisations de base, cliquez sur Modification, Lecture et exécution, Lecture
et Écriture, puis sur Ajouter une condition.

16. Cliquez sur la liste déroulante Groupe, puis sur Service de société.
17. Dans la liste déroulante Valeur, cliquez sur Ressource.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L10-86 Planification et implémentation des services de fichiers

18. Dans la dernière liste déroulante, cliquez sur Department.

Remarque : Vous devriez donc avoir : Utilisateur-Service de société-Est

égal à-Ressource-Department.

19. Cliquez trois fois sur OK.

20. Dans le volet des tâches, cliquez sur Nouveau, puis sur Règle d'accès central.

21. Pour le nom de la règle, tapez Accéder aux documents confidentiels.

22. Dans la section Ressources cibles, cliquez sur Modifier.

23. Dans la fenêtre Règle d'accès centralisée, cliquez sur Ajouter une condition.

24. Dans la dernière zone déroulante, cliquez sur High, puis sur OK.

Remarque : Vous devez avoir l'expression suivante comme résultat :

Ressource-Confidentiality-Est égal à-Valeur-High.

25. Dans la section Autorisations, cliquez sur Utiliser les autorisations suivantes en tant
qu'autorisations actuelles, puis cliquez sur Modifier.

26. Cliquez sur Administrateurs (ADATUM\Administrateurs), puis sur Supprimer.

27. Dans la boîte de dialogue Paramètres de sécurité avancés pour Autorisations, cliquez sur Ajouter.

28. Dans la boîte de dialogue Autorisations pour Autorisations, cliquez sur Sélectionnez un principal.

29. Dans la boîte de dialogue Sélectionnez un utilisateur, un ordinateur, un compte de service

ou un groupe, tapez Utilisateurs authentifiés, cliquez sur Vérifier les noms, puis sur OK.

30. Dans la section Autorisations de base, cliquez sur Modification, Lecture et exécution, Lecture
et Écriture, puis sur Ajouter une condition.
31. Cliquez sur Ajouter des éléments.

32. Dans la boîte de dialogue Sélectionnez un utilisateur, un ordinateur, un compte de service

ou un groupe, tapez Managers, puis cliquez sur OK.

33. Dans la boîte de dialogue Noms multiples trouvés, cliquez sur Managers, puis sur OK.

34. Cliquez sur Ajouter une condition, puis sur Ajouter des éléments.

35. Dans la boîte de dialogue Sélectionnez un utilisateur, un ordinateur, un compte de service

ou un groupe, tapez Managers, puis cliquez sur OK.

36. Dans la boîte de dialogue Noms multiples trouvés, cliquez sur Managers, puis sur OK.

37. Attribuez à la deuxième condition la valeur suivante : Périphérique-Groupe-Membre

de chaque-Valeur-.

38. Cliquez sur Ajouter des éléments.

39. Dans la boîte de dialogue Sélectionnez un utilisateur, un ordinateur, un compte de service

ou un groupe, tapez Managers, puis cliquez sur OK.

40. Dans la boîte de dialogue Noms multiples trouvés, cliquez sur ManagersWKS, puis sur OK.

41. Cliquez trois fois sur OK.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L10-87

 Tâche 10 : Créer et publier la stratégie d'accès centralisée

1. Sur LON-DC1, dans le Centre d'administration Active Directory, cliquez sur Contrôle
d'accès dynamique, puis double-cliquez sur Central Access Policies.

2. Dans le volet des tâches, cliquez sur Nouveau, puis sur Stratégie d'accès central.

3. Dans la zone de texte Nom, tapez Protéger les documents confidentiels, puis cliquez sur Ajouter.

4. Cliquez sur la règle Accéder aux documents confidentiels, puis sur l'icône Autre (>>).
5. Cliquez sur OK à deux reprises.

6. Dans le volet des tâches, cliquez sur Nouveau, puis sur Stratégie d'accès central.

7. Dans la zone Nom, tapez Correspondance de service, puis cliquez sur Ajouter.

8. Cliquez sur la règle Correspondance de service, sur l'icône Autre (>>), puis deux fois sur OK.

9. Basculez vers le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

10. Dans l'Éditeur de gestion des stratégies de groupe, sous Domaines, développez [Link],
cliquez avec le bouton droit sur Test, puis cliquez sur Créer un objet GPO dans ce domaine,
et le lier ici.

11. Tapez Stratégie DAC, puis cliquez sur OK.

12. Cliquez avec le bouton droit sur Stratégie DAC, puis cliquez sur Modifier.

13. Dans l'Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur,
Stratégies, Paramètres Windows, Paramètres de sécurité, Système de fichiers, cliquez
avec le bouton droit sur Stratégie d'accès centralisée, puis cliquez sur Gérer les stratégies
d'accès centralisées.

14. Cliquez sur Correspondance de service et sur Protéger les documents confidentiels,
puis sur Ajouter.

15. Cliquez sur OK.

16. Fermez l'Éditeur de gestion des stratégies de groupe.

17. Fermez la Console Gestion de stratégie de groupe.

 Tâche 11 : Appliquer une stratégie d'accès centralisée

1. Basculez vers LON-SVR1.

2. Dans la barre des tâches, cliquez sur l'icône Windows PowerShell.

3. Dans la fenêtre Windows PowerShell, tapez gpupdate /force, puis appuyez sur Entrée.

4. Fermez la fenêtre Windows PowerShell.

5. Basculez vers l'Explorateur de fichiers.

6. Dans la fenêtre de l'Explorateur de fichiers, dans la barre d'adresses, tapez C:\, puis appuyez
sur Entrée.

7. Cliquez avec le bouton droit sur le dossier Docs, puis cliquez sur Propriétés.

8. Dans la boîte de dialogue Propriétés de : Docs, cliquez sur l'onglet Sécurité, puis sur Avancé.

9. Dans la fenêtre Paramètres de sécurité avancés pour Docs, cliquez sur l'onglet Stratégie centralisée,
puis sur Modifier.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L10-88 Planification et implémentation des services de fichiers

10. Dans la liste déroulante, cliquez sur Protéger les documents confidentiels, puis cliquez deux fois
sur OK.

11. Cliquez avec le bouton droit sur le dossier Research, puis cliquez sur Propriétés.

12. Dans la boîte de dialogue Propriétés de : Research, cliquez sur l'onglet Sécurité, puis sur Avancé.

13. Dans la fenêtre Paramètres de sécurité avancés pour Recherche, cliquez sur l'onglet Stratégie
centralisée, puis cliquez sur Modifier.

14. Dans la zone déroulante, cliquez sur Correspondance de service, puis cliquez deux fois sur OK.

 Tâche 12 : Configurer les paramètres d'action corrective en cas d'accès refusé

1. Basculez vers LON-DC1.

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.

3. Développez Forêt : [Link], développez Domaines, développez [Link], puis cliquez

sur Objets de stratégie de groupe.
4. Cliquez avec le bouton droit sur Stratégie DAC, puis cliquez sur Modifier.

5. Sous Configuration ordinateur, développez Stratégies, Modèles d'administration : définitions

de stratégies (fichiers ADMX) récupérées à partir de l'ordinateur local, Système, puis cliquez
sur Assistance en cas d'accès refusé.

6. Dans le volet droit, double-cliquez sur Personnaliser le message des erreurs d'accès refusé.

7. Dans la fenêtre Personnaliser le message des erreurs d'accès refusé, cliquez sur Activé.
8. Dans la zone de texte Afficher le message suivant aux utilisateurs auxquels l'accès est refusé,
tapez Votre accès est refusé en raison de la stratégie d'autorisation. Veuillez demander
un accès.
9. Activez la case à cocher Autoriser les utilisateurs à demander de l'assistance.

10. Examinez les autres options sans apporter de modifications, puis cliquez sur OK.

11. Dans le volet droit de l'Éditeur de gestion des stratégies de groupe, double-cliquez sur Activer
l'assistance en cas d'accès refusé pour tous les types de fichiers, cliquez sur Activé, puis sur OK.

12. Fermez l'Éditeur de gestion des stratégies de groupe et fermez la Console Gestion de stratégie
de groupe.
13. Basculez vers LON-SVR1.

14. Sur LON-SVR1, dans la barre des tâches, cliquez sur l'icône Windows PowerShell.

15. Dans Windows PowerShell, tapez gpupdate /force, puis appuyez sur Entrée.

 Tâche 13 : Vérifier la fonctionnalité de contrôle d'accès dynamique

1. Basculez vers LON-CL1.

2. Déconnectez-vous, puis reconnectez-vous à LON-CL1 en tant qu'Adatum\April avec le mot

de passe Pa$$w0rd.

3. Cliquez sur le Bureau, puis dans la barre des tâches, cliquez sur l'icône Explorateur de fichiers.

4. Dans la barre d'adresses de l'Explorateur de fichiers, tapez \\LON-SVR1\Docs, puis appuyez

sur Entrée.
5. Essayez d'ouvrir Doc3. Vous devriez pouvoir ouvrir ce document.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L10-89

6. Dans la barre d'adresses de l'Explorateur de fichiers, tapez \\LON-SVR1\Research, puis appuyez

sur Entrée.

Remarque : Vous ne devriez pas pouvoir accéder à ce dossier.

7. Cliquez sur Demander de l'aide. Examinez les options d'envoi de messages, puis cliquez sur Fermer.

8. Déconnectez-vous de LON-CL1.

9. Reconnectez-vous à LON-CL1 en tant qu'Adatum\Allie avec le mot de passe Pa$$w0rd.

10. Cliquez sur le Bureau, puis dans la barre des tâches, cliquez sur l'icône Explorateur de fichiers.

11. Dans l'Explorateur de fichiers, dans la barre d'adresses, tapez \\LON-SVR1\Research, puis appuyez
sur Entrée.

Remarque : Vous devriez être en mesure d'accéder à ce dossier et d'ouvrir les documents
qui s'y trouvent, car Allie est membre du service Recherche.

12. Déconnectez-vous de LON-CL1.

Remarque : Au cours de cet atelier pratique, vous ne testerez pas l'accès aux fichiers
à partir d'un ordinateur qui N'est PAS membre du groupe ManagersWKS.

 Tâche 14 : Afficher les autorisations effectives

1. Sur LON-SVR1, basculez vers l'Explorateur de fichiers.

2. Dans l'Explorateur de fichiers, dans la barre d'adresses, tapez C:\, puis appuyez sur Entrée.

3. Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur le dossier Research, puis cliquez
sur Propriétés.

4. Dans la boîte de dialogue Propriétés de : Research, cliquez sur l'onglet Sécurité, sur Avancé,
puis sur Accès effectif.
5. Cliquez sur Sélectionnez un utilisateur.

6. Dans la fenêtre Sélectionnez un utilisateur, un ordinateur, un compte de service ou un groupe,

tapez April, cliquez sur Vérifier les noms, puis sur OK.

7. Cliquez sur Afficher l'accès effectif.

8. Vérifiez les résultats. April ne devrait pas avoir accès à ce dossier.

9. Cliquez sur Inclure une revendication utilisateur.

10. Dans la liste déroulante, cliquez sur Service de société, puis dans la zone de texte Entrer
une valeur ici, tapez Research.

11. Cliquez sur Afficher l'accès effectif. April devrait maintenant y avoir accès.

12. Fermez toutes les fenêtres.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L10-90 Planification et implémentation des services de fichiers

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-DC1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-SVR1 et 22413B-LON-CL1.

Résultats : À la fin de cet exercice, vous devez avoir correctement planifié et implémenté le contrôle
d'accès dynamique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-91

Module 11 : Conception et implémentation des services

d'accès réseau
Atelier pratique : Conception et
implémentation des services d'accès réseau
Exercice 1 : Planification et implémentation d'une solution VPN
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section de propositions du document Stratégie de service d'accès réseau.

1. Quelle méthode d'authentification devez-vous utiliser pour les connexions au réseau privé
virtuel (VPN) ?

Pour obtenir le niveau de sécurité le plus élevé, vous devez utiliser des cartes à puce. Tous les
protocoles de tunneling VPN pris en charge par Windows Server® 2012 et Windows® 8 prennent
en charge l'utilisation d'EAP-TLS (Extensible Authentication Protocol-Transport Layer Security),
qui est la méthode d'authentification utilisée pour l'authentification par carte à puce.

2. Quel protocole de tunneling VPN devez-vous utiliser ?

Pour fournir le meilleur niveau de sécurité, vous devez utiliser le protocole SSTP (Secure Socket
Tunneling Protocol) ou le protocole L2TP (Layer Two Tunneling Protocol). Le protocole L2TP
peut fournir une sécurité légèrement meilleure en matière d'authentification, car les ordinateurs
et les utilisateurs sont authentifiés. Toutefois, dans certains cas, les VPN L2TP peuvent être
bloquées par des pare-feu. Le protocole SSTP possède un niveau de chiffrement semblable
à L2TP/ Internet Protocol security (IPsec), mais est plus facile à configurer, car aucune
authentification d'ordinateur n'est requise. Il n'est pratiquement jamais bloqué par les pare-feu.
Vous devez utiliser SSTP pour des clients Windows 8 et L2TP pour des clients Windows XP.

3. Où devez-vous placer les serveurs VPN ?

Pour une meilleure sécurité, vous devez placer les serveurs VPN sur un réseau de périmètre. Cela
permet au serveur VPN d'être protégé des utilisateurs Internet. Il permet également aux pare-feu
de contrôler l'accès des utilisateurs VPN au réseau d'entreprise. Cette configuration requiert des
règles de pare-feu plus complexes, mais elle est tout à fait à la portée de toute grande entreprise.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-92 Conception et implémentation des services d'accès réseau

4. Comment traiterez-vous les problèmes de lenteur d'accès aux données sur VPN des utilisateurs
non européens ?

La configuration physique actuelle du réseau Contoso n'a qu'une seule connexion Internet à Paris.
Pour fournir un accès plus rapide aux données, vous pouvez ajouter davantage de connexions
Internet dans d'autres sites. Cependant, le contrôle de l'accès à Internet deviendrait plus difficile.

