Вы находитесь на странице: 1из 392

P R O D U I T

O F F I C I E L

22411B

D E

F O R M A T I O N

M I C R O S O F T

Administration de Windows Server 2012

Administration de Windows Server 2012

Sommaire
Module 1 : Dploiement et maintenance des images de serveur
Leon 1 : Vue densemble des services de dploiement Windows
Leon 2 : Implmentation dun dploiement avec les services
de dploiement Windows
Leon 3 : Administration des services de dploiement Windows
Atelier pratique : Utilisation des services de dploiement Windows
pour dployer Windows Server 2012

1-2
1-9
1-16
1-23

Module 2 : Configuration et rsolution des problmes du systme DNS


Leon 1 : Installation du rle de serveur DNS
Leon 2 : Configuration du rle de serveur DNS
Leon 3 : Configuration des zones DNS
Leon 4 : Configuration des transferts de zone DNS
Leon 5 : Gestion et dpannage du systme DNS
Atelier pratique : Configuration et rsolution des problmes
du systme DNS

2-2
2-9
2-16
2-22
2-25
2-34

Module 3 : Gestion des services de domaine Active Directory


Leon 1 : Vue densemble dAD DS
Leon 2 : Implmentation des contrleurs de domaine virtualiss
Leon 3 : Implmentation des contrleurs de domaine en lecture seule
Leon 4 : Administration dAD DS
Leon 5 : Gestion de la base de donnes AD DS
Atelier pratique : Gestion dAD DS

3-2
3-8
3-13
3-18
3-18
3-37

Module 4 : Gestion des comptes dutilisateurs et de service


Leon 1 : Automatisation de la gestion des comptes dutilisateurs
Leon 2 : Configuration des paramtres de stratgie de mot de passe
et de verrouillage de compte dutilisateur
Leon 3 : Configuration des comptes de service grs
Atelier pratique : Gestion des comptes dutilisateurs et de service

4-2
4-8
4-15
4-22

xiii

xiv Administration de Windows Server 2012

Module 5 : Implmentation dune infrastructure de stratgie de groupe


Leon 1 : Prsentation de la stratgie de groupe
Leon 2 : Implmentation et administration des objets de stratgie
de groupe
Leon 3 : tendue de la stratgie de groupe et traitement
de la stratgie de groupe
Leon 4 : Dpanner lapplication des objets de stratgie de groupe
Atelier pratique : Implmentation dune infrastructure de stratgie
de groupe

5-2
5-12
5-20
5-39
5-46

Module 6 : Gestion des bureaux des utilisateurs avec la stratgie de groupe


Leon 1 : Implmentation des modles dadministration
Leon 2 : Configuration de la redirection de dossiers et des scripts
Leon 3 : Configuration des prfrences de stratgies de groupe
Leon 4 : Gestion des logiciels laide de la stratgie de groupe
Atelier pratique : Gestion des bureaux des utilisateurs
avec la stratgie de groupe

6-2
6-12
6-20
6-39
6-46

Module 7 : Configuration et rsolution des problmes daccs distance


Leon 1 : Configuration de laccs rseau
Leon 2 : Configuration de laccs VPN
Leon 3 : Vue densemble des stratgies rseau
Leon 4 : Rsolution des problmes du service de routage
et daccs distance
Atelier pratique A : Configuration de laccs distance
Leon 5 : Configuration de DirectAccess
Atelier pratique B : Configuration de DirectAccess

7-2
7-11
7-22
7-29
7-36
7-41
7-56

Module 8 : Installation, configuration et rsolution des problmes du rle de serveur NPS


Leon 1 : Installation et configuration d'un serveur NPS
Leon 2 : Configuration de clients et de serveurs RADIUS
Leon 3 : Mthodes d'authentification NPS
Leon 4 : Analyse et rsolution des problmes d'un serveur NPS
Atelier pratique : Installation et configuration d'un serveur NPS

8-2
8-7
8-14
8-24
8-30

Module 9 : Implmentation de la protection daccs rseau


Leon 1 : Vue densemble de la protection daccs rseau
Leon 2 : Vue densemble des processus de contrainte de mise
en conformit NAP
Leon 3 : Configuration de NAP
Leon 4 : Analyse et rsolution des problmes du systme NAP
Atelier pratique : Implmentation de la protection daccs rseau

9-2
9-8
9-16
9-22
9-27

Administration de Windows Server 2012

Module 10 : Optimisation des services de fichiers


Leon 1 : Vue densemble de FSRM
Leon 2 : Utilisation de FSRM pour grer les quotas, les filtres de fichiers
et les rapports de stockage
Leon 3 : Implmentation des tches de classification et de gestion
de fichiers
Atelier pratique A : Configuration des quotas et du filtrage
des fichiers laide de FSRM
Leon 4 : Vue densemble de DFS
Leon 5 : Configuration des espaces de noms DFS
Leon 6 : Configuration et rsolution des problmes
de la rplication DFS
Atelier pratique B : Implmentation de DFS

10-3
10-10
10-21
10-28
10-32
10-41
10-46
10-50

Module 11 : Configuration du chiffrement et de laudit avanc


Leon 1 : Chiffrement des fichiers laide du systme EFS
(Encrypting File System)
Leon 2 : Configuration de laudit avanc
Atelier pratique : Configuration du chiffrement et de laudit avanc

11-2
11-6
11-14

Module 12 : Implmentation de la gestion des mises jour


Leon 1 : Vue densemble de WSUS
Leon 2 : Dploiement des mises jour avec WSUS
Atelier pratique : Implmentation de la gestion des mises jour

12-2
12-5
12-9

Module 13 : Surveillance de Windows Server 2012


Leon 1 : Outils danalyse
Leon 2 : Utilisation de lAnalyseur de performances
Leon 3 : Analyse des journaux dvnements
Atelier pratique : Surveillance de Windows Server 2012

13-2
13-9
13-18
13-21

xv

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


1-1

Module 1
Dploiement et maintenance des images de serveur
Table des matires :
Vue d'ensemble du module

1-1

Leon 1 : Vue densemble des services de dploiement Windows

1-2

Leon 2 : Implmentation dun dploiement avec les services


de dploiement Windows

1-9

Leon 3 : Administration des services de dploiement Windows

1-16

Atelier pratique : Utilisation des services de dploiement Windows


pour dployer Windows Server 2012

1-23

Contrle des acquis et lments retenir

1-29

Vue densemble du module

Les organisations de plus grande taille ont besoin de technologies de dploiement qui puissent rduire ou
liminer lintervention de lutilisateur pendant le processus de dploiement. Vous pouvez utiliser le rle
Services de dploiement dans Windows Server 2012 et Windows Server 2008 pour prendre en charge les
dploiements volume lev de type Lite Touch et Zero Touch. Ce module explore les fonctionnalits des
services de dploiement Windows et explique comment les utiliser pour effectuer des dploiements de
type Lite Touch.

Objectifs
la fin de ce module, les stagiaires seront mme deffectuer les tches suivantes :

Dcrire les principales fonctionnalits et caractristiques des services de dploiement Windows.

Configurer les services de dploiement Windows dans Windows Server 2012.

Excuter des dploiements avec les services de dploiement Windows.

Dploiement et maintenance des images de serveur

Leon 1

Vue densemble des services de dploiement Windows

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-2

Les services de dploiement Windows vous permettent de dployer des systmes dexploitation
Windows. Pour dployer ces systmes dexploitation sur de nouveaux ordinateurs, vous pouvez utiliser
une installation des services de dploiement Windows partir du rseau. Cela signifie quil nest pas
ncessaire dtre physiquement prsent sur chaque ordinateur. En outre, il nest pas ncessaire dinstaller
chaque systme dexploitation depuis un support local. Les services de dploiement Windows rpondent
donc parfaitement aux besoins de dploiement des grandes organisations.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire le fonctionnement des services de dploiement Windows ;

dcrire les composants des services de dploiement Windows ;

dcrire les avantages des services de dploiement Windows ;

dterminer comment utiliser les services de dploiement Windows pour prendre en charge divers
scnarios de dploiement.

Que sont les services de dploiement Windows ?


Les services de dploiement Windows sont un rle
serveur fourni avec Windows Server 2012. Leurs
fonctions sont les suivantes :

Ils vous permettent dexcuter des


installations partir du rseau.

Ils simplifient le processus de dploiement


dimage.

Ils prennent en charge le dploiement sur les


ordinateurs sans systme dexploitation.

Ils fournissent des solutions de dploiement


de bout en bout pour les ordinateurs client et
serveur.

Ils utilisent des technologies existantes, telles que lEnvironnement de prinstallation Windows
(Windows PE), un fichier dimage systme Windows (.wim), des fichiers dimage virtuelle de disque
dur (.vhd) et le dploiement bas sur des images.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-3

Les services de dploiement Windows permettent le dploiement automatis de systmes dexploitation


Windows. Vous pouvez compltement automatiser le dploiement des systmes dexploitation suivants :

Windows XP

Windows Server 2003

Windows Vista avec Service Pack 1 (SP1)

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8

Windows Server 2012

Les services de dploiement Windows permettent de crer, stocker et dployer des images dinstallation
des systmes dexploitation pris en charge, et prennent en charge les fichiers image .wim et .vhd. Le
dploiement peut dsormais tre en monodiffusion ou en multidiffusion. La multidiffusion offre une
gestion plus efficace du trafic rseau que consomme le processus de dploiement. Cela peut acclrer le
dploiement sans affecter dfavorablement dautres services rseau.

Systmes dexploitation avec composants

Les services de dploiement Windows sintgrent troitement avec Windows Vista, Windows Server 2008,
Windows 7, Windows Server 2008 R2, Windows 8 et Windows Server 2012. Un parfait exemple de cette
intgration est la conception de ces systmes dexploitation avec des composants. Ces systmes
dexploitation consistent en lments autodescriptifs, appels composants. Lautodescription se rapporte
au fait que les lments contiennent un manifeste qui rpertorie les diffrentes options de configuration
que vous pouvez dfinir pour chaque composant. Vous pouvez voir les fonctionnalits et les
configurations pour chaque composant. Les mises jour, les Service Packs et les modules linguistiques
sont des composants qui sont appliqus sur les systmes dexploitation qui peuvent tre diviss.
Les pilotes sont galement considrs comme des composants distincts et configurables. Le principal
avantage de ces composants est de pouvoir installer des pilotes, tels que des correctifs logiciels ou des
Service Packs, sur un systme dexploitation hors connexion. Au lieu de mettre jour des images
compltes chaque fois quune nouvelle mise jour, un nouveau Service Pack ou un nouveau pilote est
disponible, vous pouvez installer ces composants dans limage hors connexion pour que Windows les
applique quand vous dployez limage.
Lors du dploiement des images sur le disque dur dun nouvel ordinateur, le systme reoit limage
disque de base avec chacun des composants ajouts, et ce avant que le systme ne dmarre pour la
premire fois.

Dploiement et maintenance des images de serveur

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-4

Si votre organisation est multilingue ou internationale, vous pouvez utiliser la nature indpendante de la
langue des systmes dexploitation Windows les plus rcents. Le nombre dimages maintenir est encore
rduit parce quil ny a plus de versions localises. Certaines versions de systmes dexploitation Windows
sont limites au nombre de modules linguistiques. Vous pouvez tout moment ajouter ou supprimer des
modules linguistiques dun systme en fonction de vos besoins, et ce sans modifier autrement linstallation.
Si vous devez prendre en charge plusieurs langues, ajoutez tous les modules linguistiques ncessaires
votre fichier de dploiement .wim puis activez-les selon vos besoins, sur tous les ordinateurs ou certains
seulement.

Composants des services de dploiement Windows


Les services de dploiement Windows fournissent
un certain nombre de fonctions distinctes via des
composants identifiables.

Serveur PXE (Pre-Boot Execution


Environment) des services de
dploiement Windows
Le serveur PXE (Pre-Boot Execution Environment)
fournit les fonctions suivantes :

Il se lie aux interfaces rseau.

Il dtecte les requtes PXE entrantes.

Il formate les paquets de rponse du protocole DHCP (Dynamic Host Configuration Protocol).

Client des services de dploiement Windows

Le client des services de dploiement Windows fournit une interface graphique base sur linterface
graphique dinstallation de Windows Server. Elle tablit un canal de communication avec le serveur des
services de dploiement Windows et rcupre une liste dimages dinstallation sur ce serveur. En outre, le
client des services de dploiement Windows fournit des informations dtat de lordinateur cible pendant
le dploiement.

Composants serveur

Les composants serveurs supplmentaires comprennent un serveur TFTP (Trivial File Transfer Protocol)
qui permet aux clients effectuant le dmarrage partir du rseau de charger une image de dmarrage
dans la mmoire. Sy ajoutent : un rfrentiel dimages contenant des images de dmarrage, des images
dinstallation et les fichiers ncessaire la prise en charge du dmarrage rseau, ainsi quun dossier
partag pour hberger les images dinstallation.

Moteur de multidiffusion

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-5

Avec les services de dploiement Windows, la transmission dimages de systme dexploitation


volumineuses sur le rseau est plus efficace. Le transfert de fichiers de plusieurs gigaoctets sur le rseau
cre toutefois un trafic rseau important. Avec la nouvelle fonctionnalit de multidiffusion, vous pouvez
encore rduire le cot rseau de lutilisation des services de dploiement Windows.

Avec la multidiffusion, le serveur envoie les donnes en une seule fois, et plusieurs cibles reoivent les
mmes donnes. Si vous dployez une image sur plusieurs cibles, cette mthode peut rduire le trafic
rseau une fraction du nombre quivalent de plusieurs transmissions en monodiffusion. Les services de
dploiement Windows fournissent deux types de multidiffusion :

La diffusion planifie. Il existe deux faons de configurer une diffusion planifie :


o

Nombre de clients. Lorsque vous spcifiez un nombre de clients, le serveur attend que le nombre
dfini de clients connects soit atteint, puis il commence envoyer les informations.

Limite dans le temps. Lorsque vous spcifiez une limite dans le temps, le serveur attend jusquau
moment spcifi puis commence le dploiement vers les ordinateurs client connects.

Bien que la diffusion planifie offre une utilisation plus efficace du rseau, elle ncessite nanmoins un
certain travail, chaque ordinateur cible devant tre connect, mis en marche et mis en file dattente.

Diffusion automatique. Une cible peut rejoindre une diffusion automatique tout moment, et le
serveur rpte la transmission tant que des cibles sont connectes. Si la cible commence recevoir
limage en cours de transmission, ou sil lui manque une certaine partie de limage, elle demeure
connecte et rassemble les parties manquantes du fichier quand le serveur redmarre la transmission.
Question : Quel est lavantage de la multidiffusion sur la monodiffusion dans les scnarios
de dploiements importants ?

Pourquoi utiliser les services de dploiement Windows ?


Nimporte quelle organisation qui souhaite rduire
les interventions requise de la part de
ladministrateur pendant le dploiement de
Windows Server devrait utiliser les services de
dploiement Windows. En raison de leur capacit
prendre en charge le dploiement via le rseau,
potentiellement sans intervention de lutilisateur,
les services de dploiement Windows permettent
aux organisations de crer un environnement plus
autonome et plus efficace pour installer Windows.
Prenez les scnarios suivants :

Dploiement et maintenance des images de serveur

Scnario 1

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-6

Dans un petit rseau constitu dun serveur unique et denviron 25 ordinateurs sous Windows XP, vous
pourriez utiliser les services de dploiement Windows pour acclrer le processus de mise niveau des
ordinateurs client vers Windows 8. Une fois que vous avez install et configur le rle serveur des services
de dploiement Windows sur le serveur unique, vous pouvez utiliser les services de dploiement Windows
pour effectuer les tches suivantes :
1.

Ajouter boot.wim ( partir du dossier de sources sur le support de Windows Server 2012) comme
image de dmarrage dans les services de dploiement Windows.

2.

Ajouter install.wim ( partir du dossier de sources sur le support de Windows 8) comme image
dinstallation.

3.

Crer une image de capture partir de limage de dmarrage que vous avez prcdemment ajoute.

Remarque : Une image de capture est une image de dmarrage modifie qui contient les
lments ncessaires pour capturer une image de fichier WIM partir dun ordinateur de
rfrence configur.
4.

Dmarrer votre ordinateur de rfrence partir du rseau en utilisant lenvironnement PXE.

5.

Excuter une installation standard de Windows 8 partir de limage install.wim.

6.

Installer les applications de productivit et les applications personnalises de la manire prescrite sur
lordinateur de rfrence.

7.

Gnraliser lordinateur de rfrence avec loutil de prparation systme (Sysprep).

8.

Redmarrer lordinateur de rfrence partir du rseau en utilisant lenvironnement PXE.

9.

Vous connecter limage de capture que vous avez cre, lutiliser pour capturer le systme
dexploitation local et le tlcharger nouveau sur le serveur des services de dploiement Windows.

10. Dmarrer chacun des ordinateurs cibles existants partir du rseau en utilisant lenvironnement PXE,
et les connecter limage de dmarrage approprie.
11. Slectionner limage dinstallation personnalise.
12. Le dploiement commence.
Dans ce scnario, les avantages pour lorganisation sont les suivants :

Une image dordinateur de bureau standardise.

Un dploiement rapide de chaque ordinateur avec une intervention limite de linstallateur.

Cette solution ne serait toutefois pas adapte de plus grands dploiements, car il faut que linstallateur
commence le dploiement sur lordinateur cible. En outre, linstallateur est requis pour slectionner une
partition de disque sur laquelle installer limage dinstallation slectionne.

Scnario 2

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-7

Dans le deuxime scnario, une organisation de taille moyenne importante souhaite dployer plusieurs
serveurs dans des filiales gographiquement disperses. Envoyer du personnel informatique expriment
sur chaque site pour dployer les serveurs savrerait long et coteux.
Grce aux services de dploiement Windows, le personnel informatique peut solutionner ce problme :
1.

Ajouter boot.wim ( partir du support de Windows Server 2012) comme image de dmarrage dans
les services de dploiement Windows.

2.

Ajouter install.wim ( partir du support de Windows Server 2012) comme image dinstallation.

3.

Crer une image de capture.

4.

Dmarrer lordinateur de rfrence partir du rseau.

5.

Excuter une installation standard de Windows Server 2012 partir de limage install.wim.

6.

Personnaliser lordinateur de rfrence selon les besoins.

7.

Gnraliser lordinateur de rfrence.

8.

Redmarrer lordinateur de rfrence.

9.

Capturer le systme dexploitation Windows de rfrence et le tlcharger nouveau sur le serveur


des services de dploiement Windows.

10. Configurer les comptes dutilisateur AD DS (Active Directory Domain Services) ; Il sagit de la
prconfiguration des comptes dordinateur.
11. Utiliser lAssistant Gestion dinstallation (SIM) dans le Kit dinstallation automatise Windows
(Windows ADK) pour crer un fichier de rponses sans assistance.

12. Configurer le fichier de rponses pour lutiliser avec limage dinstallation capture sur les services de
dploiement Windows.

13. Configurer une stratgie de format de nom personnalise dans les services de dploiement Windows,
de sorte que chaque ordinateur serveur reoive un nom dordinateur appropri pendant le
dploiement.
14. Configurer les services de dploiement Windows pour utiliser une image de dmarrage par dfaut.
15. Configurer les services de dploiement Windows pour rpondre aux requtes PXE et lancer le
dploiement de limage dinstallation automatiquement.
16. Dmarrer chacun des ordinateurs cibles partir du rseau.
Remarque : Pour viter une boucle de dmarrage, il est recommand de configurer le
systme BIOS de lordinateur pour commencer partir du disque dur puis du rseau. Pour plus
dinformations sur comment viter une boucle de dmarrage, reportez-vous au guide de
dploiement des services de dploiement Windows.

Dploiement et maintenance des images de serveur

Dans ce scnario, les avantages pour lorganisation sont les suivants :

Des versions de serveur standardises.

Une connexion automatique au domaine aprs le dploiement.

Lattribution automatique de noms aux ordinateurs.

Peu ou pas dinterventions de linstallateur.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-8

La solution nimplmente pas des transmissions par multidiffusion et nutilise pas la rfrence PXE. Ces
technologies pourraient galement tre utilises pour aider grer le trafic rseau pendant le dploiement.

Discussion : Procdure dutilisation des services de dploiement Windows


Les services de dploiement Windows peuvent
tre utiles pour beaucoup de scnarios de
dploiement impliquant des systmes
dexploitation Windows.
Question : Le personnel informatique de la
socit A. Datum Corporation est sur le point
de dployer Windows Server 2012 dans
diverses filiales. Les informations suivantes
ont t fournies au personnel informatique
par la direction :
o

La configuration des serveurs des


diffrentes filiales doit tre assez
cohrente.

Il nest pas ncessaire de mettre niveau les paramtres des serveurs existants, car ce sont de
nouvelles succursales sans infrastructure informatique en place.

Lautomatisation du processus de dploiement est importante, car il y a beaucoup de serveurs


dployer.

Comment utiliseriez-vous les services de dploiement Windows pour optimiser le


dploiement ?
Question : La socit A. Datum Corporation souhaite dployer plusieurs douzaines de
nouveaux serveurs son sige social. Ces serveurs seront installs avec Windows Server 2012.
Les informations suivantes ont t fournies au personnel informatique par la direction :
o

La configuration des divers serveurs peut varier lgrement ; il y a deux configurations de serveur
de base : installation serveur complte et installation serveur minimale.

La gestion du trafic rseau est cruciale, car le rseau est presque pleine capacit.

Comment recommanderiez-vous au personnel de chez A. Datum de procder pour le


dploiement ?

Leon 2

Implmentation dun dploiement avec les services


de dploiement Windows

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-9

Bien que les services de dploiement Windows ne sont pas compliqus installer et configurer, il est
important que vous compreniez la constitution de leurs composants et comment les configurer
correctement. Ce faisant, vous veillerez ce quils fournissent le niveau appropri dautomatisation du
dploiement et quils rpondent aux besoins de dploiement de votre organisation. Une fois que vous
installez et configurez les services de dploiement Windows, vous devez comprendre comment les utiliser
et utiliser les outils associs pour crer, grer et dployer des images sur des ordinateurs dans votre
organisation.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrivez les composants des services de dploiement Windows.

Expliquez comment installer et configurer les services de dploiement Windows.

Expliquez le processus dutilisation des services de dploiement Windows pour dployer


Windows Server.

Fonctionnement des composants des services de dploiement Windows


Lorsque vous dployez le rle serveur des services
de dploiement Windows, vous pouvez choisir
entre deux options de configuration. Vous pouvez
choisir la configuration par dfaut, qui dploie les
services pour les rles du serveur de dploiement
et du serveur de transport, ou vous pouvez choisir
de dployer seulement le service pour le rle du
serveur de transport. Dans ce deuxime scnario,
le service pour le rle du serveur de dploiement
fournit le serveur dimage ; le serveur de transport
ne fournit pas la fonctionnalit dacquisition
dimages.

Le serveur de dploiement active une solution de dploiement de bout en bout, alors que le serveur de
transport fournit une plateforme que vous utilisez pour crer une solution de dploiement personnalise
multidiffusion.

Le tableau suivant compare les deux services de rle.


Composant Serveur

Serveur de dploiement

Serveur de transport

Configuration requise

AD DS, DHCP et DNS


(Domain Name System)

Pas dimpratifs
dinfrastructure

PXE

Utilise le fournisseur PXE par dfaut

Vous devez crer un


fournisseur PXE

Serveur dimage

Inclut le serveur dimage des services


de dploiement Windows

Aucun

Transmission

Monodiffusion et multidiffusion

Multidiffusion seulement

Gestion

Les outils de ligne de


commande WDSutil.exe et le
composant logiciel enfichable MMC
(Microsoft Management Console) des
services de dploiement Windows

WDSutil.exe seulement

Ordinateur cible.

Utilise le client des services de


dploiement Windows ou loutil
Wdsmcast.exe

Wdsmcast.exe seulement

Fonctionnalit du serveur de transport


Vous pouvez utiliser le serveur de transport pour fournir les fonctionnalits suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-10 Dploiement et maintenance des images de serveur

Dmarrage partir du rseau. Le serveur de transport fournit seulement un auditeur PXE ; cest le
composant qui coute et accepte le trafic entrant. Vous devez crire un fournisseur PXE personnalis
pour utiliser un serveur de transport pour dmarrer un ordinateur partir du rseau.

Multidiffusion. Dans les services de dploiement Windows, le serveur de multidiffusion consiste en un


fournisseur de multidiffusion et en un fournisseur de contenu :
o

Fournisseur de multidiffusion. Transmet les donnes sur le rseau.

Fournisseur de contenu. Interprte les donnes et les transmet au fournisseur de multidiffusion.


Le fournisseur de contenu est install avec les serveurs de transport et le serveur de dploiement,
et peut tre utilis pour transfrer nimporte quel type de fichier, bien quil ait une connaissance
spcifique du format de fichier image .wim.

Configuration requise pour linstallation des services de dploiement Windows

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-11

La configuration requise spcifique linstallation du rle des services de dploiement Windows dpend
de si vous dployez un serveur de dploiement ou seulement un serveur de transport.
Pour installer un serveur de dploiement, votre rseau et serveur cible doivent rpondre aux exigences
suivantes.

AD DS. Votre serveur des services de dploiement Windows doit tre soit membre
dun domaine AD DS, soit un contrleur de domaine pour un domaine AD DS.

Remarque : Le domaine et les niveaux fonctionnels de la fort AD DS ne sont pas


pertinents ; toutes les configurations de domaine et de fort prennent en charge les services de
dploiement Windows.

DHCP. Vous devez avoir un serveur DHCP fonctionnel avec une tendue active sur le rseau. Cest
parce que les services de dploiement Windows utilisent lenvironnement PXE, qui dpend du
protocole DHCP pour allouer les configurations IP.

DNS. Vous devez avoir un serveur DNS actif sur le rseau, de sorte que les ordinateurs client puissent
localiser les services requis pour le dploiement.

Volume de systme de fichiers NTFS. Le serveur qui excute les services de dploiement Windows
requiert un volume NTFS pour la banque dimages. Les services de dploiement Windows accdent
la banque dimage dans le contexte de lutilisateur qui a ouvert une session. Par consquent, les
comptes dutilisateur de dploiement doivent avoir des autorisations suffisantes sur les fichiers image.

Bien quil ne sagisse pas dune configuration requise, Windows ADK vous permet de simplifier le
processus de cration de fichiers de rponses (unattend.xml) pour une utilisation avec les dploiements
automatiss des services de dploiement Windows.
Remarque : Pour installer le rle des services de dploiement Windows, vous devez tre
membre du groupe Administrateurs locaux sur le serveur. Pour initialiser le serveur, vous devez
tre membre du groupe Utilisateurs du domaine.

Installation et configuration des services de dploiement Windows


Une fois que votre infrastructure rseau satisfait aux
conditions requises, vous pouvez installer le rle
serveur des services de dploiement Windows.

Installation du rle serveur des services


de dploiement Windows
Utilisez les tapes gnrales suivantes pour fournir
de laide sur linstallation du rle.
1.

Ouvrez le Gestionnaire de serveurs, puis


ajoutez le rle serveur des services de
dploiement Windows.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-12 Dploiement et maintenance des images de serveur

2.

Choisissez si vous le souhaitez dinstaller le service pour le rle du serveur de dploiement (qui inclut
le rle du serveur de transport) ou juste le service pour le rle du serveur de transport.

3.

Suivez lAssistant pour installer le rle requis.

Configuration initiale des services de dploiement Windows


Une fois les services de dploiement Windows installs, ouvrez-les partir des outils dadministration,
puis utilisez laide gnrale suivante pour les configurer.
1.

Slectionnez votre serveur dans la console des services de dploiement Windows et lancez lAssistant
de configuration.

2.

Spcifiez un emplacement pour enregistrer les images. Cet emplacement :

3.

Doit tre une partition NTFS.

Doit tre assez grand pour accueillir les images de dploiement que vous prvoyez utiliser.

Devrait tre un disque physique distinct de celui sur lequel est install le systme dexploitation
afin doptimiser les performances.

Si le rle du serveur DHCP est hberg sur le serveur des services de dploiement Windows avec
dautres services, vous devez :
o

Empcher le serveur PXE dcouter sur le port 67 du protocole UDP (User Datagram Protocol) ; ce
port est utilis par le protocole DHCP.

Configurer loption DHCP 60 sur PXEClient ; cela permet au client PXE de localiser le port du
serveur des services de dploiement Windows.

Remarque : Si vous dployez les services de dploiement Windows sur un serveur qui
excute dj le rle du serveur DHCP, ces modifications sont faites automatiquement. Si vous
ajoutez ultrieurement le rle du serveur DHCP un serveur de dploiement Windows, vous
devez vous assurer dapporter lesdites modifications.
4.

Dterminez comment vous souhaitez que le serveur PXE rponde aux clients :
o

Par dfaut, le serveur PXE ne rpond aucun client ; cest utile quand vous effectuez la
configuration initiale des services de dploiement Windows, car vous navez encore aucune
image disponible pour des clients.

Alternativement, vous pouvez choisir de configurer le serveur PXE pour :

Rpondre aux ordinateurs client connus ; ce sont des ordinateurs que vous avez
prconfigurs.

Rpondre tous les ordinateurs client, que vous les ayez prconfigurs ou non ; si vous
slectionnez cette option, vous pouvez en outre dfinir quune approbation dadministrateur
soit requise pour les ordinateurs inconnus. Tout en attendant lapprobation, les ordinateurs
client sont maintenus dans une file dattente.

Remarque : Sil y a lieu, vous pouvez reconfigurer ces paramtres aprs avoir termin la
configuration initiale.

Gestion des dploiements avec les services de dploiement Windows


Une fois que vous avez install et configur les
services de dploiement Windows, vous pouvez
les prparer pour soccuper des dploiements
clients, ce qui implique les procdures suivantes.

Configuration des paramtres


de dmarrage
Vous devez excuter plusieurs tches de
configuration pour configurer les paramtres de
dmarrage sur le serveur qui hberge les services
de dploiement Windows.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-13

Ajoutez des images de dmarrage. Une image


de dmarrage est une image Windows PE que vous utilisez pour dmarrer un ordinateur et installer
limage dinstallation. En gnral, vous utilisez le fichier boot.wim sur le DVD de Windows Server 2012,
dans le dossier \sources. Vous pouvez galement dcider de crer une image de capture, qui est un
type spcifique dimage de dmarrage que vous pouvez utiliser pour capturer un systme
dexploitation actuellement install sur un ordinateur de rfrence.

Configurez la stratgie de dmarrage PXE pour les clients connus et inconnus. Cette stratgie
dtermine le comportement requis de linstallateur pendant la partie initiale du dploiement. Par
dfaut, tant la stratgie pour les ordinateurs connus que celle pour les ordinateurs inconnus exigent
de linstallateur quil appuie sur F12 pour se connecter au serveur dimage des services de
dploiement Windows. Sil ne le fait pas, lordinateur utilise les paramtres du BIOS pour dterminer
une autre mthode de dmarrage, par exemple via le disque dur ou un CD-ROM. Au lieu de cette
valeur par dfaut, vous pouvez configurer les options suivantes :
o

Toujours continuer le dmarrage PXE. Cette option permet lordinateur de poursuivre le


processus de dploiement sans intervention de linstallateur.

Continuer le dmarrage PXE sauf si lutilisateur appuie sur chap. Cette option donne
linstallateur la possibilit dannuler le dploiement.

Configurez une image de dmarrage par dfaut. Si vous avez plusieurs images de dmarrage, par
exemple pour prendre en charge plusieurs plates-formes,vous pouvez configurer une image de
dmarrage par dfaut pour chacune delles. Cette image est slectionne aprs un dlai dexpiration
sur lordinateur client PXE.

Associez un fichier de rponses pour linstallation. Vous pouvez dfinir un fichier de rponses associ
pour chaque architecture cliente. Ce fichier de rponses fournit les informations qui sont utilises
pendant la phase dinstallation initiale et permet au serveur dimage des services de dploiement
Windows de slectionner limage dinstallation approprie pour le client, sans intervention de
linstallateur.

Crez les images de dcouverte. Tous les ordinateurs ne prennent pas en charge le dmarrage
rseau PXE. Pour ceux qui ne le font pas, vous pouvez crer une image de dcouverte base sur
une image de dmarrage et lexporter vers un priphrique de stockage amovible. Pour crer une
image de dcouverte, spcifiez :
o

Le nom et la description de limage.

Limage de dmarrage sur laquelle elle est base.

Un nom de fichier avec lequel enregistrer limage.

Le nom du serveur des services de dploiement Windows qui sera utilis pour le dploiement.

Configuration des paramtres dinstallation

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-14 Dploiement et maintenance des images de serveur

Vous devez configurer les paramtres dinstallation supplmentaires des services de dploiement Windows.

Ajoutez des images dinstallation. Cest limage du systme dexploitation que vous utilisez pour
installer Windows Server. En gnral, vous commencez par limage dinstallation install.wim, dans le
dossier \sources du DVD de Windows Server 2012. Ensuite, vous pouvez choisir de crer des images
personnalises pour des groupes dordinateurs qui ont des configurations similaires.

Remarque : Avant de pouvoir crer des images dinstallation, vous devez dfinir un groupe
dimages dinstallation dans lequel consolider les images associes. Si vous ne procdez pas ainsi,
le programme dadministration des services de dploiement Windows cre un groupe gnrique.

Associez un fichier de rponses une image dinstallation. Si vous avez cr un fichier de rponses,
par exemple laide de Windows ADK, vous pouvez lassocier une installation pour fournir les
informations ncessaires pour terminer le dploiement de lordinateur sans linteraction de
linstallateur.

Configurez une stratgie de format de nom du client. Vous pouvez utiliser une stratgie de format de
nom du client pour dfinir le nom des ordinateurs inconnus pendant le dploiement. La stratgie
utilise un certain nombre de variables pour crer un nom unique :
a.

%First. Le prnom de linstallateur. Mettre un chiffre aprs le signe % indique le nombre de


caractres utiliser dans le nom. Par exemple, %3First utilise les trois premiers caractres du
prnom de linstallateur.

b.

%Last. Le nom de famille de linstallateur. Vous pouvez galement dfinir le nombre de


caractres utiliser.

c.

%Username. Le nom dutilisateur de linstallateur. De nouveau, vous pouvez limiter le nombre de


caractres en indiquant un chiffre aprs le signe %.

d.

%MAC. Ladresse MAC (Media Access Control).

e.

%[n]#. Vous pouvez utiliser cette squence pour attribuer un numro squentiel didentification
unique contenant n chiffres au nom dordinateur. Si vous souhaitez utiliser un numro plusieurs
chiffres, compltez la variable avec des zros non significatifs aprs le signe %. Par exemple, %2#
a comme consquence les numros squentiels 1, 2, 3 et ainsi de suite. %02# donne 01, 02 et 03.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-15

Spcifiez lemplacement AD DS pour les comptes dordinateur. Par dfaut, le mme domaine AD DS
que le serveur des services de dploiement Windows est utilis. Alternativement, vous pouvez
slectionner :
o

Le mme domaine que lutilisateur effectuant le dploiement.

La mme unit dorganisation (OU) que lutilisateur effectuant le dploiement.

Un emplacement AD DS spcifi.

Remarque : Lordinateur des services de dploiement Windows requiert les autorisations Crer
un objet Ordinateur et crire toutes les proprits pour le conteneur AD DS que vous spcifiez.

Configuration des paramtres de transmission

Configurez les transmissions par multidiffusion. La transmission par monodiffusion est active par dfaut ;
cest--dire que vous navez rien besoin de faire dautre et que vous pouvez dployer des clients en utilisant
la monodiffusion. Cependant, pour activer la transmission par multidiffusion, vous devez spcifier :

Le nom de la transmission par multidiffusion.

Une image dinstallation laquelle la transmission est associe.

Une mthode de transmission par multidiffusion. Choisissez entre Diffusion automatique et Diffusion
planifie. Si vous choisissez la diffusion planifie, vous pouvez dfinir un seuil minimal de clients avant
le dbut de la transmission, ainsi que la date et lheure de dbut.

Configuration des pilotes

Dans Windows Server 2012, les services de dploiement Windows vous permettent dajouter et configurer
des packages de pilotes sur le serveur, puis de les dployer sur les ordinateurs client pendant les
installations en fonction de leur matriel.
Utilisez les tapes gnrales suivantes pour configurer les pilotes :
1.

Obtenez les pilotes dont vous avez besoin. Ceux-ci doivent tre sous la forme dun fichier .inf plutt
que .msi ou .exe.

2.

Configurez au besoin des filtres sur le groupe de pilotes. Ces filtres dterminent quels ordinateurs client
reoivent les pilotes en fonction de leurs caractristiques matrielles. Par exemple, vous pouvez crer
un filtre qui applique seulement les pilotes aux ordinateurs qui ont un BIOS fabriqu par A. Datum.

3.

Ajoutez les pilotes comme package de pilotes. Les packages de pilotes doivent tre associs un
groupe de pilotes. Si vous associez le package de pilotes un groupe non filtr, tous les ordinateurs
reoivent le pilote.

Vous pouvez utiliser les services de dploiement Windows pour ajouter des packages de pilotes vos
images de dmarrage de Windows 8 et Windows Server 2012 ; par consquent, il nest pas ncessaire
dexporter limage. Utilisez les outils de Windows ADK pour ajouter manuellement des packages de
pilotes, puis ajoutez limage de dmarrage mise jour.
Question : Quel est lavantage de dfinir une stratgie de format de nom pour les clients ?

Leon 3

Administration des services de dploiement Windows


Aprs avoir termin la configuration des services de dploiement Windows, vous devez crer et
administrer des images de dmarrage, les installer et ventuellement capturer et dcouvrir des images.
En outre, vous devez rendre ces images disponibles aux ordinateurs client avec le niveau dsir
dautomatisation, en utilisant un mcanisme de transmission appropri.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrivez les tches dadministration communes.

Expliquez comment ajouter et configurer des images de dmarrage, de capture, de dcouverte et


dinstallation.

Expliquez comment automatiser des dploiements.

Expliquez comment configurer la transmission par multidiffusion pour dployer vos images.

Tches dadministration courantes


Pour configurer efficacement les services de
dploiement Windows, vous devez excuter un
certain nombre de tches dadministration
courantes. Pour vous aider excuter ces tches,
les services de dploiement Windows fournissent
un certain nombre doutils. Les tches
dadministration que vous devez excuter
comprennent ce qui suit :

Configuration de DHCP

Cration et maintenance des images

Gestion du menu de dmarrage

Prconfiguration des ordinateurs client

Automatisation du dploiement

Configuration de la transmission

Configuration de DHCP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-16 Dploiement et maintenance des images de serveur

Les clients qui dmarrent en utilisant lenvironnement PXE ont besoin dune configuration IPv4 alloue de
faon dynamique. cet effet, vous devez crer et configurer une tendue DHCP approprie. En outre, si le
protocole DHCP et les rles serveur des services de dploiement Windows sont hbergs conjointement,
vous devez configurer la faon dont le serveur PXE coute les demandes des clients ; il y a en effet un
conflit inhrent car le protocole DHCP et les services de dploiement Windows utilisent tous les deux le
port UDP 67. Pour crer et grer les tendues DHCP, vous pouvez utiliser le composant logiciel enfichable
DHCP ou loutil de ligne de commande Netsh.exe.

Cration et maintenance des images

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-17

Vous pouvez crer et maintenir des images avec le composant logiciel enfichable des services de
dploiement Windows, Windows SIM, loutil de ligne de commande WDSutil.exe ou loutil de ligne de
commande Dism.exe.
Par exemple, pour ajouter une image de dmarrage, utilisez la commande suivante :
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<chemin daccs> /ImageType:Boot

Pour crer une image de capture, utilisez la commande suivante :


WDSUTIL /New-CaptureImage /Image:<nom de limage de dmarrage source>
/Architecture:{x86|ia64|x64} /DestinationImage /FilePath:<chemin daccs au fichier>

Pour ajouter une image dinstallation, utilisez les deux commandes suivantes, en appuyant sur Entre
aprs chaque ligne :
WDSUTIL /Add-ImageGroup /ImageGroup:<nom du groupe dimages>
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<chemin daccs au fichier .wim>
/ImageType:Install

Remarque : Vous pouvez galement effectuer ces tches de gestion en utilisant la console
de gestion des services de dploiement Windows, accessible dans le Gestionnaire de serveurs.

Gestion du menu de dmarrage

Lenvironnement de dmarrage pour Windows Server 2012 repose sur la banque de donnes de
configuration de dmarrage (BCD). Cette banque dfinit comment le menu de dmarrage est configur.
Vous pouvez personnaliser la banque en utilisant Bcdedit.exe.
Remarque : Quand vous personnalisez la banque BCD, vous devez la forcer tre recre
pour que vos modifications prennent effet. Pour ce faire, excutez les deux commandes
WDSutil.exe suivantes (en appuyant sur Entre aprs chaque ligne), afin darrter puis de
redmarrer le serveur des services de dploiement Windows :
wdsutil /stop-server
wdsutil /start-server
Ce qui suit est une liste de limitations pour linterface utilisateur du menu de dmarrage :

Taille de lcran. Seules 13 images peuvent tre affiches dans le menu. Si vous en avez plus,
linstallateur doit les faire dfiler vers le bas pour les voir.

Souris. Il ny a pas de pointeur.

Clavier. Aucun clavier autre que ceux pris en charge par le BIOS nest pris en charge.

Localisation. Aucune localisation autre que celles prises en charge par le BIOS nest prise en charge.

Accessibilit. La prise en charge des fonctionnalits daccessibilit est limite.

Prconfiguration des ordinateurs client


Les services de dploiement Windows prennent en charge les dploiements vers des clients
inconnus. Vous pouvez exercer un certain contrle des clients inconnus en configurant lapprobation
dadministrateur. Cela permet de veiller ce que les clients qui tentent de se dployer avec les services
de dploiement Windows sont bien placs dans une file dattente en attendant votre approbation.
Vous pouvez galement configurer le nom dordinateur client pendant lapprobation.
Cependant, si vous souhaitez un contrle plus spcifique des dploiements, vous pouvez prconfigurer
les ordinateurs dans AD DS ; cela vous permet de configurer le client :

Commencez partir dun serveur diffrent du serveur des services de dploiement Windows.

Utilisez un programme diffrent de dmarrage rseau.

Utilisez un fichier dinstallation sans assistance spcifique.

Utilisez une image de dmarrage spcifique.

Joignez un domaine AD DS spcifique.

Pour prconfigurer les ordinateurs, vous pouvez utiliser la commande suivante de loutil de ligne de
commande WDSutil.exe :
WDSUTIL /Add-Device /Device:<nom> /ID:<GUIDorMACAddress>

Dans cet exemple, <GUIDorMACAddress> est lidentificateur du nouvel ordinateur.

Automatisation du dploiement
Vous pouvez automatiser de bout en bout les dploiements des services de dploiement Windows.
Pour excuter ces tches, vous pouvez utiliser le composant logiciel enfichable des services de
dploiement Windows et Windows SIM.

Configuration de la transmission
La multidiffusion vous permet de dployer une image sur un grand nombre dordinateurs client sans
consommer une bande passante rseau excessive.
Envisagez dactiver les transmissions par multidiffusion si votre organisation :

Anticipe beaucoup de dploiements simultans.

Dispose de routeurs qui prennent en charge la propagation des multidiffusions ; cest--dire qui
prennent en charge le protocole IGMP (Internet Group Management Protocol).

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-18 Dploiement et maintenance des images de serveur

Pour grer la transmission par multidiffusion, vous pouvez utiliser le composant logiciel enfichable des
services de dploiement Windows ou loutil de ligne de commande WDSutil.exe. Par exemple, pour crer
une transmission par multidiffusion avec diffusion automatique, utilisez la commande suivante :
WDSUTIL /New-MulticastTransmission /Image:<nom de limage> /FriendlyName:<nom convivial>
/ImageType:Install /ImageGroup:<nom du groupe dimages> /TransmissionType:AutoCast

Pour crer une transmission de diffusion planifie, utilisez la commande suivante :


WDSUTIL /New-MulticastTransmission /Image:<nom de limage> /FriendlyName:<nom convivial>
/ImageType:Install /ImageGroup:<nom du groupe dimages> /TransmissionType:ScheduledCast
[/Time:<aaaa/mm/jj:hh:mm>][/Clients:<nb de clients>]

Dmonstration : Procdure dadministration des images

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-19

Cette dmonstration montre comment administrer des images. Dans cette dmonstration, le processus
sera dcompos en quatre tapes, dcrites ci-dessous :

Installation et configuration du rle des services de dploiement Windows.