Une autre solution possible est de fournir aux services Bureau à distance (RDS) les applications
nécessaires pour les utilisateurs non européens. Ces utilisateurs peuvent utiliser une connexion VPN
pour se connecter à Paris et exécuter ensuite leurs applications sur les services Terminal Server de leur
site d'accueil. Les serveurs de Bureau à distance auront un accès rapide aux données locales, et seules
les mises à jour d'écran sont envoyées aux clients d'accès à distance sur VPN. Les mises à jour d'écran
des services Bureau à distance génèrent généralement beaucoup moins de trafic via une connexion
réseau que lors de l'accès aux données à partir d'une station de travail.

5. Comment configurerez-vous des clients avec des connexions VPN ?

Vous pouvez utiliser le Kit d'administration de Microsoft Connection Manager (CMAK) pour
générer les packages qui fournissent des informations de connectivité des connexions VPN. Vous
devrez former les utilisateurs sur la connexion à utiliser, en fonction de l'endroit où ils se trouvent.

6. Comment traiterez-vous les problèmes de disponibilité de la connexion Internet ?

Lorsque vous planifiez une solution de récupération d'urgence et de disponibilité des services, il est
essentiel de souscrire un contrat de niveau de service (SLA) avec un fournisseur de services Internet.
Si le fournisseur de services Internet actuel ne peut pas fournir de contrat SLA, A. Datum doit
rechercher d'autres fournisseurs de connectivité Internet qui peuvent fournir un contrat SLA. Lors
de l'évaluation des contrats SLA, vous devez trouver un équilibre entre la garantie de disponibilité
et le coût du service.
7. Comment le service RADIUS (Remote Authentication Dial-In User Service) permettra-t-il à l'assistance
technique d'A. Datum de contrôler les mots de passe ?

Lorsque l'authentification RADIUS est utilisée avec un fournisseur de services Internet, un serveur
d'annuaire sur le réseau A. Datum exécute toutes les authentifications. Par conséquent, lorsque
le personnel de l'assistance technique chez A. Datum réinitialise un mot de passe sur un compte
de services de domaine Active Directory® (AD DS), le mot de passe est également réinitialisé
pour permettre l'accès réseau à distance.

8. Quelle configuration les administrateurs chez A. Datum doivent-ils exécuter ?

Chez A. Datum, vous devez configurer un serveur NPS (Network Policy Server) pour accepter
les demandes RADIUS du fournisseur de services Internet.

9. Comment l'implémentation RADIUS affecte-elle le serveur VPN local ?

L'implémentation RADIUS peut rester séparée du serveur VPN local, et ne pas nécessairement
l'affecter. Cependant, dans ce cas, vous devez maintenir des stratégies réseau sur le serveur VPN
et le serveur NPS utilisés par le service RADIUS. Pour simplifier la maintenance des stratégies réseau,
vous devez configurer le serveur VPN en tant que client RADIUS du serveur NPS. Ensuite, vous
pouvez centraliser toute l'authentification et toute la journalisation sur le serveur NPS et maintenir
les stratégies réseau uniquement sur le serveur NPS.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-93

10. Quelles stratégies réseau devez-vous créer ?

Vous devez créer les stratégies réseau suivantes :

• Une seule stratégie réseau sans aucune restriction pour les cadres.

• Une stratégie réseau pour les dirigeants de filiale dans chaque site concentrateur régional.
La stratégie de chaque site concentrateur régional restreindra l'accès à l'aide de filtres IP.
• Une seule stratégie réseau pour le personnel du service client qui refuse l'accès à distance.

• Le personnel du marketing n'a pas besoin d'avoir accès aux applications ou aux données,
et peut avoir un accès Web à son courrier électronique au lieu d'utiliser les services Bureau
à distance. Vous pouvez sécuriser l'accès Web au courrier électronique avec SSL (Secure
Sockets Layer). Ceci simplifie la configuration du client pour le personnel du marketing.

11. Comment l'ordre de traitement affecte-t-il vos stratégies réseau ?

Seule la première stratégie réseau dont les conditions correspondent est évaluée. Par conséquent,
vous devez être certain que la stratégie appropriée est d'abord évaluée, en fonction des conditions
définies. En général, les appartenances aux groupes qui se chevauchent sont le plus gros souci.
Par exemple, si un cadre est membre des groupes Cadres et Service client, vous devez vérifier
que la stratégie réseau Cadres qui autorise l'accès est évaluée avant la stratégie réseau Service
client qui refuse l'accès.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

 Tâche 5 : Installer et configurer le système NPS

1. Basculez vers LON-DC1.
2. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

3. Si nécessaire, dans la barre des tâches, cliquez sur Gestionnaire de serveur.

4. Dans le Gestionnaire de serveur, dans le volet d'informations, cliquez sur Ajouter des rôles
et des fonctionnalités.

5. Dans l'Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant.

6. Dans la page Sélectionner le type d'installation, cliquez sur Installation basée sur un rôle
ou une fonctionnalité, puis cliquez sur Suivant.

7. Dans la page Sélectionner le serveur de destination, cliquez sur Suivant.

8. Dans la page Sélectionner des rôles de serveurs, activez la case à cocher Services de stratégie
et d'accès réseau.

9. Cliquez sur Ajouter des fonctionnalités, puis cliquez sur Suivant à deux reprises.

10. Dans la page Services de stratégie et d'accès réseau, cliquez sur Suivant.
11. Dans la page Sélectionner des services de rôle, vérifiez que la case à cocher Serveur NPS
(Network Policy Server) est activée, puis cliquez sur Suivant.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-94 Conception et implémentation des services d'accès réseau

12. Dans la page Confirmer les sélections d'installation, cliquez sur Installer.

13. Vérifiez que l'installation a réussi, puis cliquez sur Fermer.

14. Fermez le Gestionnaire de serveur.

15. Positionnez le pointeur de la souris dans l'angle inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

16. Cliquez sur Serveur NPS.

17. Dans le Gestionnaire de stratégies réseau, dans le volet de navigation, cliquez avec le bouton droit
sur NPS (local), puis cliquez sur Inscrire un serveur dans Active Directory.

18. Dans la boîte de message Serveur NPS (Network Policy Server), cliquez sur OK.

19. Dans la boîte de dialogue Serveur NPS (Network Policy Server), cliquez sur OK.

20. Laissez la console Serveur NPS ouverte.

 Tâche 6 : Configurer des modèles NPS

1. Dans la console Serveur NPS, dans le volet de navigation, développez Gestion.

2. Dans le volet de navigation, cliquez avec le bouton droit sur Secrets partagés, puis cliquez
sur Nouveau.

3. Dans la boîte de dialogue Nouveau modèle de secret partagé RADIUS, dans la zone Nom
du modèle, tapez Secret d'Adatum.

4. Dans les zones Secret partagé et Confirmer le secret partagé, tapez Pa$$w0rd, puis cliquez
sur OK.

5. Dans le volet de navigation, cliquez avec le bouton droit sur Clients RADIUS, puis cliquez
sur Nouveau.

6. Dans la boîte de dialogue Nouveau client RADIUS, dans la zone Nom convivial, tapez LON-RTR.

7. Cliquez sur Vérifier et dans la boîte de dialogue Vérifier l'adresse, dans la zone Adresse,
tapez LON-RTR, cliquez sur Résoudre, puis sur OK.
8. Dans la boîte de dialogue Nouveau client RADIUS, sous Secret partagé, dans Sélectionnez
un modèle de secrets partagés existant, cliquez sur Secret d'Adatum, puis sur OK.

9. Laissez la console Serveur NPS ouverte.

 Tâche 7 : Configurer la gestion de comptes RADIUS

1. Dans le serveur NPS, dans le volet de navigation, cliquez sur Gestion.

2. Dans le volet d'informations, cliquez sur Configurer la gestion des comptes.

3. Dans l'Assistant Configuration de la gestion des comptes, cliquez sur Suivant.

4. Dans la page Sélectionner les options de gestion, cliquez sur Enregistrer les données
dans un fichier texte sur l'ordinateur local, puis cliquez sur Suivant.

5. Dans la page Configurer la journalisation dans un fichier local, cliquez sur Suivant.
6. Dans la page Résumé, cliquez sur Suivant.

7. Dans la page Conclusion, cliquez sur Fermer.

8. Laissez la console Serveur NPS ouverte.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-95

 Tâche 8 : Configurer un client RADIUS

1. Dans la console Serveur NPS, développez Clients et serveurs RADIUS.

2. Cliquez avec le bouton droit sur Clients RADIUS, puis cliquez sur Nouveau.

3. Dans la boîte de dialogue Nouveau client RADIUS, désactivez la case à cocher Activer
ce client RADIUS.

4. Activez la case à cocher Sélectionner un modèle existant, puis cliquez sur OK.
5. Laissez la console Serveur NPS ouverte.

6. Basculez vers LON-RTR.

7. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

8. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Routage et accès distant.

9. Si nécessaire, dans la boîte de dialogue Assistant Activation de DirectAccess, cliquez sur

Annuler, puis sur OK.
10. Dans la console Routage et accès distant, cliquez avec le bouton droit sur LON-RTR (local),
puis cliquez sur Désactiver le routage et l'accès à distance.

11. Dans la boîte de dialogue Routage et accès distant, cliquez sur Oui.
12. Dans la console Routage et accès distant, cliquez avec le bouton droit sur LON-RTR (local),
puis cliquez sur Configurer et activer le routage et l'accès à distance.

13. Cliquez sur Suivant, sélectionnez Accès à distance (connexion à distance ou VPN), puis cliquez
sur Suivant.

14. Activez la case à cocher VPN, puis cliquez sur Suivant.

15. Cliquez sur l'interface réseau nommée Connexion au réseau local 2. Désactivez la case à cocher
Sécuriser l'interface sélectionnée en configurant des filtres de paquet statiques, puis cliquez
sur Suivant.

16. Dans la page Attribution d'adresses IP, sélectionnez À partir d'une plage d'adresses spécifiée,
puis cliquez sur Suivant.

17. Dans la page Assignation de plages d'adresses, cliquez sur Nouveau. À côté de Adresse IP de
début, tapez [Link], à côté de Adresse IP de fin, tapez [Link], puis cliquez sur OK.

18. Vérifiez que 11 adresses IP ont été attribuées aux clients distants, puis cliquez sur Suivant.

19. Dans la page Gestion de serveurs d'accès à distance multiples, cliquez sur Oui, configurer
ce serveur pour travailler avec un serveur RADIUS, puis cliquez sur Suivant.

20. Dans la page Sélection des serveurs RADIUS, dans la zone Serveur RADIUS principal,
tapez LON-DC1.

21. Dans la zone Secret partagé, tapez Pa$$w0rd, puis cliquez sur Suivant.

22. Cliquez sur Terminer.

23. Dans la boîte de dialogue Routage et accès distant, cliquez sur OK.

24. Si vous y êtes invité, cliquez une nouvelle fois sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-96 Conception et implémentation des services d'accès réseau

 Tâche 9 : Configurer les stratégies réseau

1. Basculez vers LON-DC1.

2. Basculez vers Serveur NPS (Network Policy Server).

3. Dans Serveur NPS (Network Policy Server), développez Stratégies, puis cliquez sur Stratégies réseau.

4. Dans le volet d'informations, cliquez avec le bouton droit sur la première stratégie de la liste,
puis cliquez sur Désactiver.
5. Dans le volet d'informations, cliquez avec le bouton droit sur la dernière stratégie de la liste,
puis cliquez sur Désactiver.

6. Dans le volet de navigation, cliquez avec le bouton droit sur Stratégies réseau, puis cliquez
sur Nouveau.

7. Dans l'Assitant Nouvelle stratégie réseau, dans la zone Nom de la stratégie, tapez
Stratégie VPN Adatum.
8. Dans la liste Type de serveur d'accès réseau, cliquez sur Serveur d'accès à distance
(VPN-Dial up), puis sur Suivant.

9. Dans la page Spécifier les conditions, cliquez sur Ajouter.

10. Dans la boîte de dialogue Sélectionner une condition, cliquez sur Type de port NAS,
puis sur Ajouter.

11. Dans la boîte de dialogue Type de port NAS, activez la case à cocher Virtuel (VPN), puis cliquez
sur OK.

12. Cliquez sur Suivant.

13. Dans la page Spécifier l'autorisation d'accès, cliquez sur Accès accordé, puis sur Suivant.
14. Dans la page Configurer les méthodes d'authentification, cliquez sur Suivant.

15. Dans la page Configurer des contraintes, cliquez sur Suivant.

16. Dans la page Configurer les paramètres, cliquez sur Suivant.

17. Dans la page Fin de la configuration de la nouvelle stratégie réseau, cliquez sur Terminer.

 Tâche 10 : Tester l'accès VPN

1. Basculez vers LON-CL2.

2. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

3. Dans l'écran d'accueil, tapez Panneau, puis dans la liste Applications, cliquez sur Panneau
de configuration.

4. Dans le Panneau de configuration, cliquez sur Réseau et Internet.

5. Dans Réseau et Internet, cliquez sur Centre Réseau et partage.

6. Dans Centre Réseau et partage, sous Modifier vos paramètres réseau, cliquez sur Configurer
une nouvelle connexion ou un nouveau réseau.
7. Dans la page Choisir une option de connexion, cliquez sur Connexion à votre espace de travail,
puis sur Suivant.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-97

8. Dans la page Comment voulez-vous vous connecter ?, cliquez sur Utiliser ma connexion
Internet (VPN).

9. Cliquez sur Je configurerai une connexion Internet ultérieurement.

10. Dans la page Entrez l'adresse Internet à laquelle vous souhaitez vous connecter, dans la zone
Adresse Internet, tapez [Link].

11. Dans la zone Nom de la destination, tapez VPN Adatum.

12. Activez la case à cocher Autoriser d'autres personnes à utiliser cette connexion, puis cliquez
sur Créer.
13. Dans la fenêtre Centre Réseau et partage, cliquez sur Modifier les paramètres de la carte.

14. Cliquez avec le bouton droit sur la connexion VPN Adatum, cliquez sur Propriétés, puis cliquez
sur l'onglet Sécurité.

15. Dans la liste Type de réseau VPN, cliquez sur Protocole PPTP (Point to Point
Tunneling Protocol).

16. Sous Authentification, cliquez sur Autoriser ces protocoles, puis cliquez sur OK.

17. Dans la fenêtre Connexions réseau, cliquez avec le bouton droit sur la connexion VPN Adatum ,
puis cliquez sur Connecter/Déconnecter.

18. Dans la liste Réseaux de droite, cliquez sur VPN Adatum, puis sur Connexion.
19. Dans Authentification réseau, dans la zone Nom d'utilisateur, tapez ADATUM\Administrateur.

20. Dans la zone Mot de passe, tapez Pa$$w0rd, puis cliquez sur OK.

21. Attendez que la connexion VPN soit établie. La connexion a réussi.

Résultats : À la fin de cet exercice, vous aurez réussi à concevoir et à implémenter une solution VPN.

 Préparer l'exercice suivant

Lorsque vous avez terminé cet exercice, rétablissez 22413B-LON-CL2 et démarrez des ordinateurs virtuels
supplémentaires. Pour cela, procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-CL2, puis cliquez
sur Rétablir.
3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-RTR et 22413B-LON-DC1.

5. Cliquez sur 22413B-LON-DC1 et dans le volet Actions, cliquez sur Démarrer.

6. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

7. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

8. Répétez les étapes 5 à 7 pour 22413B-LON-RTR et 22413B-LON-SVR1.

9. Ne démarrez pas 22413B-LON-CL1 tant que vous n'avez pas été invité à le faire.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-98 Conception et implémentation des services d'accès réseau

Exercice 2 : Planification et implémentation d'une solution DirectAccess

 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section de propositions du document Stratégie de DirectAccess.

1. Quels composants d'infrastructure doivent être en place pour prendre en charge

la fonctionnalité DirectAccess ?

Les composants suivants doivent être en place pour prendre en charge DirectAccess :

• AD DS. Vous devez déployer au moins un domaine Active Directory. Les groupes de travail
ne sont pas pris en charge.

• Stratégie de groupe. La stratégie de groupe est nécessaire à l'administration centralisée

et au déploiement des paramètres du client DirectAccess.
• Système DNS (Domain Name System) et contrôleur de domaine. Vous devez avoir au moins un
contrôleur de domaine et un serveur DNS exécutant Windows Server 2012, Windows Server 2008
Service Pack 2 (SP2) ou Windows Server 2008 R2.

• Éventuellement, une PKI. Vous devez utiliser l'infrastructure à clé publique (PKI) pour délivrer
des certificats d'ordinateur à des fins d'authentification et des certificats d'intégrité uniquement
lorsque vous déployez la protection d'accès réseau (NAP).
• Stratégies IPsec. DirectAccess utilise les stratégies IPsec configurées et administrées dans le cadre
du Pare-feu Windows avec fonctions avancées de sécurité.

• Trafic de requêtes d'écho ICMPv6. Vous devez créer des règles de trafic entrant
et de trafic sortant distinctes qui autorisent les messages de requêtes d'écho ICMPv6
(Internet Control Message Protocol version 6).

• Technologies de transition IPv6. Les technologies de transition IPv6, telles qu'ISATAP, Teredo
et 6to4, doivent être disponibles pour l'utilisation sur le serveur DirectAccess.

2. Implémenterez-vous une infrastructure à clé publique ?

Un déploiement de l'infrastructure PKI est facultatif pour la configuration et la gestion simplifiées.

DirectAccess sous Windows Server 2012 permet l'envoi des demandes d'authentification client vers
un service d'authentification proxy Kerberos basé sur HTTPS qui s'exécute sur le serveur DirectAccess.
Il n'est donc plus nécessaire d'établir un second tunnel IPsec entre les clients et les contrôleurs de
domaine. Le proxy d'authentification Kerberos envoie alors les demandes Kerberos aux contrôleurs
de domaine de la part du client.

Cependant, pour une configuration DirectAccess complète qui permet l'intégration de la protection
d'accès réseau (NAP), l'authentification à deux facteurs et le tunneling forcé, vous devez encore
implémenter les certificats d'authentification pour chaque client qui participera aux communications
DirectAccess.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-99

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

 Tâche 5 : Configurer AD DS et DNS

1. Créez un groupe de sécurité pour les ordinateurs clients DirectAccess en procédant comme suit :

a. Basculez vers LON-DC1.

b. Dans la barre des tâches, cliquez sur l'icône du Gestionnaire de serveur.

c. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs
Active Directory.

d. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur [Link],
puis cliquez sur Nouveau et sur Unité d'organisation.

e. Dans la fenêtre Nouvel objet - Unité d'organisation, dans la zone de texte Nom,
tapez DA_Clients OU, puis cliquez sur OK.

f. Dans Utilisateurs et ordinateurs Active Directory, développez [Link], cliquez

avec le bouton droit sur DA_Clients OU, cliquez sur Nouveau, puis sur Groupe.

g. Dans la boîte de dialogue Nouvel objet - Groupe, sous Nom du groupe, tapez DA_Clients.
h. Sous Étendue du groupe, cliquez sur Globale, sous Type de groupe, cliquez sur Sécurité,
puis sur OK.

i. Dans le volet d'informations, double-cliquez sur DA_Clients.

j. Dans la boîte de dialogue Propriétés de : DA_Clients, cliquez sur l'onglet Membres, puis
cliquez sur Ajouter.

k. Dans la boîte de dialogue Sélectionnez des utilisateurs, des contacts, des ordinateurs,
des comptes de service ou des groupes, cliquez sur Types d'objets, activez la case à cocher
des ordinateurs, puis cliquez sur OK.

l. Sous Entrez les noms des objets à sélectionner (exemples), tapez LON-CL1, puis cliquez
sur OK.

m. Vérifiez que LON-CL1 s'affiche correctement sous Membres, puis cliquez sur OK.

n. Fermez Utilisateurs et ordinateurs Active Directory.

2. Configurez les règles de pare-feu pour le trafic ICMPv6 en procédant comme suit :

Remarque : Il est important de configurer des règles de pare-feu pour le trafic ICMPv6
afin de permettre les tests suivants de DirectAccess dans l'environnement de test.

a. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion des stratégies de groupe.

b. Dans la Console de gestion des stratégies de groupe, développez Forêt : [Link],

Domaines, puis [Link].
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-100 Conception et implémentation des services d'accès réseau

c. Sous [Link], cliquez avec le bouton droit sur Default Domain Policy, puis cliquez
sur Modifier.

d. Dans l'Éditeur de gestion des stratégies de groupe, développez successivement Configuration

ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Pare-feu Windows
avec fonctions avancées de sécurité, puis cliquez sur Pare-feu Windows avec fonctions
avancées de sécurité.

e. Dans Pare-feu Windows avec fonctions avancées de sécurité, cliquez sur Règles de trafic
entrant, cliquez avec le bouton droit sur Règles de trafic entrant, puis cliquez sur
Nouvelle règle.

f. Dans la page Type de règle, cliquez sur Personnalisée, puis cliquez sur Suivant.

g. Dans la page Programme, cliquez sur Suivant.

h. Dans la page Protocole et ports, sous Type de protocole, cliquez sur ICMPv6,
puis sur Personnaliser.

i. Dans la boîte de dialogue Personnaliser les paramètres ICMP, cliquez sur Certains
types ICMP, sur Requête d'écho, puis sur OK.

j. Cliquez sur Suivant.

k. Dans la page Étendue, cliquez sur Suivant.

l. Dans la page Action, cliquez sur Suivant.

m. Dans la page Profil, cliquez sur Suivant.

n. Dans la page Nom, dans la zone de texte Nom, tapez Requêtes d'écho ICMPv6 entrantes,
puis cliquez sur Terminer.

o. Basculez vers l'Éditeur de gestion des stratégies de groupe, et dans l'arborescence de la console,
cliquez sur Règles de trafic sortant, cliquez avec le bouton droit sur Règles de trafic sortant,
puis cliquez sur Nouvelle règle.

p. Dans la page Type de règle, cliquez sur Personnalisée, puis cliquez sur Suivant.

q. Dans la page Programme, cliquez sur Suivant.

r. Dans la page Protocole et ports, sous Type de protocole, cliquez sur ICMPv6,
puis sur Personnaliser.

s. Dans la boîte de dialogue Personnaliser les paramètres ICMP, cliquez sur Certains
types ICMP, sur Requête d'écho, puis sur OK.

t. Cliquez sur Suivant.

u. Dans la page Étendue, cliquez sur Suivant.

v. Dans la page Action, cliquez sur Autoriser la connexion, puis cliquez sur Suivant.

w. Dans la page Profil, cliquez sur Suivant.

x. Dans la page Nom, dans la zone de texte Nom, tapez Requêtes d'écho ICMPv6 sortantes,
puis cliquez sur Terminer.

y. Fermez l'Éditeur et la Console de gestion des stratégies de groupe.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-101

3. Créez les enregistrements DNS requis en procédant comme suit :

a. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.

b. Dans la console du Gestionnaire DNS, développez LON-DC1, Zones de recherche directes,

puis cliquez sur [Link].

c. Cliquez avec le bouton droit sur [Link], puis cliquez sur Nouvel hôte (A ou AAAA).
d. Dans la zone de texte Nom, tapez nls. Dans la zone de texte Adresse IP, tapez [Link],
cliquez sur Ajouter un hôte, puis cliquez sur OK.

e. Dans la boîte de dialogue Nouvel hôte, dans la zone de texte Nom, tapez CRL. Dans la zone
de texte Adresse IP, tapez [Link], puis cliquez sur Ajouter un hôte.

f. Dans la boîte de dialogue DNS vous informant que l'enregistrement a été créé, cliquez sur OK.

g. Dans la boîte de dialogue Nouvel hôte, cliquez sur Terminé.

h. Fermez la console du Gestionnaire DNS.

4. Supprimez le nom ISATAP de la liste rouge de requêtes globale DNS en procédant comme suit :

a. Déplacez le pointeur de la souris vers le coin inférieur droit, sélectionnez Rechercher dans
le menu droit, puis tapez [Link]. Appuyez sur Entrée.

b. Dans la fenêtre d'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

dnscmd /config /globalqueryblocklist wpad

Vérifiez que le message La commande s'est terminée correctement s'affiche.

c. Fermez la fenêtre d'invite de commandes.

5. Pour configurer le suffixe DNS sur LON-RTR, procédez comme suit :

a. Basculez vers LON-RTR.

b. Déplacez le pointeur de la souris vers le coin inférieur droit de l'écran, cliquez sur Paramètres,
puis sur Panneau de configuration.

c. Dans le Panneau de configuration, cliquez sur Afficher l'état et la gestion du réseau.

d. Dans la fenêtre Centre Réseau et partage, cliquez sur Modifier les paramètres de la carte.

e. Dans la fenêtre Connexion au réseau, cliquez avec le bouton droit sur Connexion
au réseau local, puis cliquez sur Propriétés.

f. Dans la fenêtre Propriétés de Connexion au réseau local, double-cliquez sur

Protocole Internet version 4 (TCP/IPv4).

g. Dans la boîte de dialogue Propriétés de : Protocole Internet version 4 (TCP/IPv4), cliquez

sur Avancé.

h. Dans l'onglet DNS, dans la zone de texte Suffixe DNS pour cette connexion, tapez
[Link], puis cliquez sur OK.
i. Dans la boîte de dialogue Propriétés de : Protocole Internet version 4 (TCP/IPv4), cliquez
sur OK.

j. Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquez sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-102 Conception et implémentation des services d'accès réseau

6. Configurez les propriétés de la connexion au réseau local 2 sur LON-RTR :

a. Dans la fenêtre Connexion au réseau, cliquez avec le bouton droit sur Connexion au réseau
local 2, puis cliquez sur Propriétés.

b. Dans la fenêtre Propriétés de Connexion au réseau local 2, double-cliquez sur

Protocole Internet version 4 (TCP/IPv4).

c. Dans la boîte de dialogue Propriétés de : Protocole Internet version 4 (TCP/IPv4), dans la

zone de texte Adresse IP, tapez [Link], et dans la zone de texte Masque de sous-réseau,
tapez [Link].

d. Cliquez sur OK, puis une nouvelle fois sur OK.

e. Fermez la fenêtre Connexions réseau.

 Tâche 6 : Configurer les certificats requis

1. Pour configurer les paramètres de distribution de la liste de révocation de certificats, procédez
comme suit :

a. Sur LON-DC1, dans le Gestionnaire de serveur, dans le menu Outils , cliquez sur Autorité
de certification.

b. Dans le volet d'informations, cliquez avec le bouton droit sur Adatum-LON-DC1-CA,

puis cliquez sur Propriétés.

c. Dans la boîte de dialogue Propriétés de : Adatum-LON-DC1-CA , cliquez sur l'onglet

Extensions.

d. Dans l'onglet Extensions, cliquez sur Ajouter. Dans la zone de texte Emplacement, tapez
[Link]

e. Sous Variable, cliquez sur <NomAutoritéCertification>, puis cliquez sur Insérer.

f. Sous Variable, cliquez sur <SuffixeNomListeRévocationCertificats>, puis cliquez sur Insérer.

g. Sous Variable, cliquez sur <ListeRévocationCertificatsDeltaAutorisée>, puis cliquez

sur Insérer.

h. Dans la zone de texte Emplacement, à la fin de la chaîne Emplacement, tapez .crl, puis cliquez
sur OK.

i. Activez les cases à cocher Inclure dans les listes de révocation des certificats afin de pouvoir
rechercher les listes de révocation des certificats delta. et Inclure dans l'extension CDP
des certificats émis , puis cliquez sur Appliquer. Dans la boîte de dialogue vous demandant
de redémarrer les Services de certificats Active Directory, cliquez sur Non.

j. Cliquez sur Ajouter.

k. Dans la zone de texte Emplacement, tapez \\LON-RTR\crldist$\.

l. Sous Variable, cliquez sur <NomAutoritéCertification>, puis cliquez sur Insérer.

m. Sous Variable, cliquez sur <SuffixeNomListeRévocationCertificats>, puis cliquez sur Insérer.

n. Sous Variable, cliquez sur <ListeRévocationCertificatsDeltaAutorisée>, puis cliquez

sur Insérer.

o. Dans la zone de texte Emplacement, à la fin de la chaîne, tapez .crl, puis cliquez sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-103

p. Activez les cases à cocher Publier les listes de révocation des certificats à cet emplacement
et Publier les listes de révocation des certificats delta à cet emplacement, puis cliquez
sur OK.

q. Cliquez sur Oui pour redémarrer les Services de certificats Active Directory.