Ajout dimage de dmarrage.

Cration dimage de capture.

Ajout dimage dinstallation.

Procdure de dmonstration
Installer et configurer le rle des services de dploiement Windows
1.

Basculez vers lordinateur LON-SVR1.

2.

Ouvrez le Gestionnaire de serveur.

3.

Installez le rle serveur des services de dploiement Windows avec les deux services de rle.

4.

Dans la console Services de dploiement Windows, cliquez avec le bouton droit


sur LON-SVR1.Adatum.com, puis cliquez sur Configurer le serveur.

5.

Utilisez les informations suivantes pour terminer la configuration :


o

Intgrez les services de dploiement Windows Active Directory.

Sur la page Emplacement du dossier dinstallation distance, acceptez les valeurs par dfaut.

Acceptez le message Avertissement du volume systme.

Sur la page Paramtres initiaux du serveur PXE, slectionnez loption Rpondre tous
les ordinateurs clients (connus et inconnus).

Lorsque vous y tes invit, choisissez de ne pas ajouter dimages au serveur.

Ajouter une image de dmarrage


1.

Basculez vers LON-SVR1.

2.

Sil y a lieu, ouvrez la console Services de dploiement Windows.

3.

Ajoutez une nouvelle image de dmarrage en utilisant les informations suivantes pour terminer
la procdure :

4.

a.

Sur la page Fichier image, utilisez le nom de fichier : D:\sources\boot.wim.

b.

Acceptez les valeurs par dfaut sur la page Mtadonnes dimage.

c.

Acceptez les valeurs par dfaut sur la page Rsum.

Sur la page Progression de la tche, cliquez sur Terminer.

Ajouter une image dinstallation


1.

Sil y a lieu, ouvrez la console Services de dploiement Windows.

2.

Ajoutez un nouveau Groupe dimages avec le nom de groupe Windows Server 2012.

3.

Utilisez lAssistant Ajout dimages pour ajouter une nouvelle image dinstallation ce groupe.
Utilisez les informations suivantes pour terminer le processus :

4.

a.

Sur la page Fichier image, utilisez le nom de fichier suivant : D:\sources\install.wim

b.

Sur la page Images disponibles, dsactivez toutes les cases cocher except
Windows Server 2012 SERVERSTANDARDCORE.

c.

Acceptez les valeurs par dfaut sur la page Rsum.

d.

Sur la page Progression de la tche, cliquez sur Terminer.

Rduisez la fentre Services de dploiement Windows.

Automatisation des dploiements


Il y a quatre phases que vous pouvez automatiser
pendant le processus de dploiement des services
de dploiement Windows. Ces applications sont
les suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-20 Dploiement et maintenance des images de serveur

Stratgie de dmarrage PXE. Vous pouvez


dterminer la faon dont le serveur PXE
rpond aux clients et si linstallateur est requis
pour appuyer sur la touche F12 afin dtablir
la connexion avec le serveur des services de
dploiement Windows et de slectionner une
image de dmarrage. Par exemple, loption
Toujours continuer le dmarrage PXE
permet lordinateur de poursuivre le processus de dploiement sans intervention de linstallateur.

Limage de dmarrage par dfaut. Si vous configurez une image de dmarrage par dfaut,
linstallateur ne sera pas invit faire une slection.

Les crans de la console Services de dploiement Windows. Quand lordinateur client utilise le
protocole TFTP pour se connecter au serveur des services de dploiement Windows et slectionner
une image de dmarrage, linstallateur doit alors fournir les informations didentification et
slectionner une image du systme dexploitation installer. Vous pouvez crer un fichier de
rponses Unattend.xml pour automatiser cette phase.

Installation de Windows. Vous pouvez personnaliser le programme dinstallation de sorte que,


une fois limage dinstallation slectionne (automatiquement ou manuellement), le programme
dinstallation termine la procdure dinstallation sans intervention de linstallateur. Cest le mme type
dautomatisation que vous utilisez pour automatiser des installations avec Windows ADKADK.

Utilisez Windows SIM pour crer les deux types de fichiers de rponses, puis utilisez le composant logiciel
enfichable des services de dploiement Windows pour associer les fichiers de rponses la phase de
dploiement requise.

Automatisation de linstallation sans assistance client


Utilisez la procdure suivante pour associer un fichier de rponses la phase de dploiement dune
installation sans assistance client :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-21

1.

Crez le fichier Unattend.xml dans Windows ADK avec des paramtres appropris aux services
de dploiement Windows.

2.

Copiez le fichier sur le serveur des services de dploiement Windows et collez-le dans un dossier
sous \RemoteInstall.

3.

Ouvrez la console des services de dploiement Windows.

4.

Affichez la bote de dialogue Proprits pour le serveur des services de dploiement Windows.

5.

Sur longlet Client, activez linstallation sans assistance, puis slectionnez le fichier de rponses que
vous avez cr plus tt.

Exemple de fichier de rponses Unattend pour linstallation sans assistance client


des services de dploiement Windows

Ce qui suit est un exemple partiel de fichier de rponses pour lautomatisation de la phase dinstallation
sans assistance client des services de dploiement Windows :
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>Installer</Username>
<Domain>Adatum.com</Domain>
<Password>Pa$$w0rd</Password>
</Credentials>
</Login>
<ImageSelection>
<WillShowUI>OnError</WillShowUI>
<InstallImage>
<ImageName>Windows Server 2021</ImageName>
<ImageGroup>Adatum Server Images</ImageGroup>
<Filename>Install.wim</Filename>
</InstallImage>
<InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>

Automatisation de linstallation de Windows


Pour automatiser le processus dinstallation de Windows, utilisez les tapes suivantes :
1.

Crez le fichier unattend.xml dans Windows ADK, avec des paramtres appropris linstallation
de Windows.

2.

Copiez le fichier un emplacement appropri sur le serveur des services de dploiement Windows.

3.

Dans la console Services de dploiement Windows, affichez les proprits de limage dinstallation
approprie.

4.

Activez loption Autoriser limage sinstaller en mode sans assistance, puis slectionnez le fichier
de rponses que vous avez cr plus tt.

Dmonstration : Procdure de configuration de la transmission


par multidiffusion
Cette dmonstration montre comment configurer la transmission par multidiffusion.

Procdure de dmonstration
1.

Ouvrez la console Services de dploiement Windows sur LON-SVR1.

2.

Crez une nouvelle transmission par multidiffusion en utilisant les informations suivantes :
o

Nom de la transmission : Windows Server 2012 Branch Servers

Groupe dimages : Windows Server 2012

Image : Windows Server 2012 SERVERENTERPRISECORE

Type de multidiffusion : diffusion automatique

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

1-22 Dploiement et maintenance des images de serveur

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1-23

Atelier pratique : Utilisation des services de dploiement


Windows pour dployer Windows Server 2012
Scnario

A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour
soccuper du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et
client Windows Server 2012.

A. Datum dploie des serveurs dans ses filiales dans lensemble de la zone pour le service Recherche. Vous
avez t charg daider automatiser ce dploiement. Vous suggrez dutiliser les services de
dploiement Windows pour dployer Windows Server 2012 dans les succursales. Des instructions relatives
au dploiement vous ont t envoyes par courrier lectronique. Vous devez lire ces instructions, puis
installer et configurer les services de dploiement Windows pour prendre en charge le dploiement.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

Installer et configurer les services de dploiement Windows.

Crer les images du systme dexploitation en utilisant les services de dploiement Windows.

Configurer le format de nom personnaliser des ordinateurs.

Dployer les images avec les services de dploiement Windows.

Configuration de latelier pratique


Dure approximative : 75 minutes

Ordinateurs virtuels

22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-SVR3

Nom dutilisateur

Administrateur

Mot de passe

Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


2-1

Module 2

Configuration et rsolution des problmes du systme DNS


Table des matires :
Vue d'ensemble du module

2-1

Leon 1 : Installation du rle de serveur DNS

2-2

Leon 2 : Configuration du rle de serveur DNS

2-9

Leon 3 : Configuration des zones DNS

2-16

Leon 4 : Configuration des transferts de zone DNS

2-22

Leon 5 : Gestion et dpannage du systme DNS

2-25

Atelier pratique : Configuration et rsolution des problmes du systme DNS

2-34

Contrle des acquis et lments retenir

2-40

Vue densemble du module

Le systme de nom de domaine (DNS, Domain Name System) est le service de nom de base dans
Windows Server 2022. Il fournit la rsolution de noms et permet aux clients DNS de localiser des services
rseau, tels que les contrleurs de domaine AD DS (Active Directory Domain Services), les serveurs de
catalogue global et les serveurs de messagerie. Si vous configurez mal votre infrastructure DNS ou que
celle-ci ne fonctionne pas correctement, ces services rseau importants seront inaccessibles vos serveurs
rseau et clients. Par consquent, il est essentiel que vous compreniez comment dployer, configurer,
grer et dpanner ce service critique.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

installer le rle de serveur DNS ;

configurer le rle de serveur DNS ;

crer et configurer des zones DNS ;

configurer les transferts de zone ;

grer et dpanner le systme DNS.

Configuration et rsolution des problmes du systme DNS

Leon 2

Installation du rle de serveur DNS


Pour prendre en charge les services rseau sous-jacents dans votre organisation, vous devez pouvoir
installer et configurer le rle de serveur DNS de Windows Server 2022. Avant dinstaller le rle de
serveur DNS, vous devez comprendre les besoins de linfrastructure rseau de votre organisation et
dcider dutiliser ou non un systme DNS de dconnexion calleuse. Vous devez galement considrer
lemplacement du rle serveur DNS ainsi que le nombre de clients et de zones DNS que vous utiliserez.
Cette leon dcrit le processus dinstallation dun rle de serveur DNS.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

expliquer le rle et les avantages du systme DNS dans linfrastructure rseau ;

dfinir un espace de noms DNS ;

dcrire comment intgrer le systme DNS dans les services de domaine Active Directory ;

expliquer lutilisation du systme DNS de dconnexion calleuse ;

expliquer comment installer le rle de serveur DNS ;

prsenter les considrations relatives au dploiement dun serveur DNS.

Vue densemble du rle DNS


Lacronyme DNS (Domain Name System) dsigne
un service de rsolution de noms qui permet de
rsoudre des noms en adresses IP. Le service DNS
est une base de donnes distribue hirarchique
spare de manire logique, ce qui permet de
nombreux serveurs diffrents dhberger une base
de donnes mondiale des noms DNS.

Comment le systme DNS prend


en charge les bases du schma
de noms Internet

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-2

Le systme DNS est un service international qui


vous permet de saisir un nom de domaine (par
exemple, Microsoft.com), que votre ordinateur rsout en adresse IP. Un avantage du systme DNS est que
les adresses IPv4 peuvent tre longues et difficiles retenir, par exemple 232.207.0.32. Cependant, il est
gnralement plus facile de retenir un nom de domaine. Par ailleurs, vous pouvez utiliser des noms dhte
qui ne changent pas ou modifier les adresses IP sous-jacentes en fonction des besoins de votre organisation.
Avec ladoption de la norme IPv6, le service DNS sera encore plus critique puisque les adresses IPv6 sont
encore plus complexes que les adresses IPv4. Exemple dadresse IPv6 :
2002:db8:4236:e38c:384f:3764:b59c:3d97.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-3

Comment le service DNS prend en charge les bases du schma de noms de domaine
Active Directory dune organisation
Le systme DNS est charg de rsoudre les ressources dans un domaine des services de domaine Active
Directory (AD DS). Le rle DNS est ncessaire linstallation des services de domaine Active Directory.
Le systme DNS fournit des informations aux clients de station de travail pour leur permettre de se
connecter au rseau. Il rsout les ressources du domaine, telles que les serveurs, les stations de travail,
les imprimantes et les dossiers partags. Si vous configurez un serveur DNS de manire incorrecte, cela
peut tre lorigine de nombreux problmes des services de domaine Active Directory.

Vue densemble de lespace de noms DNS


Lespace de noms DNS facilite la manire dont un
rsolveur DNS localise un ordinateur. Lespace de
noms est organis de manire hirarchique afin de
distribuer des informations au moyen de
nombreux serveurs.

Domaine racine
Un point (.) reprsente le domaine racine et ne
se saisit pas dans un navigateur Web. Le point (.)
est utilis par dfaut. La prochaine fois que vous
saisirez une adresse sur un ordinateur, essayez
dajouter le point la fin (par exemple,
www.microsoft.com.). Il existe 23 serveurs de
domaines racines universels.
Remarque : Lors dun dpannage du systme DNS, il est habituel dinclure le point final.

Domaine de niveau suprieur

Le domaine de niveau suprieur (TLD) est le premier niveau de lespace de noms DNS. Les domaines TLD
sur Internet incluent, par exemple, Internet .com, .net, .org, .biz et .ca. Les domaines les plus reconnus
sont .com, .net, .org et .gov, qui sont ddis au gouvernement des tats-Unis. Les domaines associs
ce niveau sont plus nombreux et un domaine TLD est ddi chaque pays. Par exemple, celui du Canada
est .ca et celui du Royaume-Uni est .uk. Lorganisation qui rglemente les noms de domaine, appele
ICANN (Internet Corporation for Assigned Names and Numbers), ajoute de nouveaux domaines TLD
de temps en temps.

Domaine de second niveau

Le nom de domaine de second niveau correspond la partie du nom de domaine qui apparat avant le
domaine de niveau suprieur. Par exemple, microsoft dans le domaine www.microsoft.com correspond au
nom de domaine de second niveau. Les organisations qui enregistrent des noms de domaine de second
niveau les contrlent. Nimporte qui peut enregistrer un nom de domaine de second niveau au moyen
dun service denregistrement Internet. De nombreux domaines de second niveau sont rgis par des
rgles spciales qui stipulent quelles organisations ou personnes peuvent enregistrer un nom de domaine.
Par exemple, seules les associations but non lucratif peuvent utiliser .org.

Configuration et rsolution des problmes du systme DNS

Sous-domaine

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-4

Le sous-domaine est rpertori avant les domaines de second niveau et de niveau suprieur. Par exemple,
www dsigne un sous-domaine dans le nom de domaine www.microsoft.com. Les sous-domaines sont
dfinis dans le serveur DNS de lorganisation qui dtient le serveur DNS de second niveau.

Nom de domaine complet

Un nom de domaine complet (FQDN, fully qualified domain name) est le nom DNS explicite qui
comprend le nom de lordinateur et les sous-domaines du domaine racine. Par exemple, si lordinateur est
dsign en tant que Server2 dans le domaine sales.south.contoso.com, le nom de domaine complet de cet
ordinateur est server2.sales.south.contoso.com.

Conventions dappellation standard DNS


Les caractres suivants sont valides dans les noms DNS :

majuscules de A Z ;

minuscules de a z ;

chiffres de 0 9 ;

Trait dunion (-)


Remarque : Le trait de soulignement (_) est un caractre rserv.

Intgration dAD DS et de DNS


Quand vous commencez planifier votre espace
de noms DNS, vous devez tenir compte la fois
des espaces de noms internes et externes. Lespace
de noms interne est celui que les clients et
serveurs internes utilisent dans votre rseau priv.
Lespace de noms externe est celui par lequel
votre organisation est rfrence sur Internet. Il
nest pas ncessaire que les noms de domaines
DNS interne et externe soient identiques.
Quand vous implmentez les services de domaine
Active Directory (AD DS), vous devez utiliser un
espace de noms DNS pour hberger des
enregistrements AD DS.
Remarque : Examinez soigneusement vos options avant de slectionner un conception
despace de noms pour les services de domaine Active Directory. Bien quil soit possible de
modifier un espace de noms aprs limplmentation des services de domaine Active Directory,
ce processus est long et complexe et compte de nombreuses limitations.

Pour dterminer un espace de noms DNS pour votre environnement AD DS, choisissez parmi les
scnarios suivants :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-5

Rendre lespace de noms interne identique lespace de noms public. Dans ce scnario, les espaces
de noms internes et publics sont identiques, mais leurs enregistrements sont diffrents. Bien que ce
scnario soit simple, ce qui en fait un choix idal pour les petites organisations, il peut tre difficile
grer pour les rseaux plus grands.

Rendre lespace de noms interne diffrent de lespace de noms public. Dans ce scnario, les espaces
de noms internes et publics sont totalement diffrents. Ils nont aucun lien entre eux. Ce scnario
permet une sparation vidente dans lespace de noms. Dans les rseaux complexes comprenant de
nombreuses applications avec accs par Internet, lutilisation dun nom diffrent prsente de la clart
lors de la configuration de ces applications. Par exemple, les serveurs Edge qui sont placs sur un
rseau de primtre ont souvent besoin de plusieurs cartes dinterface rseau : une connecte au
rseau priv et une destine la maintenance des demandes provenant du rseau public. Si chaque
carte dinterface rseau a un nom de domaine diffrent, il est souvent plus facile de terminer la
configuration de ce serveur.

Faire de lespace de noms interne un sous-domaine de lespace de noms public. Dans ce scnario,
lespace de noms interne est li lespace de noms public, mais il ny a aucune superposition entre
eux. Ceci fournit une approche hybride. Le nom interne est diffrent, ce qui permet la sparation de
lespace de noms. Cependant, le nom interne est galement li au nom public, ce qui offre de la
simplicit. Cette approche est la plus simple implmenter et grer. Cependant, si vous ne pouvez
pas utiliser un sous-domaine de lespace de noms public pour les services de domaine Active
Directory, utilisez des espaces de noms uniques.

Remarque : Dans la plupart des situations, les ordinateurs inclus dans un domaine AD DS
ont un suffixe DNS principal qui correspond au nom de domaine DNS. Il est parfois ncessaire
que ces noms soient diffrents, par exemple, la suite dune fusion ou pendant une acquisition.
Quand les noms diffrent, lespace de noms est dit disjoint. Un scnario despace de noms
disjoint est un scnario dans lequel le suffixe DNS principal dun ordinateur ne correspond pas au
nom de domaine DNS o rside cet ordinateur. Lordinateur dont le suffixe DNS principal ne
correspond pas est dit disjoint. Un autre scnario despace de noms disjoint se produit si le nom
de domaine NetBIOS dun contrleur de domaine ne correspond pas au nom de domaine DNS.

Choix dutilisation dune configuration DNS mixte


Lutilisation du mme espace de noms en interne
et en externe simplifie laccs aux ressources du
point de vue des utilisateurs, mais elle augmente
galement la complexit de gestion. Vous ne
devez pas rendre les enregistrements DNS internes
disponibles en externe. En revanche, la
synchronisation des enregistrements pour les
ressources externes est gnralement requise.
Par exemple, vos espaces de noms internes et
externes peuvent utiliser le nom Contoso.com.

Configuration et rsolution des problmes du systme DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-6

Lutilisation des espaces de noms uniques pour les espaces de noms internes et publics fournit une
dfinition claire entre le systme DNS interne et externe, et supprimer la ncessit de synchroniser des
enregistrements entre les espaces de noms. Cependant, dans certains cas, avoir plusieurs espaces de noms
peut semer la confusion des utilisateurs. Par exemple, vous pouvez choisir lespace de noms externe de
Contoso.com et lespace de noms interne de Contoso.local. Notez que si vous implmentez une
configuration despace de noms unique, vous ntes plus tenu dutiliser des noms de domaine enregistrs.
Lutilisation dun sous-domaine de lespace de noms public pour les services de domaine Active Directory
supprime la ncessit de synchroniser des enregistrements entre les serveurs DNS internes et externes.
Puisque les espaces de noms sont lis, les utilisateurs trouvent en gnral cette structure facile
comprendre. Par exemple, si votre espace de noms public est Contoso.com, vous pouvez choisir
dimplmenter votre espace de noms interne comme sous-domaine Active Directory ou AD.Contoso.com.

Examen de la configuration DNS mixte

Le fait que les espaces de noms DNS interne et externe correspondent peut poser certains problmes.
Cependant, la configuration DNS mixte peut rsoudre ces problmes. La configuration DNS mixte est
une configuration o votre domaine a deux zones de serveur racine qui contiennent les informations
denregistrement du nom de domaine. Vos htes de rseau interne sont dirigs vers une zone, alors que
les htes externes sont dirigs vers une autre pour la rsolution de noms. Par exemple, dans le cas dune
configuration DNS non mixte pour le domaine Contoso.com, vous pouvez avoir une zone DNS qui
ressemble lexemple prsent dans le tableau suivant.
Hte

Type denregistrement

Adresse IP

www

232.207.2.200

Relais

232.207.2.202

Webserver2

292.268.2.200

Exchange2

292.268.0.202

Quand un ordinateur client sur Internet souhaite accder au relais SMTP laide du nom publi de
relay.contoso.com, il interroge le serveur DNS qui renvoie le rsultat 232.207.2.202. Le client tablit alors
une connexion via SMTP cette adresse IP.

Cependant, les ordinateurs clients sur le rseau intranet de lentreprise utilisent galement le nom publi
de relay.contoso.com. Le serveur DNS renvoie le mme rsultat : une adresse IP publique correspondant
232.207.2.202. Le client tente prsent dtablir une connexion ladresse IP retourne laide de
linterface externe de lordinateur de publication. Selon la configuration du client, lopration peut aboutir
ou ne pas aboutir.
Pour viter ce problme, configurez deux zones pour le mme nom de domaine : une sur chacun des
deux serveurs DNS.
La zone interne pour adatum.com ressemblerait aux informations figurant dans le tableau suivant.
Hte

Type denregistrement

Adresse IP

www

CNAME

Webserver2.contoso.com

Relais

CNAME

Exchange2.contoso.com

Webserver2

292.268.2.200

Exchange2

292.268.0.202

La zone externe pour adatum.com ressemblerait aux informations figurant dans le tableau suivant.
Hte

Type denregistrement

Adresse IP

www

232.207.2.200

Relais

232.207.2.202

MX

Relay.contoso.com

Les ordinateurs clients dans les rseaux internes et externes peuvent dsormais rsoudre le nom
relay.contoso.com ladresse IP interne ou externe approprie.

Dmonstration : Installation du rle de serveur DNS


La dmonstration suivante montre comment installer le rle de serveur DNS.

Procdure de dmonstration

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1.

Basculez vers LON-SVR2, puis connectez-vous avec le nom dutilisateur ADATUM\Administrateur


et le mot de passe Pa$$w0rd.

2.

Utilisez le Gestionnaire de serveur pour installer le rle Serveur DNS.

Considrations lies au dploiement du rle serveur DNS


Si vous envisagez de dployer le systme DNS,
vous devez prendre en compte plusieurs points.
Vous devez notamment vous poser les questions
suivantes :

2-7

Combien de zones DNS configurerez-vous sur


le serveur et combien denregistrements DNS
chaque zone contiendra-elle ? En gnral, les
zones sont mappes sur une base linaire
avec des domaines dans votre espace de
noms. Quand vous avez un grand nombre
denregistrements, il peut tre judicieux
de fractionner les enregistrements en
plusieurs zones.

Combien de clients DNS communiqueront avec le serveur sur lequel vous configurez le rle DNS ?
Plus les rsolveurs clients sont nombreux, plus la charge place sur le serveur est importante. Quand
vous anticipez la charge supplmentaire, pensez dployer des serveurs DNS supplmentaires.

O allez-vous placer les serveurs DNS ? Allez-vous, par exemple, centraliser les serveurs DNS dans un
mme endroit ou est-il prfrable de les placer dans des succursales ? Sil y a peu de clients dans une
succursale, vous pouvez satisfaire la plupart des requtes DNS laide dun serveur DNS central ou en
implmentant un serveur rserv la mise en cache. Un grand nombre dutilisateurs dans une
succursale peuvent bnficier dun serveur DNS local avec des donnes de la zone appropries.

Vos rponses aux questions prcdentes dtermineront le nombre de serveurs DNS que vous devez
dployer et leur emplacement.

Configuration et rsolution des problmes du systme DNS

Intgration dActive Directory


Le rle DNS de Windows Server 2022 peut enregistrer la base de donnes DNS de deux manires
diffrentes, comme indiqu dans le tableau suivant.
Mthode de stockage

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-8

Fichier texte

Le rle de serveur DNS stocke les entres DNS dans un fichier texte que vous
pouvez modifier laide dun diteur de texte.

Active Directory

Le rle de serveur DNS enregistre les entres DNS dans la base de donnes
Active Directory, qui les rplique dautres contrleurs de domaine, mme
sils nexcutent pas le rle DNS de Windows Server 2008. Vous ne pouvez
pas utiliser un diteur de texte pour modifier les donnes DNS que stocke
Active Directory.

Les zones intgres Active Directory sont plus faciles grer que les zones traditionnelles de type texte
et elles sont plus scurises. La rplication des donnes de zone a lieu dans le cadre de la rplication
Active Directory.

Placement des serveurs DNS


En gnral, le rle DNS est dploy sur tous les contrleurs de domaine. Si vous dcidez dimplmenter
une autre stratgie, posez-vous les questions suivantes et gardez les rponses lesprit :

Comment les ordinateurs clients rsoudront-ils des noms si leur serveur DNS habituel nest plus
disponible ?

Quelle sera lincidence sur le trafic rseau si les ordinateurs clients commencent utiliser un autre
serveur DNS, peut-tre situ distance ?

Comment comptez-vous implmenter des transferts de zone ? Les zones intgres Active Directory
utilisent la rplication Active Directory pour transfrer la zone vers tous les autres contrleurs de
domaine. Si vous implmentez des zones non intgres Active Directory, vous devez organiser
vous-mme le mcanisme de transfert de zone.

Leon 2

Configuration du rle de serveur DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-9

Linfrastructure DNS sert de base la rsolution de noms sur Internet et dans des domaines AD DS selon
Windows Server 2022. Cette leon fournit des conseils et des informations au sujet des conditions requises
pour configurer le rle de serveur DNS et explique les fonctions de base dun serveur DNS.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dresser la liste des composants dune solution DNS ;

dcrire le fonctionnement des diffrents types de requtes DNS ;

dcrire les enregistrements de ressource DNS ;

expliquer le fonctionnement des indications de racine ;

expliquer le fonctionnement de la redirection et de la redirection conditionnelle ;

expliquer le fonctionnement de la mise en cache du serveur DNS ;

expliquer comment configurer les proprits du rle serveur DNS.

Quels sont les composants dune solution DNS ?


Les composants dune solution DNS incluent les
serveurs DNS, les serveurs DNS sur Internet et les
rsolveurs ou clients DNS.

Serveurs DNS
Un serveur DNS rpond aux requtes DNS
rcursives et itratives. Les serveurs DNS peuvent
galement hberger une ou plusieurs zones dun
domaine particulier. Les zones contiennent
diffrents enregistrements de ressource. Les
serveurs DNS peuvent galement mettre en
cache des recherches afin de gagner du temps
pour les requtes communes.

Serveurs DNS sur Internet

Les serveurs DNS sur Internet sont accessibles au public. Ils hbergent des informations de zones
publiques et le serveur racine, ainsi que dautres domaines de niveau suprieur courants tels que .com,
.net et .edu.
Remarque : Ne confondez pas ces serveurs avec les serveurs DNS de votre organisation
qui hbergent votre espace de noms public. Ceux-ci sont situs physiquement sur votre rseau
de primtre.

Rsolutions DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-10 Configuration et rsolution des problmes du systme DNS

Le rsolveur DNS gnre et envoie des requtes itratives ou rcursives au serveur DNS. Un rsolveur DNS
peut tre tout ordinateur excutant une recherche DNS qui requiert une interaction avec le serveur DNS.
Les serveurs DNS peuvent galement publier des demandes DNS sur dautres serveurs DNS.

Quest-ce quune requte en mode DNS ?


Une requte DNS correspond la mthode que
vous utilisez pour demander une rsolution de
nom et implique une requte envoye un
serveur DNS. Il existe deux types de rponses aux
requtes DNS : celles faisant autorit et celles ne
faisant pas autorit.
Il est important de noter que les serveurs
DNS peuvent galement servir de rsolveurs
DNS et envoyer des requtes DNS dautres
serveurs DNS.
Un serveur DNS peut faire autorit ou ne pas
faire autorit pour lespace de noms de la
requte. Un serveur DNS fait autorit lorsquil hberge une copie principale ou secondaire
dune zone DNS. Les deux types de requtes sont les suivants :

Une requte faisant autorit est une requte pour laquelle le serveur peut renvoyer une rponse quil
juge correcte parce que la demande est adresse au serveur faisant autorit qui gre le domaine.

Un serveur DNS qui contient dans son cache le domaine demand rpond une requte ne faisant
pas autorit en utilisant des redirecteurs ou des indications de racine. Toutefois, la rponse fournie
risque de ne pas tre exacte parce que seul le serveur DNS faisant autorit pour le domaine donn
peut publier cette information.

Si le serveur DNS fait autorit pour lespace de noms de la requte, il vrifie la zone, puis ragit de lune
des manires suivantes :

Il renvoie ladresse demande.

Il renvoie une rponse de type Non, ce nom nexiste pas faisant autorit.

Remarque : Une rponse faisant autorit peut tre donne uniquement par le serveur
faisant autorit directe pour le nom demand.
Sil ne fait pas autorit pour lespace de noms de la requte, le serveur DNS local ragit de lune des
manires suivantes :

Il vrifie son cache et renvoie une rponse mise en cache.

Il transmet la requte quil ne sait pas rsoudre un serveur spcifique appel redirecteur.

Il utilise les adresses connues de plusieurs serveurs racines pour rechercher un serveur DNS faisant
autorit afin de rsoudre la requte. Ce processus utilise des indications de racine.

Requtes rcursives
Une requte rcursive peut avoir deux rsultats possibles :

Elle renvoie ladresse IP de lhte demand.

Le serveur DNS ne peut pas rsoudre une adresse IP.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-11

Pour des raisons de scurit, il est parfois ncessaire de dsactiver les requtes rcursives sur un serveur
DNS. Ceci empche le serveur DNS en question de transfrer ses requtes DNS un autre serveur.
Cette dsactivation peut savrer utile lorsque vous ne souhaitez pas quun serveur DNS particulier
communique lextrieur de son rseau local.

Requtes itratives

Les requtes itratives fournissent un mcanisme daccs aux informations de noms de domaine qui se
trouvent dans tout le systme DNS et permettent aux serveurs de rsoudre rapidement et efficacement
des noms sur de nombreux serveurs.

Lorsquun serveur DNS reoit une demande laquelle il ne peut pas rpondre en utilisant ses
informations locales ou ses recherches mises en cache, il fait la mme demande un autre serveur DNS
en utilisant une requte itrative.

Lorsquun serveur DNS reoit une requte itrative, il peut rpondre soit en indiquant ladresse IP du nom
de domaine (sil la connat), soit en adressant la demande aux serveurs DNS responsables du domaine sur
lequel porte la requte.

Enregistrements de ressources DNS


Le fichier de zone DNS stocke les enregistrements
de ressources. Les enregistrements de ressources
spcifient un type de ressource et ladresse IP
permettant de localiser la ressource.
Lenregistrement de ressource le plus courant est
un enregistrement de ressource A. Il sagit dun
enregistrement simple qui rsout un nom dhte
en une adresse IP. Lhte peut tre une station de
travail, un serveur ou un autre priphrique
rseau, tel quun routeur.

Les enregistrements de ressources facilitent


galement la recherche de ressources pour un
domaine particulier. Par exemple, quand un serveur Exchange doit rechercher le serveur qui est charg de
livrer le courrier un autre domaine, il demande lenregistrement MX (Mail Exchanger) de ce domaine,
qui pointe vers lenregistrement A de lhte qui excute le service de messagerie SMTP.

Les enregistrements de ressources peuvent galement contenir des attributs personnaliss. Les
enregistrements MX, par exemple, comportent un attribut de prfrence, qui savre utile si une
organisation possde plusieurs serveurs de messagerie. En effet, cet attribut indique au serveur denvoi le
serveur de messagerie que lorganisation rceptrice prfre. Les enregistrements du localisateur de service
(SRV) contiennent galement des informations sur le port que le service coute et le protocole que vous
devez suivre pour communiquer avec le service.

Le tableau suivant dcrit les enregistrements de ressources les plus courants.


Enregistrements de ressources DNS

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-12 Configuration et rsolution des problmes du systme DNS

Enregistrement de ressource SOA


(Source de noms)

Lenregistrement identifie le serveur de noms principal pour


une zone DNS, ainsi que dautres dtails, comme Dure de vie
(TTL) et les actualise.

Enregistrement de ressource
dadresse dhte (A)

Lenregistrement principal qui rsout un nom dhte en une


adresse IPv4.

Enregistrement de ressource de nom


canonique (CNAME)

Un type denregistrement dalias qui mappe un nom un


autre (par exemple, www.microsoft.com est un CNAME de
lenregistrement A de microsoft.com).

Enregistrement de ressource MX

Lenregistrement est utilis pour spcifier un serveur de


messagerie lectronique pour un domaine particulier.

Enregistrement de ressource SRV

Lenregistrement identifie un service qui est disponible dans le


domaine. Active Directory utilise ces enregistrements de
manire intensive.

Enregistrement de ressource de
serveur de noms (NS)

Lenregistrement identifie un serveur de noms pour un


domaine.

AAAA

Lenregistrement principal qui rsout un nom dhte en une


adresse IPv6.

Enregistrement de ressource
pointeur (PTR)

Lenregistrement est utilis pour rechercher une adresse IP


et la mapper un nom de domaine. La zone de recherche
inverse stocke les noms.

Quest-ce que les indications de racine ?


Les indications de racine correspondent la liste
des serveurs sur Internet que votre serveur DNS
utilise sil ne parvient pas rsoudre une requte
DNS en utilisant un redirecteur DNS ou son propre
cache. Les indications de racine correspondent aux
serveurs les plus levs dans la hirarchie DNS et
peuvent fournir les informations ncessaires un
serveur DNS pour quil excute une requte
itrative sur la couche infrieure suivante de
lespace de noms DNS.
Les serveurs racines sont automatiquement
installs lorsque vous installez le rle DNS. Ils sont
copis partir du fichier cache.dns inclus dans les fichiers dinstallation du rle DNS.
Vous pouvez galement ajouter des indications de racine un serveur DNS pour prendre en charge
des recherches de domaines non contigus dans une fort.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-13

Lorsquun serveur DNS communique avec un serveur dindications de racine, il utilise uniquement une
requte itrative. Si vous slectionnez loption Ne pas utiliser la rcursivit pour ce domaine, le serveur
ne sera pas en mesure dexcuter des requtes sur les indications de racine. Si vous configurez le serveur
pour utiliser un redirecteur, il essaiera denvoyer une requte rcursive son serveur de redirection. Si le
serveur de redirection ne rpond pas cette requte, le serveur rpondra que lhte est introuvable.

Il est important de comprendre que la rcursivit sur un serveur DNS et les requtes rcursives sont deux
choses diffrentes. La rcursivit sur un serveur signifie que le serveur utilise ses indications de racine pour
essayer de rsoudre une requte DNS. La rubrique suivante dcrit les requtes itratives et rcursives de
manire plus approfondie.

Quest-ce que le transfert ?


Un redirecteur est un paramtre de configuration
de serveur DNS qui transfre des requtes DNS de
noms DNS externes aux serveurs DNS situs
lextrieur de ce rseau. Vous pouvez galement
utiliser des redirecteurs conditionnels pour
transfrer des requtes en fonction de noms de
domaine spcifiques.
Un serveur DNS de rseau est appel redirecteur
lorsque dautres serveurs DNS de ce rseau lui
transfrent les demandes quils ne savent pas
rsoudre localement. En utilisant un redirecteur,
vous pouvez grer la rsolution des noms situs
lextrieur de votre rseau, tels que des noms sur Internet, et amliorer lefficacit de la rsolution de
noms pour les ordinateurs de votre rseau.

Le serveur qui transfre les demandes sur le rseau doit tre capable de communiquer avec le serveur
DNS situ sur Internet. Cela signifie que soit vous le configurez afin de transfrer les demandes un autre
serveur DNS, soit il utilise des indications de racine pour communiquer.

Mthode conseille

Utilisez un serveur DNS de redirection central pour la rsolution de noms Internet. Il permet damliorer
les performances, de simplifier la rsolution des problmes et constitue une mthode conseille pour
assurer la scurit. Vous pouvez isoler le serveur DNS de redirection dans un rseau de primtre, lequel
garantit quaucun serveur au sein du rseau ne communique directement avec Internet.

Redirection conditionnelle

Un redirecteur conditionnel est un paramtre de configuration du serveur DNS qui redirige des requtes
DNS en fonction du nom du domaine DNS contenu dans les requtes. Par exemple, vous pouvez
configurer un serveur DNS afin quil transfre toutes les requtes quil reoit concernant des noms se
terminant par corp.contoso.com ladresse IP dun serveur DNS spcifique ou aux adresses IP de plusieurs
serveurs DNS. Ce transfert peut savrer utile lorsque vous avez plusieurs espaces de noms DNS dans une
fort.

Mthodes conseilles pour la redirection conditionnelle

Utilisez des redirecteurs conditionnels si vous avez plusieurs espaces de noms internes. Ainsi, la rsolution
de noms est plus rapide.

Fonctionnement de la mise en cache du serveur DNS


La mise en cache DNS augmente les performances
du systme DNS dune organisation en acclrant
les recherches DNS.
Lorsquun serveur DNS rsout correctement un
nom DNS, il ajoute ce nom son cache. Au fur et
mesure, il gnre un cache des noms de
domaine et de leurs adresses IP associes pour les
domaines les plus courants que lorganisation
utilise ou auxquels elle accde.
Remarque : Le dlai par dfaut de mise en
cache des donnes DNS slve une heure. Pour configurer ce paramtre, modifiez
lenregistrement SOA pour la zone DNS approprie.
Un serveur cache uniquement nhberge pas des donnes de zone DNS ; il rpond seulement aux
recherches des clients DNS. Il sagit du type idal de serveur DNS utiliser en tant que redirecteur.
Le cache client DNS est un cache DNS que le service Client DNS enregistre sur lordinateur local.
Pour afficher le cache ct client actuel, excutez la commande ipconfig /displaydns dans linvite de
commandes. Si vous devez dsactiver le cache local, par exemple lorsque vous dpannez la rsolution
de noms, utilisez la commande ipconfig /flushdns.
Remarque : Vous pouvez galement utiliser les applets de commande
Windows PowerShell suivants :

clear-DnsClientCache pour supprimer le cache de rsolution DNS

get-DnsClientCache pour afficher le cache de rsolution

Dmonstration : Configuration du rle de serveur DNS


Cette dmonstration montre comment configurer les proprits du serveur DNS.

Procdure de dmonstration
Configurer les proprits du serveur DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-14 Configuration et rsolution des problmes du systme DNS

1.

Basculez vers LON-DC2, puis si ncessaire, connectez-vous avec le nom ADATUM\Administrateur et


le mot de passe Pa$$w0rd.

2.

Ouvrez la console DNS .

3.

Examinez les proprits du serveur LON-DC2 :


Dans longlet Redirecteurs, vous pouvez configurer le transfert.

b.

Dans longlet Avanc, vous pouvez configurer des options comme scuriser le cache contre la
pollution et DNSSEC.

c.

Dans longlet Indications de racine, vous pouvez voir la configuration des serveurs dindications
de racine.

d.

Dans longlet Enregistrement de dbogage, vous pouvez configurer les options


denregistrement de dbogage.

e.

Dans longlet Enregistrement des vnements, vous pouvez configurer le niveau


denregistrement des vnements.

f.

Dans longlet Analyse, vous pouvez raliser des essais simples et rcursifs par rapport au serveur.

g.

Dans longlet Scurit, vous pouvez dfinir des autorisations sur linfrastructure DNS.

partir du nud Redirecteurs conditionnels, vous pouvez configurer la redirection conditionnelle :


a.

Dans la bote de dialogue Nouveau redirecteur conditionnel, dans la zone Domaine DNS,
saisissez contoso.com.

b.

Cliquez sur la zone <Cliquez ici pour ajouter un adresse IP ou un nom DNS>. Saisissez
232.207.2.2, puis appuyez sur Entre. La validation chouera puisquil sagit simplement dun
exemple de configuration.

Effacer le cache DNS

2-15

a.

Configurer la redirection conditionnelle

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

Dans le volet de navigation, cliquez avec le bouton droit sur LON-DC2, puis cliquez sur Effacer
le cache.

Leon 3

Configuration des zones DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-16 Configuration et rsolution des problmes du systme DNS

Les zones DNS constituent un important concept dans linfrastructure DNS, car elles vous permettent de
sparer et de grer les domaines DNS de manire logique. Cette leon fournit des informations de base
permettant de comprendre les relations entre les zones et les domaines DNS ainsi que des informations
sur les diffrents types de zones DNS disponibles dans le rle DNS de Windows Server 2022.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

expliquer une zone DNS ;

expliquer les diffrents types de zone DNS disponibles dans Windows Server 2022 ;

expliquer la fonction des zones de recherche directe et inverse ;

expliquer lobjectif des zones de stub ;

expliquer comment crer des zones ;

expliquer comment utiliser la dlgation de zone DNS.

Quest-ce quune zone DNS ?


Une zone DNS hberge lintgralit ou une
partie dun domaine et ses sous-domaines.
La diapositive illustre la manire dont les sousdomaines peuvent appartenir la mme zone
que leurs parents ou tre dlgus une autre
zone. Le domaine microsoft.com est spar en
deux zones. La premire zone hberge les
enregistrements de www.microsoft.com et de
ftp.microsoft.com. Example.microsoft.com est
dlgu une nouvelle zone, laquelle hberge
le sous-domaine example.microsoft.com et ses
enregistrements (ftp.example.microsoft.com et
www.example.microsoft.com).
Remarque : La zone qui hberge une racine du domaine (microsoft.com) doit dlguer
le sous-domaine (example.microsoft.com) la deuxime zone. Dans le cas contraire,
example.microsoft.com sera trait comme sil faisait partie de la premire zone.
Les donnes de zone peuvent tre rpliques sur plusieurs serveurs. Cette rplication ajoute de la
redondance une zone parce que les informations ncessaires pour rechercher des ressources dans la
zone existent dsormais sur deux serveurs ou plus. Le niveau de redondance ncessaire constitue une
raison de crer des zones. Si vous avez une zone qui hberge des enregistrements de ressources de
serveurs critiques, il est probable que cette zone possde un niveau de redondance plus lev quune
zone dans laquelle des priphriques non critiques sont dfinis.

Caractristiques dune zone DNS


Les donnes dune zone sont gres sur un serveur DNS et peuvent tre stockes de deux manires :

dans un fichier de zone plat qui contient des listes de correspondance ;

intgres dans Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-17

Un serveur DNS fait autorit pour une zone sil hberge les enregistrements de ressources correspondant
aux noms et aux adresses que les clients demandent dans le fichier de zone.

Quels sont les types de zones DNS ?


Les quatre types de zones DNS sont :

Principale

Secondaire

Stub

Intgre Active Directory

Zone principale

Lorsquune zone hberge par un serveur DNS est


une zone principale, le serveur DNS est la source
principale dinformations sur cette zone et il
stocke la copie originale des donnes de la zone
dans un fichier local ou dans les services de domaine Active Directory (AD DS). Lorsque le serveur DNS
stocke la zone dans un fichier, le fichier de la zone principale est, par dfaut, nomm zone_name.dns
et se trouve dans le dossier %windir%\System32\Dns du serveur. Lorsque la zone nest pas stocke dans
Active Directory, le serveur DNS hbergeant la zone principale est le seul serveur DNS qui a une copie
accessible en criture du fichier de zone.

Zone secondaire

Lorsquune zone hberge par un serveur DNS est une zone secondaire, le serveur DNS est une source
secondaire pour les informations de cette zone. La zone au niveau de ce serveur doit tre obtenue partir
dun autre serveur DNS distant qui lhberge galement. Ce serveur DNS doit avoir un accs rseau au
serveur DNS distant pour recevoir les informations mises jour de la zone. tant donn quune zone
secondaire est une copie dune zone principale quun autre serveur hberge, elle ne peut pas tre stocke
dans AD DS. Les zones secondaires peuvent tre utiles si vous rpliquez des donnes partir des zones
DNS qui ne sont pas sur Windows ou si vous excutez le systme DNS sur les serveurs qui ne sont pas des
contrleurs de domaine AD DS.

Zone de stub

Windows Server 2003 a introduit les zones de stub, qui permettent de rsoudre plusieurs problmes lis
aux grands espaces de noms DNS et aux forts multi-arborescentes. Une fort multi-arborescente est une
fort Active Directory qui contient deux noms de domaine de niveau suprieur diffrents.