2. Pour dupliquer le modèle de certificat Web et configurer une autorisation appropriée, procédez
comme suit :

a. Dans la console Autorité de certification, développez Adatum-LON-DC1-CA, cliquez avec

le bouton droit sur Modèles de certificats, puis cliquez sur Gérer.

Remarque : Les utilisateurs doivent avoir l'autorisation d'inscription sur le certificat.

b. Dans la console Modèles de certificats, dans le volet de contenu, cliquez avec le bouton droit
sur le modèle Serveur Web, puis cliquez sur Dupliquer le modèle.

c. Cliquez sur l'onglet Général et dans la zone de texte Nom complet du modèle, tapez Certificat
de serveur Web Adatum.

d. Cliquez sur l'onglet Traitement de la demande, puis cliquez sur Autoriser l'exportation
de la clé privée.

e. Cliquez sur l'onglet Sécurité, puis sur Utilisateurs authentifiés.

f. Dans la fenêtre des autorisations des utilisateurs authentifiés, sous Autoriser, cliquez sur Inscrire,
puis cliquez sur OK.

g. Fermez la console Modèles de certificats.

h. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats
et naviguez jusqu'à Nouveau/Modèle de certificat à délivrer.

i. Cliquez sur Certificat de serveur Web Adatum, puis cliquez sur OK.

j. Cliquez avec le bouton droit sur Adatum-LON-DC1-CA, pointez le curseur sur Toutes
les tâches, puis cliquez sur Arrêter le service.

k. Cliquez avec le bouton droit sur Adatum-LON-DC1-CA, pointez le curseur sur Toutes
les tâches, puis cliquez sur Démarrer le service.

l. Fermez la console Autorité de certification .

3. Configurez l'inscription automatique de certificat de l'ordinateur en procédant comme suit :

a. Sur LON-DC1, basculez vers le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion
des stratégies de groupe.

b. Dans la Console de gestion des stratégies de groupe, développez Forêt : [Link],

Domaines, puis [Link].

c. Dans la console [Link], cliquez avec le bouton droit sur Default Domain Policy,
puis cliquez sur Modifier.

d. Dans l'Éditeur de gestion des stratégies de groupe, développez successivement Configuration

ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, puis cliquez sur
Stratégies de clé publique.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-104 Conception et implémentation des services d'accès réseau

e. Dans le volet d'informations de Stratégies de clé publique, cliquez avec le bouton droit sur
Paramètres de demande automatique de certificat, pointez le curseur sur Nouveau, puis
cliquez sur Demande automatique de certificat.

f. Dans l'Assistant Création de demandes automatiques de certificats, cliquez sur Suivant.

g. Dans la page Modèle de certificat, cliquez sur Ordinateur, sur Suivant, puis sur Terminer.

h. Fermez l'Éditeur et la Console de gestion des stratégies de groupe.

 Tâche 7 : Configurer les ressources internes

1. Demandez un certificat pour LON-SVR1 en procédant comme suit :

a. Sur LON-SVR1, déplacez la souris vers le coin inférieur droit de l'écran, cliquez sur Rechercher,
tapez cmd, puis appuyez sur Entrée.

b. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

gpupdate /force

c. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

mmc

d. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

e. Cliquez successivement sur Certificats, Ajouter, Un compte d'ordinateur, Suivant,

L'ordinateur local, Terminer, puis sur OK.

f. Dans la console du composant logiciel enfichable Certificats, développez Certificats

(ordinateur local), Personnel, puis cliquez sur Certificats.

g. Cliquez avec le bouton droit sur Certificats, pointez le curseur sur Toutes les tâches,
puis cliquez sur Demander un nouveau certificat.

h. Cliquez sur Suivant à deux reprises.

i. Dans la page Demander des certificats, cliquez sur Certificat de serveur Web Adatum,
puis cliquez sur L'inscription pour obtenir ce certificat nécessite des informations
supplémentaires.

j. Dans la boîte de dialogue Propriétés du certificat, dans l'onglet Objet, sous Nom du sujet,
sous Type, cliquez sur Nom commun.

k. Dans la zone de texte Valeur, tapez [Link], puis cliquez sur Ajouter.

l. Cliquez sur OK, sur Inscription, puis sur Terminer.

m. Dans le volet d'informations du composant logiciel enfichable de certificats, vérifiez

qu'un nouveau certificat avec le nom [Link] a été inscrit avec Rôles prévus
de Authentification du serveur.

n. Fermez la fenêtre de la console. Lorsque vous êtes invité à enregistrer les paramètres,
cliquez sur Non.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-105

2. Pour changer les liaisons HTTPS, procédez comme suit :

a. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire des services
Internet (IIS).

b. Dans la boîte de message du Gestionnaire des services Internet (IIS), cliquez sur Non.

c. Dans la console Gestionnaire des services Internet (IIS), naviguez jusqu'à LON-SVR1
(ADATUM\Administrateur)/Sites et cliquez sur Default Web Site.

d. Dans le volet Actions, cliquez sur Liaisons, puis sur Ajouter.

e. Dans la boîte de dialogue Ajouter la liaison de site, cliquez sur https, dans la boîte de dialogue
Certificat SSL, cliquez sur le certificat [Link], sur OK, puis sur Fermer.

f. Fermez la console Gestionnaire des services Internet (IIS).

3. Créez un dossier partagé sur LON-SVR1 :

a. Dans la barre des tâches, cliquez sur Explorateur de fichiers.

b. Dans l'Explorateur de fichiers, cliquez sur Ordinateur.

c. Dans Ordinateur, double-cliquez sur Disque local (C:).

d. Cliquez avec le bouton droit dans un espace libre, pointez le curseur sur Nouveau, puis cliquez
sur Dossier.

e. Tapez Fichiers, puis appuyez sur Entrée.

f. Cliquez avec le bouton droit sur Fichiers, puis cliquez sur Propriétés.

g. Cliquez sur l'onglet Partage, puis cliquez sur Partage avancé.

h. Dans la boîte de dialogue Partage avancé, activez la case à cocher Partager ce dossier, cliquez
sur OK, puis sur Fermer.

i. Double-cliquez sur Fichiers.

j. Cliquez avec le bouton droit dans un espace libre, pointez le curseur sur Nouveau, puis cliquez
sur Document texte.

k. Tapez DirectAccess, puis appuyez sur Entrée.

l. Double-cliquez sur le fichier DirectAccess.

m. Dans le Bloc-notes, tapez C'est un fichier d'entreprise.

n. Fermez Notepad, et, lorsque vous y êtes invité, cliquez sur Enregistrer.

o. Fermez l'Explorateur de fichiers.

 Tâche 8 : Configurer un serveur DirectAccess

1. Demandez les certificats nécessaires pour LON-RTR en procédant comme suit :

a. Basculez vers LON-RTR.

b. Déplacez la souris dans le coin inférieur droit de l'écran, et dans le menu contextuel, cliquez
sur Rechercher.

c. Dans la zone Rechercher, tapez cmd, puis appuyez sur Entrée.

d. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

gpupdate /force
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-106 Conception et implémentation des services d'accès réseau

e. À l'invite de commandes, tapez [Link], puis appuyez sur Entrée.

f. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

g. Cliquez successivement sur Certificats, Ajouter, Un compte d'ordinateur, Suivant,

L'ordinateur local, Terminer, puis sur OK.

h. Dans la console du composant logiciel enfichable Certificats, développez Certificats

(ordinateur local), Personnel, puis cliquez sur Certificats.

i. Cliquez avec le bouton droit sur Certificats, pointez le curseur sur Toutes les tâches,
puis cliquez sur Demander un nouveau certificat.
j. Cliquez sur Suivant à deux reprises.

k. Dans la page Demander des certificats, cliquez sur Certificat de serveur Web Adatum,
puis cliquez sur L'inscription pour obtenir ce certificat nécessite des informations
supplémentaires.

l. Dans la boîte de dialogue Propriétés du certificat, dans l'onglet Objet, sous Nom du sujet,
sous Type, cliquez sur Nom commun.
m. Dans la zone de texte Valeur , tapez [Link], puis cliquez sur Ajouter.

n. Cliquez sur OK, sur Inscription, puis sur Terminer.

o. Dans le volet d'informations du composant logiciel enfichable Certificats, vérifiez qu'un nouveau
certificat avec le nom [Link] a bien été délivré avec Rôles prévus de Authentification
du serveur.

p. Cliquez avec le bouton droit sur le nouveau certificat avec le nom [Link], puis cliquez
sur Propriétés.

q. Dans la boîte de dialogue Propriétés de : [Link], dans la zone de texte Nom convivial,
tapez Certificat IP-HTTPS, puis cliquez sur OK.

r. Fermez la fenêtre de la console. Si vous êtes invité à enregistrer les paramètres, cliquez sur Non.

2. Pour créer un point de distribution de la liste de révocation de certificats (CRL) sur LON-RTR,
procédez comme suit :
a. Basculez vers le Gestionnaire de serveur.

b. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire des services
Internet (IIS).
c. Si la boîte de message du Gestionnaire des services Internet s'affiche, cliquez sur Non.

d. Dans l'arborescence de la console, développez LON-RTR (ADATUM\Administrateur),

puis Sites, cliquez sur Default Web Site, cliquez avec le bouton droit sur Default Web Site,
puis cliquez sur Ajouter un répertoire virtuel.

e. Dans la boîte de dialogue Ajouter un répertoire virtuel, dans la zone de texte Alias, tapez
CRLD. À côté de Chemin d'accès physique, cliquez sur le bouton de points de suspension (…).

f. Dans la boîte de dialogue Rechercher un dossier, cliquez sur Disque local (C:), puis sur Créer
un nouveau dossier.

g. Tapez CRLDist, puis appuyez sur Entrée.

h. Dans la boîte de dialogue Rechercher un dossier, cliquez sur OK.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-107

i. Dans la boîte de dialogue Ajouter un répertoire virtuel, cliquez sur OK.

j. Dans le volet central de la console, double-cliquez sur Exploration de répertoire,

et dans le volet Actions, cliquez sur Activer.

k. Dans la console, cliquez sur le dossier CRLD.

l. Dans le volet central de la console, double-cliquez sur l'icône Éditeur de configuration.

m. Cliquez sur la flèche vers le bas de la liste déroulante Section, développez [Link],
security, puis cliquez sur requestFiltering.

n. Dans le volet central de la console requestFiltering, double-cliquez sur allowDoubleEscaping

pour passer de la valeur False à True.

o. Dans le volet Actions, cliquez sur Appliquer.

p. Fermez le Gestionnaire des services Internet (IIS).

Question : Pourquoi rendez-vous la liste de révocation de certificats disponible sur

le serveur Edge ?

Réponse : Vous rendez la liste de révocation de certificats disponible sur le serveur Edge
pour que les clients DirectAccess Internet puissent y accéder.

3. Partagez et sécurisez le point de distribution de la liste de révocation de certificats en procédant

comme suit :

Remarque : vous effectuez ces étapes pour attribuer des autorisations au point
de distribution de liste de révocation de certificats.

a. Dans la barre des tâches, cliquez sur l'icône Explorateur de fichiers.

b. Dans l'Explorateur de fichiers, cliquez sur Ordinateur, puis double-cliquez sur Disque local (C:).

c. Dans le volet d'informations de l'Explorateur de fichiers, cliquez avec le bouton droit sur
le dossier CRLDist, puis cliquez sur Propriétés.

d. Dans la boîte de dialogue Propriétés de : CRLDist, cliquez sur l'onglet Partage, puis cliquez
sur Partage avancé.

e. Dans la boîte de dialogue Partage avancé, cliquez sur Partager ce dossier.

f. Dans la zone de texte Nom du partage, ajoutez un symbole dollar ($) à la fin du nom de sorte
que le nom de partage soit CRLDist$.
g. Dans la boîte de dialogue Partage avancé, cliquez sur Autorisations.

h. Dans la boîte de dialogue Autorisations pour CRLDist$, cliquez sur Ajouter.

i. Dans la boîte de dialogue Sélectionnez des utilisateurs, des contacts, des ordinateurs,
des comptes de service ou des groupes, cliquez sur Types d'objets.

j. Dans la boîte de dialogue Types d'objets, cliquez sur des ordinateurs, puis cliquez sur OK.

k. Dans la boîte de dialogue Sélectionnez des utilisateurs, des contacts, des ordinateurs,
des comptes de service ou des groupes, dans la zone de texte Entrez les noms des objets
à sélectionner, tapez LON-DC1, cliquez sur Vérifier les noms, puis cliquez sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-108 Conception et implémentation des services d'accès réseau

l. Dans la boîte de dialogue Autorisations pour CRLDist$, dans la liste Noms de groupes
ou d'utilisateurs, cliquez sur LON-DC1 (ADATUM\LON-DC1$). Dans la zone Autorisations
pour LON-DC1, sous Contrôle total, cliquez sur Autoriser, puis sur OK.

m. Dans la boîte de dialogue Partage avancé, cliquez sur OK.

n. Dans la boîte de dialogue Propriétés de : CRLDist, cliquez sur l'onglet Sécurité.

o. Dans l'onglet Sécurité, cliquez sur Modifier.

p. Dans la boîte de dialogue Autorisations pour CRLDist, cliquez sur Ajouter.

q. Dans la boîte de dialogue Sélectionnez des utilisateurs, des contacts, des ordinateurs,
des comptes de service ou des groupes, cliquez sur Types d'objets.

r. Dans la boîte de dialogue Types d'objets, cliquez sur des ordinateurs, puis cliquez sur OK.

s. Dans la boîte de dialogue Sélectionnez des utilisateurs, des contacts, des ordinateurs,
des comptes de service ou des groupes, dans la zone de texte Entrez les noms des objets
à sélectionner, tapez LON-DC1, cliquez sur Vérifier les noms, puis cliquez sur OK.

t. Dans la boîte de dialogue Autorisations pour CRLDist, dans la liste Noms de groupes
ou d'utilisateurs, cliquez sur LON-DC1 (ADATUM\LON-DC1$). Dans la zone Autorisations
pour LON-DC1, sous Contrôle total, cliquez sur Autoriser, puis sur OK.

u. Dans la boîte de dialogue Propriétés de : CRLDist, cliquez sur Fermer.

v. Fermez la fenêtre de l'Explorateur de fichiers.

4. Publiez la liste de révocation de certificats vers LON-RTR en procédant comme suit :

Remarque : Ces étapes rendent la liste de révocation de certificats disponible

sur le serveur Edge pour les clients DirectAccess basés sur Internet.

a. Basculez vers LON-DC1.

b. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Autorité de certification.

c. Dans la console Autorité de certification, développez Adatum-LON-DC1-CA, cliquez avec le

bouton droit sur Certificats révoqués, pointez le curseur sur Toutes les tâches, puis cliquez
sur Publier.

d. Dans la boîte de dialogue Publier la liste de révocation des certificats, cliquez sur Nouvelle
liste de révocation des certificats, puis sur OK.

e. Dans la barre des tâches, cliquez sur l'icône Explorateur de fichiers.

f. Dans la barre d'adresses de l'Explorateur de fichiers, tapez \\LON-RTR\CRLDist$, puis appuyez

sur Entrée.

g. Dans la fenêtre de l'Explorateur de fichiers, observez les fichiers Adatum-LON-DC1-CA.

h. Fermez la fenêtre de l'Explorateur de fichiers.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-109

5. Terminez la procédure avec l'Assistant Configuration DirectAccess sur LON-RTR en procédant

comme suit :

Remarque : Ces étapes configurent LON-RTR en tant que serveur DirectAccess.

a. Redémarrez LON-RTR et connectez-vous en tant qu'ADATUM\Administrateur

avec le mot de passe Pa$$w0rd.

Remarque : Pendant les trois ou quatre étapes suivantes, l'Assistant Activation

de DirectAccess peut se lancer. Dans ce cas, cliquez sur Annuler et passez aux instructions
suivantes.

b. Sur LON-RTR, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Routage et accès
distant.

c. Dans Routage et accès distant, désactivez la configuration existante, puis fermez la console.

d. Dans le Gestionnaire de serveur, dans le menu Outils, cliquez sur Gestion de l'accès à distance.

e. Dans la console Gestion de l'accès à distance, cliquez sur CONFIGURATION.

f. Dans le volet de résultats, cliquez sur Exécuter l'Assistant Mise en route.

g. Dans l'Assistant Configuration de l'accès distant , cliquez sur Déployer DirectAccess

uniquement.

h. Dans la Topologie de réseau, vérifiez que Périmètre est sélectionné et que [Link] est
le nom public utilisé par les clients pour se connecter au serveur d'accès à distance, puis cliquez
sur Suivant.

i. Dans la page Configuration de l'accès distant, cliquez sur Terminer.

j. Une fois la configuration terminée, cliquez sur Fermer.

k. Dans la console Gestion de l'accès à distance, sous Étape 1, cliquez sur Modifier,
puis sur Suivant.

l. Sous Sélectionner des groupes, dans le volet d'informations, cliquez sur Ajouter.

m. Dans la boîte de dialogue Sélectionnez des groupes , tapez DA_Clients, puis cliquez sur OK.

n. Supprimez le groupe Ordinateurs du domaine, cliquez sur Suivant, puis sur Terminer.

o. Dans la console Gestion de l'accès à distance, sous Étape 2, cliquez sur Modifier.

p. Dans la page Topologie de réseau, vérifiez que Périmètre est sélectionné, tapez [Link],
puis cliquez sur Suivant.

q. Dans la page Cartes réseau, vérifiez que CN=[Link] est utilisé comme certificat
d'authentification des connexions IP-HTTPS, puis cliquez sur Suivant.

r. Dans la page Authentification , cliquez successivement sur Utiliser les certificats d'ordinateur,
Parcourir, Adatum-LON-DC1-CA, OK, puis sur Terminer.

s. Dans le volet Configuration de l'accès à distance, sous Étape 3, cliquez sur Modifier.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-110 Conception et implémentation des services d'accès réseau

t. Dans la page Server Emplacement réseau, cliquez sur Le serveur Emplacement réseau
est déployé sur un serveur Web distant (recommandé). Dans l'URL du serveur NLS, tapez
[Link] puis cliquez sur Valider.

u. Vérifiez que l'URL est validée.

v. Cliquez sur Suivant, examinez les valeurs, puis cliquez sur Suivant.

w. Dans la Liste de recherche de suffixes DNS, cliquez sur Suivant.

x. Dans la page Gestion, cliquez sur Terminer.

y. Sous Étape 4, cliquez sur Modifier.

z. Dans la page Installation du serveur d'applications DirectAccess, cliquez sur Terminer.

aa. Cliquez sur Terminer pour appliquer les modifications.

bb. Dans Vérification de l'accès DirectAccess, cliquez sur Appliquer.

cc. Sous Application des paramètres de l'Assistant Configuration de l'accès à distance, cliquez
sur Fermer.

6. Mettez à jour les paramètres de la stratégie de groupe sur LON-RTR en procédant comme suit :
a. Déplacez le pointeur de la souris sur le coin inférieur droit, et sur la barre de menus, cliquez
sur Rechercher, tapez cmd, puis appuyez sur Entrée.

b. À l'invite de commandes, tapez les commandes ci-dessous, en appuyant sur Entrée à la fin
de chaque ligne :

gpupdate /force
Ipconfig

Remarque : Vérifiez que LON-RTR a une adresse IPv6 pour Interface IPHTTPS de la carte
Tunnel commençant par 2002.

 Tâche 9 : Configurer les paramètres de stratégie de groupe DirectAccess

1. Basculez vers LON-DC1.

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion des stratégies de groupe.

3. Dans le volet de navigation, développez Forest:[Link], Domaines, et [Link],

puis cliquez sur Paramètres du client DirectAccess. Cliquez sur OK.
4. Dans le volet d'informations, sous Filtrage WMI, cliquez sur le filtre WMI DirectAccess – Laptop
only WMI filter, puis sur <aucun>.

5. Dans la boîte de dialogue Gestion des stratégies de groupe, cliquez sur Oui.
6. Fermez les consoles Éditeur de gestion des stratégies de groupe et Gestion des stratégies de groupe.

7. Démarrez LON-CL1 et connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe

Pa$$w0rd. (L'objectif consiste à garantir que l'ordinateur LON-CL1 se connecte au domaine en tant
que membre du groupe de sécurité DA_Clients.)
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-111

8. Dans l'écran d'accueil, tapez cmd, puis appuyez sur Entrée.

9. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

gpupdate /force

10. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

gpresult /R

11. Vérifiez que l'objet de la stratégie de groupe Paramètres du client DirectAccess s'affiche
correctement dans la liste des objets de stratégie de groupe pour les paramètres de l'ordinateur.

Remarque : Si la stratégie n'est pas appliquée, exécutez une nouvelle fois la commande
gpupdate /force. Si la stratégie n'est toujours pas en cours d'application, redémarrez
l'ordinateur. Après le redémarrage de l'ordinateur, connectez-vous en tant
qu'ADATUM\Administrateur et exécutez une nouvelle fois la commande gpresult /R.

 Tâche 10 : Vérifier la distribution de certificats

1. À l'invite de commandes, tapez [Link], puis appuyez sur Entrée.
2. Dans la console MMC, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant
logiciel enfichable.

3. Cliquez sur Certificats, cliquez sur Ajouter, sélectionnez Un compte d'ordinateur, cliquez sur
Suivant, sélectionnez L'ordinateur local, cliquez sur Terminer, puis sur OK.

4. Dans la console du composant logiciel enfichable Certificats, cliquez sur Certificats (ordinateur local),
développez Personnel, puis cliquez sur Certificats.
5. Dans le volet d'informations Certificats, vérifiez qu'un certificat avec le nom [Link]
s'affiche avec Rôles prévus de Authentification du client et Authentification du serveur.

6. Fermez la fenêtre de la console. Lorsque vous êtes invité à enregistrer les paramètres, cliquez
sur Non.

 Tâche 11 : Vérifier la configuration IP

1. Sur LON-CL1, basculez vers le Bureau, et dans la barre des tâches, cliquez sur la mosaïque
d'Internet Explorer.
2. Dans la barre d'adresses de Windows Internet Explorer®, tapez [Link]
puis appuyez sur Entrée. La page Web par défaut IIS 8 pour LON-SVR1 s'affiche.

3. Dans la barre d'adresses d'Internet Explorer, tapez [Link] puis appuyez

sur Entrée. La page Web par défaut IIS 8 pour LON-SVR1 s'affiche.

4. Laissez la fenêtre Internet Explorer ouverte.

5. Dans la barre des tâches, cliquez sur l'icône Explorateur de fichiers.

6. Dans la barre d'adresses de l'Explorateur de fichiers, tapez \\Lon-SVR1\Fichiers, puis appuyez

sur Entrée. Une fenêtre avec le contenu du dossier partagé Fichiers s'affiche.

7. Fermez toutes les fenêtres actives excepté l'invite de commandes.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L11-112 Conception et implémentation des services d'accès réseau

 Tâche 12 : Déplacer LON-CL1 et vérifiez la connectivité aux ressources intranet

1. Sur LON-CL1, déplacez le pointeur de la souris dans le coin inférieur droit de l'écran, cliquez
sur Paramètres, sur Panneau de configuration, puis sur Réseau et Internet.

2. Dans Réseau et Internet, cliquez sur Centre Réseau et partage.

3. Dans Centre Réseau et partage, cliquez sur Modifier les paramètres de la carte.

4. Cliquez avec le bouton droit sur Connexion au réseau local, puis cliquez sur Propriétés.
5. Dans la boîte de dialogue Propriétés de Connexion au réseau local, double-cliquez
sur Protocole Internet version 4 (TCP/IPv4).

6. Dans la boîte de dialogue Propriétés de : Protocole Internet version 4 (TCP/IPv4), cliquez sur
Utiliser l'adresse IP suivante.

7. Renseignez les paramètres suivants, puis cliquez sur OK :

• Adresse IP : [Link]

• Masque de sous-réseau : [Link]

• Passerelle par défaut : [Link]

8. Dans la boîte de dialogue Propriétés de Connexion au réseau local, cliquez sur OK.
9. Dans la fenêtre Connexions réseau, cliquez avec le bouton droit sur Connexion au réseau local,
puis cliquez sur Désactiver.

10. Dans la fenêtre Connexions réseau, cliquez avec le bouton droit sur Connexion au réseau local,
puis cliquez sur Activer.

11. Sur votre hôte, dans le Gestionnaire Hyper-V, cliquez avec le bouton droit sur 22413B-LON-CL1,
puis cliquez sur Paramètres.

12. Modifiez la carte réseau héritée pour qu'elle soit sur le réseau Réseau privé 2, puis cliquez sur OK.

13. Basculez vers le Bureau, puis cliquez sur la mosaïque d'Internet Explorer.

14. Dans la barre d'adresses d'Internet Explorer, tapez [Link] puis appuyez
sur Entrée. La page Web par défaut IIS 8 pour LON-SVR1 s'affiche.

15. Laissez la fenêtre Internet Explorer ouverte.

16. Dans la barre des tâches, cliquez sur l'icône Explorateur de fichiers .
17. Dans la barre d'adresses de l'Explorateur de fichiers, tapez \\LON-SVR1\Fichiers, puis appuyez
sur Entrée. Une fenêtre de dossier avec le contenu du dossier partagé Fichiers s'affiche.

18. Basculez vers la fenêtre d'invite de commandes .

19. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

ping [Link]

Vérifiez que vous recevez les réponses de [Link].

20. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

gpupdate /force
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L11-113

21. Fermez toutes les fenêtres actives.

22. Basculez vers LON-RTR.

23. Basculez vers console Gestion de l'accès à distance.

24. Dans la console, cliquez sur STATUT DU CLIENT DISTANT.

Remarque : Vous remarquerez que LON-CL1 est connecté via IPHttps. Dans
le volet d'informations de connexion en bas à droite de l'écran, observez l'utilisation
de l'authentification Kerberos pour l'ordinateur et l'utilisateur.

25. Fermez toutes les fenêtres actives.

Résultats : À la fin de cet exercice, vous aurez planifié et implémenté DirectAccess.

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-CL1,
puis cliquez sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-RTR, 22413B-LON-SVR1 et 22413B-LON-DC1.
UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-115

Module 12 : Conception et implémentation

de la protection réseau
Atelier pratique : Conception et
implémentation de la protection réseau
Exercice 1 : Concevoir une solution de Pare-feu Windows
 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie de déploiement
du Pare-feu Windows®.

1. Quelles règles de trafic entrant devez-vous implémenter sur les serveurs ?

Sur chaque serveur Windows Server® 2012, vous devez implémenter des règles afin d'autoriser
l'accès à tous les services qui s'exécutent sur un serveur particulier. Cela comprend le partage
de fichiers et d'imprimantes, les recherches DNS, les connexions au domaine et toutes les
autres applications spécifiques. Pour les services du système d'exploitation client Windows,
les règles sont déjà configurées et vous n'avez pas besoin de les créer. Ceci s'applique au
partage de fichiers et d'imprimantes, à la recherche DNS et aux connexions au domaine.
Les règles que vous devez créer pour prendre en charge des applications spécifiques
sont les suivantes :

• Pour l'application personnalisée de recherche, créez une règle de programme de trafic

entrant qui autorise le fichier exécutable [Link] à recevoir des connexions.
Cela est plus sûr que d'utiliser le port, parce que les logiciels malveillants (également
appelés malware) peuvent également tenter d'utiliser le port.