Zone intgre Active Directory

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-18 Configuration et rsolution des problmes du systme DNS

Si Active Directory stocke la zone, le serveur DNS peut tirer parti du modle de rplication multimatre
pour rpliquer la zone principale. Cela vous permet de modifier des donnes de zone sur tout serveur
DNS. Windows Server 2008 a introduit un nouveau concept appel contrleur de domaine en lecture
seule (RODC, read-only domain controller). Les donnes dune zone intgre Active Directory peuvent
tre rpliques sur des contrleurs de domaine, mme si le rle DNS nest pas install sur le contrleur
de domaine. Si le serveur est un contrleur de domaine en lecture seule, un processus local ne peut pas
crire dans les donnes.

Quest-ce que les zones de recherche directe et inverse ?


Les zones peuvent tre directes ou inverses.
Les zones inverses sont parfois appeles
zones inverses.

Zone de recherche directe


La zone de recherche directe rsout des
noms dhte en adresses IP et hberge les
enregistrements de ressources courants suivants :
A, CNAME, SRV, MX, SOA, TXT et NS.

Zone de recherche inverse


La zone de recherche inverse rsout une
adresse IP en nom de domaine et hberge les
enregistrements SOA, NS et PTR.

Une zone inverse fonctionne de la mme manire quune zone directe, mais ladresse IP est la partie de
la requte et le nom dhte correspond aux informations renvoyes. Les zones inverses ne sont pas
toujours configures, mais vous devez les configurer pour rduire le nombre de messages davertissement
et derreur. De nombreux protocoles Internet standard se fient aux donnes de recherche des zones
inverses pour valider les informations des zones directes. Par exemple, si la recherche directe indique
que training.contoso.com est rsolu en 292.268.2.45, vous pouvez utiliser une recherche inverse pour
confirmer que 292.268.2.45 est associ training.contoso.com.
Il est important davoir une zone inverse si vous possdez des applications recherchent des htes par
leurs adresses IP. De nombreuses applications consignent ces informations dans des journaux de scurit
ou des vnements. Si vous observez une activit suspecte partir dune adresse IP particulire, vous
pouvez rsoudre lhte laide des informations de la zone inverse.

De nombreuses passerelles de scurit de messagerie lectronique utilisent des recherches inverses pour
confirmer quune adresse IP qui envoie des messages est associe un domaine.

Vue densemble des zones de stub


Une zone de stub est une copie rplique dune
zone qui contient uniquement les enregistrements
de ressources ncessaires lidentification des
serveurs DNS faisant autorit pour la zone en
question. Une zone de stub rsout les noms entre
des espaces de noms DNS distincts, lesquels
peuvent savrer ncessaires lorsquune fusion
dentreprises a besoin que les serveurs DNS de
deux espaces de noms DNS distincts rsolvent les
noms des clients dans les deux espaces de noms.
Une zone de stub comprend ce qui suit :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-19

lenregistrement de ressource Source de noms


(SOA, Start Of Authority), les enregistrements de ressources Serveur de noms (NS, Name Server)
et les enregistrements de ressources de type A de la zone dlgue ;

ladresse IP dun ou de plusieurs serveurs matres que vous pouvez utiliser pour mettre jour la zone
de stub.

Les serveurs matres dune zone de stub correspondent un ou plusieurs serveurs DNS faisant autorit
pour la zone enfant, gnralement le serveur DNS hbergeant la zone principale pour le nom de
domaine dlgu.

Rsolution dune zone de stub

Lorsquun rsolveur DNS effectue une opration de requte rcursive sur un serveur DNS hbergeant une
zone de stub, ce serveur utilise les enregistrements de ressources de la zone de stub pour rsoudre la
requte. Le serveur DNS envoie une requte itrative aux serveurs DNS faisant autorit que spcifient
les enregistrements de ressources NS de la zone de stub, comme sil utilisait les enregistrements de
ressources NS de sa mmoire cache. Sil ne trouve pas les serveurs DNS faisant autorit dans sa zone de
stub, le serveur DNS qui hberge la zone de stub essaie la rcursivit standard laide dindications
de racine.

Le serveur DNS stockera les enregistrements de ressources quil reoit des serveurs DNS faisant autorit
quune zone de stub rpertorie dans son cache, mais il ne stockera pas les enregistrements de ressources
dans la zone de stub elle-mme. Seuls les enregistrements SOA, NS et A envoys en rponse la requte
sont stocks dans la zone de stub. Les enregistrements de ressources stocks dans le cache sont conservs
conformment la dure de vie (TTL) indique dans chaque enregistrement de ressource. Les
enregistrements de ressources SOA, NS et A, qui ne sont pas crits dans le cache, expirent conformment
lintervalle dexpiration que lenregistrement SOA de la zone de stub spcifie. Pendant la cration de la
zone de stub, lenregistrement SOA est cr. Les mises jour des enregistrements SOA se produisent
pendant les transferts de la zone principale dorigine la zone de stub.
Si la requte est itrative, le serveur DNS renvoie une rfrence contenant les serveurs spcifis par la
zone de stub.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-20 Configuration et rsolution des problmes du systme DNS

Communication entre des serveurs DNS qui hbergent des zones parents et enfants

Un serveur DNS qui dlgue un domaine une zone enfant sur un serveur DNS diffrent est inform des
nouveaux serveurs DNS faisant autorit pour la zone enfant uniquement lorsque les enregistrements de
ressources qui les concernent sont ajouts la zone parent que le serveur DNS hberge. Il sagit dun
processus manuel qui requiert que les administrateurs des diffrents serveurs DNS communiquent souvent.
Les zones de stub permettent un serveur DNS qui hberge une zone de stub pour lun de ses domaines
dlgus dobtenir des mises jour des serveurs DNS faisant autorit pour la zone enfant lorsque la zone
de stub est mise jour. La mise jour est effectue depuis le serveur DNS qui hberge la zone de stub et
ladministrateur du serveur DNS qui hberge la zone enfant na pas besoin dtre contact.

Diffrence entre les zones de stub et les redirecteurs conditionnels


Il peut exister une certaine confusion au sujet de lopportunit dutiliser les redirecteurs conditionnels
plutt que des zones de stub. Cela est d au fait que les deux fonctionnalits de DNS permettent un
serveur DNS de rpondre une requte avec une rfrence un autre serveur DNS ou en la transfrant
un autre serveur DNS. Pourtant, ces paramtres ont des objectifs diffrents :

Un paramtre de redirecteur conditionnel configure le serveur DNS afin quil transfre une requte
quil reoit un serveur DNS, en fonction du nom DNS contenu dans la requte.

Une zone de stub maintient le serveur DNS qui hberge une zone parent inform de tous les serveurs
DNS faisant autorit sur une zone enfant.

Quand utiliser les redirecteurs conditionnels

Si vous souhaitez que les clients DNS de rseaux distincts rsolvent leurs noms respectifs sans avoir
interroger les serveurs DNS sur Internet, notamment dans le cas dune fusion dentreprises, vous devez
configurer les serveurs DNS de chaque rseau pour quils redirigent les requtes de noms de lautre
rseau. Les serveurs DNS dun rseau redirigent les noms des clients de lautre rseau vers un serveur DNS
spcifique qui cre un cache volumineux contenant les informations relatives lautre rseau. Cela vous
permet de crer un point de contact direct entre les serveurs DNS des deux rseaux, ce qui rduit le
besoin de rcursivit.

Toutefois, les zones de stub napportent pas le mme avantage de serveur serveur. La raison est quun
serveur DNS hbergeant une zone de stub dans un rseau rpond aux requtes de noms de lautre rseau
par la liste de tous les serveurs DNS qui font autorit sur la zone contenant ce nom, plutt que les
serveurs DNS spcifiques que vous avez dsigns pour traiter ce trafic. Cette configuration complique
tous les paramtres de scurit que vous voulez tablir entre les serveurs DNS spcifiques qui sexcutent
dans chacun des rseaux.

Quand utiliser des zones de stub

Utilisez les zones de stub quand vous souhaitez quun serveur DNS reste inform des serveurs DNS faisant
autorit pour une zone trangre.

Un redirecteur conditionnel ne constitue pas une mthode efficace pour maintenir un serveur DNS
hbergeant une zone parente inform des serveurs DNS faisant autorit sur une zone enfant. En effet,
ds que les serveurs DNS faisant autorit pour la zone enfant changent, vous devez configurer le
paramtre du redirecteur conditionnel manuellement sur le serveur DNS qui hberge la zone parente.
Plus prcisment, vous devez mettre ladresse IP jour pour chaque nouveau serveur DNS faisant autorit
pour la zone enfant.

Dmonstration : Cration des zones


Cette dmonstration montre comment :

crer une zone de recherche inverse ;

crer une zone de recherche directe.

Procdure de dmonstration
Crer une zone de recherche inverse
1.

Basculez vers LON-DC2, puis crez une nouvelle zone de recherche inverse pour
le sous-rseau IPv4 272.26.0.0.

2.

Activez les mises niveau dynamiques sur la zone.

Crer une zone de recherche directe


4.

Basculez vers LON-SVR2, puis ouvrez la console DNS.

5.

Crez une nouvelle zone de recherche directe.

3.

Configurez le type comme secondaire, puis dfinissez LON-DC2 en tant que serveur Matre
pour cette zone.

Dlgation de zone DNS


Le systme DNS est hirarchique et la dlgation
de zone relie les couches DNS entre elles. Une
dlgation de zone pointe vers le niveau
hirarchique infrieur suivant et identifie les
serveurs de noms responsables du domaine de
niveau infrieur.
Lorsque vous dterminez sil est ncessaire de
diviser lespace de noms DNS pour ajouter des
zones supplmentaires, considrez les raisons
suivantes dutiliser des zones supplmentaires :

Vous avez besoin de dlguer la gestion


dune partie de lespace de noms DNS un
autre emplacement ou dpartement de votre organisation.

Vous devez diviser une grande zone en zones plus petites afin de distribuer les charges de trafic
entre plusieurs serveurs. Cela amliore les performances de rsolution de nom DNS et cre un
environnement DNS qui tolre mieux les pannes.

Vous avez besoin dtendre lespace de noms en ajoutant de nombreux sous-domaines


immdiatement pour prendre en charge louverture dune nouvelle filiale ou dun nouveau site.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-21

Leon 4

Configuration des transferts de zone DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-22 Configuration et rsolution des problmes du systme DNS

Les transferts de zone DNS dterminent la manire dont linfrastructure DNS dplace les informations de
zone DNS dun serveur vers un autre. Sans transferts de zone, les diffrents serveurs de noms dans votre
organisation grent des copies disparates des donnes de la zone. Vous devez galement considrer que
la zone contient des donnes sensibles et la protection des transferts de zone est importante. Cette leon
dcrit les diffrentes mthodes que le rle de serveur DNS utilise lors du transfert de zones.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire le fonctionnement des transferts de zone DNS ;

expliquer la manire de configurer la scurit de transfert de zone ;

expliquer la manire de configurer des transferts de zone DNS.

Quest-ce quun transfert de zone DNS ?


Un transfert de zone se produit lorsque vous
rpliquez la zone DNS situe sur un serveur
sur un autre serveur DNS.
Les transferts de zone synchronisent les zones de
serveur DNS principales et secondaires. Cest ainsi
que le systme DNS constitue sa rsilience sur
Internet. Il est important que les zones DNS
restent jour sur les serveurs principaux et
secondaires. Les divergences dans les zones
principales et secondaires peuvent provoquer
des dfaillances du service et une rsolution
incorrecte des noms dhte.
Les transferts de zone peuvent se produire de lune des trois faons suivantes :

Transfert de zone intgral. Un transfert de zone complet se produit lorsque vous copiez la zone
entire dun serveur DNS vers un autre. Un transfert de zone complet est appel AXFR
(All Zone Transfer).

Transfert de zone incrmentiel. Un transfert de zone incrmentiel se produit lorsquune mise jour du
serveur DNS est effectue et que seuls les enregistrements de ressources modifis sont rpliqus sur
lautre serveur. Il sagit dun transfert de zone incrmentiel (IXFR, Incremental Zone Transfer).

Transfert rapide. Les serveurs DNS Windows effectuent galement des transferts rapides, qui
correspondent un type de transfert de zone qui utilise la compression et envoie plusieurs
enregistrements de ressources dans chaque transmission.

Toutes les implmentations de serveurs DNS ne prennent pas en charge les transferts de zone
incrmentiels et rapides. Lors de lintgration dun serveur DNS Windows 2022 avec un serveur DNS BIND
(Berkeley Internet Name Domain), vous devez vrifier que les fonctionnalits dont vous avez besoin sont
prises en charge par la version BIND installe.

Le tableau suivant rpertorie les fonctionnalits que les diffrents serveurs DNS prennent en charge.
Serveur DNS

Transfert de zone
complet (AXFR)

Transfert de zone
incrmentiel (IXFR)

Transfert rapide

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-23

BIND antrieur 4.9.4

Pris en charge

Non pris en charge

Non pris en charge

BIND versions 4.9.4 8.2

Pris en charge

Non pris en charge

Pris en charge

BIND 8.2

Pris en charge

Pris en charge

Pris en charge

Windows 2000 Service


Pack 3 (SP3)

Pris en charge

Pris en charge

Pris en charge

Windows 2003 (R2)

Pris en charge

Pris en charge

Pris en charge

Windows 2008 et R2

Pris en charge

Pris en charge

Pris en charge

Windows 2022

Pris en charge

Pris en charge

Pris en charge

Les zones intgres Active Directory rpliquent les informations laide de la rplication des services de
domaine Active Directory multimatres au lieu du processus de transfert de zone. Cela signifie que tout
contrleur de domaine standard qui dtient galement le rle DNS peut mettre jour les informations de
zone DNS, qui se rpliquent ensuite sur tous les serveurs DNS qui hbergent la zone DNS.

DNS Notify

DNS Notify est utilis par un serveur matre pour avertir ses serveurs secondaires configurs que des mises
jour de zone sont disponibles. Les serveurs secondaires interrogent alors leur matre pour obtenir les
mises jour. DNS Notify est une mise jour de la spcification dorigine du protocole DNS qui permet
dinformer les serveurs secondaires lorsquune zone est modifie. Cette mise jour savre utile dans un
environnement o le temps est crucial et o lexactitude des donnes est importante.

Configuration de la scurit du transfert de zone


Les informations de zone fournissent des donnes
dentreprise. Vous devez donc prendre des
prcautions pour vrifier quelles sont protges
contre tout accs dutilisateur malintentionn et
quil nest pas possible de les remplacer par des
donnes errones (ce processus est appel
empoisonnement DNS). Une faon de protger
linfrastructure DNS est de scuriser les transferts
de zone.

Dans longlet Transferts de zone de la bote de


dialogue Proprits de la zone, vous pouvez
spcifier la liste des serveurs DNS autoriss. Vous
pouvez galement utiliser ces options pour rejeter le transfert de zone. Par dfaut, les transferts de zone
sont dsactivs.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-24 Configuration et rsolution des problmes du systme DNS

Bien que loption spcifiant les serveurs autoriss demander des donnes de zone garantisse leur
scurit en limitant les destinataires de ces donnes, elle ne scurise pas ces donnes pendant leur
transmission. Si les informations de zone sont hautement confidentielles, nous vous recommandons
dutiliser une stratgie de scurit du protocole Internet (IPsec, Internet Protocol Security) pour
scuriser la transmission ou de rpliquer les donnes de zone sur un tunnel de rseau priv virtuel (VPN,
Virtual Private Network). Ainsi, vous empchez les dtecteurs de paquet didentifier des informations
contenues dans la transmission des donnes.

Lutilisation de zones intgres Active Directory permet de rpliquer les donnes de zone dans le cadre
de rplications AD DS normales. Le transfert de zone est alors scuris lors de la rplication des services
de domaine Active Directory.

Dmonstration : Configuration des transferts de zone DNS


Cette dmonstration vous explique comment :

activer les transferts de zone DNS ;

mettre la zone secondaire jour depuis le serveur matre ;

mettre la zone principale jour et vrifier ensuite les modifications sur la zone secondaire.

Procdure de dmonstration
Activer les transferts de zone DNS
1.

Sur LON-DC2, activez les transferts de zone en configurant loption Autoriser les transferts de zone.

2.

Configurez les transferts de zone Uniquement vers les serveurs lists dans longlet Serveurs
de noms.

3.

Configurez la notification sur Uniquement vers les serveurs lists dans longlet Serveurs de noms.

4.

Ajoutez LON-SVR2.adatum.com en tant que serveur de noms rpertori pour recevoir des transferts.

Mettre la zone secondaire jour depuis le serveur matre

Basculez vers LON-SVR2 et dans le Gestionnaire DNS, slectionnez Transfert partir du matre. Il
est parfois ncessaire deffectuer cette tape un certain nombre de fois avant les transferts de zone.
Notez galement que le transfert peut se produire automatiquement tout moment.

Mettre la zone principale jour et vrifier ensuite les modifications


sur la zone secondaire
1.

Revenez LON-DC2, puis crez un enregistrement dalias.

2.

Revenez LON-SVR2, puis vrifiez que le nouvel enregistrement est prsent dans la zone secondaire.
Cela peut ncessiter un Transfert partir du matre manuel et une actualisation de lcran avant
que lenregistrement soit visible.

Leon 5

Gestion et dpannage du systme DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-25

Le service DNS est crucial dans linfrastructure Active Directory. Lorsque le service DNS rencontre des
problmes, il est important de savoir comment les rsoudre et de savoir identifier les problmes courants
pouvant se produire dans une infrastructure DNS. Cette leon dcrit les problmes courants qui se
produisent dans le service DNS, les sources dinformations DNS courantes et les outils que vous pouvez
utiliser pour rsoudre les problmes.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

expliquer en quoi la dure de vie, le vieillissement et le nettoyage facilitent la gestion des


enregistrements DNS ;

expliquer comment grer la dure de vie, le vieillissement et le nettoyage des enregistrements DNS ;

expliquer comment identifier des problmes lis DNS laide des outils DNS ;

dcrire comment dpanner le systme DNS laide des outils DNS ;

expliquer comment analyser le systme DNS laide du journal des vnements DNS et de
lenregistrement de dbogage.

Quest-ce quest la dure de vie, le vieillissement et le nettoyage ?


La dure de vie (TTL, Time to Live), le vieillissement
et le nettoyage facilitent la gestion des
enregistrements de ressources DNS dans les fichiers
de zone. Les fichiers de zone peuvent changer au fil
du temps ; par consquent, il doit exister un moyen
de grer les enregistrements DNS mis jour ou non
valides parce que les htes quils reprsentent ne se
trouvent plus sur le rseau.
Le tableau suivant dcrit les outils DNS qui
permettent de grer une base de donnes DNS.

Outil

Description

TTL

Indique la dure pendant laquelle un enregistrement DNS demeure valide et


inligible au nettoyage.

Vieillissement

Se produit lorsque les enregistrements insrs dans le serveur DNS atteignent leur
date dexpiration et sont supprims. Le vieillissement permet de maintenir lexactitude
de la base de donnes de zone. Dans le cadre dun fonctionnement normal, le
vieillissement doit grer les enregistrements de ressources DNS obsoltes.

Nettoyage

Excute le nettoyage des anciens enregistrements de ressources de serveurs DNS dans


le systme DNS. Si des enregistrements de ressources nont pas subi de vieillissement,
un administrateur peut dbarrasser la base de donnes de zone des enregistrements
obsoltes quelle contient en forant le nettoyage de la base de donnes.

Si elle nest pas gre, la prsence denregistrements de ressources obsoltes dans les donnes de zone
peut engendrer des problmes. Par exemple :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-26 Configuration et rsolution des problmes du systme DNS

Si un grand nombre denregistrements de ressources obsoltes restent dans les zones du serveur,
ils peuvent finir par occuper lespace disque du serveur et provoquer des transferts de zone
inutilement longs.

Un serveur DNS qui charge les zones avec des enregistrements de ressources obsoltes risque
dutiliser des informations obsoltes pour rpondre aux requtes des clients, ce qui risque damener
les ordinateurs clients rencontrer des problmes de rsolution de noms ou de connectivit sur
le rseau.

Laccumulation denregistrements de ressources obsoltes sur le serveur DNS risque de dgrader


ses performances et sa ractivit.

Dans certains cas, la prsence dun enregistrement de ressource obsolte dans une zone peut
empcher un autre ordinateur ou priphrique dhte dutiliser un nom de domaine DNS.

Pour rsoudre ces problmes, le service de serveur DNS comporte les fonctionnalits suivantes :

Horodatage, selon la date et lheure du jour dfinies sur le serveur, pour tous les enregistrements
de ressources ajouts dynamiquement aux zones de type principal. En outre, les horodatages sont
enregistrs dans les zones principales standard pour lesquelles vous activez le vieillissement et le
nettoyage.

Pour les enregistrements de ressources que vous ajoutez manuellement, vous utilisez une valeur
dhorodatage gale zro pour indiquer que le processus de vieillissement naffecte pas ces
enregistrements et quils peuvent rester dfinitivement dans les donnes de zone, sauf si vous
modifiez leur horodatage ou si vous les supprimez.

Vieillissement des enregistrements de ressources dans les donnes locales, en fonction dune priode
dactualisation spcifie, pour toutes zones ligibles.

Seules les zones de type principal que le service de serveur DNS charge peuvent participer
ce processus.

Nettoyage de tous les enregistrements de ressources conservs au-del de la priode


dactualisation spcifie.

Lorsquun serveur DNS excute une opration de nettoyage, il peut dterminer que les enregistrements
de ressources ont vieilli au point dtre devenus obsoltes et les supprimer ensuite des donnes de zone.
Vous pouvez configurer des serveurs afin quils excutent automatiquement des oprations de nettoyage
rcurrentes, ou vous pouvez initialiser une opration de nettoyage immdiate au niveau du serveur.
Remarque : Par dfaut, le mcanisme de vieillissement et de nettoyage du service de
serveur DNS est dsactiv. Vous devez lactiver uniquement lorsque vous comprenez entirement
tous les paramtres. Sinon, vous risquez de configurer le serveur afin quil supprime
accidentellement des enregistrements qui ne devraient pas tre supprims. Si un enregistrement
est supprim accidentellement, non seulement les utilisateurs ne pourront pas rsoudre les
requtes le concernant, mais ils pourront crer cet enregistrement et en devenir propritaire,
mme sur les zones que vous configurez des fins de mise jour dynamique scurise. Cela
prsente un risque important pour la scurit.

Le serveur utilise le contenu de chaque horodatage propre aux enregistrements de ressources, ainsi que
dautres proprits de vieillissement et de nettoyage que vous pouvez ajuster ou configurer, pour
dterminer le moment auquel il nettoie les enregistrements.

Conditions pralables pour le vieillissement et le nettoyage

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-27

Avant de pouvoir utiliser les fonctionnalits de vieillissement et de nettoyage du systme DNS, plusieurs
conditions doivent tre remplies :

Vous devez activer les fonctionnalits de nettoyage et de vieillissement sur le serveur DNS et la zone.
Par dfaut, le vieillissement et le nettoyage des enregistrements de ressources est dsactiv.

Vous devez ajouter des enregistrements de ressources dynamiquement ou les modifier manuellement
afin de les utiliser dans des oprations de vieillissement et de nettoyage.

En gnral, seuls les enregistrements de ressources que vous ajoutez dynamiquement laide du
protocole de mise jour dynamique DNS peuvent faire lobjet dun vieillissement et dun nettoyage.

Pour les enregistrements que vous ajoutez aux zones en chargeant un fichier de zone de type texte depuis
un autre serveur DNS ou en les ajoutant manuellement une zone, un horodatage gal zro est dfini.
Cet horodatage rend ces enregistrements inligibles une utilisation dans des oprations de vieillissement
et de nettoyage.
Pour modifier cette valeur par dfaut, vous pouvez administrer individuellement ces enregistrements, les
rinitialiser et les autoriser utiliser une valeur dhorodatage actuelle (diffrente de zro). Celle-ci permet
ces enregistrements de vieillir et dtre nettoys.

Dmonstration : Gestion des enregistrements DNS


Cette dmonstration montre comment :

configurer la dure de vie ;

activer et configurer le nettoyage et le vieillissement.

Procdure de dmonstration
Configurer la dure de vie
1.

Basculez vers LON-DC2, puis ouvrez les proprits de la zone Adatum.com.

2.

Dans longlet Source de noms, configurez la valeur Dure de vie minimale (par dfaut) 2 heures.

Activer et configurer le nettoyage et le vieillissement


1.

Cliquez avec le bouton droit sur LON-DC2, puis slectionnez loption Vieillissement de
serveur/Proprits de nettoyage pour configurer les options de vieillissement et de nettoyage.

2.

Activez Nettoyer les enregistrements de ressources obsoltes, puis utilisez les valeurs par dfaut.

Dmonstration : Test de la configuration du serveur DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-28 Configuration et rsolution des problmes du systme DNS

Des problmes peuvent se produire lorsque vous ne configurez pas le serveur DNS, ainsi que ses zones et
ses enregistrements de ressources, correctement. Lorsque des enregistrements de ressources provoquent
des problmes, il peut savrer parfois plus difficile didentifier le vrai problme parce que les problmes
de configuration ne sont pas toujours vidents.

Le tableau suivant rpertorie les problmes de configuration susceptibles de provoquer des problmes de
serveur DNS.
Problme

Result

Enregistrements manquants

Les enregistrements pour un hte ne se trouvent pas sur le serveur


DNS. Ils ont peut-tre t nettoys prmaturment. Cela peut
empcher des stations de travail de se connecter.

Enregistrements incomplets

Les enregistrements auxquels il manque des informations requises


pour localiser la ressource quils reprsentent peuvent amener des
clients qui demandent la ressource utiliser des informations non
valides. Par exemple, un enregistrement de service qui ne contient
pas ladresse de port requise est un exemple denregistrement
incomplet.

Enregistrements mal configurs

Les enregistrements qui pointent vers une adresse IP non valide


ou qui comportent des informations non valides dans leur
configuration provoquent des problmes lorsque des clients DNS
essaient de rechercher des ressources.

Les outils utiliss pour rsoudre ces problmes et dautres problmes de configuration sont les suivants :

Nslookup. Utilisez cet outil pour interroger des informations DNS. Il sagit dun outil flexible, capable
de fournir des informations prcieuses propos de ltat du serveur DNS. Vous pouvez galement
lutiliser pour rechercher des enregistrements de ressources et valider leur configuration. Vous
pouvez, en outre, tester des transferts de zone, des options de scurit et la rsolution des
enregistrements MX.

Remarque : Vous pouvez utiliser lapplet de commande Windows PowerShell Resolve-DnsName


pour remplir des fonctions similaires Nslookup en rsolvant les problmes lis au systme DNS.

Windows PowerShell. Vous pouvez utiliser les applets de commande Windows PowerShell pour
configurer et dpanner diffrents aspects du systme DNS.

Dnscmd. Grez le service de serveur DNS laide de cette interface de ligne de commande. Cet
utilitaire permet de crer des scripts dans des fichiers de commandes dans le but dautomatiser des
tches de gestion DNS de routine ou de procder un simple travail dinstallation et de configuration
sans assistance de nouveaux serveurs DNS sur votre rseau.

2-29

IPconfig. Utilisez cette commande pour afficher et modifier les dtails de la configuration IP que
lordinateur utilise. Cet utilitaire inclut des options de ligne de commande supplmentaires que vous
pouvez utiliser pour dpanner les clients DNS et les prendre en charge. Vous pouvez consulter le
cache DNS local dun client laide de la commande ipconfig /displaydns et vous pouvez effacer le
cache local laide de la commande ipconfig /flushdns.

Remarque : Vous pouvez galement utiliser les applets de commande Windows PowerShell
suivants :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

clear-DnsClientCache pour supprimer le cache de rsolution DNS

get-DnsClientCache pour afficher le cache de rsolution

Onglet Analyse sur le serveur DNS. Sous longlet Analyse du serveur DNS, vous pouvez configurer un test
qui permet au serveur DNS de dterminer sil peut rsoudre des requtes locales simples et excuter
une requte rcursive dans le but de vrifier que le serveur peut communiquer avec des serveurs en
amont. Vous pouvez galement planifier ces tests pour quils sexcutent de manire rgulire.
Ce sont des tests de base, mais ils constituent un bon point de dpart pour dpanner le service DNS.
Les causes possibles de lchec dun test incluent les suivantes :
o

Le service de serveur DNS a chou.

Le serveur en amont nest pas disponible sur le rseau.

Cette dmonstration montre comment utiliser Nslookup.exe pour tester la configuration du serveur DNS.

Procdure de dmonstration
1.

Ouvrez une invite de commandes, puis excutez la commande suivante :


nslookup d2 LON-svr2.Adatum.com

2.

Examinez les informations fournies par nslookup.

Analyse du systme DNS laide du journal des vnements DNS


Le serveur DNS possde sa propre catgorie dans
le journal des vnements. Comme avec tout
journal des vnements de lObservateur
dvnements Windows, vous devez consulter
rgulirement le journal des vnements.

vnements DNS courants


Le tableau suivant dcrit les vnements DNS courants.
ID dvnement

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-30 Configuration et rsolution des problmes du systme DNS

Le serveur DNS a dmarr. Ce message apparat gnralement au dmarrage


lorsque vous dmarrez soit le serveur, soit le service de serveur DNS.

Le serveur DNS a t arrt. Ce message apparat gnralement lorsque le serveur


est arrt ou lorsque vous arrtez le service de serveur DNS manuellement.

408

Le serveur DNS na pas pu ouvrir le socket pour ladresse [IPaddress]. Vrifiez quil
sagit dune adresse IP valide pour le serveur.
Pour corriger le problme, vous pouvez effectuer les oprations suivantes :
1.

Si ladresse IP spcifie nest pas valide, supprimez-la de la liste des interfaces


restreintes du serveur et redmarrez le serveur.

2.

Si ladresse IP spcifie nest plus valide et quelle tait la seule adresse active
que le serveur DNS pouvait utiliser, le serveur risque de ne pas avoir dmarr
en raison de cette erreur de configuration. Pour corriger ce problme,
supprimez la valeur suivante du Registre et redmarrez le serveur DNS :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Paramet
ers\ListenAddress

3.

423

Si ladresse IP du serveur est valide, vrifiez quaucune autre application


susceptible dutiliser le mme port de serveur DNS (telle quune autre
application de serveur DNS) ne sexcute. Par dfaut, le serveur DNS utilise le
port TCP 53.

Le serveur DNS envoie des demandes dautres serveurs DNS sur un port autre
que son port par dfaut (port TCP 53).

Ce serveur DNS est multirsident et a t configur afin de restreindre le service


de serveur DNS quelques-unes de ses adresses IP configures uniquement.
Cest pourquoi il nexiste aucune garantie que les requtes DNS soumises par ce
serveur dautres serveurs DNS distants seront envoyes laide de lune des
adresses IP actives pour le serveur DNS.

Cela risque dempcher les rponses aux requtes renvoyes par ces serveurs
dtre reues sur le port DNS que le serveur est configur pour utiliser. Pour
viter ce problme, le serveur DNS envoie des requtes dautres serveurs DNS
laide dun port non-DNS arbitraire, puis la rponse est reue indpendamment
de ladresse IP utilise.
Si vous souhaitez que le serveur DNS utilise uniquement son port DNS configur
pour envoyer des requtes dautres serveurs DNS, utilisez la console DNS pour
effectuer lune des modifications suivantes dans la configuration des proprits
du serveur sous longlet Interfaces :
o

Slectionnez Toutes les adresses IP pour permettre au serveur DNS dcouter


sur toutes les adresses IP du serveur configures.

Slectionnez Uniquement les adresses IP suivantes pour limiter la liste des


adresses IP une seule adresse IP du serveur.

(suite)
ID dvnement

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-31

424

Le serveur ne possde actuellement aucun suffixe DNS principal configur. Son


nom DNS est actuellement un nom dhte en une partie. Par exemple, son nom
configur est host plutt que host.example.microsoft.com ou un autre nom de
domaine complet.
Bien que le serveur DNS possde un nom en une partie, les enregistrements de
ressources par dfaut crs pour ses zones configures utilisent uniquement ce
nom en une partie pour faire correspondre le nom dhte de ce serveur DNS. Cela
peut gnrer des rfrences incorrectes et errones lorsque les clients et dautres
serveurs DNS utilisent ces enregistrements pour localiser ce serveur par son nom.
En gnral, vous devez reconfigurer le serveur DNS avec un nom dordinateur DNS
complet appropri pour son domaine ou groupe de travail sur votre rseau.

708

Le serveur DNS na pas dtect de zones de type principal ou secondaire.


Il sexcutera en tant que serveur cache uniquement, mais ne fera autorit sur
aucune zone.

3250

Le serveur DNS a crit une nouvelle version de la zone [zonename] dans le fichier
[filename]. Vous pouvez consulter le nouveau numro de version en cliquant sur
longlet Donnes denregistrement.
Cet vnement doit apparatre uniquement si vous configurez le serveur DNS en
tant que serveur racine.

6527

La zone [zonename] a expir avant la fin du transfert de zone ou de la mise jour


partir dun serveur matre agissant comme source pour la zone. La zone a t
ferme.
Cet ID dvnement peut apparatre lorsque vous configurez le serveur DNS afin
dhberger une copie secondaire de la zone partir dun autre serveur DNS qui lui
sert de source ou de serveur matre. Vrifiez que ce serveur possde une
connectivit rseau son serveur matre configur.
Si le problme persiste, considrez une ou plusieurs des options suivantes :
1.

Supprimez la zone et recrez-la, en spcifiant soit un serveur matre diffrent,


soit une adresse IP mise jour et corrige du mme serveur matre.

2.

Si lexpiration de zone continue, envisagez dajuster lintervalle dexpiration.

Analyse du serveur DNS laide de lenregistrement de dbogage


Parfois, il peut tre ncessaire dobtenir davantage
de dtails sur un problme DNS que ceux que
lObservateur dvnements fournit. Le cas
chant, vous pouvez utiliser lenregistrement
de dbogage pour obtenir des informations
supplmentaires.
Les options denregistrement de dbogage DNS
suivantes sont disponibles :

Direction des paquets. Cette option comporte


les paramtres suivants :
o

Envoi. Le fichier journal du serveur DNS


enregistre les paquets que le serveur DNS envoie.

Rception. Le fichier journal enregistre les paquets que le serveur DNS reoit.

Contenu des paquets. Cette option comporte les paramtres suivants :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-32 Configuration et rsolution des problmes du systme DNS

Requte standard. Indique que des paquets contenant des requtes standard, conformment au
document RFC (Request for Comments) 2034, sont enregistrs dans le fichier journal du serveur DNS.

Mises jour. Indique que des paquets contenant des requtes dynamiques, conformment au
document RFC 2236, sont enregistrs dans le fichier journal du serveur DNS.

Notifications. Indique que des paquets contenant des notifications, conformment au document
RFC 2996, sont enregistrs dans le fichier journal du serveur DNS.

Protocole de transport. Cette option comporte les paramtres suivants :


o

UDP. Indique que des paquets envoys et reus via le protocole de datagramme utilisateur (UDP,
User Datagram Protocol) sont enregistrs dans le fichier journal du serveur DNS

TCP. Indique que des paquets envoys et reus via le protocole TCP sont enregistrs dans le
fichier journal du serveur DNS

Type de paquet. Cette option comporte les paramtres suivants :


o

Requte. Enregistre des informations sur les paquets de demande dans le fichier journal du
serveur DNS. Un paquet de requte est caractris par un bit de requte/rponse (QR) dfini
zro dans len-tte du message DNS.
Un bit QR est un champ un bit qui spcifie si ce message est une requte (0) ou une rponse.

Rponse. Enregistre des informations sur les paquets de rponse dans le fichier journal du
serveur DNS. Un paquet de rponse est caractris par un bit QR dfini 2 dans len-tte
du message DNS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

2-33

Filtrer les paquets par adresse IP. Cette option fournit dautres options de filtrage des paquets
enregistrs dans le fichier journal du serveur DNS. Cette option permet denregistrer dans le journal
des informations sur les paquets envoys partir dadresses IP spcifiques vers un serveur DNS ou
inversement.

Taille maximale (octets). Cette option vous permet de dfinir la taille de fichier maximale du fichier
journal du serveur DNS. Lorsque le fichier journal du serveur DNS atteint sa taille maximale spcifie,
le serveur DNS remplace les informations des paquets les plus anciens par les nouvelles informations.
Si vous ne spcifiez pas de taille de fichier journal maximale, le fichier journal du serveur DNS peut
occuper une grande quantit despace disque.

Par dfaut, toutes les options denregistrement de dbogage sont dsactives. Lorsque vous les activez de
manire slective, le service de serveur DNS peut excuter un enregistrement supplmentaire au niveau
du suivi des types slectionns dvnements ou de messages pour le dpannage gnral et le dbogage
du serveur.
Lenregistrement de dbogage DNS peut utiliser les ressources de manire intense, ce qui risque de nuire
aux performances gnrales du serveur et consomme de lespace disque. Par consquent, vous devez
lutiliser uniquement de manire temporaire, lorsque vous avez besoin dinformations plus dtailles sur
les performances du serveur.
Remarque : Dns.log contient lactivit denregistrement de dbogage. Par dfaut, ce fichier
se trouve dans le dossier %systemroot%\System32\Dns.

Atelier pratique : Configuration et rsolution


des problmes du systme DNS
Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

2-34 Configuration et rsolution des problmes du systme DNS

A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour assister le
sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client Windows
Server 2022.

Vous avez t invit ajouter plusieurs nouveaux enregistrements de ressource au service DNS install sur
LON-DC2. Les enregistrements comprennent un nouvel enregistrement MX pour Exchange Server 2020
et un enregistrement SRV pour un dploiement Microsoft Lync en cours.
A. Datum travaille avec une organisation partenaire, Contoso, Ltd. Vous avez t invit configurer
la rsolution de nom interne entre ces deux organisations. Une petite succursale a signal que les
performances de rsolution de noms sont faibles. La succursale est quipe dun serveur Windows
Server 2022 qui assume plusieurs rles. Cependant, aucun plan na t tabli en vue dimplmenter un
contrleur de domaine supplmentaire. Vous avez t invit installer le rle de serveur DNS dans la
succursale et crer une zone secondaire dAdatum.com. Pour garantir la scurit, vous avez t charg
de configurer le serveur de la succursale pour quil figure sur la liste de notification des transferts de
zone Adatum.com. Vous devez aussi mettre jour tous les clients de la succursale pour quils utilisent
le nouveau serveur de noms dans la succursale.
Vous devez configurer le nouveau rle de serveur DNS pour excuter le nettoyage et le vieillissement
standard selon les besoins et conformment la stratgie dentreprise. Aprs limplmentation du
nouveau serveur, vous devez tester et vrifier la configuration laide des outils standard de dpannage
du systme DNS.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

configurer les enregistrements de ressource DNS ;

configurer la redirection conditionnelle DNS ;

installer et configurer les zones DNS ;

dpanner le systme DNS.

Configuration de latelier pratique


Dure approximative : 60 minutes

Ordinateurs virtuels

22422B-LON-DC2
22422B-LON-SVR2
22422B-LON-CL2

Nom dutilisateur

ADATUM\Administrateur

Mot de passe

Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


3-1

Module 3
Gestion des services de domaine Active Directory
Table des matires :
Vue d'ensemble du module

3-1

Leon 1 : Vue densemble dAD DS

3-2

Leon 2 : Implmentation des contrleurs de domaine virtualiss

3-8

Leon 3 : Implmentation des contrleurs de domaine en lecture seule

3-13

Leon 4 : Administration dAD DS

3-18

Leon 5 : Gestion de la base de donnes AD DS

3-18

Atelier pratique : Gestion dAD DS

3-37

Contrle des acquis et lments retenir

3-43

Vue densemble du module

Les services de domaine Active Directory (AD DS) reprsentent le composant le plus critique dun rseau
Windows Server 2012 bas sur un domaine. AD DS contient des informations importantes sur
lauthentification, lautorisation et les ressources dans votre environnement. Ce module explique pourquoi
vous implmentez des fonctionnalits spcifiques dAD DS, comment les composants importants
sintgrent les uns aux autres et comment vous pouvez vrifier que votre rseau bas sur un domaine
fonctionne correctement.
Vous dcouvrirez de nouvelles fonctionnalits, telles que le clonage virtualis de contrleur de domaine,
des fonctionnalits rcentes comme les contrleurs de domaine en lecture seule (RODC) et bien dautres
fonctionnalits et outils que vous pouvez utiliser dans lenvironnement dAD DS.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

Expliquer la structure gnrale dAD DS.

Implmenter des contrleurs de domaine virtualiss.

Implmenter des contrleurs de domaine en lecture seule.

Administrer AD DS.

Grer la base de donnes AD DS.

Gestion des services de domaine Active Directory

Leon 1

Vue densemble dAD DS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-2

La base de donnes AD DS stocke des informations sur lidentit de lutilisateur, les ordinateurs, les
groupes, les services et les ressources. Les contrleurs de domaine AD DS hbergent galement le service
qui authentifie les comptes dutilisateur et informatiques quand ils se connectent au domaine. AD DS
stocke des informations sur tous les objets du domaine, et tous les utilisateurs et ordinateurs doivent se
connecter aux contrleurs de domaine Active Directory DS quand ils se connectent au rseau. Par
consquent, AD DS est la mthode principale par laquelle vous pouvez configurer et grer les comptes
dutilisateur et dordinateur sur votre rseau.
Cette leon couvre les composants logiques de base dun dploiement dActive Directory DS.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrire les composants AD DS.

Expliquer la structure de la fort et schmatique dAD DS.

Expliquer la structure de domaine dAD DS.

Vue densemble des composants AD DS


AD DS se compose la fois de composants
physiques et logiques. Vous devez
comprendre la manire dont les composants
dActive Directory DS fonctionnent ensemble de
sorte pouvoir maintenir efficacement votre
environnement AD DS.

Composants physiques
Les informations relatives AD DS sont stockes
dans un fichier unique sur le disque dur de
chaque contrleur de domaine. Le tableau suivant
prsente quelques composants physiques et leurs
emplacements de stockage.
Composant physique

Description

Contrleurs de
domaine

Contient des copies de la base de donnes AD DS.

Magasin de donnes

Fichier sur chaque contrleur de domaine qui stocke les informations AD DS.

Serveurs de catalogue
global

Hbergent le catalogue global, lequel est une copie partielle, en lecture


seule, de tous les objets dans la fort. Un catalogue global acclre les
recherches dobjets susceptibles dtre stocks sur des contrleurs de
domaine dun domaine diffrent de la fort.

Contrleurs de
domaine en lecture
seule (RODC)

Une installation AD DS spciale au format lecture seule. Vous utilisez cela en


gnral dans les filiales o la scurit et le support technique peuvent tre
moins avances que dans les centres daffaires principaux dune entreprise.

Composants logiques
Les composants logiques AD DS sont des structures utilises pour limplmentation dune conception
Active Directory approprie une organisation. Le tableau suivant dcrit certains types de structures
logiques quune base de donnes Active Directory peut contenir.
Composant logique

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-3

Partition

Une section de la base de donnes AD DS. Bien que la base de donnes soit
rellement juste un fichier nomm NTDS.DIT, les utilisateurs laffichent, le
grent et le rpliquent comme sil se composait de sections ou dinstances
distinctes. Il sagit de partitions ou de contextes de nommage.

Schma

Dfinit la liste des types dobjets et dattributs que tous les objets AD DS
peuvent avoir.

Domaine

Limite dadministration logique pour les utilisateurs et les ordinateurs.

Arborescence de
domaine

Collection des domaines qui partagent un domaine racine commun et un


espace de noms du systme de noms de domaine (DNS).

Fort

Une collection des domaines qui partagent un service AD DS commun.

Site

Une collection dutilisateurs, de groupes et dordinateurs, qui sont dfinis par


leurs emplacements physiques. Les sites sont utiles dans des tches
dadministration de la planification telles que la rplication des modifications
vers la base de donnes AD DS.

Unit dorganisation

Les units dorganisation (OU) sont des conteneurs dans AD DS qui


fournissent une infrastructure pour dlguer des droits administratifs et pour
lier des objets de stratgie de groupe (GPO).

Prsentation de la structure de la fort et schmatique dAD DS


Dans AD DS, la structure de fort et schmatique
sont importantes pour la dfinition de la
fonctionnalit et de ltendue de votre
environnement.