• Pour le serveur de messagerie, créez une règle de programme de trafic entrant qui autorise
le fichier exécutable [Link] à recevoir des connexions. Cette étape est nécessaire,
car le numéro de port n'est pas prévisible pour chaque connexion.

• Pour l'application Web de service client, créez une règle de port entrant qui autorise l'accès
au port 8080. Les règles par défaut pour Internet Information Services (IIS) autorise l'accès
aux ports 80 et 443, mais pas au port 8080. Cela est dû au fait que vous ne pouvez pas créer
de règles de programme pour IIS.

2. Quelles règles de trafic sortant devez-vous implémenter sur les serveurs ?

Il n'y a aucune exigence spécifique pour les règles de trafic sortant listées sur les serveurs.
Le Pare-feu Windows est un pare-feu avec état, et il ne requiert pas la création de règles de trafic
sortant correspondantes pour la communication déjà établie par des règles de trafic entrant.
Vous devez configurer des règles de trafic sortant pour les services réseau de base, tels que
les recherches DNS et l'authentification de domaine. Celles-ci sont en place par défaut.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-116 Conception et implémentation de la protection réseau

3. Quelles règles de trafic entrant devez-vous implémenter sur les stations de travail Windows 8 ?

Aucune application requérant la communication entrante n'est répertoriée pour les ordinateurs client.
Cependant, les ordinateurs client requièrent la communication entrante pour la communication
réseau de base. Celles-ci sont en place par défaut.

4. Quelles règles de trafic sortant devez-vous implémenter sur les stations de travail Windows 8 ?

Les règles de trafic sortant nécessaires pour la communication réseau de base sont en place par
défaut. Cependant, vous devez créer des règles de trafic sortant pour d'autres applications :

• Pour l'application personnalisée de recherche, vous devez créer une règle de programme afin
d'autoriser [Link] à communiquer sur le réseau. Cela est plus sûr que de créer une règle
de port qui autorise la communication sur le port 10101.

• Pour Windows Internet Explorer®, vous devez créer une règle de programme qui autorise le
fichier exécutable [Link] à accéder au réseau. Cela empêche les navigateurs Web non
pris en charge d'être utilisés. Après avoir créé la règle de programme, vous la modifiez pour
restreindre la communication aux ports 80, 443, et 8080.
5. Quels problèmes posent les systèmes d'exploitation autres que Windows Server 2012 et Windows 8 ?

Windows XP et Windows Server 2003 ne prennent pas en charge les règles de trafic sortant dans
le cadre de la configuration du Pare-feu Windows. Si un programme malveillant est installé sur
ces systèmes d'exploitation, il n'existe aucune méthode permettant d'empêcher sa propagation
aux hôtes vulnérables. Cependant, vous pouvez quand même configurer toutes les règles de trafic
entrant pour ces deux systèmes d'exploitation.

6. Comment déploierez-vous le Pare-feu Windows sur les serveurs qui exécutent Windows Server ?

Pour le niveau de sécurité le plus élevé, vous devez implémenter uniquement les règles nécessaires
sur chaque serveur. Par conséquent, vous devez configurer chaque serveur individuellement. Dans
une entreprise disposant de nombreux serveurs qui exécutent les mêmes applications, vous pouvez
appliquer des règles à l'aide de la stratégie de groupe.

7. Comment déploierez-vous le Pare-feu Windows sur les stations de travail ?

Vous devez configurer les stations de travail avec les règles de Pare-feu Windows nécessaires à
l'aide de la stratégie de groupe. Si vous le souhaitez, vous pouvez créer des stratégies de groupe
personnalisées pour différents groupes de travail ; celles-ci incluront uniquement les applications
nécessaires pour chaque groupe de travail. Pour cette prise en charge, chaque groupe de travail
doit avoir une unité d'organisation distincte (OU) dans Active Directory® Domain Services (AD DS).

8. Pour les règles de sécurité de connexion requises, quels sont les éléments liés à l'authentification
à prendre en compte ?

Tous les ordinateurs du groupe Research doivent imposer l'authentification des connexions entrantes
et demander l'authentification des connexions sortantes. De même, toutes les communications vers
les stations de travail et serveurs de Research doivent être authentifiées. Cependant, les stations
de travail de Research peuvent initier la communication avec des serveurs qui ne font pas partie
de la zone Research, et ces connexions sont authentifiées.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L12-117

9. Quelle méthode d'authentification devez-vous utiliser ?

L'authentification Kerberos version 5 (V5) (méthode pour utilisateur et ordinateur) fournit la flexibilité
de créer les règles de pare-feu qui sont spécifiques à des comptes d'ordinateurs ou d'utilisateurs
particuliers. C'est la meilleure façon de contrôler la communication. De plus, cette méthode ne
requiert aucune configuration supplémentaire sur les ordinateurs, car ils font déjà partie d'un
domaine, et participe donc à l'authentification Kerberos V5.

10. Quel type de règle de sécurité de connexion devez-vous utiliser ?

Vous devez utiliser une règle d'isolation. Ce type de règle utilise l'authentification Kerberos V5.
Une fois que l'authentification est établie, vous pouvez créer des règles de pare-feu basées
sur les utilisateurs et les ordinateurs spécifiques que vous souhaitez autoriser. Ce type de règle
n'indique pas de points de terminaison par l'adresse IP.

11. Comment déploierez-vous les règles de sécurité de connexion sur les serveurs ?

Vous pouvez placer tous les serveurs de Research dans une unité d'organisation spécifique,
puis faire appliquer les règles de sécurité de connexion à l'aide de la stratégie de groupe.
Cela garantit que tous les serveurs de Research ont la même configuration.

12. Comment déploierez-vous les règles de sécurité de connexion sur les stations de travail ?

Vous pouvez placer toutes les stations de travail de Research dans une unité d'organisation
spécifique, puis faire appliquer les règles de sécurité de connexion à l'aide de la stratégie de
groupe. Cela garantit que toutes les stations de travail de Research ont la même configuration.

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir terminé la conception du Pare-feu Windows
pour Trey Research.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-118 Conception et implémentation de la protection réseau

Exercice 2 : Implémenter une solution de Pare-feu Windows

 Tâche 1 : Placer les ordinateurs dans l'unité d'organisation Research
1. Basculez vers LON-DC1.

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs
Active Directory.

3. Dans Utilisateurs et ordinateurs Active Directory, développez [Link], puis cliquez

sur Computers.

4. Cliquez avec le bouton droit sur LON-CL1, puis cliquez sur Déplacer.
5. Dans la boîte de dialogue Déplacer, cliquez sur Research, puis sur OK.

6. Cliquez avec le bouton droit sur LON-SVR1, puis cliquez sur Déplacer.

7. Dans la boîte de dialogue Déplacer, cliquez sur Research, puis sur OK.

8. Dans le volet de navigation, cliquez sur Research.

 Tâche 2 : Créer un objet de stratégie de groupe et le lier à l'unité

d'organisation Research
1. Basculez vers le Gestionnaire de serveur.

2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.
3. Dans Gestion de stratégie de groupe, développez Forêt : [Link], développez Domaines,
puis développez [Link], puis cliquez sur Research.

4. Cliquez avec le bouton droit sur Research, puis cliquez sur Créer un objet GPO dans ce domaine,
et le lier ici.

5. Dans la boîte de dialogue Nouvel objet GPO, dans la zone Nom, tapez Stratégie de sécurité
de l'application du service de recherche, puis cliquez sur OK.

 Tâche 3 : Créer les règles de sécurité de connexion requises

1. Dans Gestion de stratégie de groupe, développez Research.

2. Cliquez avec le bouton droit sur Stratégie de sécurité de l'application du service de recherche,
puis cliquez sur Modifier.
3. Dans l'Éditeur de gestion des stratégies de groupe, sous Configuration ordinateur, développez
successivement Stratégies, Paramètres Windows, Paramètres de sécurité, Pare-feu Windows
avec fonctions avancées de sécurité, Pare-feu Windows avec fonctions avancées de sécurité -
LDAP://CN={GUID}, puis cliquez sur Règles de sécurité de connexion.

4. Cliquez avec le bouton droit sur Règles de sécurité de connexion, puis cliquez sur Nouvelle règle.

5. Dans l'Assistant Nouvelle règle de sécurité de connexion, dans la page Type de règle,
cliquez sur Personnalisée, puis sur Suivant.

6. Dans la page Points de terminaison, cliquez sur Suivant.

7. Dans la page Configuration requise, cliquez sur Imposer l'authentification des connexions
entrantes et demander l'authentification des connexions sortantes, puis sur Suivant.

8. Dans la page Méthode d'authentification, cliquez sur Ordinateur et utilisateur (Kerberos V5),
puis sur Suivant.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L12-119

9. Dans la page Protocoles et ports, dans la liste Type de protocole, cliquez sur TCP.

10. Dans la liste Port pt de term. 1, cliquez sur Ports spécifiques, dans la zone de texte, tapez 80,
puis cliquez sur Suivant.

11. Dans la page Profil, désactivez les deux cases à cocher Privé et Public, puis cliquez sur Suivant.

12. Dans la page Nom, dans la zone Nom, tapez Règle de sécurité de l'application du service
de recherche, puis cliquez sur Terminer.

 Tâche 4 : Créer les règles de pare-feu

1. Dans l'Éditeur de gestion des stratégies de groupe, cliquez sur Règles de trafic entrant.

2. Cliquez avec le bouton droit sur Règles de trafic entrant, puis cliquez sur Nouvelle règle.

3. Dans l'Assistant Nouvelle règle de trafic entrant, dans la page Type de règle, cliquez sur
Personnalisée, puis sur Suivant.

4. Dans la page Programme, cliquez sur Suivant.

5. Dans la page Protocoles et ports, dans la liste Type de protocole, cliquez sur TCP.

6. Dans la liste Port local, cliquez sur Ports spécifiques, puis, dans la zone de texte, tapez 80 et cliquez
sur Suivant.
7. Dans la page Étendue, cliquez sur Suivant.

8. Dans la page Action, cliquez sur Autoriser la connexion si elle est sécurisée, puis
sur Personnaliser. Vérifiez que l'option Autoriser la connexion si elle est authentifiée
et que son intégrité est est sélectionnée, puis cliquez sur OK.

9. Cliquez sur Suivant.

10. Dans la page Utilisateurs, cliquez sur Suivant.

11. Dans la page Ordinateurs, cliquez sur Autoriser uniquement les connexions à partir
de ces ordinateurs, puis cliquez sur Ajouter.

12. Dans la boîte de dialogue Sélectionnez des ordinateurs ou des groupes, dans la zone Entrez
les noms des objets à sélectionner (exemples), tapez LON-CL1; LON-SVR1, cliquez sur Vérifier
les noms, sur OK, puis sur Suivant.

13. Dans la page Profil, désactivez les deux cases à cocher Privé et Public, puis cliquez sur Suivant.

14. Dans la page Nom, dans la zone Nom, tapez Règle de pare-feu de l'application du service
de recherche, puis cliquez sur Terminer.

 Tâche 5 : Actualiser les paramètres de stratégie de groupe

1. Basculez vers LON-CL1.

2. Sur l'écran d'accueil, tapez [Link], puis appuyez sur Entrée.

3. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Gpupdate /force

4. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Shutdown /r
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-120 Conception et implémentation de la protection réseau

5. Basculez vers LON-SVR1.

6. Placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

7. Sur l'écran d'accueil, tapez [Link], puis appuyez sur Entrée.

8. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Gpupdate /force

9. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

Shutdown /r

 Tâche 6 : Essayer de vous connecter au serveur Web

1. Basculez vers LON-CL1. Vous devez attendre le redémarrage de LON-SVR1 avant de continuer.

2. Connectez-vous en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.

3. Dans l'écran d'accueil, cliquez sur Bureau.

4. Dans la barre des tâches, cliquez sur l'icône Internet Explorer.

5. Dans la barre d'adresses d'Internet Explorer, tapez [Link] et appuyez sur Entrée.
La page Web par défaut de IIS 8 s'affiche.

 Tâche 7 : Vérifier les paramètres

1. Placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

2. Sur l'écran d'accueil, tapez Pare-feu Windows, puis cliquez sur Paramètres.

3. Dans la liste Paramètres, cliquez sur Pare-feu Windows.

4. Dans le Pare-feu Windows, cliquez sur Paramètres avancés.

5. Dans Pare-feu Windows avec fonctions avancées de sécurité, dans le volet de navigation, développez
Analyse, puis Associations de sécurité, puis cliquez sur Mode principal.

6. Dans le volet droit, double-cliquez sur l'élément répertorié.

7. Quelle est la première méthode d'authentification ?

Réponse : Ordinateur (Kerberos V5)

8. Cliquez sur OK, puis sur Mode rapide.

9. Dans le volet droit, double-cliquez sur l'élément répertorié.

10. Quel est le port distant ?

Réponse : TCP 80

11. Cliquez sur OK.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L12-121

 Préparer l'exercice suivant

Lorsque vous avez terminé l'exercice, rétablissez deux des ordinateurs virtuels à leur état initial
et démarrez deux ordinateurs virtuels supplémentaires. Pour cela, procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V®.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-CL1, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-SVR1.

5. Cliquez sur 22413B-LON-RTR et dans le volet Actions, cliquez sur Démarrer.

6. Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel démarre.

7. Connectez-vous en utilisant les informations d'identification suivantes :

• Nom d'utilisateur : Administrateur

• Mot de passe : Pa$$w0rd

• Domaine : Adatum

8. Répétez les étapes 5 à 7 pour 22413B-LON-CL2.

Résultats : À la fin de cet exercice, vous devriez avoir configuré les règles de pare-feu requises.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-122 Conception et implémentation de la protection réseau

Exercice 3 : Concevoir une solution NAP

 Tâche 1 : Lire la documentation fournie avec le produit
• Lisez la documentation fournie dans le manuel du stagiaire.

 Tâche 2 : Mettre à jour le document de proposition en fonction du plan

d'action planifié
Répondez aux questions de la section Propositions du document Stratégie de déploiement NAP.

1. La contrainte de mise en conformité VPN (Virtual Private Network) est-elle appropriée ?

Oui. La contrainte de mise en conformité VPN est appropriée pour protéger le réseau des utilisateurs
distants qui disposent d'ordinateurs personnels ou portables. Cependant, avec l'implémentation
de Windows 8 DirectAccess proposée à l'avenir, vous devez tenir compte de la sécurité IPSec.

2. Quels composants sont requis pour la contrainte de mise en conformité VPN ?

Toutes les implémentations de la protection d'accès réseau requièrent un serveur NPS (Network
Policy Server) avec des stratégies pour agir en tant que serveur de stratégie de contrôle
d'intégrité et un client pris en charge. Les clients pris en charge pour la protection d'accès réseau sont
les suivants :

• Windows XP Service Pack 3 (SP3)

• Windows Vista®

• Windows 7 et Windows 8

La contrainte de mise en conformité VPN requiert un serveur VPN à protection d'accès réseau
intégrée. Un serveur VPN à protection d'accès réseau intégrée est inclus dans Windows Server 2012.

3. Les composants nécessaires pour la contrainte de mise en conformité VPN sont-ils en place ?

Oui. Tous les composants nécessaires sont en place.

4. Quels sont les avantages de l'utilisation de la contrainte de mise en conformité VPN ?

L'avantage est que vous pouvez utiliser la contrainte de mise en conformité VPN pour contrôler
l'accès des utilisateurs distants.

5. Quels sont les inconvénients de l'utilisation de la contrainte de mise en conformité VPN ?

L'inconvénient d'utiliser VPN est que la contrainte de mise en conformité VPN n'est pas adaptée
pour protéger les réseaux locaux (LAN) des utilisateurs internes.
6. Quelle est la façon la plus simple d'appliquer simultanément la configuration des clients requise
à plusieurs ordinateurs ?

Vous pouvez utiliser la stratégie de groupe pour activer le client de contrainte de mise en conformité
pour chaque type de contrainte de mise en conformité. Cela peut être fait pour toutes les unités
d'organisation qui contiennent des ordinateurs client.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L12-123

7. Comment pouvez-vous vous assurer que seuls les ordinateurs clients soient configurés, et pas
les serveurs ?

Si les ordinateurs client sont dans des unités d'organisation distinctes, vous pouvez lier l'objet de
stratégie de groupe (GPO) uniquement aux unités d'organisation comprenant les ordinateurs client.
Sinon, si des serveurs et des ordinateurs client cohabitent dans la même unité d'organisation, vous
pouvez utiliser le filtrage de sécurité pour vous assurer que seuls les ordinateurs client puissent
appliquer la stratégie. Créez un groupe pour les ordinateurs client, et vérifiez que seul ce groupe
dispose des autorisations nécessaires pour appliquer l'objet de stratégie de groupe.
8. Qu'est-ce qui détermine les options disponibles pour vérifier l'état des ordinateurs clients ?
Comment pouvez-vous développer ces options ?

Les agents d'intégrité système (SHA) et les programmes de validation d'intégrité système (SHV)
qui sont inclus dans Windows 8 et Windows Server 2012 déterminent les options disponibles
pour vérifier l'état des ordinateurs client. Vous utilisez d'autres agents d'intégrité système et
d'autres programmes de validation d'intégrité système pour développer les fonctionnalités
d'analyse de la protection d'accès réseau. Un agent d'intégrité système et un programme
de validation d'intégrité système sont ajoutés en tant que paire : l'agent d'intégrité système
du côté ordinateur client et le programme de validation d'intégrité système, côté serveur.
9. Comment les ordinateurs non conformes accèdent-ils aux serveurs de mise à jour ?

Un ordinateur non conforme disposent d'itinéraires hôtes statiques vers les serveurs de mise à jour.
Ceci permet à l'ordinateur non conforme d'établir le contact avec les serveurs de mise à jour bien
que son accès réseau global soit restreint.

10. Quels serveurs devez-vous configurer comme serveurs de mise à jour ?

Vous devez configurer tous les serveurs qui sont nécessaires pour mettre un ordinateur en conformité
comme serveurs de mise à jour. Cela peut inclure les contrôleurs de domaine, les serveurs DNS et les
serveurs WSUS (Windows Server Update Services).

 Tâche 3 : Examiner les propositions suggérées dans le corrigé de l'atelier pratique

• Comparez vos propositions à celles présentées précédemment.

 Tâche 4 : Présenter la solution que vous proposez à la classe, comme indiqué

par votre instructeur
• Préparez-vous à discuter de vos propositions avec la classe.

Résultats : À la fin de cet exercice, vous devez avoir terminé la conception de la protection d'accès
réseau.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-124 Conception et implémentation de la protection réseau

Exercice 4 : Implémenter la protection d'accès réseau avec la contrainte

de mise en conformité VPN
 Tâche 1 : Configurer les certificats pour la NAP
1. Sur LON-DC1, basculez vers le Gestionnaire de serveur.

2. Cliquez sur Outils, puis sur Autorité de certification.

3. Dans la console de gestion certsrv, développez Adatum-LON-DC1-CA, cliquez avec le bouton droit
sur Modèles de certificats, puis, dans le menu contextuel, cliquez sur Gérer.

4. Dans la Console des modèles de certificats, dans le volet d'informations, cliquez avec le bouton droit
sur Ordinateur, puis cliquez sur Propriétés.

5. Dans la boîte de dialogue Propriétés de : Ordinateur, cliquez sur l'onglet Sécurité,

puis sur Utilisateurs authentifiés.

6. Dans Autorisations pour Utilisateurs authentifiés, activez la case à cocher Autoriser

pour l'autorisation Inscrire, puis cliquez sur OK.

7. Fermez la Console des modèles de certificats.

8. Cliquez avec le bouton droit sur Adatum-LON-DC1-CA, pointez le curseur sur Toutes les tâches,
puis cliquez sur Arrêter le service.
9. Cliquez avec le bouton droit sur Adatum-LON-DC1-CA, pointez le curseur sur Toutes les tâches,
puis cliquez sur Démarrer le service.

10. Fermez la console de gestion certsrv.

 Tâche 2 : Configurer les stratégies de contrôle d'intégrité

1. Basculez vers LON-RTR.

2. Placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

3. Sur l'écran d'accueil, tapez [Link] et appuyez sur Entrée.

4. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

5. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez
successivement sur Certificats, Ajouter, Un compte d'ordinateur, Suivant, puis sur Terminer.

6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables,

cliquez sur OK.

7. Dans la console, développez Certificats (ordinateur local), cliquez avec le bouton droit sur
Personnel, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.

8. Dans la boîte de dialogue Inscription de certificats, cliquez sur Suivant.

9. Dans la page Sélectionner la stratégie d'inscription de certificat, cliquez sur Stratégie

d'inscription à Active Directory, puis sur Suivant.

10. Activez la case à cocher Ordinateur, puis cliquez sur Inscription.

11. Vérifiez que l'état d'installation du certificat est Opération réussie, puis cliquez sur Terminer.

12. Fermez la fenêtre Console1.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L12-125

13. Lorsque vous êtes invité à enregistrer les paramètres de la console, cliquez sur Non.

14. Basculez vers le Gestionnaire de serveur.

15. Dans le Gestionnaire de serveurs, dans le volet d'informations, cliquez sur Ajouter des rôles
et des fonctionnalités, puis cliquez sur Suivant.

16. Dans la page Sélectionner le type d'installation, cliquez sur Suivant.

17. Dans la page Sélectionner le serveur de destination, cliquez sur Suivant.

18. Dans la page Sélectionner des rôles de serveurs, activez la case à cocher Services de stratégie
et d'accès réseau, cliquez sur Ajouter des fonctionnalités et, dans la page Sélectionner des rôles
de serveurs, cliquez sur Suivant à deux reprises.

19. Dans la page Services de stratégie et d'accès réseau, cliquez sur Suivant.

20. Dans la page Sélectionner des services de rôle, cliquez sur Suivant, puis sur Installer.

21. Vérifiez que l'installation a réussi, puis cliquez sur Fermer.

22. Fermez la fenêtre du Gestionnaire de serveur.

23. Placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches, cliquez
sur Accueil, puis cliquez sur Serveur NPS (Network Policy Server).

24. Développez successivement Protection d'accès réseau, Programmes de validation d'intégrité

système, Programme de validation d'intégrité de la sécurité Windows, puis cliquez sur
Paramètres.

25. Dans le volet de droite, sous Nom, double-cliquez sur Configuration par défaut.

26. Dans la sélection Windows 8/Windows 7/Windows Vista, désactivez toutes les cases à cocher,
activez la case à cocher Un pare-feu est activé pour toutes les connexions réseau, puis cliquez
sur OK.

27. Dans le volet de navigation, développez Stratégies, cliquez avec le bouton droit sur Stratégies
de contrôle d'intégrité, puis cliquez sur Nouveau.

28. Dans la boîte de dialogue Créer une stratégie de contrôle d'intégrité, sous Nom de la stratégie,
tapez Conforme. Sous Contrôles du client par les programmes de validation d'intégrité système
(SHV), vérifiez que la case à cocher Réussite de tous les contrôles SHV pour le client est activée.
Sous Programmes de validation d'intégrité système (SHV) utilisés dans cette stratégie
de contrôle d'intégrité, activez la case à cocher Programme de validation d'intégrité
de la sécurité Windows, puis cliquez sur OK.

29. Cliquez avec le bouton droit sur Stratégies de contrôle d'intégrité, puis cliquez sur Nouveau.

30. Dans la boîte de dialogue Créer une stratégie de contrôle d'intégrité, sous Nom de la stratégie,
tapez Non conforme. Sous Contrôles du client par les programmes de validation d'intégrité
système (SHV), cliquez sur Échec d'un ou de plusieurs contrôles SHV pour le client.

31. Sous Programmes de validation d'intégrité système (SHV) utilisés dans cette stratégie
de contrôle d'intégrité, activez la case à cocher Programme de validation d'intégrité
de la sécurité Windows, puis cliquez sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-126 Conception et implémentation de la protection réseau

 Tâche 3 : Configurer les stratégies réseau

1. Dans le volet de navigation, sous Stratégies, cliquez sur Stratégies réseau.

Important : désactivez les deux stratégies par défaut indiquées sous Nom de la stratégie
en cliquant avec le bouton droit sur chacune d'elles, puis en cliquant sur Désactiver.

2. Cliquez avec le bouton droit sur Stratégies réseau, puis cliquez sur Nouveau.

3. Dans la page Spécifier le nom de la stratégie réseau et le type de connexion, sous Nom
de la stratégie, tapez Conforme-accès complet, puis cliquez sur Suivant.

4. Dans la page Spécifier les conditions, cliquez sur Ajouter.

5. Dans la boîte de dialogue Sélectionner une condition, double-cliquez sur Stratégies

de contrôle d'intégrité.

6. Dans la boîte de dialogue Stratégies de contrôle d'intégrité, sous Stratégies de contrôle

d'intégrité, cliquez sur Conforme, puis sur OK.

7. Dans la page Spécifier les conditions, cliquez sur Suivant.

8. Dans la page Spécifier l'autorisation d'accès, cliquez sur Suivant.

9. Dans la page Configurer les méthodes d'authentification, désactivez toutes les cases à cocher,
activez la case à cocher Vérifier uniquement l'intégrité de l'ordinateur, puis cliquez sur Suivant.
10. Cliquez à nouveau sur Suivant.

11. Dans la page Configurer les paramètres, cliquez sur Contrainte de mise en conformité NAP.
Vérifiez que l'option Autoriser un accès complet au réseau est sélectionnée, puis cliquez
sur Suivant.

12. Dans la page Fin de la configuration de la nouvelle stratégie réseau, cliquez sur Terminer.

13. Cliquez avec le bouton droit sur Stratégies réseau, puis cliquez sur Nouveau.

14. Dans la page Spécifier le nom de la stratégie réseau et le type de connexion, sous Nom
de la stratégie, tapez Non conforme-restreint, puis cliquez sur Suivant.

15. Dans la page Spécifier les conditions, cliquez sur Ajouter.

16. Dans la boîte de dialogue Sélectionner une condition, double-cliquez sur Stratégies
de contrôle d'intégrité.

17. Dans la boîte de dialogue Stratégies de contrôle d'intégrité, sous Stratégies de contrôle
d'intégrité, cliquez sur Non conforme, puis sur OK.

18. Dans la page Spécifier les conditions, cliquez sur Suivant.

19. Dans la page Spécifier l'autorisation d'accès, vérifiez que l'option Accès accordé est sélectionnée,
puis cliquez sur Suivant.

20. Dans la page Configurer les méthodes d'authentification, désactivez toutes les cases à cocher,
activez la case à cocher Vérifier uniquement l'intégrité de l'ordinateur, puis cliquez sur Suivant.

21. Cliquez à nouveau sur Suivant.

22. Dans la page Configurer les paramètres, cliquez sur Contrainte de mise en conformité NAP,
cliquez sur Autoriser un accès limité, puis désactivez la case à cocher Activer la mise à jour
automatique des ordinateurs clients.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L12-127

23. Dans la fenêtre Configurer les paramètres, cliquez sur Filtres IP.

24. Sous IPv4, cliquez sur Filtres d'entrée, puis sur Nouveau.

25. Dans la boîte de dialogue Ajouter le filtre IP, cliquez sur Réseau de destination. Dans la zone
Adresse IP, tapez [Link]. Dans la zone Masque de sous-réseau, tapez [Link],
puis cliquez sur OK.