Structure des forts dAD DS


Une fort est une collection dune ou plusieurs
arbres de domaines. Une fort est une collection
dune ou de plusieurs arborescences de domaine.
Le premier domaine qui est cr dans la fort est
appel le domaine racine de la fort. Le domaine
racine de la fort contient quelques objets qui
nexistent pas dans dautres domaines de la fort.
Par exemple, le domaine racine de la fort contient deux rles spciaux, le contrleur de schma et
le matre dattribution de noms de domaine. En outre, le groupe Administrateurs de lentreprise et le
groupe Administrateurs du schma existent seulement dans le domaine racine de fort. Le groupe
Administrateurs de lentreprise a le contrle total sur chaque domaine de la fort.

Gestion des services de domaine Active Directory

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-4

La fort AD DS est une limite de scurit. Ceci signifie que, par dfaut, aucun utilisateur provenant de
lextrieur de la fort ne peut accder aux ressources situes lintrieur de la fort. Cela signifie galement
que des administrateurs provenant de lextrieur de la fort nont aucun accs dadministration lintrieur
de la fort. Une des raisons principales pour lesquelles les organisations dploient plusieurs forts est
quelles doivent isoler des autorisations administratives entre diffrentes parties de lorganisation.

La fort AD DS est galement la limite de rplication pour les partitions de configuration et de schma dans
la base de donnes des services AD DS. Ceci signifie que tous les contrleurs de domaine de la fort doivent
partager le mme schma. Une deuxime raison pour laquelle les organisations dploient plusieurs forts est
quelles doivent dployer des schmas incompatibles dans deux parties de lorganisation.
La fort AD DS est galement la limite de rplication du catalogue global. Ceci facilite la plupart
des formulaires de collaboration entre les utilisateurs de diffrents domaines. Par exemple, tous les
destinataires Microsoft Exchange Server 2010 sont lists dans le catalogue global, ce qui facilite lenvoi
de courrier lectronique aux utilisateurs de la fort, mme ces utilisateurs dans des domaines diffrents.
Par dfaut, tous les domaines dune fort approuvent automatiquement les autres domaines dans la
fort. Ceci facilite lactivation de laccs aux ressources telles que des partages de fichiers et des sites
Web pour tous les utilisateurs dans une fort, indpendamment du domaine dans lequel le compte
dutilisateur est situ.

Structure schmatique des services AD DS

Le schma AD DS est le composant AD DS qui dfinit tous les types dobjets et attributs quAD DS utilise
pour stocker des donnes. Il est parfois dsign en tant que modle pour AD DS.
AD DS stocke et rcupre les informations dune grande varit dapplications et de services. Le service
AD DS normalise la manire dont les donnes sont stockes de sorte quil puisse enregistrer et rpliquer
des donnes partir de ces diverses sources. En normalisant la manire dont les donnes sont stockes,
AD DS peut rcuprer, mettre jour et rpliquer des donnes, tout en vrifiant que lintgrit des
donnes est maintenue.

AD DS utilise des objets comme units de stockage. Tous les types dobjets sont dfinis dans le schma.
Chaque fois que le rpertoire traite des donnes, le rpertoire interroge le schma pour une dfinition
approprie de lobjet. Selon la dfinition de lobjet dans le schma, le rpertoire cre lobjet et stocke les
donnes.

Les dfinitions de lobjet contrlent les types de donnes que les objets peuvent stocker et la syntaxe
des donnes. En utilisant ces informations, le schma vrifie que tous les objets se conforment leurs
dfinitions standard. En consquence, AD DS peut stocker, rcuprer et valider les donnes quil gre,
indpendamment de lapplication qui est la source dorigine des donnes. Seules des donnes qui ont
une dfinition existante de lobjet dans le schma peuvent tre stockes dans le rpertoire. Si un nouveau
type de donnes doit tre stock, une nouvelle dfinition dobjet pour les donnes doit dabord tre
cre dans le schma.
Dans AD DS, le schma dfinit ce qui suit :

les objets qui sont utiliss pour stocker des donnes dans le rpertoire ;

les rgles qui dfinissent quels types dobjets vous pouvez crer, quels attributs doivent tre dfinis
(obligatoire) quand vous crez lobjet et quels attributs sont facultatifs ;

la structure et le contenu du rpertoire elle-mme.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-5

Vous pouvez utiliser un compte qui est un membre des administrateurs de schma pour modifier les
composants de schma sous forme de graphique. Les exemples des objets qui sont dfinis dans le schma
comprennent lutilisateur, lordinateur, le groupe et le site. Parmi les nombreux attributs sont compris les
suivants : emplacement, accountExpires, buildingName, socit, gestionnaire et displayName.
Le contrleur de schma est lun des contrleurs de domaine des oprations matre unique dans AD DS.
Puisque cest un matre unique, vous devez apporter des modifications au schma en ciblant le contrleur
de domaine qui dtient le rle des oprations du contrleur de schma.
Le schma est rpliqu sur tous les contrleurs de domaine de la fort. Tout changement qui est apport
au schma est rpliqu chaque contrleur de domaine de la fort partir du titulaire du rle du matre
doprations de schma, en gnral le premier contrleur de domaine de la fort.
Puisque le schma dicte la manire dont les informations sont stockes et puisque toute modification
apporte au schma affecte chaque contrleur de domaine, les modifications apportes au schma
doivent tre ralises seulement si ncessaire. Avant dapporter des modifications, vous devez examiner
les modifications au moyen dun processus bien contrl, puis implmentez-les seulement aprs avoir
ralis le test pour vrifier que les modifications ne compromettront pas le reste de la fort ni aucune
application qui utilise AD DS.

Bien que vous ne puissiez pas apporter de modification au schma directement, quelques applications
apportent des modifications au schma pour prendre en charge des fonctionnalits supplmentaires. Par
exemple, quand vous installez Exchange Server 2010 dans votre fort AD DS, le programme dinstallation
tend le schma pour prendre en charge de nouveaux types dobjets et attributs.

Prsentation de la structure de domaine AD DS


Un domaine AD DS est un regroupement logique
dutilisateur, ordinateur et objets collectifs pour
des raisons de gestion et de scurit. Tous ces
objets sont enregistrs dans la base de donnes
AD DS, et une copie de cette base de donne est
enregistre sur chaque contrleur de domaine
dans le domaine AD DS.

Il y a plusieurs types dobjets qui peuvent tre


stocks dans la base de donnes AD DS, y compris
des comptes dutilisateur. Les comptes dutilisateur
fournissent un mcanisme que vous pouvez
utiliser pour authentifier puis autoriser des
utilisateurs accder des ressources sur le rseau. Chacun ordinateur ayant un domaine joint doit avoir
un compte dans AD DS. Ceci permet des administrateurs de domaine dutiliser les stratgies qui sont
dfinies dans le domaine pour grer les ordinateurs. Le domaine enregistre galement des groupes, qui
sont le mcanisme de regroupement des objets pour des raisons administratives ou de scurit ; par
exemple, des comptes dutilisateur et des comptes dordinateur.
Le domaine AD DS est galement une limite de rplication. Quand des modifications sont apportes
nimporte quel objet du domaine, cette modification est rplique automatiquement tous les autres
contrleurs de domaine du domaine.

Gestion des services de domaine Active Directory

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-6

Un domaine AD DS est un centre dadministration. Il contient un compte Administrateur et un groupe


Administrateurs du domaine ; chacun a le contrle total sur chaque objet du domaine. moins quils ne
soient dans le domaine racine de fort, leur plage de contrle est toutefois limite au domaine. Des rgles
de mot de passe et de compte sont gres au niveau du domaine par dfaut. Le domaine AD DS fournit
galement un centre dauthentification. Tous les comptes dutilisateur et comptes dordinateur dans le
domaine sont enregistrs dans la base de donnes du domaine et les utilisateurs et les ordinateurs
doivent se connecter un contrleur de domaine pour sauthentifier.
Un domaine unique peut contenir plus de 1 million dobjets, ainsi la plupart des organisations doivent
dployer un seul domaine. Les organisations qui ont dcentralis les structures administratives, ou qui
sont distribus travers plusieurs emplacements, pourraient plutt implmenter plusieurs domaines dans
la mme fort.

Contrleurs de domaine

Un contrleur de domaine est un serveur que vous pouvez configurer pour stocker une copie de la base
de donnes dannuaire AD DS (NTDS.DIT) et une copie du dossier SYSVOL (System Volume). Tous les
contrleurs de domaine, except les contrleurs de domaine en lecture seule, enregistrent une copie en
lecture/criture de NTDS.DIT et du dossier SYSVOL. NTDS.DIT est la base de donnes elle-mme et le
dossier SYSVOL contient tous les paramtres de modle des GPO.

Des modifications portant sur la base de donnes des services AD DS peuvent tre initialises sur
nimporte quel contrleur de domaine dun domaine, hormis pour les contrleurs de domaine en lecture
seule. Le service de rplication AD DS synchronise alors les modifications et les mises jour de la base de
donnes AD DS vers tous autres contrleurs de domaine du domaine. En outre, le service de rplication
de fichiers (FRS) ou la rplication de systme de fichiers distribus la plus rcente (DFS-R) rplique les
dossiers SYSVOL.

Un domaine AD DS doit toujours avoir un minimum de deux contrleurs de domaine. De cette faon, si
lun des contrleurs de domaine choue, il y a une sauvegarde pour garantir la continuit des services de
domaine AD DS. Quand vous dcidez dajouter plus de deux contrleurs de domaine, considrez la taille
de votre organisation et des impratifs en matire de performances.

Units dorganisation
Une unit dorganisation est un objet conteneur dans un domaine que vous pouvez utiliser pour
consolider des utilisateurs, des groupes, des ordinateurs et dautres objets. Il y a deux raisons de crer
des units dorganisation :

pour configurer des objets contenus dans lunit dorganisation. Vous pouvez attribuer des GPO
lunit dorganisation et les paramtres sappliquent tous les objets dans lunit dorganisation.
Les GPO sont des stratgies que les administrateurs crent pour grer et configurer les comptes
dordinateurs et dutilisateurs. La manire la plus commune de dployer ces stratgies est de les lier
aux units dorganisation.

Pour dlguer le contrle administratif dobjets prsents dans lunit dorganisation. Vous pouvez
attribuer des autorisations de gestion sur une unit dorganisation, dlguant de ce fait le contrle
de cette unit dorganisation un utilisateur ou un groupe dans AD DS autre que ladministrateur.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-7

Vous pouvez utiliser des units dorganisation pour reprsenter les structures hirarchiques et logiques au
sein de votre organisation. Par exemple, vous pouvez crer des units dorganisation qui reprsentent les
services de votre organisation, les rgions gographiques de votre organisation ou une combinaison des
rgions dpartementales et gographiques. Vous pouvez utiliser des units dorganisation pour grer la
configuration et lutilisation des comptes dutilisateur, de groupe et dordinateur en fonction de votre
modle dorganisation.
Chaque domaine AD DS contient un jeu standard de conteneurs et dunits dorganisation qui sont crs
quand vous installez AD DS, y compris ce qui suit :

un conteneur de domaine. Sert de conteneur racine la hirarchie.

conteneur Users. Lemplacement par dfaut pour les nouveaux comptes dutilisateur et groupes que
vous crez dans le domaine. Le conteneur Users contient galement les comptes dadministrateur
et dinvit du domaine, et quelques groupes par dfaut.

conteneur Computer. Lemplacement par dfaut pour les nouveaux comptes dordinateur que vous
crez dans le domaine.

unit dorganisation Domain Controllers. Lemplacement par dfaut des comptes dordinateur pour
les comptes dordinateur du contrleur de domaine. Cest la seule unit dorganisation qui est
prsente dans une nouvelle installation dAD DS.

Remarque : Aucun des conteneurs par dfaut dans le domaine AD DS ne peut avoir des
GPO lis eux, except pour les units dorganisation Contrleurs de domaine par dfaut et le
domaine lui-mme. Tous les autres conteneurs sont juste des dossiers. Pour lier des GPO afin
dappliquer des configurations et des restrictions, crez une hirarchie des units dorganisation,
puis reliez-les aux GPO.

Gestion des services de domaine Active Directory

Leon 2

Implmentation des contrleurs de domaine virtualiss

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-8

La virtualisation est une pratique commune des services informatiques. Les avantages de consolidation et
de performances que la virtualisation fournit sont de grands atouts pour nimporte quelle organisation.
Les services AD DS Windows Server 2012 et les contrleurs de domaine connaissent dsormais mieux
la virtualisation. Dans cette leon, vous dcouvrirez les lments prendre en compte concernant
limplmentation de contrleurs de domaine virtualiss dans Windows Server 2012 et la manire de
dployer et de grer ces contrleurs de domaine dans lenvironnement AD DS.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Identifier les lments prendre en compte concernant limplmentation des contrleurs


de domaine virtualiss clons.

Expliquer comment dployer un contrleur de domaine virtualis clon.

Dcrire comment grer les instantans de contrleur de domaine virtualiss.

Prsentation des contrleurs de domaine virtualiss clons

Windows Server 2012 prsente le clonage de


contrleur de domaine virtualis. Dans les versions
prcdentes de Windows Server, les contrleurs
de domaine qui sexcutaient dans un ordinateur
virtuel ne connaissaient pas leur tat virtuel.
Cela rendait potentiellement dangereux
lexcution de processus comme le clonage et la
restauration dinstantans dordinateur virtuel,
car les modifications pouvaient se produire sur
lenvironnement du systme dexploitation non
prvu par le contrleur de domaine. Par exemple,
deux contrleurs de domaine ne peuvent pas
coexister dans la mme fort avec le mme nom, identificateur dinvocation et identificateur global
unique (GUID) dagent de systme de rpertoire (DSA). Dans des versions prcdentes de Windows
antrieures Windows Server 2012, vous criez des contrleurs de domaine virtualiss en dployant une
image de serveur de base Sysprepped, puis en la promouvant manuellement pour tre un contrleur de
domaine. Windows Server 2012 fournit des fonctions spcifiques de virtualisation aux contrleurs de
domaine virtualiss (VDC) AD DS pour rsoudre ces problmes.
Les VDC Windows Server 2012 fournissent deux avantages importants :

vous pouvez cloner des contrleurs de domaine sans risque pour dployer une capacit
supplmentaire et gagner du temps de configuration.

La restauration accidentelle des instantans de contrleur de domaine ne perturbe pas


lenvironnement AD DS.

Clonage des VDC dans Windows Server 2012


Dans Windows Server 2012, cloner des ordinateurs virtuels qui agissent en tant que contrleurs de
domaine donne la possibilit de dployer rapidement des contrleurs de domaine dans votre
environnement. Par exemple, vous pouvez devoir augmenter les contrleurs de domaine de votre
environnement pour prendre en charge lutilisation augmente dAD DS. Vous pouvez dployer
rapidement des contrleurs de domaine supplmentaires avec le processus suivant :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1.

excutez lopration de clonage sur un VDC existant.

2.

Arrtez le VDC existant, puis utilisez Hyper-V pour exporter les fichiers de lordinateur virtuel.

3.

Dmarrez le VDC existant (sil doit continuer dans lutilisation de production).

4.

Utilisez Hyper-V pour importer les fichiers de lordinateur virtuel en tant que nouvel ordinateur
virtuel, puis mettez en marche lordinateur virtuel, qui contient maintenant le nouveau contrleur
de domaine.

3-9

Le clonage de contrleur de domaine virtuel fournit les avantages suivants dans Windows Server 2012 :

dploiement rapide du contrleur de domaine dans une nouvelle fort ou un nouveau domaine ;

mise en service progressive des contrleurs de domaine pour grer la charge accrue ;

remplacement ou rcupration rapide des contrleurs de domaine pour la continuit daffaires ;

mise en service rapide des environnements de test.

Clonage sr

Les contrleurs de domaine ont des caractristiques uniques qui rendent le clonage non gr
prjudiciable au processus de rplication de la base de donnes AD DS. Les contrleurs de domaine
simplement clons terminent avec le mme nom, ce qui nest pas pris en charge dans le mme domaine
ou la mme fort. Dans les versions prcdentes de Windows Server, vous deviez prparer un contrleur
de domaine au clonage laide de sysprep. Aprs le processus de clonage, vous deviez alors promouvoir
le nouveau serveur vers un contrleur de domaine manuellement.
Avec le clonage sr dans Windows Server 2012, un contrleur de domaine clon excute
automatiquement un sous-ensemble de processus sysprep et ralise la promotion avec les donnes
existantes AD DS locales comme support dinstallation.

Sauvegarde et restauration sres

La restauration dun ancien instantan dun VDC est problmatique car AD DS utilise la rplication
plusieurs matres qui se fonde sur des transactions ayant des valeurs numriques attribues appeles
des nombres de squences de mise jour (USN). Le VDC essaye dattribuer des USN aux transactions
antrieures qui ont dj t attribues aux transactions valides. Ceci provoque des incohrences dans la
base de donnes AD DS. Windows Server 2003 et les versions plus rcentes implmentent un processus
qui est appel la protection de la restauration des USN. Avec ceci en place, le VDC ne rplique pas, et
vous devez le rtrograder de force ou le restaurer manuellement.
Windows Server 2012 dtecte maintenant ltat instantan dun contrleur de domaine et synchronise
ou rplique le delta des modifications, entre un contrleur de domaine et ses partenaires pour AD DS
et le SYSVOL. Vous pouvez maintenant utiliser des instantans sans risque de dsactiver de manire
permanente des contrleurs de domaine et de requrir manuellement la rtrogradation, le nettoyage
de mtadonnes et la repromotion forcs.

Dployer un contrleur de domaine virtualis clon


Lors du dploiement dun VDC, considrez
ce qui suit concernant linstallation :

Tous les ordinateurs Windows Server 2012


prennent automatiquement en charge le
clonage de VDC.

Les exigences suivantes doivent tre satisfaites


pour prendre en charge le clonage des VDC :

Le rle FSMO de lmulateur du


contrleur de domaine principal (PDC)
doit tre situ sur un contrleur de
domaine Windows Server 2012.

Le contrleur de domaine hbergeant le rle doprations matre unique flottant (FSMO)


dmulateur PDC doit tre disponible pendant les oprations de clonage.

Les exigences suivantes doivent tre satisfaites pour prendre en charge le clonage des VDC
et la restauration sre :
o

les ordinateurs virtuels invits doivent excuter Windows Server 2012 ;

la plateforme hte de virtualisation doit prendre en charge lidentification de gnration


dordinateur virtuel (VM GENID). Ceci comprend Windows Server 2012 Hyper-V.

Cration dun clone VDC


Pour crer un clone VDC dans Windows Server 2012, procdez comme suit :
1.

Crer un fichier DcCloneConfig.xml qui contient la configuration du serveur unique.

2.

Copier ce fichier dans lemplacement de la base de donnes AD DS sur le contrleur de domaine


source (C:\Windows\NTDS par dfaut). Ce fichier peut galement tre enregistr sur le support
amovible, sil y a lieu.

3.

Prendre le VDC source hors connexion et lexporter ou le copier.

4.

Crer un nouvel ordinateur virtuel en important celui export. Cet ordinateur virtuel est promu
automatiquement comme contrleur de domaine unique.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-10 Gestion des services de domaine Active Directory

Gestion des contrleurs de domaine virtualiss


La fonction de restauration sre de
Windows Server 2012 active les VDC qui
excutent Windows Server 2012 pour participer
en douceur la topologie de rplication dAD DS,
aprs que vous appliquiez un instantan dans
Hyper-V lordinateur virtuel qui hberge le
contrleur de domaine.
La prise et lapplication dinstantans dun VDC
dans Hyper-V requirent des lments prendre
en compte et des tapes spcifiques.

Validation dune rplication AD DS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-11

Quand un instantan dordinateur virtuel est appliqu un VDC, le processus de restauration sre lance
la rplication entrante des modifications dans AD DS entre le contrleur de domaine virtuel et le reste de
lenvironnement AD DS. Le pool didentificateurs relatifs (RID) est libr et un nouveau est demand, pour
empcher davoir des SID dupliqus dans AD DS. Cela initialise galement une rplication ne faisant pas
autorit du dossier SYSVOL. Ce processus vrifie que la nouvelle version instantane applique du contrleur
de domaine virtuel connat tous les objets dAD DS, entirement jour et est entirement fonctionnelle.
Pour garantir que ce processus peut sachever avec succs, les lments suivants de la rplication AD DS
doivent tre considrs :

Un contrleur de domaine virtuel rcupr partir dun instantan Hyper-V doit pouvoir entrer
en contact avec un contrleur de domaine accessible en criture.

Vous ne pouvez pas restaurer tous les contrleurs de domaine dans un domaine simultanment.
Si tous les contrleurs de domaine sont restaurs simultanment, la rplication SYSVOL sarrtera
et tous les partenaires de la synchronisation seront considrs comme ne faisant pas autorit. Cest
une considration importante pour les situations de restauration complte dun environnement qui
peuvent se produire frquemment dans un environnement de test.

Des modifications lances sur un contrleur de domaine virtuel restaur qui nont pas rpliqu
depuis que linstantan a t pris sont perdues. Pour cette raison, vous devez vrifier que toute
rplication sortante sur un contrleur de domaine est termine avant de prendre un instantan
de lordinateur virtuel.

Utilisation de Windows PowerShell pour la gestion des instantans Hyper-V

Vous pouvez utiliser les applets de commande Windows PowerShell suivants pour effectuer la gestion
des instantans dans Windows Server 2012 :

Checkpoint-VM

Export-VMSnapshot

Get-VMSnapshot

Remove-VMSnapshot

Rename-VMSnapshot

Restore-VMSnapshot

lments prendre en compte concernant la gestion des instantans de contrleur


de domaine virtuel
Considrez ce qui suit lors de la gestion des instantans de contrleur de domaine virtuel dans
Windows Server 2012 :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-12 Gestion des services de domaine Active Directory

Nutilisez pas les instantans pour remplacer les sauvegardes rgulires dtat du systme. Dans un
environnement AD DS changeant frquemment, les instantans ne contiennent pas toujours le
contenu complet des objets AD DS, en raison des modifications de la rplication.

Ne restaurez pas un instantan dun contrleur de domaine ralise avant la promotion de ce dernier.
Faire ainsi ncessitera de promouvoir de nouveau le serveur manuellement aprs avoir appliqu
linstantan et la survenue du nettoyage de mtadonnes.

Nhbergez pas tous les contrleurs de domaine virtuels sur le mme hyperviseur ou serveur. Cela
prsente un seul point de dfaillance dans linfrastructure dAD DS et contourne plusieurs des
avantages que la virtualisation de votre infrastructure de contrleur de domaine fournit.

Leon 3

Implmentation des contrleurs de domaine


en lecture seule

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-13

Les contrleurs de domaine en lecture seule fournissent une alternative un contrleur de domaine
entirement accessible en criture. Dans beaucoup de scnarios, comme une filiale distante ou un
emplacement o un serveur ne peut pas tre plac dans un environnement physique scuris, les
contrleurs de domaine en lecture seule peuvent fournir la fonctionnalit dun contrleur de domaine
sans exposer potentiellement votre environnement AD DS des risques inutiles. Cette leon vous aidera
mieux comprendre les mthodes et les recommandations que vous pouvez utiliser pour grer des
contrleurs de domaine en lecture seule dans lenvironnement Windows Server 2012.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Expliquer les lments prendre en compte concernant limplmentation des contrleurs de


domaine en lecture seule.

Dcrire comment grer la mise en cache des informations didentification des contrleurs de
domaine en lecture seule.

Identifier les aspects importants de la gestion de ladministration locale des contrleurs de domaine
en lecture seule.

lments prendre en compte pour implmenter les contrleurs


de domaine en lecteur seule
Un contrleur de domaine en lecture seule
a une copie en lecture seule dun domaine
Active Directory, qui contient tous les objets
du domaine, mais pas tous leurs attributs. Les
attributs importants du systme, tels que les mots
de passe, ne se rpliquent pas vers un contrleur
de domaine en lecture seule, car il nest pas
considr comme sr. Vous pouvez empcher des
attributs supplmentaires dtre rpliqus vers
des contrleurs de domaine en lecture seule en
marquant lattribut comme tant confidentiel et
en lajoutant le jeu dattributs filtrs (FAS).

Prsentation de la fonctionnalit RODC

Vous ne pouvez pas apporter de modifications la base de donnes de domaine sur le contrleur
de domaine en lecture seule, car la base de donnes AD DS sur le RODC naccepte pas de requtes de
modification des clients et des applications. Toutes les demandes de modifications sont transfres un
contrleur de domaine accessible en criture. Puisquaucune modification ne se produit sur le contrleur
de domaine en lecture seule, la rplication des modifications dActive Directory ne passe quentre des
contrleurs de domaine accessibles en criture vers le contrleur de domaine en lecture seule.

Mise en cache des informations didentification

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-14 Gestion des services de domaine Active Directory

Les informations didentification dutilisateur et dordinateur ne sont pas rpliques vers un contrleur
de domaine en lecture seule par dfaut. Pour utiliser un contrleur de domaine en lecture seule afin
damliorer louverture de session utilisateur, vous devez configurer une stratgie de rplication de mot
de passe (PRP) qui dfinit quelles informations didentification de lutilisateur peuvent tre mises en cache.
Limiter les informations didentification mises en cache sur le contrleur de domaine en lecture seule
rduit les risques en termes de scurit. Si le contrleur de domaine en lecture seule est vol, seuls les
mots de passe pour les comptes dutilisateur et dordinateur mis en cache doivent tre rinitialiss.
Si les informations didentification dutilisateur et dordinateur ne sont pas rpliques vers un contrleur
de domaine en lecture seule, un contrleur de domaine accessible en criture doit alors tre contact
pendant la procdure dauthentification. En gnral (dans un scnario de filiale), les informations
didentification des utilisateurs et des ordinateurs locaux sont mis en cache sur un contrleur de domaine
en lecture seule. Quand des contrleurs de domaine en lecture seule sont placs dans un rseau de
primtre, les informations didentification des utilisateurs et des ordinateurs ne sont gnralement pas
mises en cache.

Sparation des rles dadministration

Pour grer un contrleur de domaine accessible en criture, vous devez tre un membre du groupe
Administrateurs local du domaine. Tout utilisateur plac dans le groupe Administrateurs local du domaine
obtient des autorisations pour grer tous les contrleurs de domaine prsents dans le domaine. Ceci pose
des problmes pour ladministration de bureaux distance avec un contrleur de domaine accessible en
criture car ladministrateur dun bureau distant ne doit pas obtenir laccs dautres contrleurs de
domaine de lorganisation.
Ceci donne ladministrateur dun bureau distant lautorisation de grer seulement ce contrleur de
domaine en lecture seule, qui peut galement tre configur pour fournir dautres services tels que les
partages et limpression de fichiers.

DNS en lecture seule

Le DNS est une ressource critique dun rseau Windows. Si vous configurez un contrleur de domaine
en lecture seule en tant que serveur DNS, vous pouvez alors rpliquer des zones DNS via AD DS vers le
contrleur de domaine en lecture seule. Le DNS sur le contrleur de domaine en lecture seule est en lecture
seule. Les demandes de mise jour du DNS sont adresses une copie accessible en criture de DNS.

Dploiement des contrleurs de domaine en lecture seule


Pour dployer un contrleur de domaine en lecture seule, assurez-vous que les activits suivantes
sont exerces :

Vrifier que le niveau fonctionnel de la fort est Windows Server 2003 ou une version plus rcente.
Cela signifie que tous les contrleurs de domaine doivent tre de la version Windows Server 2003
ou plus rcente et que chaque domaine dans la fort doit tre au niveau fonctionnel de domaine
de la version Windows Server 2003 ou plus rcente.

Excuter ADPrep/RODCPrep. Ceci configure des autorisations sur des partitions de rpertoire
dapplications DNS pour permettre de les rpliquer vers des contrleurs de domaine en lecture seule.
Ceci est requis seulement si la fort Active Directory a t mise niveau.

Assurez-vous quil y a un contrleur de domaine accessible en criture qui excute


Windows Server 2008 ou une version plus rcente. Un contrleur de domaine en lecture seule
rplique la partition de domaine seulement partir de ces contrleurs de domaine. Par consquent,
chaque domaine comprenant des contrleurs de domaine en lecture seule doit avoir au moins un
contrleur de domaine de version Windows Server 2008 ou plus rcente. Vous pouvez rpliquer les
partitions de schma et de configuration partir de Windows Server 2003.

Installation du service RODC

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-15

Comme avec un contrleur de domaine accessible en criture, vous pouvez installer un contrleur de
domaine en lecture seule laide dune installation avec ou sans assistance. Si vous excutez une
installation avec assistance laide de linterface graphique, vous slectionnez le contrleur de domaine
en lecture seule en tant quune des options supplmentaires du contrleur de domaine.
Vous pouvez galement dlguer linstallation du RODC ladministrateur du bureau distant laide
dune installation intermdiaire. Dans le cadre dune installation intermdiaire, vous devez procder
comme suit :
1.

Garantir que le serveur configurer en tant que contrleur de domaine en lecture seule nest pas un
membre du domaine.

2.

Un administrateur de domaine utilise des utilisateurs et des ordinateurs Active Directory pour crer au
pralable le compte du RODC dans lunit dorganisation (OU) Contrleurs de domaine. Lassistant servant
effectuer ce processus envoie une invite pour obtenir les informations ncessaires, y compris lutilisateur
ou le groupe qui est autoris joindre le contrleur de domaine en lecture seule au domaine.

3.

Ladministrateur du bureau distant excute lassistant dinstallation de services de domaine Active Directory
et suit les tapes de lassistant pour joindre le domaine comme compte du RODC cr au pralable.

Gestion de la mise en cache des informations didentification


dun contrleur de domaine en lecture seule

Les contrleurs de domaine en lecture seule


donnent la possibilit denregistrer uniquement un
sous-ensemble dinformations didentification pour
des comptes dans AD DS via limplmentation de la
mise en cache de ces informations. Avec la mise en
cache des informations didentification, une
stratgie de rplication de mot de passe (PRP)
dtermine quelles informations didentification
dutilisateur et dordinateur peuvent tre mises en
cache sur un contrleur de domaine en lecture
seule spcifique. Si PRP permet un RODC de
mettre les informations didentification dun
compte en cache, des activits dauthentification et de ticket de service de ce compte peuvent tre traites
localement par le contrleur de domaine en lecture seule. Si les informations didentification dun compte ne
peuvent pas tre mises en cache sur le contrleur de domaine en lecture seule ou si elles ne sont pas mises
en cache sur le RODC, des activits dauthentification et de ticket de service sont chanes par le RODC un
contrleur de domaine accessible en criture.

Composants de la stratgie de rplication de mot de passe

Le PRP dun contrleur de domaine en lecture seule contient une liste approuve et une liste refuse. Chaque
liste peut contenir des comptes ou des groupes spcifiques. Un compte doit tre sur la liste approuve pour
que les informations didentification soient mises en cache. Si un groupe est sur la liste approuve et un
membre de ce groupe est sur la liste refuse, la mise en cache nest pas autorise pour ce membre.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-16 Gestion des services de domaine Active Directory

Il y a deux groupes locaux de domaine que vous pouvez utiliser pour autoriser ou refuser globalement la
mise en cache tous les contrleurs de domaine en lecture seule dans un domaine :

Le groupe de rplication de mot de passe de contrleur de domaine en lecture seule autoris est
ajout la liste approuve de tous les RODC. Ce groupe ne comprend pas de membres par dfaut.

Le groupe de rplication de mot de passe de contrleur de domaine en lecture seule refus est ajout
la liste refuse de tous les RODC. Par dfaut, les Administrateurs du domaine, les administrateurs de
lentreprise et les propritaires crateurs de la stratgie de groupe sont les membres de ce groupe.

Vous pouvez configurer la liste approuve et la liste refuse de chaque contrleur de domaine en lecture
seule. La liste approuve contient seulement le groupe de rplication de mot de passe de contrleur de
domaine en lecture seule autoris. Lappartenance par dfaut la liste refuse comprend des
administrateurs, des oprateurs de serveur et des oprateurs de compte.

Dans la plupart des cas, vous souhaiterez ajouter des comptes sparment chaque contrleur de
domaine en lecture seule ou ajouter des groupes globaux contenant des comptes plutt que de
permettre globalement la mise en cache de mot de passe. Ceci vous permet de limiter le nombre
dinformations didentification mises en cache ces seuls comptes prsents gnralement cet
emplacement. Les comptes dadministrateur de domaine ne doivent pas tre mis en cache sur des
contrleurs de domaine en lecture seule de bureaux distants. Vous devez mettre des comptes
dordinateur en cache pour acclrer lauthentification des comptes dordinateur pendant le dmarrage
du systme. En outre, vous devez mettre les comptes de service en cache pour les services qui sexcutent
au niveau du bureau distant.

Recommandations pour la mise en cache des informations didentification


Les recommandations suivantes doivent tre observes pour garantir lutilisation la plus efficace des
informations didentification mises en cache :

Crer des groupes globaux AD DS distincts pour chaque contrleur de domaine en lecture seule.

Ne pas mettre les mots de passe en cache pour des comptes dadministrateur appliqus lensemble
du domaine.

Gestion de ladministration locale des contrleurs de domaine


en lecture seule
La gestion des contrleurs de domaine en lecture
seule est spare des autres contrleurs de
domaine. Par consquent, vous pouvez dlguer
ladministration des RODC aux administrateurs
locaux prsents dans des bureaux distants, sans
leur donner accs aux contrleurs de domaine
accessibles en criture.
Vous pouvez dlguer ladministration dun
contrleur de domaine en lecture seule dans les
proprits du compte dordinateur du RODC sur
longlet Gr par. Vous devez suivre cette
mthode pour dlguer ladministration dun
contrleur de domaine en lecture seule car vous pouvez le grer de manire centralise et facilement.

Vous pouvez spcifier une seule entit de scurit sur longlet Gr par dun compte dordinateur de
contrleur de domaine en lecture seule. Spcifiez un groupe de sorte que vous puissiez dlguer
des autorisations de gestion plusieurs utilisateurs en les faisant devenir membres du groupe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-17

Vous pouvez galement dlguer ladministration dun contrleur de domaine en lecture seule laide
des commandes ntdsutil ou dsmgmt avec loption des rles locaux, comme le montre lexemple suivant :
C:\>dsmgmt
Dsmgmt: local roles
local roles: add ADATUM\Research

Vous devez mettre le mot de passe en cache pour les administrateurs dlgus pour tre sr de pouvoir
effectuer la maintenance du systme quand un contrleur de domaine accessible en criture nest pas
disponible.
Remarque : Vous ne devez jamais accder au contrleur de domaine en lecture seule avec
un compte qui a des autorisations similaires aux Administrateurs du domaine. Les ordinateurs
contrleur de domaine en lecture seule sont considrs comme tant compromis par dfaut, par
consquent, vous devez supposer quen ouvrant une session sur le contrleur de domaine en
lecture seule, vous abandonnez les informations didentification dadmin de domaine. Ainsi les
administrateurs de domaine doivent avoir un compte de type admin serveur distinct qui dispose
dun accs de gestion dlgu au contrleur de domaine en lecture seule.

Leon 4

Administration dAD DS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-18 Gestion des services de domaine Active Directory

La gestion dAD DS se produit sous de trs nombreuses formes. Lenvironnement dAD DS contient un
grand nombre doutils de gestion qui vous permettent de surveiller et de modifier AD DS, pour vrifier
que linfrastructure du domaine de votre organisation atteint son objectif et fonctionne correctement.
Windows Server 2012 comprend un jeu plus large doutils pour travailler dans AD DS que les versions
prcdentes de Windows incluses. Les amliorations apportes au centre dadministration Active Directory
et lajout de plusieurs applets de commande au module Active Directory pour Windows PowerShell
permettent un meilleur contrle de votre domaine AD DS.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrire les composants logiciels enfichables dadministration dActive Directory.

Dcrire le centre dadministration dActive Directory.

Expliquer comment grer AD DS laide des outils de gestion.

Dcrire le module Active Directory pour Windows PowerShell.

Expliquer comment grer des rles de matre doprations.

Expliquer comment grer la sauvegarde et la rcupration du service de domaine Active Directory


(AD DS).

Vue densemble des composants logiciels enfichables dadministration


dActive Directory
En gnral, vous excuterez la majorit de
ladministration dActive Directory laide des
composants logiciels enfichables et des
consoles suivants :

Utilisateurs et ordinateurs Active Directory.


Ce composant logiciel enfichable gre
la plupart des ressources quotidiennes
communes, y compris des utilisateurs,
des groupes, et des ordinateurs. Il sagit
probablement du composant logiciel
enfichable le plus largement utilis pour
un administrateur dActive Directory.

Sites et services Active Directory. Cela gre la rplication, la topologie du rseau et les
services connexes.

Domaines et approbations Active Directory. Cela configure et maintient les relations dapprobation
ainsi que le niveau fonctionnel du domaine et de la fort.

Schma Active Directory. Ce schma examine et modifie la dfinition des attributs et des classes
dobjets dActive Directory. Le schma est le modle pour Active Directory et, en gnral, vous ne
laffichez pas ou ne le modifiez pas trs souvent. Par consquent, le composant logiciel enfichable
Schma Active Directory nest pas entirement install, par dfaut.

Vue densemble du centre dadministration dActive Directory


Windows Server 2012 fournit une autre option
pour grer des objets AD DS. Le centre
dadministration Active Directory fournit une
interface utilisateur graphique (GUI) cre sur
Windows PowerShell. Cette interface amliore
vous permet deffectuer la gestion dobjets
Active Directory laide de la navigation oriente
vers les tches. Les tches que vous pouvez
effectuer laide du centre dadministration
Active Directory comprennent :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

Cration et gestion des comptes dutilisateur,


dordinateurs et de groupes.

Cration et gestion des units dorganisation.

Connexion et gestion de plusieurs domaines dans une instance unique du centre dadministration
Active Directory.

Recherche et filtrage des donnes dActive Directory en gnrant des requtes.

Cration et gestion de stratgies de mot de passe affines.

Rcupration dobjets partir de la corbeille dActive Directory.

Configuration requise pour linstallation


Vous pouvez installer le centre dadministration Active Directory seulement sur des ordinateurs qui
excutent Windows Server 2008 R2, Windows Server 2012, Windows 7 ou Windows 8. Vous pouvez
installer le centre dadministration Active Directory en :

3-19

Installation du rle de serveur AD DS par le Gestionnaire de serveur.

Installation des outils dadministration de serveur distant (RSAT) sur un serveur Windows Server 2012
ou sur Windows 8.

Remarque : Le centre dadministration Active Directory repose sur les services Web
Active Directory (ADWS), que vous devez installer sur au moins un contrleur de domaine dans le
domaine. Le service exige galement que le port 9389 soit ouvert sur le contrleur de domaine
sur lequel ADWS sexcute.

Nouvelles fonctionnalits du centre dadministration Active Directory dans


Windows Server 2012
Le centre dadministration Active Directory contient plusieurs nouvelles fonctionnalits dans
Windows Server 2012 qui activent la gestion graphique de la fonctionnalit AD DS :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-20 Gestion des services de domaine Active Directory

Corbeille Active Directory. Le centre dadministration Active Directory propose maintenant une
gestion complte de la corbeille Active Directory. Les administrateurs peuvent utiliser le centre
dadministration Active Directory pour afficher et localiser des objets supprims et grer et restaurer
ces objets vers leur emplacement dorigine ou dsir.

Stratgies de mot de passe affines. Le centre dadministration Active Directory fournit galement
une interface utilisateur graphique pour la cration et la gestion des objets de paramtres de mot
de passe afin dimplmenter des stratgies de mot de passe affines dans un domaine AD DS.

Visionneuse dhistorique Windows PowerShell. La fonctionnalit du centre dadministration


Active Directory est tablie sur Windows PowerShell. Toute commande ou action que vous excutez
dans linterface du centre dadministration Active Directory est effectue dans Windows Server 2012
au moyen des applets de commande Windows PowerShell. Quand un administrateur effectue
une tche dans linterface du centre dadministration Active Directory, la visionneuse dhistorique
Windows PowerShell montre les commandes Windows PowerShell qui ont t mises pour la tche.
Cela permet des administrateurs de rutiliser le code pour crer des scripts rutilisables et leur
permet de se familiariser avec la syntaxe et lutilisation de Windows PowerShell.

Vue densemble du module Active Directory pour Windows PowerShell


Le module Active Directory pour
Windows PowerShell dans Windows Server 2012
consolide un groupe dapplets de commande que
vous pouvez utiliser pour grer vos domaines
Active Directory. Windows Server 2012 gnre sur
la base tablie dans le module Active Directory
pour Windows PowerShell initialement prsent
dans Windows Server 2008 R2, en ajoutant
60 applets de commande supplmentaires qui
tendent les domaines prexistants des fonctions
de Windows PowerShell et ajoutent de nouvelles
fonctions dans les domaines de la rplication et du
contrle de laccs aux ressources.

Le module Active Directory pour Windows PowerShell active la gestion dAD DS dans les domaines suivants :
1.

Gestion des utilisateurs

2.

Gestion de lordinateur

3.

Gestion des groupes

4.

Gestion de lunit dorganisation

5.

Gestion de la stratgie de mot de passe

6.

Recherche et modification dobjets

7.

Gestion des forts et des domaines

8.

Gestion du contrleur de domaine et des matres doprations

9.

Gestion des comptes de service grs

10. Gestion des rplications de site


11. Gestion de laccs centralis et des revendications

Exemples dapplets de commande

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-21

New-ADComputer cre un nouvel objet ordinateur dans AD DS.

Remove-ADGroup supprime un groupe Active Directory.

Set-ADDomainMode dfinit le niveau fonctionnel du domaine pour un domaine Active Directory.

Installation
Vous pouvez installer le module Active Directory laide de lune des mthodes suivantes :

Par dfaut, sur un serveur Windows Server 2008 R2 ou Windows Server 2012, quand vous installez
les rles de serveur des services AD DS ou AD LDS (Active Directory Lightweight Directory Services).

Par dfaut, quand vous faites dun serveur Windows Server 2008 R2 ou Windows Server 2012
un contrleur de domaine.

Dans le cadre de la fonctionnalit RSAT sur un ordinateur Windows Server 2008 R2,
Windows Server 2012, Windows 7 ou Windows 8.

Dmonstration : Gestion dAD DS laide des outils de gestion


Les divers outils de gestion dAD DS ont chacun un objectif dans le cadre de ladministration de
lensemble de lenvironnement AD DS. Cette dmonstration vous montrera les principaux outils que
vous pouvez utiliser pour grer AD DS et une tche que vous effectuez en gnral avec loutil.
Cette dmonstration montre comment :

Crer des objets dans Utilisateurs et ordinateurs Active Directory.

Rechercher des attributs dobjets dans Utilisateurs et ordinateurs Active Directory.

Naviguer dans le centre dadministration Active Directory.

Effectuer une tche administrative dans le centre dadministration Active Directory.

Utiliser la visionneuse de Windows PowerShell dans le centre dadministration Active Directory.

Grer les objets dActive Directory DS avec Windows PowerShell.

Procdure de dmonstration
Utilisateurs et ordinateurs Active Directory
Afficher des objets

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-22 Gestion des services de domaine Active Directory

1.

Sur LON-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.

2.

Naviguez dans larborescence de domaine Adatum.com, en affichant les objets Conteneurs, Units
dorganisation (OU) et Ordinateur, Utilisateur et Groupe.

Actualisez laffichage

Actualisez laffichage dans la console Utilisateurs et ordinateurs Active Directory.

Crer des objets


1.

Crez un nouvel objet ordinateur nomm LON-CL4 dans le conteneur Computer.

2.

Pour crer un objet dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur
un domaine ou un conteneur (tel que des utilisateurs ou des ordinateurs), ou sur une unit
dorganisation, pointez sur Nouveau, puis cliquez sur le type dobjet que vous souhaitez crer.

3.

Quand vous crez un objet, vous tes invit configurer plusieurs des proprits les plus
fondamentales de lobjet, y compris les proprits que lobjet requiert.

Configurer des attributs dobjet


1.

Dans Utilisateurs et ordinateurs Active Directory, ouvrez la page Proprits pour LON-CL4.

2.

Ajoutez LON-CL4 au groupe Adatum/Research.

Afficher tous les attributs dobjet


1.

Activez la vue Fonctionnalits avances dans Utilisateurs et ordinateurs Active Directory.

2.

Ouvrez la page Proprits pour LON-CL4, puis affichez les attributs AD DS.

Centre dadministration Active Directory


Navigation
1.

Sur LON-DC1, ouvrez le Centre dadministration Active Directory.

2.