26. Cliquez sur Autoriser uniquement les trafics listés ci-dessous, puis cliquez sur OK.

27. Sous IPv4, cliquez sur Filtres de sortie, puis sur Nouveau.

28. Dans la boîte de dialogue Ajouter le filtre IP, cliquez sur Réseau source.

29. Dans la zone Adresse IP, tapez [Link]. Dans la zone Masque de sous-réseau,
tapez [Link], puis cliquez sur OK.

30. Cliquez sur Autoriser uniquement les trafics listés ci-dessous, puis cliquez sur OK.

31. Dans la page Configurer les paramètres, cliquez sur Suivant.

32. Dans la page Fin de la configuration de la nouvelle stratégie réseau, cliquez sur Terminer.

 Tâche 4 : Configurer des stratégies de demande de connexion

1. Cliquez sur Stratégies de demande de connexion.
2. Désactivez les stratégies de demande de connexion par défaut indiquée sous Nom de la stratégie
en cliquant avec le bouton droit sur les stratégies, puis en cliquant sur Désactiver.

3. Cliquez avec le bouton droit sur Stratégies de demande de connexion, puis cliquez sur Nouveau.
4. Dans la page Spécifier le nom de la stratégie de demande de connexion et le type
de connexion, dans le champ Nom de la stratégie, tapez Connexions VPN.

5. Sous Type de serveur d'accès réseau, cliquez sur Serveur d'accès à distance (VPN-Dial-up),
puis sur Suivant.

6. Dans la page Spécifier les conditions, cliquez sur Ajouter.

7. Dans la boîte de dialogue Sélectionner une condition, double-cliquez sur Type de tunnel, cliquez
sur PPTP, SSTP, L2TP, sur OK, puis sur Suivant.

8. Dans la page Spécifier le transfert de la demande de connexion, vérifiez que l'option

Authentifier les demandes sur ce serveur est sélectionnée, puis cliquez sur Suivant.
9. Dans la page Spécifier les méthodes d'authentification, activez la case à cocher Remplacer
les paramètres d'authentification de stratégie réseau.

10. Sous Types de protocoles EAP, cliquez sur Ajouter.

11. Dans la boîte de dialogue Ajouter des protocoles EAP, sous Méthodes d'authentification,
cliquez sur Microsoft : PEAP (Protected EAP), puis cliquez sur OK.

12. Sous Types de protocoles EAP, cliquez sur Ajouter.

13. Dans la boîte de dialogue Ajouter des protocoles EAP, sous Méthodes d'authentification,
cliquez sur Microsoft: Mot de passe sécurisé (EAP-MSCHAP version 2), puis cliquez sur OK.

14. Sous Types de protocoles EAP, cliquez sur Microsoft : PEAP (Protected EAP), puis cliquez
sur Modifier.

15. Vérifiez que l'option Appliquer la protection d'accès réseau est sélectionnée, puis cliquez sur OK.

16. Cliquez sur Suivant à deux reprises, puis sur Terminer.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-128 Conception et implémentation de la protection réseau

 Tâche 5 : Configurer un serveur VPN

1. Basculez vers LON-RTR.

2. Placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches, cliquez sur
Accueil, puis sur Routage et accès distant. Si vous y êtes invité, dans la boîte de dialogue
Assistant Activation de DirectAccess, cliquez sur Annuler, puis sur OK.

3. Dans la console Routage et accès distant, cliquez avec le bouton droit sur LON-RTR (local),
puis cliquez sur Désactiver le routage et l'accès à distance.

4. Dans la boîte de dialogue, cliquez sur Oui.

5. Dans la console Routage et accès distant, cliquez avec le bouton droit sur LON-RTR (local),
puis cliquez sur Configurer et activer le routage et l'accès à distance.

6. Cliquez sur Suivant, sélectionnez Accès à distance (connexion à distance ou VPN), puis cliquez
sur Suivant.

7. Activez la case à cocher VPN, puis cliquez sur Suivant.

8. Cliquez sur l'interface réseau nommée Connexion au réseau local 2. Désactivez la case à cocher
Sécuriser l'interface sélectionnée en configurant des filtres de paquet statiques, puis cliquez
sur Suivant.

9. Dans la page Attribution d'adresses IP, cliquez sur À partir d'une plage d'adresses spécifiée,
puis cliquez sur Suivant.
10. Dans la page Assignation de plages d'adresses, cliquez sur Nouveau. En regard de Adresse IP
de début, tapez [Link], et en regard de Adresse IP de fin, tapez [Link], puis cliquez
sur OK. Vérifiez que 11 adresses IP ont été attribuées aux ordinateurs clients distants, puis cliquez
sur Suivant.

11. Dans la page Gestion de serveurs d'accès à distance multiples, vérifiez que la case à cocher Non,
utiliser Routage et accès distant pour authentifier les demandes de connexion est déjà activée,
puis cliquez sur Suivant.

12. Cliquez sur Terminer.

13. Cliquez sur OK à deux reprises, et attendez que le service Routage et accès distant démarre.
14. Basculez vers Serveur NPS (Network Policy Server).

15. Dans l'arborescence de la console, cliquez avec le bouton droit sur Stratégies de demande de
connexion, puis cliquez sur Actualiser. Dans le volet de résultats, vérifiez que l'option Stratégie
du service Routage et accès à distance Microsoft est Désactivée.

Remarque : Cliquez sur Action, puis sur Actualiser. Si l'option Stratégie du service
Routage et accès à distance Microsoft est activée, cliquez dessus avec le bouton droit, puis
cliquez sur Désactiver.

16. Fermez la console de gestion NPS.

17. Fermez la console Routage et accès distant.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L12-129

 Tâche 6 : Activer l'écho ICMPv4 à des fins de test

1. Sur LON-RTR, placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches,
puis cliquez sur Accueil.

2. Cliquez sur Outils d'administration, puis double-cliquez sur Pare-feu Windows avec fonctions
avancées de sécurité.

3. Cliquez sur Règles de trafic entrant, cliquez avec le bouton droit sur Règles de trafic entrant,
puis cliquez sur Nouvelle règle.

4. Cliquez sur Personnalisée, puis sur Suivant.

5. Cliquez sur Tous les programmes, puis sur Suivant.

6. En regard de Type de protocole, cliquez sur ICMPv4, puis sur Personnaliser.

7. Cliquez sur Certains types ICMP, activez la case à cocher Requête d'écho, cliquez sur OK,
puis sur Suivant.
8. Cliquez sur Suivant pour accepter l'étendue par défaut.

9. Dans la fenêtre Action, vérifiez que l'option Autoriser la connexion est sélectionnée et cliquez
sur Suivant.
10. Pour accepter le profil par défaut, cliquez sur Suivant.

11. Dans la fenêtre Nom, sous Nom, tapez ICMPv4 echo request, puis cliquez sur Terminer.

12. Fermez la console Pare-feu Windows avec fonctions avancées de sécurité.

 Tâche 7 : Configurer l'ordinateur client NAP

1. Basculez vers LON-CL2.

2. Sur l'écran d'accueil, tapez [Link], puis appuyez sur Entrée.

3. Dans NAPCLCFG – [Configuration du client NAP (Ordinateur local)], dans le volet de navigation,
cliquez sur Clients de contrainte.

4. Dans le volet de résultats, cliquez avec le bouton droit sur Client de contrainte de quarantaine EAP,
puis cliquez sur Activer.
5. Fermez NAPCLCFG – [Configuration du client NAP (Ordinateur local)].

6. Placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

7. Dans Accueil, tapez [Link], puis appuyez sur Entrée.

8. Dans Services, dans le volet de résultats, double-cliquez sur Agent de protection d'accès réseau.

9. Dans la boîte de dialogue Propriétés de Agent de protection d'accès réseau (ordinateur local),
dans la liste Type de démarrage, cliquez sur Automatique.

10. Cliquez sur Accueil, puis sur OK.

11. Placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

12. Dans Accueil, tapez [Link], puis appuyez sur Entrée.

 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-130 Conception et implémentation de la protection réseau

13. Dans l'arborescence de la console, développez successivement Stratégie Ordinateur local,

Configuration ordinateur, Modèles d'administration, Composants Windows, puis cliquez
sur Centre de sécurité.

14. Double-cliquez sur Activer le Centre de sécurité (ordinateurs appartenant à un domaine

uniquement), cliquez sur Activé, puis sur OK.

15. Fermez la fenêtre de la console.

16. Fermez la console Services, puis fermez les fenêtres Outils d'administration et Système et sécurité.

 Tâche 8 : Établir une connexion VPN

1. Sur LON-CL2, sur le Bureau, pointez votre souris vers le coin inférieur droit de la barre des tâches,
puis cliquez sur Paramètres.

2. Cliquez sur Panneau de configuration, puis sur Réseau et Internet.

3. Cliquez sur Centre Réseau et partage, puis sur Configurer une nouvelle connexion ou un
nouveau réseau.

4. Dans la page Choisir une option de connexion, cliquez sur Connexion à votre espace de travail,
puis sur Suivant.
5. Dans la page Comment voulez-vous vous connecter ?, cliquez sur Utiliser ma connexion
Internet (VPN), puis sur Je configurerai une connexion Internet ultérieurement.

6. Dans la page Entrez l'adresse Internet à laquelle vous souhaitez vous connecter, dans la zone
Adresse Internet, tapez [Link].

7. Dans la zone Nom de la destination, tapez VPN Adatum, sélectionnez la case à cocher Autoriser
d'autres personnes à utiliser cette connexion, puis cliquez sur Créer.
8. Dans Centre Réseau et partage, cliquez sur Modifier les paramètres de la carte.

9. Cliquez avec le bouton droit sur la connexion VPN Adatum, puis cliquez sur Propriétés.

10. Cliquez sur l'onglet Sécurité, et sous Authentification, cliquez sur Utiliser le protocole EAP
(Extensible Authentication Protocol).

11. Dans la liste Microsoft: Mot de passe sécurisé (EAP-MSCHAP version 2) (chiffrement activé),
cliquez sur Microsoft : PEAP (Protected EAP) (chiffrement activé), puis cliquez sur Propriétés.

12. Vérifiez que la case à cocher Vérifier l'identité du serveur en validant le certificat est activée,
puis désactivez la case à cocher Connexion à ces serveurs.

13. Sous Sélectionner la méthode d'authentification, vérifiez que Mot de passe sécurisé
(EAP-MSCHAP version 2) est déjà sélectionné.

14. Désactivez la case à cocher Activer la reconnexion rapide, activez la case à cocher Appliquer
la protection d'accès réseau, puis cliquez sur OK à deux reprises pour accepter ces paramètres.
15. Dans la fenêtre Connexions réseau, cliquez avec le bouton droit sur la connexion VPN Adatum,
puis cliquez sur Connecter/Déconnecter.

16. Dans la liste Réseaux de droite, cliquez sur VPN Adatum, puis sur Connexion.

17. Dans Authentification réseau, dans la zone Nom d'utilisateur, tapez ADATUM\Administrateur.
Dans la zone Mot de passe, tapez Pa$$w0rd, puis cliquez sur OK.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
Conception et implémentation d’une infrastructure Server L12-131

18. Une fenêtre Alerte de sécurité Windows s'affiche la première fois que cette connexion VPN
est utilisée. Cliquez sur Afficher les détails du certificat.

19. Cliquez sur Connexion. Attendez que la connexion VPN soit établie. Étant donné que
l'ordinateur LON-CL2 est conforme, il doit bénéficier d'un accès illimité au sous-réseau intranet.

20. Placez le pointeur de la souris dans le coin inférieur gauche de la barre des tâches, puis cliquez
sur Accueil.

21. Dans Accueil, tapez [Link], puis appuyez sur Entrée.

22. Tapez ipconfig /all, puis appuyez sur Entrée.

23. Affichez la configuration IP. L'option État de quarantaine du système doit être définie
sur Non restreint.

24. À l'invite de commandes, tapez ping [Link], puis appuyez sur Entrée. Le test ping doit
réussir. Le client répond à présent au critère défini pour une connectivité VPN satisfaisante.

25. Basculez vers Connexions réseau.

26. Cliquez avec le bouton droit sur VPN Adatum, puis cliquez sur Connecter/Déconnecter.

27. Dans la liste Réseaux de droite, cliquez sur VPN Adatum, puis sur Déconnexion.

28. Basculez vers LON-RTR.

29. Dans Outils d'administration, double-cliquez sur Serveur NPS.

30. Développez successivement Protection d'accès réseau, Programmes de validation d'intégrité
système, Programme de validation d'intégrité de la sécurité Windows, puis cliquez sur
Paramètres.
31. Dans le volet de droite, sous Nom, double-cliquez sur Configuration par défaut.

32. Dans la sélection Windows 8/Windows 7/Windows Vista, activez la case à cocher Restreindre
l'accès des clients qui n'ont pas installé toutes les mises à jour de sécurité disponibles,
puis cliquez sur OK.

33. Basculez vers LON-CL2.

34. Dans la liste Réseaux de droite, cliquez sur VPN Adatum, puis sur Connexion.

35. Revenez à l'invite de commandes.

36. Tapez ipconfig /all, puis appuyez sur Entrée.

37. Affichez la configuration IP. L'option État de quarantaine du système doit avoir la valeur Restreint.

38. Basculez vers Connexions réseau.

39. Cliquez avec le bouton droit sur VPN Adatum, puis cliquez sur Connecter/Déconnecter.

40. À droite, dans la liste Réseaux, cliquez sur VPN Adatum, puis sur Déconnexion.
 UTILISATION RÉSERVÉE À L'INSTRUCTEUR MCT UNIQUEMENT
L12-132 Conception et implémentation de la protection réseau

 Pour préparer le module suivant

Une fois l'atelier pratique terminé, rétablissez l'état initial de tous les ordinateurs virtuels. Pour cela,
procédez comme suit :

1. Sur l'ordinateur hôte, démarrez le Gestionnaire Hyper-V.

2. Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22413B-LON-CL2, puis cliquez
sur Rétablir.

3. Dans la boîte de dialogue Rétablir l'ordinateur virtuel, cliquez sur Rétablir.

4. Répétez les étapes 2 et 3 pour 22413B-LON-RTR et 22413B-LON-DC1.

Résultats : À la fin de cet exercice, vous devez avoir implémenté la protection d'accès réseau avec
la contrainte de mise en conformité VPN.