Dans le centre dadministration Active Directory, cliquez sur les nuds de navigation.

3.

Basculez vers laffichage darborescence.

4.

Dveloppez Adatum.com.

Effectuer des tches dadministration


1.

Naviguez jusqu laffichage Vue densemble.

2.

Rinitialisez le mot de passe pour ADATUM\Adam sur Pa$$w0rd, sans exiger de lutilisateur quil
modifie le mot de passe louverture de session suivante.

3.

Utilisez la section Recherche globale pour rechercher tous les objets qui correspondent la chane de
recherche Rex.

Utiliser la visionneuse dhistorique Windows PowerShell


1.

Ouvrez le volet Historique Windows PowerShell.

2.

Affichez lapplet de commande Windows PowerShell que vous avez utilis pour effectuer la tche la
plus rcente.

Windows PowerShell
Cration dun groupe
1.

Ouvrez le module Active Directory pour Windows PowerShell.

2.

Crez un nouveau groupe appel SalesManagers laide de la commande suivante :


New-ADGroup Name SalesManagersGroupCategory Security GroupScope Global
DisplayName Sales Managers Path CN=Users,DC=Adatum,DC=com

3.

linvite PowerShell, dplacez SalesManagers vers lunit dorganisation Sales laide de la


commande suivante :
Move-ADObject CN=SalesManagers,CN=Users,DC=Adatum,DC=com TargetPath
OU=Sales,DC=Adatum,DC=com

2.

3-23

Ouvrez le centre dadministration Active Directory et confirmez que le groupe SalesManagers est
prsent dans le conteneur Users.

Dplacer un objet vers une nouvelle unit dorganisation (OU)


1.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

Basculez vers le centre dadministration Active Directory, puis confirmez que le groupe
SalesManagers a t dplac vers lunit dorganisation Sales.

Gestion des rles des matres doprations


Dans un environnement AD DS, une rplication
plusieurs matres signifie que tous les contrleurs
de domaine ont les mmes fonctions et priorits
gnrales lors de la modification de la base de
donnes AD DS. Cependant, certaines oprations
doivent tre excutes par un seul systme.
Dans AD DS, les matres dopration sont des
contrleurs de domaine qui remplissent une
fonction spcifique dans lenvironnement de
domaine.

Rles de matre doprations dans


lensemble de la fort
Le contrleur de schma et le matre doprations des noms de domaine doivent tre uniques dans la
fort. Chaque rle est effectu par un seul contrleur de domaine dans la fort entire.

Rle de matre dattribution de noms de domaine

Le rle dattribution de noms de domaine est utilis lors de lajout ou de la suppression de domaines et
de partitions dapplication dans la fort. Quand vous ajoutez ou supprimez une partition de domaine ou
dapplication, le matre dattribution de noms de domaine doit tre accessible ou lopration chouera.

Rle de contrleur de schma

Le contrleur de domaine dtenant le rle de contrleur de schma est responsable de toutes les
modifications apporter sur le schma de la fort. Tous les autres contrleurs de domaine maintiennent
les rplicas en lecture seule du schma. Quand vous devez modifier le schma, les modifications doivent
tre envoyes au contrleur de domaine qui hberge le rle de contrleur de schma.

Rles de matre doprations dans lensemble du domaine

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-24 Gestion des services de domaine Active Directory

Chaque domaine maintient trois oprations matre unique : le matre des identificateurs relatifs (RID), le
matre dinfrastructure et lmulateur du contrleur de domaine principal (PDC). Chaque rle est effectu
par un seul contrleur de domaine dans le domaine.

Rle de matre RID

Le matre RID fait partie intgrante de la gnration didentificateurs de scurit (SID) pour des entits
de scurit telles que des utilisateurs, des groupes et des ordinateurs. Le SID dune entit de scurit doit
tre unique. Puisque nimporte quel contrleur de domaine peut crer des comptes, et donc des SID, un
mcanisme est ncessaire pour vrifier que les SID gnrs par un contrleur de domaine sont uniques. Les
contrleurs de domaine Active Directory gnrent des SID en ajoutant un RID unique au SID du domaine. Le
matre RID du domaine alloue des pools de RID uniques chaque contrleur de domaine dans le domaine.
Par consquent, chaque contrleur de domaine peut tre sr que les SID quil gnre sont uniques.

Rle de matre dinfrastructure

Dans un environnement comprenant plusieurs domaines, il est courant pour un objet de faire rfrence
des objets situs dans dautres domaines. Par exemple, un groupe peut inclure des membres dun autre
domaine. Son attribut membre valeurs multiples contient les noms uniques de chaque membre. Si le
membre dans lautre domaine est dplac ou renomm, le matre dinfrastructure du domaine du groupe
met jour les rfrences lobjet.

Rle dmulateur PDC


Le rle dmulateur PDC effectue plusieurs fonctions cruciales pour un domaine :

Participe la gestion des mises jour spciales de mot de passe pour le domaine. Quand le mot de
passe dun utilisateur est rinitialis ou modifi, le contrleur de domaine qui apporte la modification
rplique immdiatement la modification vers lmulateur PDC. Cette rplication spciale garantit que
les contrleurs de domaine connaissent le nouveau mot de passe aussi rapidement que possible.

Gre des mises jour de stratgies de groupe dans un domaine. Si vous modifiez un GPO sur
deux contrleurs de domaine quasiment au mme moment, il peut y avoir des conflits entre
les deux versions qui ne pourraient pas tre rapproches comme rpliques dobjet Stratgie de
groupe. Pour viter cette situation, lmulateur PDC agit en tant que point focal par dfaut pour
toutes les modifications de la stratgie de groupe.

Fournit une source de temps de base pour le domaine. Beaucoup de composants et de technologies
Windows reposent sur des horodatages, ainsi la synchronisation du temps travers tous les systmes
dun domaine est cruciale. Lmulateur PDC dans le domaine racine de fort est le matre de temps
pour la fort entire, par dfaut. Lmulateur PDC dans chaque domaine synchronise son temps avec
lmulateur PDC racine de la fort. Dautres contrleurs de domaine dans le domaine synchronisent
leurs horloges par rapport lmulateur PDC de ce domaine. Tous autres membres du domaine
synchronisent leur temps avec leur contrleur de domaine par dfaut.

Agit en tant quexplorateur principal de domaine. Quand vous ouvrez un rseau dans Windows, vous
voyez une liste de groupes de travail et de domaines, et quand vous ouvrez un groupe de travail ou
un domaine, vous voyez une liste dordinateurs. Le service Explorateur cre ces deux listes, appeles
listes de parcours. Dans chaque segment rseau, un matre explorateur cre la liste de parcours : les
listes de groupes de travail, de domaines et de serveurs dans ce segment. Le matre explorateur de
domaine sert fusionner les listes de chaque matre explorateur de sorte que les clients de parcours
puissent rcuprer une liste de parcours complte.

Instructions de placement des rles de matres doprations

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-25

Placez les rles de niveau domaine sur un contrleur de domaine hautes performances.

Ne placez pas le rle de niveau domaine de Matre dinfrastructure sur un serveur de catalogue
global, except si votre fort contient seulement un domaine ou si tous les contrleurs de domaine
dans votre fort sont galement des catalogues globaux.

Laissez les deux rles de niveau fort sur un contrleur de domaine du domaine racine de la fort.

Ajustez la charge de travail de lmulateur PDC, sil y a lieu, en dchargeant des rles nincluant pas
les services AD DS sur dautres serveurs.

Remarque : Vous pouvez afficher lattribution des rles de matre doprations en


excutant ce qui suit partir dune invite de commande :
Netdom query fsmo

Gestion des sauvegardes et des rcuprations AD DS


Dans des versions prcdentes de Windows,
sauvegarder Active Directory impliquait la cration
dune sauvegarde de SystemState, qui tait une
petite collection de fichiers qui comprenaient la
base de donnes Active Directory et le registre.
Dans Windows Server 2012, le concept
SystemState existe toujours, mais il est beaucoup
plus grand. En raison des interdpendances entre
les rles de serveur, la configuration physique et
Active Directory, le SystemState est maintenant
un sous-ensemble dune sauvegarde du serveur
entier et, dans certaines configurations, peut tre
aussi grand. Pour sauvegarder un contrleur de domaine, vous devez sauvegarder tous les volumes
critiques entirement.

Restauration des donnes AD DS

Quand un contrleur de domaine ou son rpertoire est corrompu, endommag ou dfaillant, vous avez
plusieurs options avec lesquelles restaurer le systme.

Restauration ne faisant pas autorit

La premire option de ce genre est appele restauration normale ou restauration ne faisant pas autorit.
Dans une opration normale de restauration, vous restaurez une sauvegarde Active Directory compter
dune date valide connue. En fait, vous faites remonter le contrleur de domaine dans le temps. Quand
AD DS redmarre sur le contrleur de domaine, le contrleur de domaine contacte ses partenaires de
rplication et demande toutes les mises jour suivantes. En fait, le contrleur de domaine rattrape le reste
du domaine laide des mcanismes standard de rplication.

La restauration normale est utile quand le rpertoire sur un contrleur de domaine a t endommag
ou corrompu, mais que le problme ne sest pas tendu dautres contrleurs de domaine. Que diriezvous dune situation dans laquelle le dommage a t fait et le dommage a t rpliqu ? Par exemple,
si vous supprimez un ou plusieurs objets, et que cette suppression a t rplique ?
Dans de telles situations, une restauration normale nest pas suffisante. Si vous restaurez une bonne
version dActive Directory et redmarrez le contrleur de domaine, la suppression (qui sest produite
la suite de la sauvegarde) rpliquera simplement vers le contrleur de domaine.

Restauration force

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-26 Gestion des services de domaine Active Directory

Quand une bonne copie dAD DS a t restaure contenant des objets qui doivent remplacer des objets
existants dans la base de donnes AD DS, une restauration force est ncessaire. Dans une restauration
faisant autorit, vous restaurez la bonne version dActive Directory tout comme vous le faites dans une
restauration normale. Cependant, avant de redmarrer le contrleur de domaine, vous marquez les objets
supprims par erreur ou prcdemment endommags que vous souhaitez conserver comme faisant
autorit de sorte quils rpliquent partir du contrleur de domaine restaur vers ses partenaires de
rplication. En ralit, quand vous marquez des objets comme faisant autorit, Windows incrmente le
numro de version de tous les attributs dobjet pour tre si lev que la version soit pratiquement sre
dtre suprieure au numro de version de tous les autres contrleurs de domaine.
Quand le contrleur de domaine restaur est redmarr, il rplique partir de ses partenaires de
rplication toutes les modifications qui ont t apportes au rpertoire. Il informe galement ses
partenaires quil comporte des modifications et les numros de version des modifications garantissent
que les partenaires prennent les modifications et les rpliquent dans le service dannuaire. Dans les forts
qui ont la Corbeille Active Directory active, vous pouvez utiliser la corbeille Active Directory comme
une alternative plus simple une restauration faisant autorit.

Autres options de restauration

La troisime option pour restaurer le service dannuaire est de restaurer le contrleur de domaine entier.
Ceci est fait en dmarrant sur lenvironnement de rcupration Windows, puis en restaurant une
sauvegarde de serveur complte du contrleur de domaine. Par dfaut, cest une restauration normale.
Si vous devez galement marquer des objets comme faisant autorit, vous devez redmarrer le serveur
en mode Restauration des services dannuaire et dfinir ces objets comme faisant autorit avant de
dmarrer le contrleur de domaine en mode de fonctionnement normal.

En conclusion, vous pouvez restaurer une sauvegarde du SystemState vers un autre emplacement. Cela
vous permet dexaminer des fichiers et, potentiellement, de monter le fichier NTDS.dit. Vous ne devez pas
copier les fichiers partir dun autre emplacement de restauration par dessus les versions de production
de ces fichiers. Ne faites pas une restauration fragmentaire dActive Directory. Vous pouvez galement
utiliser cette option si vous souhaitez utiliser loption Installation partir du support pour crer un
nouveau contrleur de domaine.

Leon 5

Gestion de la base de donnes AD DS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-27

Au centre de lenvironnement AD DS se trouve la base de donnes AD DS. La base de donnes AD DS


contient toutes les informations critiques requises pour fournir la fonctionnalit AD DS. Maintenir
correctement cette base de donnes est un aspect critique de la gestion AD DS et il y a plusieurs outils
et recommandations que vous devez connatre de sorte pouvoir grer efficacement votre base de
donnes AD DS. Cette leon vous prsentera la gestion de base de donnes AD DS et vous montre
les outils et les mthodes pour la maintenir.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Expliquer larchitecture de la base de donnes AD DS.

Dcrire NTDSUtil.

Expliquer les services AD DS redmarrables.

Expliquer comment raliser la gestion de base de donnes AD DS.

Dcrire comment crer des instantans dAD DS.

Expliquer comment restaurer des objets supprims.

Dcrire comment configurer la corbeille Active Directory.

Prsentation de la base de donnes AD DS


Les informations AD DS sont enregistres dans la
base de donnes dannuaire. Chaque partition
dannuaire, galement appele contexte de
nommage, contient des objets ayant une tendue
de rplication et une fin particulires. Il y a
trois partitions AD DS sur chaque contrleur de
domaine, comme suit :

Domaine. La partition de domaine contient


tous les objets enregistrs dans un domaine,
y compris des utilisateurs, des groupes, des
ordinateurs et des conteneurs de stratgie
de groupe (GPC).

Configuration. La partition de configuration contient des objets qui reprsentent la structure logique
de la fort, y compris des informations sur des domaines, ainsi que la topologie physique, y compris
des sites, des sous-rseaux et des services.

Schma : La partition de schma dfinit les classes dobjets et leurs attributs pour lannuaire entier.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-28 Gestion des services de domaine Active Directory

Les contrleurs de domaine peuvent galement hberger des partitions dapplication. Vous pouvez
utiliser des partitions dapplication pour limiter la rplication des donnes spcifiques lapplication un
sous-ensemble de contrleurs de domaine. Le DNS intgr Active Directory est un exemple classique
dune application qui tire profit des partitions dapplication.
Chaque contrleur de domaine maintient une copie, ou un rplica, de plusieurs partitions.
La configuration est rplique dans chaque contrleur de domaine de la fort, tout comme le schma.
La partition de domaine pour un domaine est rplique tous les contrleurs de domaine dans un
domaine, mais pas aux contrleurs de domaine prsents dans dautres domaines, hormis pour les
serveurs de catalogue global. Par consquent, chaque contrleur de domaine a au moins trois rplicas :
la partition de domaine pour son domaine, sa configuration et son schma.

Fichiers de la base de donnes AD DS

La base de donnes AD DS est enregistre sous la forme dun fichier nomm NTDS.dit. Quand vous
installez et configurez AD DS, vous pouvez spcifier lemplacement du fichier. Lemplacement par dfaut
est %systemroot%\NTDS. Dans NTDS.dit se trouvent toutes les partitions hberges par le contrleur de
domaine : le schma et la configuration de la fort ; le contexte dattribution de noms de domaine ; et,
selon la configuration du serveur, le jeu dattributs partiel et des partitions dapplication.

Dans le dossier NTDS, il y a dautres fichiers qui prennent en charge la base de donnes Active Directory.
Les fichiers Edb*.log sont les journaux des transactions dActive Directory. Quand il faut modifier
lannuaire, cela est dabord crit dans le fichier journal. La modification est soumise lannuaire
en tant que transaction. Si la transaction choue, elle peut tre annule.
Le tableau suivant dcrit les diffrents composants de niveau fichier de la base de donnes AD DS.
Fichier
NTDS.dit

Description
Principaux fichiers de la base de donnes AD DS
Contient tous les objets et partitions dAD DS

EDB*.log

Journal(aux) des transactions

EDB.chk

Fichier de point de vrification de la base de donnes

Edbres00001.jrs
Edbres00002.jrs

Fichier journal des transactions de rserve qui permet lannuaire de


traiter des transactions si lespace disque du serveur est insuffisant

Modifications et rplication de la base de donnes AD DS

En mode de fonctionnement normal, le journal des transactions enveloppe, avec de nouvelles transactions
remplaant les transactions anciennes qui avaient t dj valides. Cependant, si un grand nombre
de transactions sont effectues au cours dune courte priode, AD DS cre des fichiers journaux de
transaction supplmentaires, pour que vous puissiez voir plusieurs fichiers EDB*.log si vous regardez dans
le dossier NTDS dun contrleur de domaine particulirement occup. Au fil du temps, ces fichiers sont
supprims automatiquement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-29

Le fichier EDB.chk agit comme un signet dans les fichier journaux, marquant lemplacement avant lequel
des transactions ont t soumises avec succs la base de donnes et aprs lequel les transactions restent
valider.

Si un lecteur de disque manque despace, cela est trs problmatique pour le serveur. Cela est encore plus
problmatique si ce disque hberge la base de donnes AD DS car des transactions qui peuvent tre en
attente ne peuvent pas tre crites dans les journaux. Par consquent, AD DS maintient deux fichiers
journaux supplmentaires, edbres0001.jrs et edbres0002.jrs. Ce sont des fichiers vides de 10 mgaoctets
(Mo) chacun. Quand un disque manque despace pour des journaux des transactions normaux, AD DS
recrute lespace utilis par ces deux fichiers pour crire les transactions qui sont actuellement dans
une file dattente. Aprs cela, il arrte sans risque les services AD DS et dmonte la base de donnes.
Naturellement, il sera important pour un administrateur de remdier au problme de faible espace disque
aussi rapidement que possible. Le fichier fournit simplement une solution provisoire pour empcher le
service dannuaire de refuser de nouvelles transactions.

Quest-ce que NTDSUtil ?


NTDSUtil est un fichier de ligne de commande
excutable que vous pouvez utiliser pour excuter
la maintenance de la base de donnes, y compris
la cration dinstantans, la dfragmentation hors
connexion et le dplacement de fichiers de base
de donnes.

Vous pouvez galement utiliser NTDSUtil pour


nettoyer des mtadonnes de contrleur de
domaine. Si un contrleur de domaine est
supprim du domaine quand il est hors connexion,
il est impossible denlever les informations
importantes du service dannuaire. Vous pouvez
alors utiliser NTDSUtil pour nettoyer les restes du contrleur de domaine et il est trs important que vous
le fassiez.
NTDSUtil peut galement rinitialiser le mot de passe utilis pour ouvrir une session sur le mode
Restauration des services dannuaire. Ce mot de passe est configur lorigine pendant la configuration
dun contrleur de domaine. Si vous oubliez le mot de passe, la commande NTDSUtil set dsrm peut
le rinitialiser.

Prsentation des services AD DS redmarrables


Dans la plupart des scnarios o la gestion
dAD DS est requise, vous devez redmarrer le
contrleur de domaine en mode Restauration des
services dannuaire.
Windows Server 2012 permet des
administrateurs darrter et de dmarrer AD DS
comme nimporte quel autre service, et sans
redmarrer un contrleur de domaine, pour
effectuer quelques tches de gestion rapidement.
Cette fonctionnalit est appele Services de
domaine Active Directory redmarrables.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-30 Gestion des services de domaine Active Directory

Les services de domaine Active Directory


redmarrables rduisent le temps ncessaire lexcution de certaines oprations. Vous pouvez
arrter AD DS de sorte pouvoir appliquer des mises jour un contrleur de domaine. De plus,
les administrateurs peuvent arrter les services de domaine Active Directory pour excuter certaines
tches comme la dfragmentation hors connexion de la base de donnes Active Directory, sans
redmarrer le contrleur de domaine. Les autres services qui sexcutent sur le serveur et dont le
fonctionnement ne dpend pas des services de domaine Active Directory, comme le protocole DHCP
(Dynamic Host Configuration Protocol), demeurent disponibles pour satisfaire les requtes client pendant
que les services de domaine Active Directory sont arrts.
Les services AD DS redmarrables sont disponibles par dfaut sur tous les contrleurs de domaine qui
excutent Windows Server 2012. Il ny a aucune configuration requise de niveau fonctionnel ou aucun
autre pralable lutilisation de cette fonctionnalit.
Remarque : Vous ne pouvez pas effectuer une restauration dtat du systme dun
contrleur de domaine quand les services AD DS sont arrts. Pour terminer une restauration
dtat du systme dun contrleur de domaine, vous devez commencer en mode Restauration
des services dannuaire (DSRM). Vous pouvez cependant effectuer une restauration faisant
autorit des objets Active Directory tandis quAD DS est arrt laide de Ntdsutil.exe.

Les services AD DS redmarrables ajoutent des modifications mineures aux composants logiciels enfichables
existants de Microsoft Management Console (MMC). Un contrleur de domaine excutant Windows Server
2012 AD DS affiche le contrleur de domaine dans le nud Services (local) du composant logiciel enfichable
Services de composants et du composant logiciel enfichable Gestion de lordinateur. Grce au composant
logiciel enfichable, un administrateur peut facilement arrter et redmarrer AD DS de la mme manire que
nimporte quel autre service qui sexcute localement sur le serveur.
Bien que larrt des services de domaine Active Directory soit similaire la connexion en mode de
restauration des services dannuaire, les services de domaine Active Directory redmarrables fournissent
un tat unique, connu sous le nom de services de domaine Active Directory arrts, pour un contrleur
de domaine excutant Windows Server 2012.

tats du contrleur de domaine

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-31

Les trois tats possibles pour un contrleur de domaine excutant Windows Server 2012 sont les suivants :

AD DS dmarrs. Dans cet tat, AD DS est dmarr. Le contrleur de domaine peut effectuer des
tches associes AD DS normalement.

AD DS arrts. Dans cet tat, AD DS est arrt. Bien que ce mode soit unique, le serveur possde
certaines caractristiques dun contrleur de domaine en mode DSRM et dun serveur appartenant
un domaine.

DSRM. Ce mode (ou tat) permet des tches dadministration standard dAD DS.

Avec DSRM, la base de donnes Active Directory (Ntds.dit) sur le contrleur de domaine local est hors
connexion. Un autre contrleur de domaine peut tre contact pour louverture de session, sil y en a un
de disponible. Si aucun autre contrleur de domaine ne peut tre contact, par dfaut vous pouvez faire
une des choses suivantes :

Ouvrir une session au contrleur de domaine localement en mode DSRM laide du mot de passe
de DSRM.

Redmarrer le contrleur de domaine pour ouvrir une session avec un compte de domaine.

Comme dans le cas dun serveur membre, le serveur est joint au domaine. Cela signifie que la stratgie
de groupe et dautres paramtres sont encore appliqus lordinateur. Cependant, un contrleur de
domaine ne doit pas rester dans ltat appel services de domaine Active Directory arrts pendant
une trop longue priode de temps, parce quil ne peut alors traiter les requtes douverture de session ou
rpliquer avec les autres contrleurs de domaine.

Dmonstration : Excution de la maintenance de la base de donnes AD DS


Il y a plusieurs tches et outils relatifs que vous pouvez utiliser pour excuter la maintenance de la base
de donnes AD DS.
Cette dmonstration montre comment :

Arrter AD DS.

Excuter une dfragmentation hors connexion de la base de donnes AD DS.

Vrifier lintgrit de la base de donnes AD DS.

Dmarrer AD DS.

Procdure de dmonstration
Arrter AD DS
1.

Sur LON-DC1, ouvrez la console Services.

2.

Arrtez le service Services de domaine Active Directory.

Excuter une dfragmentation hors connexion de la base de donnes AD DS

Excutez les commandes suivantes partir dune invite Windows PowerShell. Appuyez sur Entre
aprs chaque ligne :
ntdsutil
activate instance NTDS
files
compact to C:\

Vrifier lintgrit de la base de donnes hors connexion


1.

Excutez les commandes suivantes partir dune invite Windows PowerShell. Appuyez sur Entre
aprs chaque ligne :
Integrity
quit
Quit

2.

Fermez la fentre dinvite de commandes.

Dmarrer AD DS
1.

Ouvrez la console Services.

2.

Dmarrez le service Services de domaine Active Directory.

Cration dinstantans AD DS
NTDSUtil dans Windows Server 2012 peut crer
et monter des instantans dAD DS. Un instantan
est une forme de sauvegarde historique qui
capture ltat exact du service dannuaire au
moment de linstantan. Vous pouvez utiliser des
outils pour explorer le contenu dun instantan
pour examiner ltat du service dannuaire lorsque
linstantan a t fait, ou pour vous connecter
un instantan mont avec LDIFDE et exporter des
objets dune rimportation dans AD DS.

Cration dun instantan AD DS


Pour crer un instantan :
1.

Ouvrez linvite de commandes.

2.

Saisissez ntdsutil, puis appuyez sur Entre.

3.

Saisissez snapshot, puis appuyez sur Entre.

4.

Saisissez activate instance ntds, puis appuyez sur Entre.

5.

Saisissez create, puis appuyez sur Entre.

6.

La commande renvoie un message qui indique que linstantan configur a t gnr avec succs.

7.

Lidentificateur unique global (GUID) affich est important pour des commandes de tches
ultrieures. Notez-le ou, sinon, copiez-le vers le Presse-papiers.

8.

Saisissez quit, puis appuyez sur Entre.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-32 Gestion des services de domaine Active Directory

Planifiez des instantans dActive Directory rgulirement. Vous pouvez utiliser le Planificateur de tches
pour excuter un fichier de commandes laide des commandes NTDSUtil appropries.

Montage dun instantan AD DS


Pour afficher le contenu dun instantan, vous devez le monter comme nouvelle instance dAD DS.
Cela est galement ralis avec NTDSUtil.
Pour monter un instantan :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1.

Ouvrez une invite de commandes avec lvation de privilges.

2.

Saisissez ntdsutil, puis appuyez sur Entre.

3.

Saisissez activate instance ntds, puis appuyez sur Entre.

4.

Saisissez snapshot, puis appuyez sur Entre.

5.

Saisissez list all, puis appuyez sur Entre.

6.

La commande renvoie une liste de tous les instantans.

7.

Saisissez mount {GUID}, o GUID reprsente lidentifiant unique global renvoy par la commande
de cration dinstantan, puis appuyez sur Entre.

8.

Saisissez quit, puis appuyez sur Entre.

9.

Saisissez quit, puis appuyez sur Entre.

3-33

10. Tapez dsamain dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit -ldapport 50000,


puis appuyez sur Entre.
11. Le numro de port, 50000, peut tre tout numro de port TCP ouvert et unique.
12. Un message indique que le dmarrage des Services de domaine Active Directory est termin.
13. Ne fermez pas la fentre dinvite de commandes et ne laissez pas la commande que vous venez
dexcuter, Dsamain.exe, sexcuter tandis que vous passez ltape suivante.

Affichage dun instantan AD DS


Aprs que linstantan a t mont, vous pouvez utiliser des outils pour vous connecter et explorer
linstantan. Mme les utilisateurs et ordinateurs Active Directory peuvent se connecter linstance.
Pour se connecter un instantan avec des utilisateurs et des ordinateurs Active Directory :
1.

Ouvrez Utilisateurs et ordinateurs Active Directory.

2.

Cliquez avec le bouton droit sur le nud racine, puis sur Domain Controllers.

3.

La bote de dialogue Modifier le serveur dannuaire saffiche.

4.

Cliquez sur <Tapez ici un nom de serveur dannuaire:[port]>.

5.

Saisissez LON-DC1:50000, puis appuyez sur Entre.

6.

LON-DC1 est le nom du contrleur de domaine sur lequel vous avez mont linstantan, et 50000 est
le numro de port TCP que vous avez configur pour linstance. Vous tes maintenant connect
linstantan.

7.

Cliquez sur OK.

Notez que les instantans sont en lecture seule. Vous ne pouvez pas modifier le contenu dun instantan.
Dailleurs, il ny a aucune mthode directe avec laquelle dplacer, copier ou restaurer des objets ou des
attributs depuis linstantan vers linstance de production dActive Directory.

Dmontage dun instantan AD DS


Pour dmonter linstantan :
1.

Basculez vers linvite de commandes dans laquelle linstantan est mont.

2.

Appuyez sur Ctrl+C pour arrter DSAMain.exe.

3.

Saisissez ntdsutil, puis appuyez sur Entre.

4.

Saisissez activate instance ntds, puis appuyez sur Entre.

5.

Saisissez snapshot, puis appuyez sur Entre.

6.

Saisissez unmount GUID, o GUID reprsente lidentificateur unique global de linstantan, puis
appuyez sur Entre.

7.

Saisissez quit, puis appuyez sur Entre.

8.

Saisissez quit, puis appuyez sur Entre.

Prsentation de la restauration des objets supprims


Quand un objet dans AD DS est supprim, il est
dplac dans le conteneur dobjets supprims et
de nombreux attributs importants en sont retirs.
Vous pouvez tendre la liste dattributs qui restent
quand un objet est supprim, mais vous ne
pouvez jamais retenir des valeurs dattribut lies
(telles que lappartenance de groupe).
Tant que lobjet na pas t encore nettoy par le
processus de nettoyage de la mmoire aprs avoir
atteint de la fin de sa dure de vie de la
dsactivation, vous pouvez restaurer ou rcuprer
lobjet supprim.
Pour restaurer un objet supprim :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-34 Gestion des services de domaine Active Directory

1.

Cliquez sur Accueil, et dans la zone Accueil la recherche, saisissez LDP.exe, puis appuyez
sur Ctrl+Maj+Entre, qui excute la commande en tant quadministrateur.

2.

La bote de dialogue Contrle de compte dutilisateur apparat.

3.

Cliquez sur Utiliser un autre compte.

4.

Dans la zone Nom dutilisateur, saisissez le nom dutilisateur dun administrateur.

5.

Dans la zone Mot de passe, saisissez le mot de passe pour le compte dadministrateur, puis appuyez
sur Entre.

6.

LDP souvre.

7.

Cliquez sur le menu Connexion, sur Se connecter, puis cliquez sur OK.

8.

Cliquez sur le menu Connexion, sur Lier, puis cliquez sur OK.

9.

Cliquez sur le menu Options, puis sur Contrles.

10. Dans la liste Chargement prdfini, cliquez sur Renvoyer des objets supprims, puis cliquez sur OK.

11. Cliquez sur le menu Afficher, sur Arborescence, puis cliquez sur OK.
12. Dveloppez le domaine, puis double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com.
13. Cliquez avec le bouton droit sur lobjet supprim, puis cliquez sur Modifier.
14. Dans la zone Attribut, saisissez isDeleted.
15. Dans la section Opration, cliquez sur Supprimer.
16. Appuyez sur Entre.
17. Dans la zone Attribut, saisissez distinguishedName.
18. Dans la zone Valeurs, saisissez le nom unique de lobjet dans le conteneur parent ou lunit
dorganisation dans lequel/laquelle vous souhaitez que la restauration de lobjet se produise.
Par exemple, saisissez le nom unique de lobjet avant quil ait t supprim.
19. Dans la section Opration, cliquez sur Remplacer.
20. Appuyez sur Entre.
21. Activez la case cocher tendu.
22. Cliquez sur Excuter, sur Fermer, puis fermez LDP.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-35

23. Utilisez Utilisateurs et ordinateurs Active Directory pour remplir les attributs de lobjet, rinitialisez
le mot de passe (pour un objet utilisateur), et activez lobjet (si dsactiv).

Configuration de la Corbeille Active Directory


Dans Windows 2012, la corbeille Active Directory
peut tre active pour fournir un processus
simplifi de restauration des objets supprims.
Cette fonctionnalit surmonte des problmes avec
la restauration faisant autorit ou la rcupration
de lobjet tombstone. La corbeille Active Directory
permet des administrateurs de restaurer des
objets supprims avec leur fonctionnalit
complte, sans devoir restaurer des donnes
AD DS partir de sauvegardes, puis de
redmarrer AD DS ou des contrleurs de
domaine. La corbeille Active Directory repose sur
linfrastructure existante de rcupration dobjet tombstone et amliore votre capacit conserver
et rcuprer des objets Active Directory supprims par erreur.

Comment fonctionne la corbeille Active Directory

Quand vous activez la corbeille Active Directory, tous les attributs aux valeurs lies et non lies des objets
Active Directory supprims sont conservs et les objets sont restaurs dans leur intgralit vers le mme
tat logique cohrent dans lequel ils taient juste avant la suppression. Par exemple, les comptes
dutilisateur restaurs regagnent automatiquement toutes les appartenances de groupe et droits daccs
correspondants quils avaient juste avant la suppression, dans les domaines. La corbeille Active Directory
fonctionne pour des environnements AD DS et AD LDS (Active Directory Lightweight Directory Services).

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

3-36 Gestion des services de domaine Active Directory

Aprs avoir activ la corbeille Active Directory, quand un objet Active Directory est supprim, le
systme conserve tous les attributs aux valeurs lies et non lies de lobjet et lobjet devient logiquement
supprim. Un objet supprim est dplac dans le conteneur Objets supprims et son nom unique est
mconnaissable. Un objet supprim demeure dans le conteneur Objets supprims dans un tat
logiquement supprim pendant toute la dure de la dure de vie dun objet supprim. Pendant la dure
de vie dobjet supprim, vous pouvez rcuprer un objet supprim avec la corbeille Active Directory
et en refaire un objet Active Directory vivant.

La dure de vie dun objet supprim est dtermine par la valeur de lattribut msDSdeletedObjectLifetime. Pour un lment supprim aprs que la corbeille Active Directory a t activ
(objet recycl), la dure de vie dun objet recycl est dtermine par la valeur de lattribut existant
tombstoneLifetime. Par dfaut, msDS-deletedObjectLifetime est dfini sur null. Quand msDSdeletedObjectLifetime est dfini sur null, la dure de vie dun objet supprim est dfinie sur la valeur de
la dure de vie dun objet recycl. Par dfaut, la dure de vie dun objet recycl, qui est enregistre dans
lattribut tombstoneLifetime, est galement dfinie sur null. Quand lattribut tombstoneLifetime est dfini
sur null, la dure de vie dun objet recycl se transfre par dfaut sur 180 jours. Vous pouvez modifier
les valeurs des attributs msDS-deletedObjectLifetime et tombstoneLifetime tout moment. Quand
msDS-deletedObjectLife est dfini sur une certaine valeur autre que null, il nassume plus la valeur
de tombstoneLifetime.

Activation de la corbeille Active Directory


Vous pouvez activer la corbeille Active Directory seulement quand le niveau fonctionnel de la fort est
dfini sur Windows Server 2008 R2 ou version suprieure.
Pour activer la corbeille Active Directory dans Windows 2012, vous pouvez effectuer lune des
oprations suivantes :

linvite du module Active Directory pour Windows PowerShell, utilisez lapplet de commande
Enable-ADOptionalFeature.

partir du centre dadministration Active Directory, slectionnez le domaine, puis cliquez sur
Activer la corbeille Active Directory dans le volet de tches.

Seuls des lments supprims aprs lactivation de la corbeille Active Directory peuvent tre restaurs
partir de la corbeille Active Directory.

Restauration dlments partir de la corbeille dActive Directory

Dans Windows Server 2012, le centre dadministration Active Directory fournit une interface graphique
pour restaurer des objets AD DS qui sont supprims. Quand la corbeille Active Directory a t active,
le conteneur Objets supprims est visible dans le centre dadministration Active Directory. Les objets
supprims seront visibles dans ce conteneur jusqu ce que leur dure de vie dobjet supprim ait expir.
Vous pouvez choisir de restaurer les objets leur emplacement dorigine ou un autre emplacement
dans AD DS.

Atelier pratique : Gestion dAD DS


Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

3-37

A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour
soccuper du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et
client Windows Server 2012.
A. Datum fait plusieurs modifications dorganisation qui requirent des modifications portant sur
linfrastructure AD DS. Un nouvel emplacement requiert une mthode scurise de fournir AD DS sur site
et vous avez t invit tendre les fonctions de la corbeille Active Directory lorganisation entire.

Ordinateur(s) virtuel(s)

22411B-LON-DC1
22411B-LON-SVR1

Nom dutilisateur

Administrateur

Mot de passe

Pa$$w0rd

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

Installer et configurer un RODC.

Configurer et afficher des instantans Active Directory.

Configurer la corbeille Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


4-1

Module 4
Gestion des comptes dutilisateurs et de service
Table des matires :
Vue d'ensemble du module

4-1

Leon 1 : Automatisation de la gestion des comptes dutilisateurs

4-2

Leon 2 : Configuration des paramtres de stratgie de mot de passe


et de verrouillage de compte dutilisateur

4-8

Leon 3 : Configuration des comptes de service grs

4-15

Atelier pratique : Gestion des comptes dutilisateurs et de service

4-22

Contrle des acquis et lments retenir

4-26

Vue densemble du module

La gestion des comptes dutilisateurs dans un environnement dentreprise peut tre une tche ardue.
Assurez-vous de configurer correctement les comptes dutilisateurs dans votre environnement et de les
protger contre lutilisation non autorise et contre les utilisateurs qui abusent de leurs privilges de
compte. Si vous utilisez des comptes de service ddis pour les services systme et les processus darrire
plan, et que vous dfinissez des stratgies de comptes appropries, vous pouvez vous assurer que votre
environnement Windows Server 2012 donne aux utilisateurs et aux applications laccs dont ils ont
besoin pour fonctionner correctement.

Ce module indique comment grer dimportants groupes de comptes dutilisateurs, explique les
diffrentes options disponibles pour fournir la scurit par mot de passe adapte aux comptes dans votre
environnement, et prsente comment configurer des comptes pour assurer lauthentification des services
systme et des processus en arrire plan.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

automatiser la cration de compte dutilisateur ;

configurer les paramtres de stratgie de mot de passe et de verrouillage de compte ;

configurer des comptes de service grs.

Gestion des comptes dutilisateurs et de service

Leon 1

Automatisation de la gestion des comptes dutilisateurs

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-2

Les utilisateurs et les ordinateurs Active Directory, ainsi que le centre dadministration Active Directory
fournissent des interfaces utilisateur graphiques pour la cration dun ou plusieurs comptes dutilisateurs.
Mme sil est facile de naviguer dans linterface fournie par ces outils, la cration de plusieurs utilisateurs
ou la ralisation de modifications pour plusieurs utilisateurs peut tre complique. Windows Server 2012
vous offre un certain nombre doutils qui vous permettent de grer des comptes dutilisateurs de faon
plus efficace dans votre domaine de services de domaine Active Directory (AD DS). Cette leon prsente
les outils qui vous permettent deffectuer des tches telles que la modification dattributs dutilisateur
pour de nombreux dutilisateurs, la recherche d utilisateurs, ainsi que limportation et lexportation
dutilisateurs partir et vers des sources de donnes ou rpertoires externes.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

expliquer comment exporter des utilisateurs laide de loutil change de donnes de valeurs
spares par des virgules ;

expliquer comment importer des utilisateurs laide de loutil change de donnes de valeurs
spares par des virgules ;

dcrire comment importer des comptes dutilisateurs laide du standard Internet LDIFDE
(LDAP Data Interchange Format) ;

expliquer comment importer des comptes dutilisateurs laide de Windows PowerShell.

Dmonstration : Exportation de comptes dutilisateurs laide de loutil


change de donnes de valeurs spares par des virgules

Loutil change de donnes de valeurs spares par des virgules est un outil de ligne de commande qui
exporte ou importe des objets AD DS partir ou vers un fichier texte dlimit par des virgules, galement
appel fichier de valeurs spares par des virgules ou fichier .csv. Vous pouvez crer, modifier et ouvrir
des fichiers .csv laide doutils courants tels que Bloc-notes ou Microsoft Office Excel. En outre, vous
pouvez utiliser ces fichiers pour exporter les informations dAD DS en vue de les utiliser dans dautres
zones de votre organisation ou pour importer les informations dautres sources pour la cration ou la
modification des objets AD DS de votre domaine.
Voici la syntaxe de base de la commande de loutil change de donnes de valeurs spares par des
virgules pour lexportation :
csvde -f filename

Cependant, cette commande exporte tous les objets de votre domaine Active Directory. Vous pouvez
limiter ltendue de lexportation laide des quatre paramtres suivants :

-d RootDN. Spcifie le nom unique du conteneur partir duquel lexportation commence. La valeur
par dfaut est le domaine lui-mme.

-p SearchScope. Spcifie ltendue de recherche relative au conteneur spcifi par -d. SearchScope
peut prendre la valeur base (cet objet uniquement), onelevel (objets de ce conteneur) ou subtree (ce
conteneur et tous les sous-conteneurs). La valeur par dfaut est subtree.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-3

-r Filter. Filtre les objets retourns dans ltendue configure par -d et -p. Le filtre est spcifi dans la
syntaxe de requte du protocole LDAP (Lightweight Directory Access Protocol). Vous allez utiliser un
filtre dans latelier pratique de cette leon. La syntaxe de la requte LDAP nest pas traite dans ce
cours. Pour plus dinformations, consultez la page http://go.microsoft.com/fwlink/?LinkId=168752
(Certains de ces sites adresses dans ce cours sont en anglais.).

-l ListOfAttributes. Spcifie les attributs exporter. Utilisez le nom LDAP pour chaque attribut, spar
par une virgule, comme dans
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName

Aprs lexportation via loutil change de donnes de valeurs spares par des virgules, les noms de
lattribut LDAP saffichent sur la premire ligne. Chaque objet saffiche par la suite ( raison dun objet par
ligne) et doit contenir exactement les attributs lists sur la premire ligne, comme illustr dans les
exemples suivants :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com

Dans cette dmonstration, vous allez apprendre :


exporter des comptes dutilisateurs avec loutil change de donnes de valeurs spares par
des virgules.

Procdure de dmonstration
1.

Sur lordinateur LON-DC1, ouvrez une invite de commandes.

2.

Dans la fentre dinvite de commandes, saisissez la commande suivante et appuyez sur Entre :
csvde -f E:\Labfiles\Mod04\UsersNamedRex.csv -r "(name=Rex*)" -l
DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName

3.

Ouvrez E:\Labfiles\Mod04\UsersNamedRex.csv avec Bloc-notes.

4.

Examinez le fichier, puis fermez Bloc-notes.

5.

Fermez toutes les fentres ouvertes sur LON-DC1.

Dmonstration : Importation de comptes dutilisateurs laide de loutil


change de donnes de valeurs spares par des virgules

Vous pouvez galement utiliser loutil change de donnes de valeurs spares par des virgules pour
crer des comptes dutilisateurs en important un fichier .csv. Si les informations utilisateurs figurent dans
des bases de donnes existantes Excel ou Microsoft Office Access, loutil change de donnes de valeurs
spares par des virgules constitue une excellente faon de tirer profit de ces informations afin
dautomatiser la cration de comptes dutilisateurs.
Voici la syntaxe de base de la commande de loutil change de donnes de valeurs spares par des
virgules pour limportation :
csvde -i -f filename -k

Gestion des comptes dutilisateurs et de service

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-4

Le paramtre -i spcifie le mode dimportation. Sans ce paramtre, le mode par dfaut de loutil change
de donnes de valeurs spares par des virgules est lexportation. Le paramtre -f identifie le nom de
fichier dimportation ou dexportation. Le paramtre -k est utile lors des oprations dimportation, car il
indique loutil change de donnes de valeurs spares par des virgules dignorer les erreurs, y compris
Lobjet existe dj
Le fichier dimportation lui-mme est un fichier texte dlimit par des virgules (.csv ou .txt) o la
premire ligne dfinit les attributs imports par leurs noms dattribut LDAP. Chaque objet saffiche par la
suite ( raison dun objet par ligne) et doit contenir exactement les attributs lists sur la premire ligne ;
un exemple de fichier se prsente comme suit :
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com

Ce fichier, une fois import par la commande de loutil change de donnes de valeurs spares par des
virgules, cre un objet utilisateur pour Lisa Andrews dans lunit dorganisation des employs. Le fichier
configure les noms douverture de session, le nom et le prnom de lutilisateur. Vous ne pouvez pas
utiliser loutil change de donnes de valeurs spares par des virgules pour importer des mots de passe.
Sans mot de passe, le compte dutilisateur sera dsactiv au dpart. Vous pouvez activer lobjet dans
AD DS aprs avoir rinitialis le mot de passe.
Dans cette dmonstration, vous allez apprendre :

importer des comptes dutilisateurs avec loutil change de donnes de valeurs spares par
des virgules.

Procdure de dmonstration
1.

Sur LON-DC1, ouvrez E:\Labfiles\Mod04\NewUsers.csv avec Bloc-notes. Examinez les informations


relatives aux utilisateurs lists dans le fichier.

2.

Ouvrez une invite de commandes, saisissez la commande suivante et appuyez sur Entre :
csvde -i -f E:\Labfiles\Mod04\NewUsers.csv -k

3.

Dans le Gestionnaire de serveur, ouvrez Utilisateurs et ordinateurs Active Directory et confirmez


que les utilisateurs ont t crs avec succs.

4.

Examinez les comptes pour confirmer que le prnom, le nom, le nom dutilisateur principal et le nom
de connexion avant linstallation de Windows 2000 sont indiqus conformment aux instructions du
fichier NewUsers.csv.

5.

Redfinissez les mots de passe des deux comptes sur Pa$$w0rd.

6.

Activez les deux comptes.

7.

Fermez toutes les fentres ouvertes sur LON-DC1.

Dmonstration : Importation de comptes dutilisateurs avec LDIFDE


Vous pouvez galement utiliser LDIFDE.exe pour importer ou exporter des objets Active Directory,
notamment des utilisateurs. Le format LDIF est un format de fichier standard que vous pouvez utiliser
pour stocker des informations et effectuer des oprations en lots dans les rpertoires conformes aux
normes LDAP. LDIF prend en charge les oprations dimportation et dexportation, ainsi que les
oprations en lots qui modifient des objets dans le rpertoire. La commande LDIFDE implmente ces
oprations en lots laide des fichiers LDIF.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-5

Le format de fichier LDIF se compose dun bloc de lignes qui, ensemble, constituent une opration unique.
Plusieurs oprations dun fichier unique sont spares par une ligne vierge. Chaque ligne, comportant une
opration, se compose dun nom dattribut suivi de deux-points et de la valeur de lattribut. Par exemple,
supposons que vous souhaitiez importer des objets utilisateurs pour deux commerciaux nomms Bonnie
Kearney et Bobby Moore. Le contenu du fichier LDIF ressemble lexemple suivant :
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Oprations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@contoso.com
mail: bonnie.kearney@contoso.com
dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bobby Moore
sn: Moore
title: Legal
description: Legal (New York)
givenName: Bobby
displayName: Moore, Bobby
company: Contoso, Ltd.
sAMAccountName: bobby.moore
userPrincipalName: bobby.moore@contoso.com
mail: bobby.moore@contoso.com

Chaque opration commence avec lattribut du nom de domaine (DN) de lobjet qui est la cible de
lopration. La ligne suivante, changeType, spcifie le type dopration : ajouter, modifier ou supprimer.

Comme vous pouvez le voir, le format de fichier LDIF nest pas aussi intuitif ni familier que le format texte
spar par des virgules. Cependant, tant donn que le format LDIF est aussi un standard, de nombreux
services dannuaire et bases de donnes peuvent exporter les fichiers LDIF.

Gestion des comptes dutilisateurs et de service

Aprs la cration ou lobtention dun fichier LDIF, vous pouvez excuter les oprations indiques par
le fichier laide de la commande LDIFDE. Dans une invite de commandes, saisissez ldifde /? pour les
informations dutilisation. Voici les deux commutateurs les plus importants pour la commande LDIFDE :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-6

-i. Active le mode dimportation. Sans ce paramtre, LDIFDE exporte les informations.

-f Nom de fichier. Le fichier partir duquel effectuer limportation et vers lequel raliser lexportation.

Dans cette dmonstration, vous allez apprendre :

importer des comptes dutilisateurs avec LDIFDE.

Procdure de dmonstration
1.

Ouvrez E:\Labfiles\Mod04\NewUsers.ldf avec Bloc-notes. Examinez les informations relatives aux


utilisateurs lists dans le fichier.

2.

Ouvrez une invite de commandes, saisissez la commande suivante et appuyez sur Entre :
ldifde -i -f E:\Labfiles\Mod04\NewUsers.ldf -k

3.

Ouvrez Utilisateurs et ordinateurs Active Directory, puis confirmez que les utilisateurs ont t crs
avec succs.

4.

Examinez les comptes afin de confirmer que les proprits de lutilisateur sont indiques
conformment aux instructions de NewUsers.ldf.

5.

Redfinissez les mots de passe des deux comptes sur Pa$$w0rd.

6.

Activez les deux comptes.

7.

Fermez toutes les fentres ouvertes sur LON-DC1.


Question : Quels avantages offre LDIFDE par rapport loutil change de donnes de
valeurs spares par des virgules lors de la gestion des comptes dutilisateurs dans un
environnement AD DS ?

Dmonstration : Importation de comptes dutilisateurs avec


Windows PowerShell

Le module Active Directory pour Windows PowerShell peut galement utiliser le contenu dun fichier .csv
pour importer des objets dans AD DS.
Deux applets de commande sont utilises pour effectuer cette tche :

Import-CSV. Cette applet de commande cre des objets partir des fichiers .csv. Ces derniers
peuvent tre dirigs vers dautres applets de commande Windows PowerShell.

New-ADUser. Cette applet de commande est utilise pour crer les objets imports depuis lapplet
de commande Import-CSV.

Dans cette dmonstration, vous allez apprendre :

importer des comptes dutilisateurs avec Windows PowerShell.

Procdure de dmonstration

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-7

1.

Sur LON-DC1, dans Gestionnaire de serveur, ouvrez Utilisateurs et ordinateurs Active Directory
et sous Adatum.com, crez une nouvelle unit dorganisation nomme ImportUsers.

2.

Ouvrez E:\Labfiles\Mod04\ImportUsers.ps1 avec Bloc-notes. Examinez le contenu du fichier.

3.

ct de $impfile, modifiez le champ path and filename to csv en


E:\Labfiles\Mod04\ImportUsers.csv, puis enregistrez le fichier.

4.

Ouvrez le module Active Directory pour Windows PowerShell.

5.

Saisissez les commandes suivantes, puis appuyez sur Entre aprs chaque commande. Lorsque vous tes
invit modifier la stratgie dexcution, appuyez sur Entre pour accepter loption par dfaut O :
Set-ExecutionPolicy remotesigned
E:\Labfiles\Mod04\importusers.ps1

6.

Dans la bote de dialogue de demande de mot de passe, saisissez Pa$$w0rd.

7.

Ouvrez Utilisateurs et ordinateurs Active Directory et vrifiez que les comptes dutilisateurs ont
t imports dans lunit dorganisation ImportUsers.

8.

Fermez toutes les fentres ouvertes sur LON-DC1.

Gestion des comptes dutilisateurs et de service

Leon 2

Configuration des paramtres de stratgie de mot


de passe et de verrouillage de compte dutilisateur

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-8

En tant quadministrateur, vous devez vrifier que les comptes utilisateurs de votre environnement sont
conformes aux paramtres de scurit tablis par votre organisation. Windows Server 2012 utilise des
stratgies de comptes pour configurer les paramtres relatifs la scurit pour les comptes dutilisateurs.
Ce module vous aide identifier les paramtres disponibles pour configurer la scurit de compte, ainsi
que les mthodes disponibles pour configurer ces paramtres.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

expliquer les stratgies des comptes dutilisateurs ;

expliquer comment configurer des stratgies de comptes dutilisateurs ;

dcrire les objets PSO (Password Settings Objects) ;

expliquer comment configurer des objets PSO.

Comprendre les stratgies des comptes dutilisateurs


Dans AD DS, les stratgies de comptes dfinissent
les paramtres par dfaut des attributs de scurit
attribus aux objets utilisateurs. Dans AD DS,
les stratgies de comptes se trouvent dans
deux groupes diffrents de paramtres : stratgie
de mot de passe et verrouillage de compte.
Vous pouvez configurer les deux groupes de
paramtres dans les paramtres de stratgie locale
pour un serveur individuel Windows Server 2012
ou pour le domaine entier laide de la console
de gestion des stratgies de groupe (GPMC) dans
AD DS. Si les paramtres de stratgie locale et les
paramtres de stratgie de groupe ne concordent pas, ces derniers remplacent les premiers

Dans Gestion des stratgies de groupe au sein de AD DS, la plupart des paramtres de stratgie peuvent
tre appliqus diffrents niveaux de la structure AD DS : domaine, site ou unit dorganisation.
Cependant, les stratgies de comptes ne peuvent tre appliques qu un seul niveau dans AD DS : au
domaine entier. Par consquent, seul un ensemble de paramtres de stratgie de compte peut tre
appliqu un domaine AD DS.

Stratgie de mot de passe


Dfinissez la stratgie de mot de passe laide des paramtres suivants :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-9

Appliquer lhistorique des mots de passe. Il sagit du nombre de nouveaux mots de passe uniques
devant tre associs un compte dutilisateur avant de pouvoir rutiliser un ancien mot de passe.
Par dfaut, ce paramtre est dfini 24 anciens mots de passe. Lorsque vous utilisez ce paramtre
avec le paramtre de dure de vie minimale du mot de passe, le paramtre dapplication de
lhistorique de mot de passe empche la rutilisation constante du mme mot de passe.

Dure de vie maximale du mot de passe. Il sagit du nombre de jours pendant lesquels lutilisateur
peut utiliser un mot de passe avant de devoir le modifier. Le changement rgulier des mots de passe
facilite la prvention de la corruption des mots de passe. Cependant, vous devez quilibrer ce critre
de scurit par rapport aux considrations logistiques, en raison du fait que les utilisateurs sont
amens modifier leurs mots de passe trop souvent. Le paramtre par dfaut de 42 jours est
probablement adapt la plupart des organisations.

Dure de vie minimale du mot de passe. Il sagit du nombre de jours pendant lesquels lutilisateur
doit utiliser un mot de passe avant de pouvoir le modifier. La valeur par dfaut est dun jour, ce qui
est convenable si vous appliquez galement lhistorique de mot de passe. Vous pouvez restreindre
lutilisation constante du mme mot de passe si vous utilisez ce paramtre en mme temps quun
paramtre court pour appliquer lhistorique de mot de passe.

Longueur minimale du mot de passe. Il sagit du nombre minimal de caractres que le mot de passe
dun utilisateur doit contenir. La valeur par dfaut est de sept. Il sagit de la valeur minimale par
dfaut frquemment utilise. Cependant, vous devez envisager daugmenter la longueur du mot de
passe au moins 10 caractres pour amliorer la scurit.

Exigences de complexit. Windows Server comprend un filtre de mot de passe par dfaut qui est
activ par dfaut et vous ne devez pas le dsactiver. Le filtre requiert quun mot de passe prsente les
caractristiques suivantes :
o

Il ne doit contenir ni votre nom de famille, ni votre nom dutilisateur.

Il doit comporter au moins six caractres.

Il doit contenir des caractres tirs de trois des quatre groupes ci-dessous :

lettres majuscules [AZ] ;

lettres minuscules [az] ;

chiffres [09] ;

caractres spciaux non alphanumriques, tels que !@#)(*&^%.

Stratgie de verrouillage du compte

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-10 Gestion des comptes dutilisateurs et de service

Vous pouvez dfinir des seuils de verrouillage de compte, la dure du verrouillage et un mode de
dverrouillage des comptes. Les seuils de verrouillage de compte exigent que les comptes deviennent
inutilisables aprs un certain nombre dchecs douverture de session au cours dune priode dfinie. Les
stratgies de verrouillage de compte permettent de dtecter et dviter les attaques en force sur les mots
de passe des comptes. Les paramtres disponibles sont les suivants :

Dure de verrouillage des comptes. Dfinit le nombre de minutes pendant lesquelles un compte
verrouill reste verrouill. Une fois que ce dlai indiqu est coul, le compte est dverrouill
automatiquement. Pour indiquer quun administrateur doit dverrouiller le compte, dfinissez la
valeur 0. Pensez utiliser des stratgies de mot de passe prcises pour forcer les administrateurs
dverrouiller les comptes prsentant un niveau de scurit lev. Configurez ensuite ce paramtre
30 minutes pour les utilisateurs normaux.

Seuil de verrouillage du compte. Dtermine le nombre dchecs douverture de session autoriss


avant quun compte dutilisateur ne soit verrouill. Une valeur nulle indique que le compte ne sera
jamais verrouill. Vous devez indiquer une valeur assez leve pour tenir compte des utilisateurs
nayant pas saisi correctement leurs mots de passe, mais assez basse pour faire chouer les tentatives
dattaques en force des mots de passe. En gnral, les valeurs de ce paramtre vont de trois cinq.

Rinitialiser le compteur de verrouillages du compte aprs. Dtermine le nombre de minutes qui


doivent scouler aprs un chec douverture de session, avant que le compteur douvertures de
sessions infructueuses ne soit rinitialis 0. Ce paramtre sapplique lorsquun utilisateur a saisi un
mot de passe incorrect, sans pour autant dpasser le seuil de verrouillage de compte. Pensez dfinir
cette valeur sur 30 minutes.

Stratgie Kerberos

Les options de configuration de la stratgie Kerberos contiennent les paramtres du ticket TGT (TicketGranting Ticket) de protocole Kerberos version 5, ainsi que les paramtres de dures de vie et dhorodatage
des tickets de session. Les paramtres par dfaut sont adapts la plupart des organisations.

Configuration de stratgies de compte dutilisateur


Il existe plusieurs options permettant de
configurer les stratgies de comptes dutilisateurs
lors de ladministration dun environnement
AD DS.

Paramtres de stratgie locale avec


Secpol.msc

Chaque ordinateur Windows Server 2012 possde


son propre ensemble de stratgies de comptes,
qui sappliquent aux comptes crs et grs sur
lordinateur local. Pour configurer ces paramtres
de stratgie, ouvrez la console Stratgie de
scurit locale en excutant secpol.msc dans
linvite de commandes. Les paramtres de stratgie de mot de passe et de stratgie de compte peuvent se
trouver dans la console Stratgie de scurit locale. Il vous suffit de dvelopper Paramtres de scurit,
puis Stratgies de comptes.

Stratgie de groupe avec la gestion des stratgies de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-11

Dans lenvironnement de domaine AD DS, les paramtres de stratgie de compte lchelle du domaine
sont configurs dans la console de gestion des stratgies de groupe. Les paramtres peuvent tre trouvs
dans Configuration ordinateur, en dveloppant le nud Stratgies, en dveloppant sous le nud
Paramtres Windows, en dveloppant le nud Paramtres de scurit, puis en dveloppant le nud
Stratgies de comptes.
Les paramtres trouvs dans le nud Stratgies de comptes sont les mmes paramtres trouvs
dans la stratgie de scurit locale, en plus des paramtres de stratgie Kerberos qui sappliquent
lauthentification de domaine.

Les paramtres de stratgie de compte de stratgie de groupe existent dans le modle de chaque objet
Stratgie de groupe (GPO) cr dans la console GPMC. Cependant, vous pouvez appliquer une stratgie
de compte seulement une fois dans un domaine et seulement dans un objet Stratgie de groupe. Cest la
stratgie de domaine par dfaut, et elle lie la racine du domaine AD DS. En tant que tels, les paramtres
de stratgie de compte dans la stratgie de domaine par dfaut sappliquent chaque ordinateur qui est
joint au domaine.
Remarque : En cas de conflit entre les paramtres de stratgie de compte dans la stratgie de
scurit locale et les paramtres de stratgie de compte dans lobjet Stratgie de groupe de la
stratgie de domaine par dfaut, les paramtres de stratgie de domaine par dfaut ont la priorit.
Question : Pourquoi utiliseriez-vous secpol.msc pour configurer les paramtres de stratgie
de compte locale pour un ordinateur Windows Server 2012 au lieu dutiliser les paramtres
de stratgie de compte de stratgie de groupe bass sur le domaine ?

Quest-ce que les objets PSO ?


En commenant par Windows Server 2008,
les administrateurs peuvent dfinir plus dune
stratgie de mot de passe dans un domaine
unique en implmentant des stratgies de mot de
passe affines. Celles-ci vous permettent davoir
un contrle plus granulaire sur les exigences de
mot de passe utilisateur, et vous pouvez avoir
diffrentes exigences de mot de passe pour
diffrents utilisateurs ou groupes.
Pour prendre en charge la fonctionnalit de
stratgie de mot de passe affine, AD DS sous
Windows Server 2008 et versions plus rcentes
comprend deux types dobjet :

Conteneur de paramtre de mot de passe. Windows Server cre ce conteneur par dfaut, et vous
pouvez lafficher dans le conteneur System du domaine. Le conteneur enregistre les objets PSO que
vous crez et liez aux groupes de scurit globale ou aux utilisateurs.

Objets de paramtres de mot de passe. Les membres du groupe dadministrateurs du domaine crent
des objets PSO, puis dfinissent les paramtres spcifiques de mot de passe et de verrouillage de
compte lier un groupe de scurit ou utilisateur spcifique.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-12 Gestion des comptes dutilisateurs et de service

Les stratgies de mot de passe affine sappliquent seulement aux objets utilisateurs (ou aux objets
inetOrgPerson, si vous les utilisez au lieu des objets utilisateurs) et aux groupes de scurit globale. En
liant des Objets de paramtres de mot de passe un utilisateur ou un groupe, vous modifiez un attribut
appel msDS-PSOApplied, qui est vide par dfaut. Cette approche traite maintenant des paramtres de
mot de passe et de verrouillage de compte pas en tant quexigences llchelle du domaine, mais en tant
quattributs un utilisateur ou un groupe.
Par exemple, pour configurer une stratgie stricte de mot de passe pour les comptes dadministrateur,
crez un groupe de scurit globale, ajoutez les comptes dutilisateur administrateur comme membres et
liez un objet PSO au groupe. Lapplication des stratgies de mot de passe affine un groupe de cette
manire est plus grable que lapplication des stratgies chaque compte dutilisateur individuel. Si vous
crez un nouveau compte de service, vous lajoutez simplement au groupe et le compte est alors gr par
lobjet PSO.
Par dfaut, seuls les membres du groupe Administrateurs du domaine peuvent dfinir des stratgies de
mot de passe affine. Cependant, vous pouvez galement dlguer la capacit de dfinir ces stratgies
dautres utilisateurs.

Application des stratgies de mot de passe affines

Vous ne pouvez pas appliquer une stratgie de mot de passe affine une unit dorganisation directement.
Pour appliquer une stratgie de mot de passe affine aux utilisateurs dune unit dorganisation, vous
pouvez utiliser un groupe des clichs instantans. Un groupe des clichs instantans est un groupe de
scurit globale qui mappe logiquement une unit dorganisation, et applique une stratgie de mot de
passe affine. Vous pouvez ajouter les utilisateurs dune unit dorganisation comme membres du groupe
des clichs instantans nouvellement cre, puis vous appliquez la stratgie de mot de passe affine ce
groupe des clichs instantans. Si vous dplacez un utilisateur dune unit dorganisation une autre, vous
devez mettre jour lappartenance des groupes des clichs instantans correspondants.
Les paramtres grs par une stratgie de mot de passe affine sont identiques ceux des nuds de
stratgie de mot de passe et de stratgie de comptes dun objet Stratgie de groupe. Cependant, les
stratgies de mot de passe affine ne sont ni implmentes dans le cadre de la stratgie de groupe, ni
appliques dans le cadre dun objet Stratgie de groupe. Il y a plutt une classe distincte dobjet dans
Active Directory qui gre les paramtres pour la stratgie de mot de passe affine : PSO.

Vous pouvez crer un ou plusieurs objets PSO dans votre domaine. Chacun contient un ensemble complet
de paramtres de mot de passe et de stratgie de verrouillage. Les paramtres dun objet PSO est appliqu
en liant lobjet des paramtres de mot de passe un ou plusieurs groupes de scurit globale ou utilisateurs.
Pour utiliser une stratgie de mot de passe affine, votre niveau fonctionnel du domaine doit tre au
moins Windows Server 2008, ce qui signifie que tous vos contrleurs de domaine dans le domaine
excutent au moins Windows Server 2008, et le niveau fonctionnel du domaine a t lev au moins
Windows Server 2008.
Pour confirmer et modifier le niveau fonctionnel du domaine :
1.

Ouvrez la fentre Domaines et approbations Active Directory.

2.

Dans larborescence de la console, dveloppez Domaines et approbations Active Directory, puis


dveloppez larborescence jusqu ce que vous puissiez voir le domaine.

3.

Cliquez avec le bouton droit sur le domaine, puis cliquez sur Augmenter le niveau fonctionnel
du domaine.

Configuration des objets PSO


Vous pouvez crer et appliquer des objets PSO
dans lenvironnement Windows Server 2012
laide de lun des outils suivants :

Centre dadministration Active Directory

Windows PowerShell

Configuration des objets PSO laide


de Windows PowerShell
Dans Windows Server 2012, les nouveaux applets
de commande Windows PowerShell dans le
module Active Directory pour Windows
PowerShell peuvent tre utiliss pour crer et
grer des objets PSO dans votre domaine.

New-ADFineGrainedPasswordPolicy

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-13

Cet applet de commande est utilis pour crer un nouvel objet PSO et dfinir les paramtres de
lobjet de paramtres de mot de passe. Par exemple, la commande suivante cre un nouvel objet PSO
nomm TestPwd, puis spcifie ses paramtres :
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0"
-MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false ProtectedFromAccidentalDeletion:$true

Add-FineGrainedPasswordPolicySubject

Cet applet de commande vous permet de lier un utilisateur ou un groupe un objet PSO existant. Par
exemple, la commande suivante lie lobjet PSO TestPwd au groupe AD DS nomm group1 :
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects Marketing

Configuration des objets PSO laide de centre dadministration Active Directory

Le centre dadministration Active Directory fournit une interface graphique pour crer et grer des objets
PSO. Pour grer des objets PSO dans le centre dadministration Active Directory, suivez cette procdure :
1.

Ouvrez Centre dadministration Active Directory.

2.

Cliquez sur Grer, cliquez sur Ajouter des nuds de navigation, slectionnez le domaine cible
appropri dans la bote de dialogue Ajouter des nuds de navigation, puis cliquez sur OK.

3.

Dans le volet de navigation Centre dadministration Active Directory, ouvrez le conteneur System,
puis cliquez sur classe dobjets PSC (Password Settings Container).

4.

Dans le volet Tches, cliquez sur Nouveau, puis cliquez sur Paramtres de mot de passe.

5.

Compltez ou modifiez les champs lintrieur de la page de proprit pour crer un nouvel Objet
de paramtres de mot de passe.

6.

Sous Sapplique directement , cliquez sur Ajouter, saisissez Marketing, puis cliquez sur OK.

7.

Cela associe lobjet Stratgie de mot de passe aux membres du groupe global que vous avez cr
pour lenvironnement de test.

8.

Cliquez sur OK pour envoyer la cration de lobjet PSO.

Remarque : Linterface de centre dadministration Active Directory pour la gestion dobjet


de paramtres de mot de passe utilise les applets de commande Windows PowerShell indiqus
prcdemment pour la cration et la gestion des objets PSO.

Considrations pour configurer les Objets de paramtres de mot de passe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-14 Gestion des comptes dutilisateurs et de service

Il est possible de lier plusieurs objets PSO un utilisateur ou un groupe de scurit. Vous pouvez faire cela
si un utilisateur est membre de plusieurs groupes de scurit (associs ou non un objet PSO) ou que vous
attribuez plusieurs objets PSO directement un objet utilisateur. Dans ces cas, il est important de
comprendre que vous ne pouvez appliquer quun seul objet PSO comme stratgie de mot de passe efficace.
Si vous attribuez plusieurs objets PSO un utilisateur ou un groupe, lattribut msDSPasswordSettingsPrecedence aide dterminer lobjet PSO en rsultant. Un objet PSO ayant une
valeur infrieure a la priorit sur un objet des paramtres PSO ayant une valeur suprieure.
Le processus suivant dcrit comment Active Directory DS dtermine lobjet PSO rsultant si vous liez
plusieurs objets PSO un utilisateur ou un groupe :
1.

Tout objet PSO que vous liez directement un objet utilisateur est lobjet PSO rsultant. Si vous liez
plusieurs objets PSO directement lobjet utilisateur, lobjet PSO ayant la valeur demsDSPasswordSettingsPrecedence la plus basse est lobjet PSO rsultant. Si deux objets PSO ont la mme
priorit, celui des deux qui a lattribut objectGUID le plus petit mathmatiquement est lobjet
PSO rsultant.

2.

Si vous ne liez aucun objet PSO directement lobjet utilisateur, AD DS compare les objets PSO pour
tous les groupes de scurit globale qui contiennent lobjet utilisateur. Lobjet PSO ayant la valeur
msDS-PasswordSettings la plus basse

La valeur Priorit est lobjet PSO rsultant. Si vous appliquez plusieurs objets PSO au mme
utilisateur et quils ont la mme valeur msDS-PasswordSettingsPrecedence, AD DS applique lobjet
PSO ayant lidentificateur unique global (GUID) le plus petit mathmatiquement.
3.

Si vous ne liez aucun objet PSO lobjet utilisateur, directement ou indirectement (par lappartenance
de groupe), AD DS applique la stratgie de domaine par dfaut.

Tous les objets utilisateurs contiennent un nouvel attribut appel msDS-ResultantPSO. Vous pouvez utiliser
cet attribut pour aider dterminer le nom unique de lobjet PSO que AD DS applique lobjet utilisateur. Si
vous ne liez pas dobjet PSO lobjet utilisateur, cet attribut ne contient aucune valeur et lobjet Stratgie de
groupe de stratgie de domaine par dfaut contient la stratgie de mot de passe efficace.
Pour afficher leffet dune stratgie quAD DS applique un utilisateur, ouvrez Utilisateurs et ordinateurs
Active Directory, puis, sur le menu Affichage, vrifiez que loption Fonctionnalits avances est active.
Ouvrez ensuite les proprits dun compte dutilisateur. Vous pouvez afficher lattribut msDSResultantPSO sur longlet diteur dattributs, si loption Afficher les attributs construits a t
configure dans les options Filtre.

Leon 3

Configuration des comptes de service grs

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-15

La cration des comptes dutilisateurs pour fournir lauthentification aux applications, aux services
systme et aux processus en arrire plan est une pratique courante dans lenvironnement Windows.
Historiquement, les comptes ont t crs et souvent nomms pour lutilisation par un service spcifique.
Windows Server 2012 prend en charge les objets comme un compte AD DS appels comptes de service
grs, qui facilitent la gestion des comptes du service et prsentent moins de risque de scurit pour
votre environnement.
Cette leon vous prsentera les comptes de service grs et la nouvelle fonctionnalit relative ces
comptes sous Windows Server 2012.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

identifier les difficults dutiliser des comptes dutilisateur standard pour les services ;

dcrire les comptes de service grs ;

expliquer comment configurer des comptes de service grs ;

dcrire les comptes de service grs du groupe.

Quelles sont les difficults utiliser des comptes dutilisateur standard


pour les services ?
Beaucoup dapplications telles que Microsoft SQL
Server ou Internet Information Services (IIS)
contiennent les services qui sont installs sur le
serveur qui hberge lapplication. Ces services
sexcutent en gnral au dmarrage du serveur
ou sont dclenchs par dautres vnements. Les
services sexcutent souvent en arrire-plan et
nont besoin daucune intervention de lutilisateur.

Pour quun service dmarre et authentifie, un


compte du service est utilis. Un compte du
service peut tre un compte qui est local
lordinateur, tel que les comptes de service local
intgr, de service rseau ou de systme local. Vous pouvez galement configurer un compte du service
pour utiliser un compte bas sur domaine, situ dans AD DS.

Pour aider centraliser ladministration et rpondre aux impratifs de lapplication, beaucoup


dorganisations choisissent dutiliser un compte bas sur le domaine pour excuter les services
dapplication. Cela offre un certain avantage par rapport lutilisation dun compte local. Cependant,
il y a un certain nombre de difficults associes, telles que :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-16 Gestion des comptes dutilisateurs et de service

Un effort dadministration supplmentaire peut tre ncessaire pour grer le mot de passe de compte
du service de manire scurise. Cela comprend des tches telles que la modification du mot de
passe et la rsolution des situations qui provoquent un verrouillage de compte. Les comptes du
service sont en gnral configurs galement pour avoir des mots de passe qui nexpirent pas, ce qui
peut aller lencontre les stratgies de scurit de votre organisation.

Il peut savrer difficile de dterminer o un compte bas sur le domaine est utilis comme compte
de service. Un compte dutilisateur standard peut tre utilis pour plusieurs services sur divers
serveurs dans tout lenvironnement. Une tche simple, telle que la modification du mot de passe,
peut provoquer des problmes dauthentification pour certaines applications. Il est important de
savoir o et comment un compte dutilisateur standard est utilis quand il est associ avec un service
dapplication.

Un effort dadministration supplmentaire peut tre ncessaire pour grer le nom principal de service.
Lutilisation dun compte dutilisateur standard peut requrir ladministration manuelle du nom
principal de service. Si le compte douverture de session du service change, le nom de lordinateur est
modifi. Ou, si une proprit de nom dhte du systme DNS est modifie, les inscriptions du nom
principal de service peuvent devoir tre manuellement modifies pour reflter la modification. Un
nom principal de service mal configur pose des problmes dauthentification avec le service
dapplication.

Windows Server 2012 prend en charge un objet AD DS utilis pour faciliter la gestion de compte du
service, appel compte de service gr. Les rubriques suivantes fournissent des informations sur les
exigences et lutilisation des comptes de service grs sous Windows Server 2012.

Quest ce quun compte de service gr ?


Un compte de service gr est une classe dobjets
AD DS qui active le mot de passe simplifi et la
gestion du nom du principal du serveur pour les
comptes de service.
Beaucoup dapplications rseau utilisent un
compte pour excuter des services ou pour fournir
lauthentification. Par exemple, une application sur
un ordinateur local pourrait utiliser les comptes
de service local, de service rseau ou du systme
local. Ces comptes du service peuvent fonctionner
trs bien. Cependant, ils sont en gnral partags
entre plusieurs applications et services, ce qui est
difficile grer pour une application spcifique. En outre, vous ne pouvez pas grer ces comptes de
service local au niveau du domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-17

Alternativement, il est tout fait courant quune application puisse utiliser un compte de domaine
standard qui est configur spcifiquement pour lapplication. Cependant, linconvnient majeur est que
vous devez grer des mots de passe manuellement, ce qui augmente leffort dadministration.

Un compte de service gr peut fournir une application son propre unique compte, tout en liminant le
besoin dadministrer les informations didentification du compte manuellement par un administrateur.

Comment fonctionne un compte de service gr ?

Les comptes de service grs sont enregistrs dans AD DS comme des objets msDSManagedServiceAccount. Cette classe hrite des aspects structurels de la classe Ordinateur (qui hrite
de la classe Utilisateur). Cela permet un compte de service gr daccomplir des fonctions comme un
utilisateur, telles que la fourniture de lauthentification et du contexte de scurit pour un service en cours
dexcution. Cela permet galement un compte de service gr dutiliser le mme mcanisme de mise
jour de mot de passe utilis par les objets Ordinateur dans AD DS, un processus qui ne requiert aucune
intervention de lutilisateur.
Les comptes de service grs offrent les avantages suivants pour simplifier ladministration :

Gestion automatique des mots de passe. Un compte de service gr gre automatiquement son
propre mot de passe, y compris les modifications de mot de passe.

Gestion simplifie du nom du principal du serveur. La gestion du nom du principal du serveur peut
tre effectue automatiquement si votre domaine est configur au niveau fonctionnel du domaine
de Windows Server 2008 R2 ou versions plus rcentes.

Les comptes de service grss sont enregistrs dans le conteneur CN=Managed Service Accounts,
DC=<domain>, DC=<com>. Vous pouvez voir cela en activant loption Fonctionnalit avance dans le
menu Affichage dans Utilisateurs et ordinateurs Active Directory. Ce conteneur est visible par dfaut dans
le centre dadministration Active Directory.

Configurations requises pour lusage des comptes de service grs

Pour utiliser un compte de service gr, le serveur qui excute le service ou lapplication doit
excuter Windows Server 2008 R2 ou Windows Server 2012. Vous devez galement vrifier que
.NET Framework 3.5.x et le module Active Directory pour Windows PowerShell sont tous les deux installs
sur le serveur.
Remarque : Un compte de service gr standard ne peut tre ni partag entre plusieurs
ordinateurs, ni utilis dans les clusters de serveurs o le service est rpliqu entre les nuds.

Pour simplifier et fournir la gestion compltement automatique de mot de passe et de nom principal du
serveur, nous recommandons vivement que le domaine AD DS soit au niveau fonctionnel de Windows
Server 2008 R2 ou version plus rcente. Cependant, si vous avez un contrleur de domaine excutant
Windows Server 2008 ou Windows Server 2003, vous pouvez mettre jour le schma Active Directory
vers Windows Server 2008 R2 pour prendre en charge cette fonctionnalit. Le seul inconvnient est que
ladministrateur de domaine doit configurer les donnes du nom principal du serveur manuellement pour
les comptes de service grs.

Pour mettre jour le schma dans Windows Server 2008, Windows Server 2003 ou des environnements
de mode mixte, vous devez effectuer les tches suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-18 Gestion des comptes dutilisateurs et de service

1.

Excutez adprep/forestprep au niveau de la fort et excutez adprep/domainprep au niveau du


domaine.

2.

Dployez un contrleur de domaine excutant Windows Server 2008 R2, Windows Server 2008 avec
le Service passerelle de gestion Active Directory ou Windows Server 2003 avec le Service passerelle
de gestion Active Directory.

Remarque : Le Service passerelle de gestion Active Directory permet aux administrateurs


avec des contrleurs de domaine excutant Windows Server 2003 ou Windows Server 2008
dutiliser des applets de commande Windows PowerShell pour grer des comptes de service grs.

Considrations pour les comptes de service grs sur des contrleurs de domaine
de Windows Server 2012

Sur Windows 2012, les comptes de service grs sont crs comme le nouveau type dobjet de compte de
groupe de service gr par dfaut. Cependant, pour adapter cela, vous devez remplir lune des conditions
pour les comptes de service grs de groupe avant que vous puissiez crer nimporte quel compte de
service gr sur un contrleur de domaine de Windows 2012.
Sur un contrleur de domaine de Windows 2012, une cl racine de services de distribution de cl doit
tre cre pour le domaine avant quaucun compte de service gr puisse tre cr. Pour crer la cl
racine, excutez lapplet de commande suivant partir du module Active Directory PowerShell pour
Windows PowerShell :
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))

Vous trouverez des informations supplmentaires sur les Comptes de service grs de groupe
(notamment des explications supplmentaires sur lapplet de commande ci-dessus) et la cration
de cl racine de Services de distribution de cls plus loin dans cette leon.

Dmonstration : Configuration des comptes de service grs laide


de Windows PowerShell
La cration et la configuration dun compte de service gr requirent lutilisation de quatre applets
de commande du module Active Directory pour Windows PowerShell :

Add-KDSRootkey cre la cl racine des services de distribution de cls pour prendre en charge les
comptes de service grs de groupe, une configuration requise sur les contrleurs de domaine de
Windows Server 2012 :
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))

New-ADServiceAccount cre le compte de service gr dans AD DS :


New-ADServiceAccount Name <MSA Name> -DNSHostname <DC DNS Name>

Install-ADServiceAccount installe le compte de service gr sur un ordinateur hte dans le domaine,


et met le compte de service gr disposition des services sur lordinateur hte :
Install-ADServiceAccount Identity <MSA Name>

Dans cette dmonstration, vous allez apprendre :

4-19

Add-ADComputerServiceAccount associe le compte de service gr avec un compte ordinateur dans


le domaine AD DS :
Add-ADComputerServiceAccount identity <Host Computer Name> -ServiceAccount <MSA
Name>

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

crer la cl racine des services de distribution de cls pour le domaine ;

crer et associer un compte de service gr.

Procdure de dmonstration
Crer la cl racine des services de distribution de cls pour le domaine.
1.

Sur LON-DC1, partir du Gestionnaire de serveur, ouvrez la console Module Active Directory
pour Windows PowerShell.

2.

Utilisez lapplet de commande Add-KDSRootKey pour crer la cl racine des services de distribution
de cls du domaine.

Crer et associer un compte de service gr


1.

Sur LON-DC1, ouvrez la console Module Active Directory pour Windows PowerShell.

2.

Utilisez lapplet commande New-ADServiceAccount pour crer un compte de service gr.

3.

Utilisez lapplet de commande Add-ADComputerServiceAccount pour associer le compte de service


gr avec LON-SVR1.

4.

Utilisez lapplet de commande Get- ADServiceAccount pour afficher le compte de service gr


nouvellement cr et confirmez la bonne configuration.

Installer un compte de service gr


1.

Sur LON-SVR1, ouvrez la console Module Active Directory pour Windows PowerShell.

2.

Utilisez lapplet de commande Install-ADServiceAccount pour installer le Compte de service gr


sur LON-SVR1.

3.

Ouvrez Gestionnaire de serveur, et dmarrez Console de services.

4.

Ouvrez les pages Proprits pour le service Identit de lapplication, puis slectionnez longlet
Connexion.

5.

Configurez le service Identit de lapplication pour utiliser ADATUM\SampleApp_SVR1$.

Que sont les comptes de service grs du groupe ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-20 Gestion des comptes dutilisateurs et de service

Les comptes de service gr de groupe vous


permettent dtendre les fonctions des comptes
de service gr standards plus dun seul serveur
dans votre domaine. Dans les scnarios de batterie
de serveurs tels que des groupes ou des Serveurs
IIS de (NLB) dquilibrage de la charge rseau, il y
a souvent un besoin de diriger des services de
systme ou dapplication sous le mme compte du
service. Les comptes de service gr standards ne
peuvent pas fournir la fonctionnalit de compte
de service gr aux services qui sexcutent sur
plus dun serveur. laide des comptes de service
gr de groupe, vous pouvez configurer plusieurs serveurs pour utiliser le mme compte de service gr,
tout en gardant les avantages des comptes de service gr, comme la maintenance automatique de mot
de passe et la gestion simplifie du nom principal de service.

Configurations requises pour les comptes de service gr de groupe


Pour prendre en charge la fonctionnalit Compte de service gr de groupe, votre environnement doit
rpondre aux exigences suivantes :

Au moins un contrleur de domaine doit excuter Windows Server 2012 pour stocker les
informations de mot de passe gr.

Une cl racine de services KDS doit tre cre sur un contrleur de domaine dans le domaine.
Pour crer la cl racine de services KDS, excutez la commande suivante partir du module Active
Directory pour Windows PowerShell sur un contrleur de domaine de Windows Server 2012 :
Add-KdsRootKey EffectiveImmediately

Remarque : Le commutateur EffectiveImmediately utilise le temps actuel pour tablir


lhorodatage qui marque la cl comme valide. Cependant, en utilisant EffectiveImmediately,
le temps effectif rel est dfini 10 heures plus tard que le temps actuel. Cette diffrence de
10 heures permet la rplication des services de domaine Active Directory de rpliquer les
modifications dautres contrleurs de domaine dans le domaine. des fins de test, il est
possible dignorer cette fonctionnalit en dfinissant le paramtre EffectiveTime 10 heures
avant lheure actuelle :
Add-KdsRootKey EffectiveTime ((get-date).addhours(-10))

Comprendre la fonctionnalit de compte de service gr de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

4-21

Les comptes de service gr de groupe activent la fonctionnalit de compte de service gr travers


plusieurs serveurs en dlguant la gestion des informations de mot de passe du compte de service gr
aux contrleurs de domaine de Windows Server 2012. Ce faisant, la gestion des mots de passe ne dpend
plus des relations entre un serveur unique et AD DS, mais elle est plutt contrle entirement par AD DS.
Lobjet compte de groupe de service gr contient une liste dentits de scurit (des ordinateurs ou des
groupes AD DS) qui sont autoriss rcuprer les informations de mot de passe du compte de groupe
de service gr depuis AD DS, puis utilisent le compte de service gr de groupe pour lauthentification
des services.
Les comptes de service gr de groupe sont crs laide des mmes applets de commande du module
Active Directory pour Windows PowerShell. En fait, les applets de commande utiliss pour la gestion
des comptes de service gr creront des comptes de service gr de groupe, par dfaut.

Sur un contrleur de domaine de Windows Server 2012, crez un nouveau compte de service
gr laide de lapplet de commande New-ADServiceAccount avec le paramtre
PrinicipalsAllowedToRetrieveManagedPassword. Ce paramtre accepte un ou plusieurs comptes
dordinateur spars par des virgules ou des groupes AD DS qui sont autoriss obtenir les informations
de mot de passe pour le compte de service gr de groupe qui est enregistr dans AD DS sur des
contrleurs de domaine de Windows Server 2012.

Par exemple, lapplet de commande suivant crera un nouveau compte de service gr de groupe appel
SQLFarm, et permet aux htes LON-SQL1, LON-SQL2, et LON-SQL3 dutiliser le compte de service gr
de groupe :
New_ADServiceAccount Name LondonSQLFarm PrincipalsAllowedToRetrieveManagedPassword
LON-SQL1, LON-SQL2, LON-SQL3

Une fois quun ordinateur a t ajout en utilisant -PrincipalsAllowedToRetrieveManagedPassword,


le compte du service Compte de service gr de groupe est disponible pour tre attribu aux services
laide du mme processus dattribution en tant que Comptes de service gr standard.

Utilisation des groupes AD DS pour grer des batteries de serveurs de compte


de service gr de groupe

Les groupes de scurit AD DS peuvent tre utiliss pour identifier des comptes de service
gr de groupe. Quand vous utilisez un groupe AD DS pour le paramtre
PrincipalsAllowedToRetriveManagedPassword, tous les ordinateurs qui sont membres de ce groupe
seront autoriss rcuprer le mot de passe et utiliser la fonctionnalit de groupe de compte de service
gr. Lors de lutilisation dun groupe AD DS comme principal autoris rcuprer un mot de passe gr,
tous les comptes qui sont membres du groupe auront galement la mme fonction.

Atelier pratique : Gestion des comptes dutilisateurs


et de service
Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

4-22 Gestion des comptes dutilisateurs et de service

A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client de
Windows Server 2012, et doit implmenter des modifications de la faon dont les comptes dutilisateurs
sont grs dans lenvironnement.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

configurer les paramtres de stratgie de mot de passe et de verrouillage de compte ;

crer et associer un compte de service gr.

Configuration de latelier pratique


Dure approximative : Dure approximative : 45 minutes

Ordinateur virtuel

20411B-LON-DC1

Nom dutilisateur

Administrator

Mot de passe

Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


5-1

Module 5

Implmentation dune infrastructure de stratgie de groupe


Table des matires :
Vue d'ensemble du module

5-1

Leon 1 : Prsentation de la stratgie de groupe

5-2

Leon 2 : Implmentation et administration des objets de stratgie


de groupe

5-12

Leon 3 : tendue de la stratgie de groupe et traitement


de la stratgie de groupe

5-20

Leon 4 : Dpanner lapplication des objets de stratgie de groupe

5-39

Atelier pratique : Implmentation dune infrastructure de stratgie


de groupe

5-46

Contrle des acquis et lments retenir

5-53

Vue densemble du module

La stratgie de groupe fournit une infrastructure dans laquelle vous pouvez dfinir des paramtres de
manire centralise et les dployer aux utilisateurs et aux ordinateurs de votre entreprise. Dans un
environnement gr par une infrastructure bien implmente de stratgie de groupe, il y a trs peu de
configuration par un administrateur touchant directement lordinateur dun utilisateur. Vous pouvez
dfinir, appliquer et mettre jour toute la configuration laide des paramtres des objets de stratgie
de groupe (GPO) ou du filtrage dobjets de stratgie de groupe. laide des paramtres de lobjet de
stratgie de groupe, vous pouvez affecter un site ou un domaine entier au sein dune entreprise ou
focaliser sur une seule unit dorganisation (OU). Ce module dtaillera ce quest la stratgie de groupe,
comment elle fonctionne et comment limplmenter mieux dans votre organisation.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

Dcrire les composants et les technologies qui comportent la structure de stratgie de groupe.

Configurer et comprendre divers types de paramtre de stratgie.

Limiter en tendue les objets de stratgie de groupe laide des liens, des groupes de scurit,
des filtres WMI (Windows Management Instrumentation), du traitement par boucle de rappel
et du ciblage de prfrence.

Dcrire comment les objets de stratgie de groupe sont traits.

Localiser les journaux des vnements qui contiennent des vnements lis la stratgie de groupe
et dpanner lapplication de stratgie de groupe.

Implmentation dune infrastructure de stratgie de groupe

Leon 1

Prsentation de la stratgie de groupe


Une infrastructure de stratgie de groupe comporte des composants dinteraction, et vous devez
comprendre ce que chaque composant fait, comment ces composants fonctionnent ensemble et
comment vous pouvez les assembler dans diffrentes configurations. Cette leon dresse un panorama
complet des composants, des procdures et des fonctions de stratgie de groupe.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-2

Identifier les besoins de lentreprise auxquels peut rpondre la gestion de la configuration.

Dcrire les composants principaux et la terminologie de la stratgie de groupe.

Expliquer les avantages dimplmenter des objets de stratgie de groupe.

Dcrire les objets de stratgie de groupe.

Expliquer la fonction et le comportement des composants dobjet de stratgie de groupe ct client.

Expliquer lactualisation des objets de stratgie de groupe.

Crer et configurer des objets de stratgie de groupe.

Quest-ce que la gestion de la configuration ?


Si vous avez uniquement un ordinateur dans votre
environnement, domicile, par exemple, et que
vous devez modifier larrire-plan du bureau, vous
pouvez le faire de plusieurs faons diffrentes. La
plupart des personnes ouvriraient probablement
Apparence et personnalisation partir de
Panneau de configuration, et font la
modification laide de linterface Windows.
Bien que cela fonctionne bien pour un seul
ordinateur, cela peut tre pnible si vous
souhaitez faire cette modification sur plusieurs
ordinateurs. Limplmentation de nimporte quelle
modification et le maintien dun environnement cohrent est plus difficile avec plusieurs ordinateurs.

La gestion de la configuration est une approche centralise appliquer une ou plusieurs modifications
dun ou plusieurs utilisateurs ou ordinateurs. Les lments cls de la gestion de la configuration sont
les suivants :

Paramtre. Un paramtre est galement appel une dfinition centralise dune modification.
Le paramtre amne un utilisateur ou un ordinateur un tat dsir de configuration.

tendue. Ltendue la modification est la capacit de modifier les ordinateurs des utilisateurs.

Application. Lapplication est un mcanisme ou processus qui assure que le paramtre est appliqu
aux utilisateurs et aux ordinateurs au sein de ltendue.

La stratgie de groupe est une structure au sein de Windows, avec des composants qui rsident dans les
services de domaine Active Directory (AD DS), sur des contrleurs de domaine, et sur chaque serveur et
client Windows, qui vous permet de grer la configuration dans un domaine AD DS.

Vue densemble des stratgies de groupe


Le composant le plus granulaire de la stratgie de
groupe est un paramtre de stratgie individuel,
galement appel une stratgie qui dfinit une
modification de configuration spcifique
appliquer, comme un paramtre de stratgie qui
empche un utilisateur daccder aux outils de
modification de registre. Si vous dfinissez ce
paramtre de stratgie, puis vous lappliquez
lutilisateur, ce dernier ne pourra pas excuter
des outils tels que Regedit.exe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-3

Il est important de savoir que certains paramtres


affectent un utilisateur et sont appels paramtres
de configuration utilisateur (ou stratgies dutilisateur), et dautres affectent lordinateur et sont appels
paramtres de configuration de lordinateur (ou stratgies dordinateur).

La stratgie de groupe gre divers paramtres de stratgie, et la structure de la stratgie de groupe est
extensible. En fin de compte, vous pouvez grer nimporte quel paramtre configurable avec la stratgie
de groupe.
Dans lditeur de gestion des stratgies de groupe, vous pouvez dfinir un paramtre de stratgie
en double-cliquant dessus. La bote de dialogue Proprits du paramtre de stratgie saffiche.
Un paramtre de stratgie peut avoir trois tats : Non configur, Activ et Dsactiv.

Dans un nouvel objet de stratgie de groupe, chaque paramtre de stratgie est par dfaut Non
configur. Cela signifie que lobjet de stratgie de groupe ne peut pas modifier la configuration existante
de ce paramtre particulier pour un utilisateur ou un ordinateur. Si vous activez ou dsactivez un
paramtre de stratgie, cela modifie la configuration des utilisateurs et des ordinateurs auxquels lobjet de
stratgie de groupe est appliqu. Quand vous remettez un paramtre son tat Non configur, vous le
remettez sa valeur par dfaut.
Leffet de la modification dpend du paramtre de stratgie. Par exemple, si vous activez le paramtre de
stratgie Empche laccs aux outils de modifications du Registre, les utilisateurs ne peuvent pas
lancer lditeur du registre Regedit.exe. Si vous dsactivez le paramtre de stratgie, vrifiez que les
utilisateurs peuvent lancer lditeur du registre. Remarquez le double ngatif dans ce paramtre de
stratgie : vous dsactivez une stratgie qui empche une action, vous permettez ainsi cette action.
Certains paramtres de stratgie regroupent plusieurs configurations en une seule stratgie et celles-ci
pourraient requrir des paramtres supplmentaires.
Remarque : Beaucoup de paramtres de stratgie sont complexes, et leur activation ou
dsactivation peut avoir des effets peu vidents. En outre, certains paramtres de stratgie
affectent uniquement certaines versions du systme dexploitation Windows. Veillez examiner le
texte explicatif dun paramtre de stratgie dans le volet dinformations de lditeur de gestion
des stratgies de groupe ou sur longlet Expliquer dans la bote de dialogue Proprits du
paramtre de stratgie. En outre, testez toujours les effets dun paramtre de stratgie et ses
interactions avec dautres paramtres de stratgie avant de dployer une modification de votre
environnement de production.

Implmentation dune infrastructure de stratgie de groupe

Avantages de lutilisation de la stratgie de groupe


Les stratgies de groupe sont des outils
dadministration trs puissants. Vous pouvez les
utiliser pour appliquer divers paramtres un
grand nombre dutilisateurs et dordinateurs.
Puisque vous pouvez les appliquer divers
niveaux, allant du local au domaine, vous pouvez
galement concentrer ces paramtres de faon
trs prcise.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-4

Essentiellement, vous pouvez utiliser les stratgies


de groupe pour configurer des paramtres que
vous ne souhaitez pas que les utilisateurs
configurent. En outre, vous pouvez utiliser des
stratgies de groupe pour standardiser des environnements de bureau sur tous les ordinateurs dans une
unit dorganisation ou dans une entreprise entire, afin de fournir une scurit supplmentaire et
certains paramtres systme avancs, et dautres fins prsentes en dtails dans les sections suivantes.

Appliquer les paramtres de scurit

Dans le systme dexploitation Windows Server 2012, les objets de stratgie de groupe comprennent un
grand nombre de paramtres relatifs la scurit que vous pouvez appliquer aux utilisateurs et aux
ordinateurs. Par exemple, vous pouvez appliquer des paramtres au pare-feu Windows et configurer les
paramtres daudit et autres paramtres de scurit. Vous pouvez galement configurer des ensembles
complets des attributions des droits dutilisateurs.

Grer les paramtres de bureau et des applications

Vous pouvez utiliser une stratgie de groupe pour fournir un environnement cohrent de bureau et des
applications tous les utilisateurs au sein de votre organisation. laide des objets de stratgie de groupe,
vous pouvez configurer chaque paramtre qui affecte lapparence et la convivialit de lenvironnement
utilisateur et configurer galement les paramtres de certaines applications qui prennent en charge les
objets de stratgie de groupe.

Dployer les logiciels


Les stratgies de groupe vous permettent de dployer les logiciels aux utilisateurs et aux ordinateurs.
Vous pouvez utiliser la stratgie de groupe pour dployer tous les logiciels qui sont au format .msi.
En outre, vous pouvez appliquer linstallation de logiciels automatique ou laisser vos utilisateurs dcider
sils souhaitent que les logiciels soient dploys leurs machines.
Remarque : Le dploiement de grands packages avec des objets de stratgie de groupe
peut ne pas tre le moyen le plus efficace pour distribuer une application aux ordinateurs de
votre organisation. Dans de nombreuses circonstances, il peut tre plus efficace de distribuer les
applications dans le cadre de limage dordinateur de bureau.

Grer la redirection de dossiers

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-5

Avec la redirection de dossier, vous pouvez grer et sauvegarder des donnes de manire rapide et facile.
En redirigeant des dossiers, vous assurez galement que les utilisateurs aient accs leurs donnes
indpendamment de lordinateur sur lequel ils se connectent. En outre, vous pouvez centraliser toutes les
donnes dutilisateurs en un seul endroit sur le serveur rseau, tout en offrant une exprience utilisateur
semblable lenregistrement de ces dossiers sur leurs ordinateurs. Par exemple, vous pouvez configurer la
redirection de dossier pour rediriger les dossiers Documents des utilisateurs vers un dossier partag sur un
serveur rseau.

Configurer les paramtres rseau

Lutilisation de la stratgie de groupe vous permet de configurer divers paramtres rseau sur des
ordinateurs client. Par exemple, vous pouvez appliquer des paramtres aux rseaux sans fil pour
permettre aux utilisateurs de se connecter uniquement aux identifiants SSID spcifiques, et avec des
paramtres prdfinis dauthentification et de chiffrement. Vous pouvez galement dployer les stratgies
qui sappliquent aux paramtres de rseau cbl et configurer galement le ct client des services, tels
que la protection daccs rseau (NAP).

Objets de stratgie de groupe


Les paramtres de stratgie sont dfinis et existent
au sein dun objet de stratgie de groupe. Un
objet de stratgie de groupe est un objet qui
contient un ou plusieurs paramtres de stratgie
qui sappliquent un ou plusieurs paramtres de
configuration pour un utilisateur ou un ordinateur.
Remarque : Les objets de stratgie de
groupe peuvent tre grs dans AD DS laide
de la console Gestion des stratgies de groupe
(GPMC).
Les objets de stratgie de groupe sont affichs dans un conteneur nomm Objets de stratgie de
groupe .

Pour crer un nouvel objet de stratgie de groupe, cliquez avec le bouton droit sur le conteneur Objets
de stratgie de groupe, puis cliquez sur Nouveau.
Pour modifier les paramtres de configuration dans un objet de stratgie de groupe, cliquez avec le
bouton droit sur lobjet de stratgie de groupe, puis cliquez sur Modifier. Le composant logiciel
enfichable diteur de gestion des stratgies de groupe souvre.

Implmentation dune infrastructure de stratgie de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-6

Lditeur de gestion des stratgies de groupe affiche les milliers de paramtres de stratgie disponibles
dans un objet de stratgie de groupe selon une hirarchie organise qui commence par la division entre
les paramtres de lordinateur et les paramtres utilisateurs : le nud Configuration ordinateur et le
nud Configuration utilisateur.

Les deux niveaux suivants de la hirarchie sont des nuds appels Stratgies et Prfrences. Vous
apprendrez la diffrence entre ces deux nuds plus tard dans ce module. En descendant le long de la
hirarchie, vous pouvez voir que lditeur de gestion des stratgies de groupe affiche les dossiers, qui sont
galement appels des nuds ou des groupes de paramtre de stratgie. Dans les dossiers, il y a les
paramtres de stratgie eux-mmes.
Remarque : Lobjet de stratgie de groupe doit tre appliqu un domaine, un site, ou
une unit dorganisation dans la hirarchie AD DS pour les paramtres au sein de lobjet pour
entrer en vigueur.

tendue des objets de stratgie de groupe


La configuration est dfinie par les paramtres de
stratgie dans les objets de stratgie de groupe.
Cependant, les modifications de configuration
dans un objet de stratgie de groupe naffectent
pas les ordinateurs ou les utilisateurs dans votre
organisation jusqu ce que vous spcifiiez les
ordinateurs ou les utilisateurs auxquels lobjet de
stratgie de groupe sapplique. Ce phnomne est
appel tendue de lobjet de stratgie de groupe.
Ltendue dun objet de stratgie de groupe
dsigne lensemble des utilisateurs et ordinateurs
qui appliqueront les paramtres dans lobjet de
stratgie de groupe.

Vous pouvez utiliser plusieurs mthodes pour grer ltendue des objets de stratgie de groupe.
La premire est la liaison de lobjet de stratgie de groupe. Vous pouvez lier des objets de stratgie de
groupe aux sites, aux domaines et aux units dorganisation dans AD DS. Le site, le domaine ou lunit
dorganisation devient alors ltendue maximale de lobjet de stratgie de groupe. Tous les ordinateurs et
utilisateurs au sein du site, du domaine ou de lunit dorganisation, y compris ceux au sein des units
dorganisation enfants, seront affects par les configurations que les paramtres de stratgie dans lobjet
de stratgie de groupe spcifient.
Remarque : Vous pouvez lier un objet de stratgie de groupe plusieurs domaines, units
dorganisation ou sites. La liaison des objets de stratgie de groupe plusieurs sites peut prsenter
des problmes de performances quand la stratgie est applique, et vous devez viter de lier un
objet de stratgie de groupe plusieurs sites. Cest parce que dans un rseau multisite, les objets de
stratgie de groupe sont enregistrs dans les contrleurs de domaine du domaine racine de fort.
La consquence de cela est que les ordinateurs dans dautres domaines peuvent devoir parcourir
une liaison lente de rseau tendu (WAN) pour obtenir les objets de stratgie de groupe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-7

Vous pouvez rtrcir davantage ltendue de lobjet de stratgie de groupe avec lun des deux types de
filtres. Les filtres de scurit spcifient les groupes de scurit qui tombent au sein de ltendue de lobjet
de stratgie de groupe, mais auxquels lobjet de stratgie de groupe devrait ou ne devrait pas sappliquer
explicitement. Les filtres WMI spcifient une tendue laide des caractristiques dun systme, telles que
la version du systme dexploitation ou lespace disque disponible. Utilisez les filtres de scurit et les
filtres WMI pour rtrcir ou spcifier ltendue dans ltendue initiale que la liaison de lobjet de stratgie
de groupe a cre.
Remarque : Windows Server 2008 comprend un nouveau composant de stratgie de
groupe : Les prfrences de stratgie de groupe. Les paramtres qui sont configurs par des
prfrences de stratgie de groupe dans un objet de stratgie de groupe peuvent tre filtrs ou
cibls selon plusieurs critres. Les prfrences cibles vous permettent de raffiner davantage
ltendue des prfrences dans un objet de stratgie de groupe unique.

Client de stratgie de groupe et extensions ct client


Application de la stratgie de groupe
Il est important de comprendre comment les
stratgies de groupe sappliquent aux ordinateurs
client. Le plan ci-dessous dtaille le processus :
1.

Quand lactualisation de la stratgie de


groupe commence, un service qui sexcute
sur tous les ordinateurs Windows, appel le
client de stratgie de groupe dans Windows
Vista, Windows 7, Windows 8, Windows
Server 2008, Windows Server 2008 R2, et
Windows Server 2012, dtermine les GPO qui
sappliquent lordinateur ou lutilisateur.

2.

Ce service tlcharge tous les objets de stratgie de groupe qui ne sont pas dj mis en cache.

3.

Les extensions ct client (CSE) interprtent les paramtres dans un objet de stratgie de groupe et
effectuent les modifications appropries lordinateur local ou lutilisateur qui a actuellement
ouvert une session. Il y a des extensions CSE pour chaque catgorie majeure de paramtre de
stratgie. Par exemple, il y a une extension CSE de scurit qui applique des modifications de scurit,
une extension CSE qui excute les scripts de dmarrage et douverture de session, une extension CSE
qui installe les logiciels, et une extension CSE qui effectue des modifications aux cls et aux valeurs
de Registre. Chaque version de Windows a ajout des extensions CSE pour tendre ltendue
fonctionnelle de la stratgie de groupe, et il y a plusieurs dizaines dextensions CSE dans Windows.

Implmentation dune infrastructure de stratgie de groupe

Lun des concepts les plus importants dont il faut se souvenir au sujet de la stratgie de groupe est
quelle est trs pilote par le client. Le client de stratgie de groupe extrait les objets de stratgie de
groupe du domaine, dclenchant ainsi les extensions CSE qui doivent sappliquer les paramtres
localement. La stratgie de groupe nest pas une technologie Push.
En fait, vous pouvez configurer le comportement des extensions CSE laide de la stratgie de groupe.
La plupart des extensions CSE appliqueront des paramtres dans un objet de stratgie de groupe
uniquement si cet objet de stratgie de groupe a chang. Ce comportement amliore le traitement de
la stratgie globale, en liminant les applications redondantes des mmes paramtres. La plupart des
stratgies sont appliques de telle manire que les utilisateurs standards ne puissent pas modifier le
paramtre sur leur ordinateur ; ils seront toujours sujets la configuration applique par la stratgie de
groupe. Cependant, les utilisateurs standard peuvent modifier certains paramtres, et beaucoup deux
peuvent tre modifis si un utilisateur est un administrateur sur ce systme. Si les utilisateurs dans votre
environnement sont des administrateurs sur leurs ordinateurs, vous devez envisager de configurer les
extensions CSE pour rappliquer les paramtres de stratgie, mme si lobjet de stratgie de groupe na
pas chang. De cette faon, si un utilisateur administrateur modifie une configuration de sorte quelle
ne soit plus conforme avec la stratgie, cette configuration sera rinitialise son tat conforme la
prochaine actualisation de la stratgie de groupe.
Remarque : Vous pouvez configurer des extensions CSE pour rappliquer des paramtres
de stratgie lors de lactualisation en tche de fond suivante, mme si lobjet de stratgie de
groupe na pas chang. Vous pouvez faire cette opration en configurant un objet de stratgie
de groupe dont ltendue est applique aux ordinateurs, puis en dfinissant les paramtres dans
le nud Configuration de lordinateur\Stratgies\Modles dadministration\Systme\Stratgie
de groupe. Pour chaque extension CSE que vous souhaitez configurer, ouvrez son paramtre de
stratgie du traitement de la stratgie, tel que le traitement de la stratgie du Registre pour
lextension CSE du Registre. Cliquez sur Activ, et activez la case cocher Traiter mme si les
objets de stratgie de groupe nont pas chang.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-8

Lextension de scurit CSE gre une exception importante aux paramtres de traitement de la stratgie
par dfaut. Les paramtres de scurit sont rappliqus toutes les 16 heures, mme si un objet de
stratgie de groupe na pas chang.
Remarque : Activez le paramtre de stratgie Toujours attendre le rseau lors du dmarrage
de lordinateur et de louverture de session pour tous les clients Windows. Sans ce paramtre, les
clients Windows XP, Windows Vista, Windows 7 et Windows 8 excutent, par dfaut, uniquement des
actualisations en tche de fond. Cela signifie quun client peut dmarrer, et un utilisateur pourrait ensuite
se connecter sans recevoir les dernires stratgies du domaine. Le paramtre est situ dans Configuration
de lordinateur\Stratgies\Modles dadministration\Systme\Ouverture de session. Veillez lire le texte
explicatif du paramtre de stratgie.

Actualisation de la stratgie de groupe

Les paramtres de stratgie dans le nud Configuration de lordinateur sont appliqus au dmarrage
du systme, puis toutes les 90 120 minutes. Les paramtres de stratgie de configuration utilisateur sont
appliqus louverture de session, puis toutes les 90 120 minutes. Lapplication des stratgies est
appele actualisation de la stratgie de groupe .
Remarque : Vous pouvez galement forcer lactualisation dune stratgie laide de la
commande GPUpdate.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-9

Dmonstration : Procdure de cration dun objet de stratgie de groupe


et configurer ses paramtres
Les paramtres de stratgie de groupe, galement appels stratgies , sont contenus dans un objet
de stratgie de groupe, et vous pouvez les afficher et les modifier laide de lditeur de gestion des
stratgies de groupe. Cette dmonstration traite plus en dtail les catgories de paramtres disponibles
dans un objet de stratgie de groupe.

Configuration ordinateur et configuration utilisateur

Il y a deux grandes subdivisions des paramtres de la stratgie : les paramtre de lordinateur, qui sont
contenus dans le nud Configuration ordinateur, et les paramtres utilisateurs, qui sont contenus dans
le nud Configuration utilisateur :

le nud Configuration ordinateur contient les paramtres qui sont appliqus aux ordinateurs,
indpendamment de celui qui y ouvre une session. Les paramtres de lordinateur sont appliqus
lorsque le systme dexploitation dmarre, pendant les actualisations en tche de fond, et ensuite
toutes les 90 120 minutes.

Le nud Configuration utilisateur contient les paramtres qui sont appliqus quand un utilisateur
ouvre une session dans lordinateur, pendant les actualisations en tche de fond, et ensuite toutes les
90 120 minutes.

Dans les nuds Configuration ordinateur et Configuration utilisateur, il y a les nuds Stratgies et
Prfrences. Les stratgies sont des paramtres qui sont configurs et se comportent de manire similaire
aux paramtres de stratgie dans les systmes dexploitation Windows plus anciens. Les prfrences ont
t prsentes dans Windows Server 2008.
Dans les nuds Stratgies de la configuration ordinateur et de la configuration utilisateur, il y a une
hirarchie des dossiers qui contiennent des paramtres de stratgie. Puisquil y a des milliers de
paramtres, leur examen individuel dpasse le cadre de ce cours. Cependant, il est intressant de dfinir
les grandes catgories des paramtres dans les dossiers.

Nud des paramtres du logiciel

Le nud Paramtres du logiciel est le premier nud. Il contient uniquement lextension dinstallation
du logiciel, qui vous aide spcifier comment les applications sont installes et gres au sein de votre
organisation.

Nud des paramtres de Windows


Dans chacun des deux nuds Configuration ordinateur et Configuration utilisateur, le nud
Stratgies contient un nud Paramtres Windows, qui comprend les nuds Scripts, Paramtres
de scurit, et QoS base sur la stratgie.
Remarque : Il contient galement le dossier de stratgie de rsolution de noms, qui
contient des paramtres pour configurer Windows 8 DirectAccess, lequel est prsent dans un
module ultrieur.

Nud de scripts

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-10 Implmentation dune infrastructure de stratgie de groupe

Lextension de scripts vous permet de spcifier deux types de scripts : dmarrage/arrt (dans le nud
Configuration ordinateur) et ouverture/fermeture de session (dans le nud Configuration utilisateur).
Les scripts dmarrage/arrt fonctionnent au dmarrage ou larrt de lordinateur. Les scripts
ouverture/fermeture de session fonctionnent quand un utilisateur ouvre ou ferme une session. Quand
vous attribuez plusieurs scripts ouverture/fermeture de session ou dmarrage/arrt un utilisateur ou
un ordinateur, lextension CSE de scripts excute les scripts de haut en bas. Vous pouvez dterminer
lordre dexcution de plusieurs scripts dans la bote de dialogue Proprits. Lorsquun ordinateur est
arrt, lextension CSE traite dabord les scripts de fermeture de session, ensuite les scripts darrt. Par
dfaut, le dlai de traitement des scripts est de 10 minutes. Si les scripts de fermeture de session et darrt
ont besoin de plus de 10 minutes pour tre traits, vous devez rgler la valeur du dlai avec un paramtre
de stratgie. Vous pouvez vous servir de nimporte quel langage de script ActiveX pour crire les scripts.
Microsoft Visual Basic Scripting Edition (VBScript), Microsoft JScript, Perl et les fichiers de commandes
par lot Microsoft MS-DOS (.bat et .cmd) sont certaines des possibilits. Les scripts douverture de session
sur un rpertoire rseau partag dans une autre fort sont pris en charge pour louverture de session
rseau dans les forts. Windows 7 et Windows 8 prennent galement tous deux en charge les scripts
Windows PowerShell.

Nud des paramtres de scurit


Le nud Paramtres de scurit permet un administrateur de scurit de configurer la scurit
laide des objets de stratgie de groupe. Cela peut tre fait par la suite, ou plutt, laide dun modle
de scurit pour dfinir la scurit des systmes.

Nud de qualit de service (QoS) base sur la stratgie

Ce nud de qualit de service (QoS), appel nud Qualit de service (QoS) base sur la stratgie,
dfinit les stratgies qui grent le trafic rseau. Par exemple, vous pouvez souhaiter vrifier que les
utilisateurs du service financier ont la priorit pour excuter une application rseau critique au cours de la
priode de dclaration financire de fin danne. Le nud Qualit de service (QoS) base sur la
stratgie vous permet de le faire.
Dans le nud Configuration utilisateur uniquement, le dossier des paramtres Windows contient les
nuds supplmentaires Services dinstallation distance, Redirection de dossiers et Maintenance
Internet Explorer. Les stratgies de services dinstallation distance (RIS) contrlent le comportement
dune installation du systme dexploitation distante. La redirection de dossiers vous permet de rediriger
les donnes dutilisateur et les dossiers de paramtres tels que AppData, Bureau, Documents, Images,
Musique, et Favoris de leur emplacement de profil utilisateur par dfaut un autre emplacement sur le
rseau, o ils peuvent tre grs de manire centralise. La maintenance Internet Explorer vous permet
dadministrer et de personnaliser Windows Internet Explorer.

Nud de modles dadministration


Dans les nuds Configuration ordinateur et Configuration utilisateur, le nud Modles
dadministration contient les paramtres de stratgie de groupe bass sur le registre. Il y a des milliers
de tels paramtres disponibles pour configurer lenvironnement utilisateur et ordinateur. En tant
quadministrateur, vous pouvez passer normment de temps manipuler ces paramtres. Pour vous
aider, une description de chaque paramtre de stratgie est disponible dans deux emplacements :

Dans longlet Expliquer dans la bote de dialogue Proprits du paramtre. En outre, longlet
Paramtres de la bote de dialogue Proprits de chaque paramtre rpertorie galement le
systme dexploitation ou le logiciel requis pour le paramtre.

Dans longlet tendu de lditeur de gestion des stratgies de groupe. Longlet tendu apparat sur
la partie droite infrieure du volet dinformations, et donne une description de chaque paramtre
slectionn dans une colonne entre larborescence de la console et le volet de paramtres. Le systme
dexploitation ou le logiciel requis pour chaque paramtre est galement rpertori.

Demonstration
Cette dmonstration montre comment :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-11

1.

ouvrir la console Gestion des stratgies de groupe ;

2.

crer un objet de stratgie de groupe appel Bureau dans le conteneur Stratgie de groupe ;

3.

dans la configuration ordinateur, empcher le dernier nom de connexion de safficher, puis empcher
Windows Installer de sexcuter ;

4.

dans la configuration utilisateur, supprimer le lien Rechercher du menu Accueil, puis masquer longlet
de paramtres daffichage.

Procdure de dmonstration
Utiliser la console GPMC pour crer un nouvel objet de stratgie de groupe
1.

Connectez-vous LON-DC1 en tant quadministrateur.

2.

Ouvrez la console Gestion des stratgies de groupe.

3.

Crez un nouvel objet de stratgie de groupe appel Bureau .

Configurer les paramtres de stratgie de groupe


1.

Ouvrez la nouvelle stratgie Bureau pour sa modification.

2.

Dans la configuration ordinateur, empchez le dernier nom de connexion de safficher, puis


empchez Windows Installer de sexcuter.

3.

Dans la configuration utilisateur, supprimez le lien Rechercher du menu Accueil, puis masquez
longlet de paramtres daffichage.

4.

Fermez toutes les fentres.

Leon 2

Implmentation et administration des objets de stratgie


de groupe
Dans cette leon, vous examinerez des objets de stratgie de groupe plus en dtails, et apprendrez
comment crer, lier, modifier, grer et administrer de tels objets et leurs paramtres.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrire les objets de stratgie de groupe bass sur un domaine.

Expliquer comment crer, lier, et modifier des objets de stratgie de groupe.

Expliquer le stockage dobjet de stratgie de groupe.

dcrire les objets de stratgie de groupe Starter.

Excuter des tches courantes de gestion des objets de stratgie de groupe.

Expliquer comment dlguer ladministration des objets de stratgie de groupe.

Dcrire comment utiliser Windows PowerShell pour grer des objets de stratgie de groupe.

Objets de stratgie de groupe bass sur un domaine.


Les objets de stratgie de groupe bass sur un
domaine sont crs dans AD DS et enregistrs
sur des contrleurs de domaine. Vous pouvez les
utiliser pour grer la configuration de manire
centralise pour les utilisateurs et les ordinateurs
du domaine. Le reste de ce cours se rapporte
aux objets de stratgie de groupe bass sur un
domaine plutt quaux objets de stratgie de
groupe locaux, sauf indication contraire.
Quand vous installez AD DS, deux objets de
stratgie de groupe par dfaut sont crs :
Stratgie de contrleurs de domaine par dfaut et
stratgie de domaine par dfaut.

Stratgie de domaine par dfaut

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-12 Implmentation dune infrastructure de stratgie de groupe

Cet objet de stratgie de groupe est li au domaine et na ni groupe de scurit, ni filtre WMI. Par
consquent, il affecte tous les utilisateurs et ordinateurs du domaine, y compris les ordinateurs qui sont
des contrleurs de domaine. Cet objet de stratgie de groupe contient des paramtres de stratgie qui
spcifient les stratgies de mot de passe, de verrouillage de compte et de protocole Kerberos version 5.
Vous ne devez pas ajouter de paramtres de stratgie indpendants cet objet de stratgie de groupe.
Si vous devez configurer dautres paramtres appliquer largement votre domaine, crez des objets de
stratgie de groupe supplmentaires qui sont lis au domaine.

Stratgie des contrleurs de domaine par dfaut

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-13

Cet objet de stratgie de groupe est li lunit dorganisation des contrleurs de domaine. Puisque les
comptes dordinateur des contrleurs de domaine sont maintenus exclusivement dans lunit
dorganisation des contrleurs de domaine, et que dautres comptes dordinateur doivent tre maintenus
dans dautres units dorganisation, cet objet de stratgie de groupe affecte uniquement les contrleurs
de domaine. Vous devez modifier lobjet de stratgie de groupe des contrleurs de domaine par dfaut
pour implmenter vos stratgies daudit et pour attribuer les droits dutilisateur requis sur les contrleurs
de domaine.
Remarque : Les ordinateurs Windows ont galement des objets de stratgie
de groupe locaux, qui sont utiliss quand les ordinateurs ne sont pas connects aux
environnements de domaine. Windows Vista, Windows 7, Windows 8, Windows Server 2008,
Windows Server 2008 R2, et Windows Server 2012 prennent en charge la notion de plusieurs
objets de stratgie de groupe locaux. Lobjet de stratgie de groupe dordinateur local est
identique celui des versions Windows prcdentes. Dans le nud Configuration ordinateur,
vous pouvez configurer tous les paramtres relatifs lordinateur. Dans le nud Configuration
utilisateur, vous pouvez configurer les paramtres que vous souhaitez appliquer tous les
utilisateurs sur lordinateur. Les paramtres utilisateur dans lobjet de stratgie de groupe de
lordinateur local peuvent tre modifis par les paramtres utilisateurs dans deux nouveaux
objets de stratgie de groupe locaux : administrateurs et non-administrateurs. Ces deux objets de
stratgie de groupe appliquent des paramtres utilisateurs aux utilisateurs connects selon quils
sont membres du groupe dadministrateurs locaux, auquel cas ils utilisent lobjet de stratgie de
groupe administrateurs, ou pas membres du groupe dadministrateurs et utilisent, dans ce cas,
lobjet de stratgie de groupe non administrateurs. Vous pouvez affiner davantage les
paramtres utilisateur avec un objet de stratgie de groupe local qui sapplique un compte
utilisateur spcifique. Les objets de stratgie de groupe locaux spcifiques lutilisateur sont
associs aux comptes dutilisateurs locaux et non ceux du domaine.
Il est important de comprendre que le paramtre de lobjet de stratgie de groupe bas sur un
domaine est combin avec ceux appliqus en utilisant les objets de stratgie de groupe locaux,
mais comme les objets de stratgie de groupe bass sur un domaine sappliquent en dernier,
ils ont la priorit sur les paramtres de lobjet de stratgie de groupe local.

Stockage de lobjet de stratgie de groupe


Les paramtres de stratgie de groupe sont
prsents sous forme dobjets de stratgie de
groupe dans les outils dinterface utilisateur
AD DS, mais un objet de stratgie de groupe
reprsente en ralit deux composants : un
conteneur de stratgie de groupe et un modle
de stratgie de groupe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-14 Implmentation dune infrastructure de stratgie de groupe

Le conteneur de stratgie de groupe est un objet AD DS enregistr dans le conteneur dobjets de


stratgie de groupe au sein du contexte dattribution de noms de domaine du rpertoire. Comme tous les
objets AD DS, chaque conteneur de stratgie de groupe comprend un attribut didentificateur global
universel (GUID) qui identifie de faon distincte lobjet dans AD DS. Le conteneur de stratgie de groupe
dfinit des attributs de base de lobjet de stratgie de groupe, mais il ne contient aucun de ces
paramtres. Les paramtres sont contenus dans le modle de stratgie de groupe, une collection de
fichiers enregistrs dans le volume systme (SYSVOL) de chaque contrleur de domaine dans le chemin
daccs %SystemRoot%\SYSVOL\Domaine\Stratgies\GPOGUID, o GPOGUID est lidentificateur
GUID du conteneur de stratgie de groupe. Quand vous apportez des modifications aux paramtres dun
objet de stratgie de groupe, celles-ci sont enregistres dans le modle de stratgie de groupe du serveur
o lobjet de stratgie de groupe a t ouvert.
Par dfaut, lors de lactualisation de la stratgie de groupe, les extensions CSE appliquent des paramtres
dans un objet de stratgie de groupe uniquement si celui-ci a t mis jour.

Le client de stratgie de groupe peut identifier un objet de stratgie de groupe mis jour par son numro
de version. Chaque objet de stratgie de groupe a un numro de version qui est incrment chaque fois
quune modification est faite. Le numro de version est enregistr comme attribut de conteneur de
stratgie de groupe et dans un fichier texte, Group Policy template.ini, dans le dossier Modle de stratgie
de groupe. Le client de stratgie de groupe connat le numro de version de chaque objet de stratgie de
groupe quil a prcdemment appliqu. Si, pendant lactualisation de la stratgie de groupe, le client de
stratgie de groupe dcouvre que le numro de version du conteneur de la stratgie de groupe a t
modifi, les extensions CSE seront informes que lobjet de la stratgie de groupe est mis jour.

Rplication GPO

Le conteneur de la stratgie de groupe et le modle de la stratgie de groupe sont tous les deux rpliqus
entre tous les contrleurs de domaine dans AD DS. Cependant, diffrents mcanismes de rplication sont
utiliss pour ces deux lments.
Le conteneur de la stratgie de groupe dans AD DS est rpliqu par lagent de duplication dannuaire
(DRA). Lagent de rcupration de donnes utilise une topologie gnre par le vrificateur de cohrence
des connaissances (KCC), que vous pouvez dfinir ou raffiner manuellement. Le rsultat est que le
conteneur de la stratgie de groupe est rpliqu en quelconques secondes tous les contrleurs de
domaine dans un site et est rpliqu entre les sites selon votre configuration de rplication intersite.
Le modle de la stratgie de groupe dans le volume SYSVOL est rpliqu laide de lune des
deux technologies suivantes : Le service de rplication de fichiers (FRS) est utilis pour rpliquer
le volume SYSVOL dans les domaines excutant Windows Server 2008, Windows Server 2008 R2,
Windows Server 2003, et Windows 2000. Si tous les contrleurs de domaine excutent
Windows Server 2008 ou une version ultrieure, vous pouvez configurer la rplication du volume SYSVOL
laide de la rplication DFS, qui est un mcanisme beaucoup plus efficace et plus fiable.
Puisque le conteneur de la stratgie de groupe et le modle de la stratgie de groupe sont rpliqus
sparment, il est possible quils deviennent hors de synchronisation pendant une courte priode.

En gnral, quand cela se produit, le conteneur de la stratgie de groupe rpliquera dabord sur un
contrleur de domaine. Les systmes qui ont obtenu leur liste trie dobjets de stratgie de groupe
partir de ce contrleur de domaine identifieront le nouveau conteneur de stratgie de groupe, tenteront
de tlcharger le modle de stratgie de groupe et remarqueront que les numros de version ne sont
pas identiques. Une erreur de traitement de stratgie sera enregistre dans les journaux des vnements.
Si linverse se produit, et lobjet de stratgie de groupe rplique sur un contrleur de domaine avant le
conteneur de stratgie de groupe, les clients obtenant leur liste trie dobjets de stratgie de groupe de
ce contrleur de domaine ne seront pas aviss du nouvel objet de stratgie de groupe jusqu ce que le
conteneur de stratgie de groupe ait t rpliqu.

Objets de stratgie de groupe Starter

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-15

Un objet de stratgie de groupe Starter est utilis


comme modle, partir duquel dautres objets de
stratgie de groupe sont crs dans la console
GPMC. Les objets de stratgie de groupe Starter
ne peuvent contenir que des paramtres de
modle dadministration. Vous pouvez utiliser un
objet de stratgie de groupe Starter pour fournir
un point de dpart pour de nouveaux objets de
stratgie de groupe crs dans votre domaine.
Lobjet de stratgie de groupe Starter peut dj
contenir des paramtres spcifiques qui sont des
bonnes pratiques recommandes pour votre
environnement. Les objets de stratgie de groupe Starter peuvent tre exports vers et imports depuis
des fichiers .cab pour rendre la distribution vers dautres environnements simple et efficace.
La console GPMC enregistre les objets de stratgie de groupe Starter dans un dossier nomm
StarterGPOs situ dans le volume SYSVOL.

Les objets de stratgie de groupe Starter prconfigurs de Microsoft sont disponibles pour des systmes
dexploitation client Windows. Ces objets de stratgie de groupe Starter contiennent les paramtres
du modle dadministration, qui refltent les bonnes pratiques Microsoft recommandes pour la
configuration de lenvironnement client.

Tches courantes de gestion des objets de stratgie de groupe


Comme les donnes critiques et les ressources
AD DS connexes, vous devez sauvegarder les
objets de stratgie de groupe pour protger
lintgrit dAD DS et des objets de stratgie de
groupe. La console GPMC offre non seulement
les options de base de sauvegarde et de
restauration, mais galement le contrle
supplmentaire des objets de stratgie de groupe
des fins administratives. Les options de gestion
des objets de stratgie de groupe comprennent
les suivantes :

Sauvegarde des objets de stratgie de groupe

Vous pouvez sauvegarder des objets de stratgie de groupe individuellement ou collectivement avec la
console GPMC. Vous devez indiquer uniquement un emplacement de sauvegarde, qui peut tre nimporte
quel dossier local ou partag valide. Vous devez avoir lautorisation de lecture de lobjet de stratgie de
groupe pour le sauvegarder. Chaque fois que vous effectuez une sauvegarde, une nouvelle version de
sauvegarde de lobjet de stratgie de groupe est cre, ce qui fournit un enregistrement historique.

Restauration des objets de stratgie de groupe sauvegards

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-16 Implmentation dune infrastructure de stratgie de groupe

Vous pouvez restaurer nimporte quelle version dun objet de stratgie de groupe. Si lune devient
corrompue ou si vous la supprimez, vous pouvez alors restaurer lune des versions historiques de cet objet
de stratgie de groupe. Linterface de restauration vous offre la capacit dafficher les paramtres
enregistrs dans la version sauvegarde avant de la restaurer.

Importation de paramtres des objets de stratgie de groupe partir dun objet


de stratgie de groupe sauvegard

Vous pouvez importer les paramtres de stratgie dun objet de stratgie de groupe dans un autre.
Limportation dun objet de stratgie de groupe vous permet de transfrer des paramtres partir dun
objet de stratgie de groupe sauvegard vers un objet de stratgie de groupe existant. Limportation
dun objet de stratgie de groupe transfre uniquement les paramtres de lobjet de stratgie de groupe.
Le processus dimportation nimporte pas les liaisons de lobjet de stratgie de groupe. Les entits de
scurit dfinies dans la source peuvent devoir tre migres la cible.
Remarque : Il nest pas possible de fusionner les paramtres imports avec les paramtres
actuels de lobjet de stratgie de groupe cible. Les paramtres imports remplaceront tous les
paramtres existants.

Copie des objets de stratgie de groupe

Vous pouvez copier les objets de stratgie de groupe laide de la console GPMC, dans le mme domaine
et entre les domaines. Une opration de copie copie un objet de stratgie de groupe dynamique existant
dans le domaine de destination souhait. Un nouvel objet de stratgie de groupe est toujours cr
pendant ce processus. Le nouvel objet de stratgie de groupe est nomm copie dOldGPOName . Par
exemple, si vous avez copi un objet de stratgie de groupe nomm Bureau , la nouvelle version sera
appele Copie de Bureau . Une fois le fichier copi et coll dans le conteneur des objets de stratgie de
groupe, vous pouvez renommer la stratgie. Le domaine de destination peut tre nimporte quel domaine
approuv o vous avez les droits de crer de nouveaux objets de stratgie de groupe. Lors de la copie
entre domaines, les entits de scurit dfinies dans la source peuvent devoir tre migres la cible.
Remarque : Il nest pas possible de copier les paramtres partir de plusieurs objets de
stratgie de groupe dans un seul objet de stratgie de groupe.

Tables de migration

Lors de limportant des objets de stratgie de groupe ou leur copie entre les domaines, vous pouvez
utiliser des tables de migration pour modifier les rfrences dans lobjet de stratgie de groupe qui
doivent tre rgles pour le nouvel emplacement. Par exemple, vous pouvez devoir remplacer le chemin
daccs de la convention daffectation des noms (UNC) pour la redirection des dossiers par un chemin
UNC adapt au nouveau groupe dutilisateurs auquel lobjet de stratgie de groupe sera appliqu. Vous
pouvez crer des tables de migration avant ce processus ou les crer pendant lopration dimportation
ou de copie entre domaines.

Dlgation de ladministration des stratgies de groupe


La dlgation des tches lies aux objets de
stratgie de groupe vous permet de distribuer
la charge de travail administrative travers
lentreprise. Vous pouvez charger un groupe en
crant et en modifiant des objets de stratgie de
groupe, alors quun autre groupe assure les
fonctions de rapport et danalyse. Un troisime
groupe pourrait tre charg de la cration des
filtres WMI.
Vous pouvez dlguer les tches de stratgie de
groupe suivantes indpendamment :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-17

Cration dobjets de stratgie de groupe

Modification dobjets de stratgie de groupe

Gestion des liaisons de stratgies de groupe pour un site, un domaine ou une unit dorganisation

Excution des analyses de modlisation de stratgie de groupe dans un domaine ou une unit
dorganisation donn

Lecture des donnes des rsultats de stratgie de groupe pour des objets dans un domaine
ou une unit dorganisation donn

Cration de filtres WMI dans un domaine

Le groupe Propritaires crateurs de la stratgie de groupe laisse ses membres crer de nouveaux objets
de stratgie de groupe, et modifie ou supprime les objets de stratgie de groupe quils ont crs.

Autorisations de stratgie de groupe par dfaut


Par dfaut, lutilisateur et les groupes suivants ont le contrle total de la gestion dobjet de stratgie
de groupe :

Admins du domaine

Administrateurs de lentreprise

Propritaire crateur

Systme local

Le groupe Utilisateur authentifi dispose des autorisations Appliquer la stratgie de groupe et Lire.

Cration dobjets de stratgie de groupe

Par dfaut, seuls les administrateurs du domaine, les administrateurs de lentreprise et les propritaires
crateurs de la stratgie de groupe peuvent crer de nouveaux objets de stratgie de groupe. Vous
pouvez utiliser deux mthodes pour accorder ce droit un groupe ou un utilisateur :

Ajouter lutilisateur ou le groupe au groupe de propritaires crateurs de la stratgie de groupe.

Accorder explicitement au groupe ou lutilisateur lautorisation de crer des objets de stratgie de


groupe laide de la console GPMC.

Modification dobjets de stratgie de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-18 Implmentation dune infrastructure de stratgie de groupe

Pour modifier un objet de stratgie de groupe, lutilisateur doit y avoir laccs aussi bien en lecture quen
criture. Vous pouvez accorder cette autorisation laide de la console GPMC.

Gestion des liaisons des objets de stratgie de groupe

La capacit de lier des objets de stratgie de groupe un conteneur est une autorisation qui est
spcifique ce conteneur. Dans la console GPMC, vous pouvez grer cette autorisation laide de longlet
Dlgation du conteneur. Vous pouvez galement la dlguer via lAssistant Dlgation de contrle dans
les utilisateurs et les ordinateurs Active Directory.

Modlisation et rsultats de stratgie de groupe


Vous pouvez dlguer la capacit dutiliser les outils de cration de rapports de la mme faon
via la console GPMC ou lAssistant Dlgation de contrle dans les utilisateurs et les ordinateurs
Active Directory.

Cration des filtres WMI


Vous pouvez dlguer la capacit de crer et de grer les filtres WMI de la mme faon via la console
GPMC ou lAssistant Dlgation de contrle dans les utilisateurs et les ordinateurs Active Directory.

Gestion dobjets de stratgie de groupe avec Windows PowerShell


En plus dutiliser la console Gestion des stratgies
de groupe et lditeur de gestion des stratgies
de groupe, vous pouvez galement excuter des
tches dadministration courantes des objets de
stratgie de groupe laide de Windows
PowerShell.
Le tableau suivant prsente certaines des tches
dadministration les plus courantes, qui sont
possibles avec Windows PowerShell.

Nom de lapplet
de commande

Description

New-GPO

Cre un nouvel objet de stratgie de groupe

New-GPLink

Cre un nouvelle liaison de lobjet de stratgie de groupe pour lobjet


de stratgie de groupe spcifi

Backup-GPO

Sauvegarde les objets de stratgie de groupe spcifis

Restore-GPO

Restaure les objets de stratgie de groupe spcifis

Copy-GPO

Copie un objet de stratgie de groupe

(suite)
Nom de lapplet
de commande

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-19

Get-GPO

Obtient les objets de stratgie de groupe spcifis

Import-GPO

Importe les paramtres sauvegards dans un objet de stratgie de groupe


spcifi

Set-GPInheritance

Accorde les autorisations spcifies un utilisateur ou un groupe de


scurit pour les objets de stratgie de groupe spcifis

Par exemple, la commande suivante cre un nouvel objet de stratgie de groupe intitul Ventes :
New-GPO -Name Sales -comment "Voici lobjet de stratgie de groupe Ventes"

Le code suivant importe les paramtres des objets Stratgie de groupe Ventes enregistrs dans le dossier
C:\Sauvegardes dans lobjet de stratgie de groupe NewSales :
import-gpo -BackupGpoName Sales -TargetName NewSales -chemin c:\sauvegardes

Leon 3

tendue de la stratgie de groupe et traitement


de la stratgie de groupe
Un objet de stratgie de groupe est, par lui-mme, une collection dinstructions de configuration qui
seront traites par les extensions CSE des ordinateurs. Jusqu ce que lobjet de stratgie de groupe soit
dfini en tendue, il napplique aucun utilisateur, ni ordinateur. Ltendue de lobjet de stratgie de
groupe dtermine les extensions CSE dont les ordinateurs recevront et traiteront lobjet de stratgie
de groupe, et seuls les ordinateurs ou les utilisateurs au sein de ltendue dun objet de la stratgie de
groupe appliqueront les paramtres dans cet objet de stratgie de groupe. Dans cette leon, vous
apprendrez grer ltendue dun objet de stratgie de groupe. Les mcanismes suivants sont utiliss
pour dfinir ltendue dun objet de stratgie de groupe :

La liaison de lobjet de stratgie de groupe un site, un domaine ou une unit dorganisation,


et si cette liaison est active ou non

Loption Appliquer dun objet de stratgie de groupe

Loption Bloquer lhritage sur une unit dorganisation

Filtrage du groupe de scurit

Filtrage WMI

Activation ou dsactivation du nud de stratgie

Ciblage des prfrences

Traitement de stratgie par boucle de rappel

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-20 Implmentation dune infrastructure de stratgie de groupe

Vous devez pouvoir dfinir les utilisateurs ou les ordinateurs auxquels vous envisagez de dployer ces
configurations. En consquence, vous devez matriser lart de dfinir en tendue les objets de stratgie de
groupe. Dans cette leon, vous apprendrez chacun des mcanismes avec lesquels vous pouvez dfinir
ltendue dun objet de stratgie de groupe et, dans ce processus, vous matriserez les concepts de
lapplication, de lhritage et de la priorit de la stratgie de groupe.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrire les liaisons de lobjet de stratgie de groupe.

Expliquer le traitement dobjet de stratgie de groupe.

Dcrire lhritage et la priorit de lobjet de stratgie de groupe.

Utiliser les filtres de scurit pour filtrer ltendue de lobjet de stratgie de groupe.

Expliquer comment utiliser les filtres WMI pour filtrer ltendue de lobjet de stratgie de groupe.

Dcrire comment activer et dsactiver des objets de stratgie de groupe.

Expliquer comment et quand utiliser le traitement par boucle de rappel.

Expliquer les considrations pour les ordinateurs qui sont dconnects ou qui sont connects
par des liaisons lentes.

Expliquer quand les paramtres de stratgie de groupe entrent en vigueur.

Liaisons des objets de stratgie de groupe


Vous pouvez lier un objet de stratgie de groupe
un ou plusieurs sites, domaines ou units
dorganisation AD DS. Une fois que vous avez li
un objet de stratgie de groupe, les utilisateurs
ou les ordinateurs dans ce conteneur sont dans
ltendue de lobjet de stratgie de groupe, y
compris les ordinateurs et les utilisateurs dans les
units dorganisation enfants.

Liez un objet de stratgie de groupe


Pour lier un objet de stratgie de groupe, soit :

Cliquez avec le bouton droit sur le domaine


ou lunit dorganisation dans larborescence de la console GPMC, puis cliquez sur Lier en tant
quobjet de stratgie de groupe existant.

Si vous navez pas encore cr un objet de stratgie de groupe, cliquez sur Crer un objet de
stratgie de groupe dans ce {domaine | unit dorganisation | site} et le lier ici.

Vous pouvez choisir les mmes commandes pour lier un objet de stratgie de groupe un site, mais
par dfaut, vos sites AD DS ne sont pas visibles dans la console GPMC. Pour montrer des sites dans la
console GPMC, cliquez avec le bouton droit sur Sites dans larborescence de la console GPMC, puis
cliquez sur Montrer les sites.
Remarque : Un objet de stratgie de groupe li un site affecte tous les ordinateurs dans
ce site, abstraction faite du domaine auquel les ordinateurs appartiennent, tant que tous ces
ordinateurs appartiennent la mme fort Active Directory. Par consquent, quand vous liez un
objet de stratgie de groupe un site, cet objet de stratgie de groupe peut tre appliqu
plusieurs domaines dans une fort. Les objets de stratgie de groupe lis aux sites sont
enregistrs sur des contrleurs de domaine dans le domaine o vous crez lobjet de stratgie de
groupe. Par consquent, les contrleurs de domaine pour ce domaine doivent tre accessibles
pour que les objets de stratgie de groupe lis aux sites soient appliqus correctement. Si vous
implmentez des stratgies lies aux sites, vous devez examiner lapplication de la stratgie au
moment de la planification de votre infrastructure rseau. Vous pouvez soit placer un contrleur
de domaine du domaine de lobjet de stratgie de groupe dans le site auquel la stratgie est lie,
soit vrifier quune connectivit WAN fournit laccessibilit un contrleur de domaine dans le
domaine de lobjet de stratgie de groupe.
Quand vous liez un objet de stratgie de groupe un conteneur, vous dfinissez ltendue initiale de
lobjet de stratgie de groupe. Slectionnez un objet de stratgie de groupe, puis cliquez sur longlet
tendue pour identifier les conteneurs auxquels lobjet de stratgie de groupe est li. Dans le volet
dinformations de la console GPMC, les liaisons de lobjet de stratgie de groupe sont affichs dans la
premire section de longlet tendue.
Lincidence des liaisons de lobjet de stratgie de groupe est que le client de stratgie de groupe
tlcharge lobjet de stratgie de groupe si les objets de lordinateur ou de lutilisateur tombent dans
ltendue de la liaison. Lobjet de stratgie de groupe ne sera tlcharg que sil est nouveau ou mis
jour. Le client de la stratgie de groupe met lobjet de stratgie de groupe en cache pour rendre
lactualisation de la stratgie plus efficace.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-21

Lier un objet de stratgie de groupe plusieurs units dorganisation


Vous pouvez lier un objet de stratgie de groupe plus dun site ou dune unit dorganisation. Il est
courant, par exemple, dappliquer la configuration aux ordinateurs dans plusieurs units dorganisation.
Vous pouvez dfinir la configuration dans un objet de stratgie de groupe unique, puis lier cet objet de
stratgie de groupe chaque unit dorganisation. Si vous modifiez par la suite les paramtres dans
lobjet de stratgie de groupe, vos modifications sappliqueront toutes les units dorganisation
auxquelles lobjet de stratgie de groupe est li.

Supprimer ou dsactiver une liaison de lobjet de stratgie de groupe


Une fois que vous avez li un objet de stratgie de groupe, la liaison de lobjet de stratgie de groupe
apparat dans la console GPMC sous le site, le domaine ou lunit dorganisation. Licne de la liaison
de lobjet de stratgie de groupe comporte une petite flche de raccourci. Quand vous cliquez avec le
bouton droit sur la liaison de lobjet de stratgie de groupe, un menu contextuel apparat :

Pour supprimer une liaison de lobjet de stratgie de groupe, cliquez avec le bouton droit sur la
liaison de lobjet de stratgie de groupe dans larborescence de la console GPMC, puis cliquez sur
Supprimer.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-22 Implmentation dune infrastructure de stratgie de groupe

La suppression dune liaison de lobjet de stratgie de groupe ne supprime pas lobjet de stratgie de
groupe lui-mme, qui reste dans son conteneur. Cependant, la suppression de la liaison modifie ltendue
de lobjet de stratgie de groupe, de sorte quil ne sapplique plus aux ordinateurs et aux utilisateurs au
sein de lobjet du conteneur li prcdemment.
Vous pouvez galement modifier une liaison de lobjet de stratgie de groupe en la dsactivant :

Pour dsactiver une liaison de lobjet de stratgie de groupe, cliquez avec le bouton droit sur la
liaison de lobjet de stratgie de groupe dans larborescence de la console GPMC, puis dsactivez
loption Liaison active.

La dsactivation de la liaison modifie galement ltendue de lobjet de stratgie de groupe de sorte


quelle ne sapplique plus aux ordinateurs et aux utilisateurs au sein de ce conteneur. Cependant, la liaison
demeure de sorte que vous puissiez lactiver nouveau plus facilement.

Dmonstration : Procdure de liaison des objets de stratgie de groupe


Cette dmonstration montre comment :

Ouvrez la console Gestion des stratgies de groupe.

crer deux objets de stratgie de groupe ;

lier le premier objet de stratgie de groupe au domaine ;

lier le deuxime objet de stratgie de groupe lunit dorganisation informatique ;

dsactiver la liaison du premier objet de stratgie de groupe ;

supprimer le deuxime objet de stratgie de groupe ;

activer de nouveau la liaison du premier objet de stratgie de groupe.

Procdure de dmonstration
Crer et modifier deux objets de stratgie de groupe
1.

ouvrir la console Gestion des stratgies de groupe ;

2.

Crez deux nouveaux objets de stratgie de groupe appels Supprimer la commande Excuter
et Ne pas supprimer la commande Excuter.

3.

Modifiez les paramtres des deux objets de stratgie de groupe.

Liez les objets de stratgie de groupe diffrents emplacements

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-23

1.

Liez lobjet de stratgie de groupe Supprimer la commande Excuter au domaine. Lobjet de stratgie
de groupe Supprimer la commande Excuter est maintenant joint au domaine Adatum.com.

2.

Liez lobjet de stratgie de groupe Ne pas supprimer la commande Excuter lunit dorganisation
informatique. Lobjet de stratgie de groupe Ne pas supprimer la commande Excuter est maintenant
joint lunit dorganisation informatique.

3.

Affichez lhritage de lobjet de stratgie de groupe sur lunit dorganisation informatique. Longlet
Hritage de la stratgie de groupe montre lordre de priorit des objets de stratgie de groupe.

Dsactiver une liaison dobjet de stratgie de groupe


1.

Dsactivez lobjet de stratgie de groupe Supprimer la commande Excuter sur le domaine


Adatum.com.

2.

Actualisez le volet Hritage de stratgie de groupe pour lunit dorganisation informatique, puis
notez les rsultats dans le volet droit. Lobjet de stratgie de groupe Supprimer la commande
Excuter nest plus list.

Supprimer une liaison dobjet de stratgie de groupe


1.

Slectionnez lunit dorganisation relative Informatique, puis supprimez la liaison de lobjet de


stratgie de groupe Ne pas supprimer la commande Excuter. Vrifiez la suppression de lobjet de
stratgie de groupe Ne pas supprimer la commande Excuter et labsence de lobjet de stratgie
de groupe Supprimer la commande Excuter.

2.

Activez lobjet de stratgie de groupe Supprimer la commande Excuter sur le domaine Adatum.com.
Actualisez la fentre Hritage de stratgie de groupe pour lunit dorganisation Informatique, puis
notez les rsultats dans le volet droit.

Ordre de traitement de la stratgie de groupe


Tous les objets de stratgie de groupe qui
sappliquent un utilisateur, un ordinateur ou
tous les deux ne sappliquent pas immdiatement.
Les objets de stratgie de groupe sont appliqus
dans un ordre particulier. Cet ordre signifie que les
paramtres traits en premier peuvent tre
remplacs par les paramtres conflictuels traits
plus tard.

La stratgie de groupe suit lordre de traitement hirarchique suivant :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-24 Implmentation dune infrastructure de stratgie de groupe

1.

Stratgies de groupe locales. Chaque ordinateur excutant Windows 2000 ou version ultrieure
a au moins une stratgie de groupe locale. Les stratgies locales sont appliques en premier lieu.

2.

Stratgies de groupe de site. Les stratgies lies aux sites sont traites en second lieu. Sil y a plusieurs
stratgies de site, elles sont traites de faon synchrone dans lordre de prfrence rpertori.

3.

Stratgies de groupe du domaine. Les stratgies lies aux domaines sont traites en troisime lieu.
Sil y a plusieurs stratgies de domaine, elles sont traites de faon synchrone dans lordre de
prfrence rpertori.

4.

Stratgies de groupe de lunit dorganisation. Les stratgies lies aux units dorganisation de
haut niveau sont traites en quatrime lieu. Sil y a plusieurs stratgies dunits dorganisation
de haut niveau, elles sont traites de faon synchrone dans lordre de prfrence rpertori.

5.

Stratgies de groupe dunit dorganisation enfant. Les stratgies lies aux units dorganisation
enfants de haut niveau sont traites en cinquime lieu. Sil y a plusieurs stratgies dunit
dorganisation enfant, elles sont traites de faon synchrone dans lordre de prfrence rpertori.
Quand il y a plusieurs niveaux dunits dorganisation enfants, les stratgies des units dorganisation
de niveau suprieur sont appliques en premier lieu et les stratgies des units dorganisation de
niveau infrieur sont appliques ensuite.

Dans lapplication Stratgie de groupe, la rgle gnrale est que la dernire stratgie applique prvaut.
Par exemple, une stratgie qui restreint laccs au panneau de configuration appliqu au niveau du
domaine pourrait tre inverse par une stratgie applique au niveau de lunit dorganisation pour les
objets contenus dans cette unit dorganisation particulire.
Si vous liez plusieurs objets de stratgie de groupe une unit dorganisation, leur traitement a lieu
dans lordre que ladministrateur spcifie sur longlet Objets de stratgie de groupe lis de lunit
dorganisation dans la console GPMC.

Par dfaut, le traitement est activ pour toutes les liaisons de lobjet de stratgie de groupe. Vous pouvez
dsactiver la liaison de lobjet de stratgie de groupe dun conteneur pour bloquer compltement
lapplication dun objet de stratgie de groupe pour un site, un domaine ou une unit dorganisation
donn. Notez que si lobjet de stratgie de groupe est li dautres conteneurs, ils continueront le
traiter si leurs liaisons sont actives.
Vous pouvez galement dsactiver la configuration utilisateur ou ordinateur dun objet de stratgie de
groupe particulier indpendant de lutilisateur ou de lordinateur. Si une section dune stratgie est
connue comme tant vide, la dsactivation de lautre ct acclre le traitement de la stratgie. Par
exemple, si vous avez une stratgie qui fournit uniquement la configuration du bureau utilisateur, vous
pourriez dsactiver le ct ordinateur de la stratgie.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-25

Configuration de lhritage et de la priorit de lobjet de stratgie de groupe


Vous pouvez configurer un paramtre de stratgie
dans plus dun objet de stratgie de groupe, ce
qui engendre des conflits des objets de stratgie
de groupe les uns avec les autres. Par exemple,
vous pouvez activer un paramtre de stratgie
dans un objet de stratgie de groupe, le
dsactiver dans un autre objet de stratgie de
groupe et ne pas le configurer dans un troisime
objet de stratgie de groupe. Dans ce cas, la
priorit des objets de stratgie de groupe
dtermine le paramtre de stratgie que le client
applique. Un objet de stratgie de groupe de
priorit suprieure lemporte sur un objet de stratgie de groupe de priorit infrieure. La priorit est
indique sous forme de nombre dans la console GPMC. Plus le nombre est petit, cest--dire plus il est
proche de 1, plus la priorit est leve. Par consquent, un objet de stratgie de groupe ayant une
priorit de 1 lemportera sur les autres objets de stratgie de groupe. Slectionnez le conteneur AD DS
appropri, puis cliquez sur longlet Hritage de stratgie de groupe pour afficher la priorit de chaque
objet de stratgie de groupe.
Quand un paramtre de stratgie est activ ou dsactiv dans un objet de stratgie de groupe ayant
une priorit plus leve, le paramtre configur entre en vigueur. Cependant, souvenez-vous que les
paramtres de stratgie sont dfinis ltat Non configur , par dfaut. Si un paramtre de stratgie
nest pas configur dans un objet de stratgie de groupe ayant une priorit plus leve, le paramtre de
stratgie (activ ou dsactiv) dans un objet de stratgie de groupe ayant une priorit infrieure entrera
en vigueur.

Vous pouvez lier plus dun objet de stratgie de groupe un objet de conteneur AD DS. Lordre des
liaisons des objets de stratgie de groupe dtermine la priorit des objets de stratgie de groupe dans un
tel scnario. Les objets de stratgie de groupe ayant un ordre de liaison suprieur ont la priorit sur les
objets de stratgie de groupe ayant un ordre de liaison infrieur. Quand vous slectionnez une unit
dorganisation dans la console GPMC, longlet Objets de stratgie de groupe lis montre lordre des
liaisons des objets de stratgie de groupe lis cette unit dorganisation.

Le comportement par dfaut de la stratgie de groupe est que les objets de stratgie de groupe lis dans
un conteneur de niveau suprieur sont hrits par les conteneurs de niveau infrieur. Quand un
ordinateur dmarre ou un utilisateur ouvre une session, le client de la stratgie de groupe examine
lemplacement de lobjet de lordinateur ou de lutilisateur dans AD DS, et value les objets de stratgie
de groupe ayant ltendue qui comprend lordinateur ou lutilisateur. Puis, les extensions CSE appliquent
les paramtres de stratgie de ces objets de stratgie de groupe. Les stratgies sont appliques
squentiellement, en commenant par celles qui sont lies au site, suivie de celles lies au domaine, puis
celles lies aux units dorganisation, en partant de lunit dorganisation de niveau suprieur jusqu celle
o existe lobjet utilisateur ou ordinateur. Cest une application superpose des paramtres ; ainsi un objet
de stratgie de groupe appliqu plus tard dans le processus, parce quil a une priorit suprieure,
lemporte sur les paramtres appliqus plus tt dans le processus.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-26 Implmentation dune infrastructure de stratgie de groupe

Lapplication squentielle des objets de stratgie de groupe cre un effet appel hritage de stratgie.
Les stratgies sont hrites, de sorte que lensemble rsultant des stratgies de groupe pour un utilisateur
ou un ordinateur soit leffet cumulatif des stratgies de site, de domaine et de lunit dorganisation.
Par dfaut, les objets de stratgie de groupe hrits ont une priorit infrieure celle des objets de
stratgie de groupe lis directement au conteneur. Par exemple, vous pourriez configurer un paramtre
de stratgie pour dsactiver lutilisation des outils de modification du registre pour tous les utilisateurs
dans le domaine, en configurant le paramtre de stratgie dans un objet de stratgie de groupe li
au domaine. Cet objet de stratgie de groupe et son paramtre de stratgie sont hrits par tous les
utilisateurs dans le domaine. Cependant, si vous souhaitez que les administrateurs puissent utiliser des
outils de modification du registre, vous liez un objet de stratgie de groupe lunit dorganisation qui
contient les comptes des administrateurs, puis vous configurez le paramtre de stratgie pour permettre
lutilisation des outils de modification du registre. Puisque lobjet de stratgie de groupe li lunit
dorganisation des administrateurs a une priorit suprieure celle de lobjet de stratgie de groupe
hrit, les administrateurs pourront utiliser les outils de modification du registre.

Priorit de plusieurs objets de stratgie de groupe lis


Si plusieurs objets de stratgie de groupe sont lis un objet de conteneur AD DS, lordre des liaisons
des objets dtermine leur priorit.
Pour modifier la priorit dune liaison de lobjet de stratgie de groupe :
1.

Slectionnez lobjet de conteneur AD DS dans larborescence de la console GPMC.

2.

Cliquez sur longlet Objets de stratgie de groupe lis dans le volet dinformations.

3.

Slectionnez lobjet de stratgie de groupe.

4.

Utilisez les flches Haut, Bas, Aller au dbut, et Aller la fin pour modifier lordre des liaisons de
lobjet de stratgie de groupe slectionn.

Bloquer lhritage
Vous pouvez configurer un domaine ou une unit dorganisation pour empcher lhritage des
paramtres de stratgie. Cette opration est appele blocage de lhritage . Pour slectionner le
blocage de lhritage, cliquez avec le bouton droit sur le domaine ou lunit dorganisation dans
larborescence de la console GPMC, puis slectionnez Bloquer lhritage.

Loption Bloquer lhritage est une proprit dun domaine ou dune unit dorganisation ; ainsi, elle
bloque tous les paramtres de la stratgie de groupe des objets de stratgie de groupe lis aux parents
dans la hirarchie de stratgie de groupe. Par exemple, quand vous bloquez lhritage sur une unit
dorganisation, lapplication de lobjet de stratgie de groupe commence avec tous les objets de stratgie
de groupe lis directement cette unit dorganisation. Par consquent, les objets de stratgie de groupe
lis aux units dorganisation, domaines ou sites de niveau suprieur ne sappliqueront pas.

Vous devez utiliser loption Bloquer lhritage avec modration parce que le blocage de lhritage rend
plus difficile lvaluation de la priorit et de lhritage de la stratgie de groupe. Avec le filtrage du groupe
de scurit, vous pouvez soigneusement limiter en tendue un objet de stratgie de groupe de sorte quil
ne sapplique quaux bons utilisateurs et ordinateurs en premier lieu, rendant inutile lutilisation de
loption Bloquer lhritage.

Appliquer une liaison dobjet de stratgie de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-27

En outre, vous pouvez dfinir une liaison dobjet de stratgie de groupe ltat Appliqu. Pour appliquer
une liaison dobjet de stratgie de groupe, cliquez avec le bouton droit sur celle-ci dans larborescence de
la console, puis slectionnez Appliqu dans le menu contextuel.

Quand vous dfinissez une liaison de lobjet de stratgie de groupe ltat Appliqu, lobjet de stratgie
de groupe prend le niveau de priorit le plus lev ; les paramtres de stratgie dans cet objet de
stratgie de groupe prvaudront sur tous les paramtres de stratgie conflictuels dans dautres objets de
stratgie de groupe. En outre, une liaison applique sappliquera aux conteneurs enfants mme lorsque
ces conteneurs sont dfinis sur Bloquer lhritage. Loption Appliqu entrane lapplication de la stratgie
tous les objets dans son tendue. Loption Appliqu amne les stratgies remplacer toutes les stratgies
conflictuelles et sappliqueront indpendamment du fait quune option Bloquer lhritage soit dfinie.
Lapplication est utile quand vous devez configurer un objet de stratgie de groupe qui dfinit une
configuration exige par vos stratgies dentreprise en matire de scurit informatique et dutilisation.
Par consquent, vous souhaitez vrifier que dautres objets de stratgie de groupe ne remplacent pas ces
paramtres. Vous pouvez le faire en appliquant la liaison de lobjet de stratgie de groupe.

valuation de la priorit

Pour faciliter lvaluation de la priorit de lobjet de stratgie de groupe, vous pouvez simplement
slectionner une unit dorganisation (ou un domaine), puis cliquez sur longlet Hritage de stratgie
de groupe. Cet onglet affichera la priorit rsultante des objets de stratgie de groupe, compte tenu de
la liaison de lobjet de stratgie de groupe, de lordre des liaisons, du blocage de lhritage et de
lapplication de la liaison. Cet onglet ne tient compte ni des stratgies lies un site, ni de la scurit
de lobjet de stratgie de groupe, ni du filtrage WMI.

Utilisation du filtrage de scurit pour modifier ltendue de groupe

Bien que vous puissiez utiliser les options


Application et Bloquer lhritage pour contrler
lapplication des objets de stratgie de groupe aux
objets du conteneur, vous pourriez devoir
appliquer des objets de stratgie de groupe
uniquement certains groupes dutilisateurs ou
dordinateurs plutt qu tous les utilisateurs ou
les ordinateurs dans ltendue de lobjet de
stratgie de groupe. Bien que vous ne puissiez pas
directement lier un objet de stratgie de groupe
un groupe de scurit, il y a une faon dappliquer
des objets de stratgie de groupe des groupes
de scurit spcifiques. Les stratgies dans un objet de stratgie de groupe sappliquent uniquement aux
utilisateurs qui ont les autorisations Autoriser lecture et Autoriser application de la stratgie de groupe
lobjet de stratgie de groupe.
Chaque objet de stratgie de groupe a une liste de contrle daccs qui dfinit les autorisations de lobjet de
stratgie de groupe. Deux autorisations, Autoriser lecture et Autoriser application de la stratgie de groupe,
sont requises pour quun objet de stratgie de groupe sapplique un utilisateur ou un ordinateur. Par
exemple, si un objet de stratgie de groupe est limit en tendue un ordinateur par sa liaison de lunit
dorganisation de lordinateur, mais que lordinateur na pas les autorisations Lire et Appliquer la stratgie
de groupe, il ne tlchargera pas et nappliquera pas lobjet de stratgie de groupe. Par consquent, en
dfinissant les autorisations appropries pour les groupes de scurit, vous pouvez filtrer un objet de stratgie
de groupe pour quil sapplique uniquement aux ordinateurs et utilisateurs spcifis.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-28 Implmentation dune infrastructure de stratgie de groupe

Par dfaut, les utilisateurs authentifis ont lautorisation Appliquer la stratgie de groupe - Autoriser
sur chaque nouvel objet de stratgie de groupe. Cela signifie que par dfaut, tous les utilisateurs et
ordinateurs sont affects par les objets de stratgie de groupe dfinis pour leur domaine, site, ou unit
dorganisation, indpendamment des autres groupes dont ils pourraient tre membres. Par consquent, il
y a deux faons de filtrer ltendue de lobjet de stratgie de groupe :

Supprimez lautorisation Appliquer la stratgie de groupe (dfinie actuellement sur Autoriser)


pour le groupe dutilisateurs authentifis, mais ne dfinissez pas cette autorisation sur Refuser. Puis,
dterminez les groupes auxquels lobjet de stratgie de groupe devrait tre appliqu et dfinissez
les autorisations Lire et Appliquer la stratgie de groupe pour ces groupes sur Autoriser.

Dterminez les groupes auxquels lobjet de stratgie de groupe ne devrait tre appliqu et dfinissez
lautorisation Appliquer la stratgie de groupe pour ces groupes sur Refuser. Si vous refusez
lautorisation Appliquer stratgie de groupe un objet de stratgie de groupe, lutilisateur ou
lordinateur nappliquera pas les paramtres dans lobjet de stratgie de groupe, mme si lutilisateur
ou lordinateur est membre dun autre groupe auquel lautorisation Appliquer la stratgie de groupe
est accorde.

Filtrage dun objet de stratgie de groupe appliquer des groupes spcifiques


Pour appliquer un objet de stratgie de groupe un groupe de scurit spcifique :
1.

Slectionnez lobjet de stratgie de groupe dans le conteneur dobjets de stratgie de groupe dans
larborescence de la console.

2.

Dans la section Filtrage de scurit, slectionnez le groupe Utilisateurs authentifis, puis cliquez
sur Supprimer.

Remarque : Vous ne pouvez pas filtrer des objets de stratgie de groupe avec des groupes
de scurit locaux du domaine.
3.

Cliquez sur OK pour confirmer la modification.

4.

Cliquez sur Ajouter.

5.

Slectionnez le groupe auquel vous souhaitez appliquer la stratgie, puis cliquez sur OK.

Filtrage dun objet de stratgie de groupe exclure des groupes spcifiques

Longlet tendue dun objet de stratgie de groupe ne vous permet pas dexclure des groupes
spcifiques. Pour exclure un groupe, cest--dire que vous lui refuser lautorisation Appliquer la stratgie
de groupe, vous devez utiliser longlet Dlgation.
Pour refuser un groupe lautorisation Appliquer la stratgie de groupe :
1.

Slectionnez lobjet de stratgie de groupe dans le conteneur dobjets de stratgie de groupe dans
larborescence de la console.

2.

Cliquez sur longlet Dlgation.

3.

Cliquez sur le bouton Avanc. La bote de dialogue Paramtres de scurit saffiche.

4.

Cliquez sur le bouton Ajouter.

5.

Slectionnez le groupe que vous souhaitez exclure de lobjet de stratgie de groupe. Souvenez-vous
ce groupe doit tre un groupe global. Ltendue de lobjet de stratgie de groupe ne peut pas tre
filtre par des groupes locaux de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-29

6.

Cliquez sur OK. Le groupe que vous avez slectionn dispose de lautorisation Autoriser la lecture
par dfaut.

7.

Dsactivez la case cocher de lautorisation Autoriser la lecture.

8.

Activez la case cocher Refuser Appliquer la stratgie de groupe.

9.

Cliquez sur OK. Vous tes prvenu que les autorisations Refuser remplacent les autres autorisations.
Puisque les autorisations Refuser remplacent les autorisations Autoriser, nous recommandons que
vous les utilisez avec modration. Microsoft Windows vous rappelle cette bonne pratique par un
message davertissement. Le processus dexclusion des groupes avec lautorisation Refuser Appliquer
la stratgie de groupe est bien plus laborieux que le processus dinclusion des groupes dans la section
Filtrage de scurit de longlet tendue.

10. Confirmez que vous souhaitez continuer.


Remarque : Les refus ne sont pas exposs sur longlet tendue. Malheureusement, quand
vous excluez un groupe, lexclusion nest pas montre dans la section Filtrage de scurit de
longlet tendue. Cest pourtant une raison de plus dutiliser les refus avec modration.

Dfinition des filtres WMI


WMI est une technologie dinfrastructure de
gestion qui permet aux administrateurs de
surveiller et de contrler des objets grs dans
le rseau. Une requte WMI est capable de filtrer
des systmes selon des caractristiques, y compris
la mmoire vive (RAM), la vitesse du processeur,
la capacit de disque, ladresse IP, la version du
systme dexploitation et le niveau de service
pack, les applications installes et les proprits
dimprimante. Puisque WMI expose presque
chaque proprit de chaque objet dans un
ordinateur, la liste dattributs que vous pouvez
utiliser dans une requte WMI est pratiquement illimite. Les requtes WMI sont crites laide du
langage de requte WMI (WQL).

Vous pouvez utiliser une requte WMI pour crer un filtre WMI, avec lequel vous pouvez filtrer un objet
de stratgie de groupe. Vous pouvez utiliser la stratgie de groupe pour dployer les applications
logicielles et les services packs. Vous pouvez crer un objet de stratgie de groupe pour dployer une
application, puis utiliser un filtre WMI pour spcifier que la stratgie doit sappliquer uniquement aux
ordinateurs ayant certains systmes dexploitation et service packs, par exemple Windows XP Service
Pack 3 (SP3). La requte WMI permettant didentifier de tels systmes est la suivante :
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP Professional"
AND CSDVersion="Service Pack 3"

Quand le client de la stratgie de groupe value des objets de stratgie de groupe quil a tlchargs
pour dterminer lesquels doivent tre remis aux extensions CSE pour traitement, il effectue la requte
par rapport au systme local. Si le systme rpond aux critres de la requte, le rsultat de requte est
un Vrai logique et les extensions CSE traitent lobjet de stratgie de groupe.
WMI expose les espaces de noms, o rsident les classes qui peuvent tre interroges. Beaucoup de
classes utiles, notamment Win32_Operating System, se trouvent dans une classe appele racine\CIMv2.
Pour crer un filtre WMI :
1.

Cliquez avec le bouton droit sur le nud Filtres WMI dans larborescence de la console GPMC,
puis cliquez sur Nouveau. Saisissez un nom et une description du filtre, puis cliquez sur le bouton
Ajouter.

2.

Dans la zone Espace de noms, saisissez lespace de noms de votre requte.

3.

Dans la zone Requte, saisissez la requte.

4.

Cliquez sur OK.

Pour filtrer un objet de stratgie de groupe avec un filtre WMI :


1.

Slectionnez lobjet de stratgie de groupe ou la liaison de lobjet de stratgie de groupe dans


larborescence de la console.

2.

Cliquez sur longlet tendue.

3.

Cliquez sur la liste droulante WMI, puis slectionnez Filtre WMI.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-30 Implmentation dune infrastructure de stratgie de groupe

Vous pouvez filtrer un objet de stratgie de groupe avec un seul filtre WM, mais vous pouvez crer un
filtre WMI avec une requte complexe qui utilise plusieurs critres. Vous pouvez lier un filtre WMI unique
un ou plusieurs objets de stratgie de groupe. Longlet Gnral dun filtre WMI affiche les objets de
stratgie de groupe qui utilisent le filtre WMI :
Il y a trois avertissements importants concernant les filtres WMI :

Dabord, la syntaxe WQL des requtes WMI peut tre dlicate matriser. Vous pouvez souvent
trouver des exemples sur Internet quand vous effectuez une recherche laide des mots cls filtre
WMI et requte WMI, ainsi quavec une description de la requte que vous souhaitez crer.

En second lieu, les filtres WMI sont chers en termes de performance de traitement de stratgie de
groupe. Puisque le client de stratgie de groupe doit effectuer la requte WMI chaque intervalle
de traitement de stratgie, il y a une lgre incidence sur les performances systme toutes les 90
120 minutes. Avec les performances des ordinateurs daujourdhui, cette incidence peut tre
imperceptible. Cependant, vous devez tester les effets dun filtre WMI avant de le dployer grande
chelle dans votre environnement de production.

Remarque : Notez que la requte WMI est traite uniquement une fois, mme si vous
lutilisez pour filtrer ltendue de plusieurs objets de stratgie de groupe.

Troisimement, les filtres WMI ne sont pas traits par les ordinateurs excutant le systme
dexploitation Microsoft Windows 2000 Server. Si un objet de stratgie de groupe est filtr avec
un filtre WMI, un systme Windows 2000 Server ignore le filtre, puis traite lobjet de stratgie
de groupe comme si les rsultats du filtre taient vrais.

Dmonstration : Procdure de filtrage des stratgies


Cette dmonstration montre comment :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-31

crer un objet de stratgie de groupe qui supprime le lien menu Aide du menu Accueil, puis liez-le
lunit dorganisation Informatique ;

utiliser le filtrage de scurit pour exempter un utilisateur de lobjet de stratgie de groupe ;

tester lapplication de la stratgie de groupe.

Procdure de dmonstration
Crez un nouvel objet de stratgie de groupe et liez-le une unit dorganisation
Informatique.
1.

Ouvrez la console Gestion des stratgies de groupe sur LON-DC1.

2.

Crez un nouvel objet de stratgie de groupe appel Supprimer le menu Aide, puis liez-le lunit
dorganisation IT.

3.

Modifiez les paramtres de lobjet de stratgie de groupe pour supprimer le menu Aide du menu
Accueil.

Filtrer lapplication de la stratgie de groupe en utilisant le filtrage des groupes


de scurit
1.

Supprimez lentre Utilisateurs authentifis de la liste Filtrage de scurit pour lobjet de stratgie
de groupe Supprimer le menu Aide dans lunit dorganisation Informatique.

2.

Ajoutez lutilisateur Ed Meadows la liste Filtrage de scurit. Maintenant, seul Ed Meadows a


lautorisation dappliquer la stratgie.

Filtrer lapplication de la stratgie de groupe en utilisant le filtrage WMI


1.

Crez un filtre WMI appel filtre XP.

2.

Ajoutez la requte suivante au filtre :


Select * from Win32_OperatingSystem where Caption = "Microsoft Windows XP
Professional"

3.

Enregistrez la requte sous le nom Filtre XP.

4.

Crez un nouvel objet de stratgie de groupe appel Mises jour logicielles pour XP, et liez-le
ensuite lunit dorganisation Informatique.

5.

Modifiez les proprits de la stratgie pour utiliser le filtre XP.

6.

Fermez la console Gestion des stratgies de groupe.

Activer ou dsactiver les objets de stratgie de groupe et les nuds


dobjet de stratgie de groupe
Vous pouvez empcher le traitement des
paramtres dans les nuds Configuration
ordinateur ou Configuration utilisateur
pendant lactualisation de la stratgie en
modifiant ltat de lobjet de stratgie de groupe.
Pour activer ou dsactiver les nuds dun objet
de stratgie de groupe, slectionnez lobjet de
stratgie de groupe ou la liaison de lobjet
de stratgie de groupe dans larborescence de la
console, cliquez sur longlet Dtails illustr, puis
slectionnez lun des lments suivants de la liste
droulante tat GPO :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-32 Implmentation dune infrastructure de stratgie de groupe

Activ. Les paramtres de configuration ordinateur et les paramtres de configuration utilisateur


seront traits par les extensions CSE pendant lactualisation de la stratgie.

Tous les paramtres dsactivs. Les extensions CSE ne traiteront pas lobjet de stratgie de groupe
pendant lactualisation de la stratgie.

Paramtres de configuration ordinateur dsactivs. Pendant lactualisation de la stratgie


dordinateur, les paramtres de configuration de lordinateur dans lobjet de stratgie de groupe
ne seront pas appliqus.

Paramtres de configuration utilisateurs dsactivs. Pendant lactualisation de la stratgie utilisateur,


les paramtres de configuration utilisateur de lobjet de stratgie de groupe ne seront pas appliqus.

Vous pouvez configurer ltat de lobjet de stratgie de groupe pour optimiser le traitement de stratgie.
Par exemple, si un objet de stratgie de groupe contient uniquement des paramtres utilisateurs, alors la
dfinition de loption tat GPO sur dsactiver les paramtres de lordinateur empche le client de stratgie
de groupe de tenter de traiter lobjet de stratgie de groupe pendant lactualisation de la stratgie
dordinateur. Puisque lobjet de stratgie de groupe ne contient aucun paramtre de lordinateur, il nest
pas ncessaire de traiter lobjet de stratgie de groupe, et vous pouvez conomiser ainsi quelques cycles
de processeur.
Remarque : Vous pouvez dfinir une configuration qui doit entrer en vigueur en cas
durgence, dincident de scurit ou dautres incidents dans un objet de stratgie de groupe,
puis lier lobjet de stratgie de groupe de sorte quil soit limit en tendue aux utilisateurs et
ordinateurs appropris. Puis, dsactivez lobjet de stratgie de groupe. Si vous avez besoin de la
configuration soit dploye, activez lobjet de stratgie de groupe.

Traitement de stratgie par boucle de rappel

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-33

Par dfaut, les paramtres dun utilisateur


proviennent des objets de stratgie de groupe
limits en tendue lobjet utilisateur dans AD DS.
Indpendamment de lordinateur o lutilisateur
ouvre une session, lensemble rsultant des
stratgies qui dterminent lenvironnement
dutilisateur est identique. Il y a cependant des
situations o vous pouvez souhaiter configurer un
utilisateur diffremment, selon lordinateur utilis.
Par exemple, vous pouvez souhaiter verrouiller et
standardiser des bureaux dutilisateur quand les
utilisateurs se connectent aux ordinateurs dans
des environnements attentivement grs, tels que les salles de confrence, les zones daccueil, les
laboratoires, les classes, et les bornes. Cela est galement important pour les scnarios dinfrastructure de
bureau virtuel (VDI), y compris les ordinateurs virtuels distants et les services de bureau distance (RDS).

Imaginez un scnario o vous souhaitez appliquer une apparence dentreprise standard au bureau
Windows sur tous les ordinateurs des salles de confrence et autres zones publiques de votre site.
Comment envisagez-vous de grer de manire centralise cette configuration laide de la stratgie de
groupe ? Les paramtres de stratgie qui configurent lapparence de bureau sont situs dans le nud
Configuration utilisateur dun objet de stratgie de groupe. Par consquent, les paramtres sappliquent
par dfaut aux utilisateurs, indpendamment de lordinateur o ils se connectent. Le traitement de
stratgie par dfaut ne vous permet pas de limiter en tendue les paramtres utilisateurs appliquer aux
ordinateurs, indpendamment de ceux o lutilisateur ouvre une session. Cest alors que le traitement de
stratgie par boucle peut tre utile.
Le traitement de stratgie par boucle de rappel modifie lalgorithme par dfaut que le client de
stratgie de groupe utilise pour obtenir la liste trie des objets de stratgie de groupe appliquer
une configuration utilisateur. Au lieu que la configuration utilisateur soit dtermine par le nud
Configuration utilisateur des objets de stratgie de groupe limits en tendue lobjet utilisateur,
la configuration utilisateur peut tre dtermine par les stratgies du nud Configuration utilisateur
des objets de stratgie de groupe limits en tendue lobjet ordinateur.

Le paramtre de stratgie Configurer le mode de traitement par boucle de la stratgie de groupe


utilisateur, situ dans le dossier Configuration ordinateur\Stratgies\Modles
dadministration\Systme\Stratgie de groupe dans lditeur de gestion des stratgies de groupe,
peut tre, comme tous les paramtres de stratgie, dfini sur Non configur, Activ ou Dsactiv.

Lorsquelle est active, la stratgie peut spcifier le mode Remplacer ou Fusionner:

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-34 Implmentation dune infrastructure de stratgie de groupe

Remplacer. Dans ce cas, la liste dobjet de stratgie de groupe pour lutilisateur est remplace
entirement par la liste dobjet de stratgie de groupe dj obtenue pour lordinateur au dmarrage
de lordinateur. Les paramtres contenus dans les stratgies de configuration utilisateur des objets de
stratgie de groupe de lordinateur sont appliqus lutilisateur. Le mode Remplacer est utile dans
une situation de classe o les utilisateurs doivent recevoir une configuration standard plutt que la
configuration applique ces utilisateurs dans un environnement moins gr.

Fusionner. Dans ce cas, la liste dobjet de stratgie de groupe pour lordinateur obtenue au
dmarrage de lordinateur est ajoute la liste des objets de stratgie de groupe obtenue pour
lutilisateur au moment de la connexion. Puisque la liste dobjet de stratgie de groupe obtenue pour
lordinateur est applique ultrieurement, les paramtres dans les objets de stratgie de groupe sur la
liste de lordinateur ont la priorit en cas de conflit avec des paramtres de la liste utilisateur. Ce
mode est utile pour appliquer les paramtres supplmentaires aux configurations typiques des
utilisateurs. Par exemple, vous pouvez permettre un utilisateur de recevoir la configuration classique
de lutilisateur lors de louverture de session sur un ordinateur situ dans une salle de confrence ou
une zone daccueil, mais vous remplacez le papier peint par une image bitmap standard et dsactivez
lutilisation de certains priphriques ou applications.

Remarque : Notez que, lorsque vous combinez le traitement par boucle de rappel au
filtrage de groupe de scurit, lapplication des paramtres utilisateur pendant lactualisation de
la stratgie utilise les informations didentification de lordinateur pour dterminer les objets de
stratgie de groupe appliquer dans le cadre du traitement par boucle de rappel. Cependant,
lutilisateur connect doit galement possder lautorisation Appliquer la stratgie de groupe
pour que lobjet de stratgie de groupe soit appliqu avec succs. Notez galement que
lindicateur de traitement par boucle de rappel est configur par session plutt que par objet
de stratgie de groupe.

Considrations pour les liaisons lentes et les systmes dconnects


Certains paramtres que vous pouvez configurer
avec la stratgie de groupe peuvent tre affects
par la vitesse de la liaison entre lordinateur de
lutilisateur et votre rseau de domaine. Par
exemple, le dploiement du logiciel laide des
objets de stratgie de groupe nest pas adapt
aux liaisons plus lentes. En outre, il est important
de prendre en compte leffet des stratgies de
groupe sur les ordinateurs dconnects du
rseau de domaine.

Liaisons lentes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-35

Le client de stratgie de groupe traite la question des liaisons lentes en dtectant la vitesse de connexion
au domaine et en dterminant si la connexion doit tre considre comme une liaison lente. Cette
dtermination est alors utilise par chaque extension CSE afin de dcider dappliquer ou non les
paramtres. Lextension logicielle, par exemple, est configure pour ignorer le traitement de stratgie,
de sorte que le logiciel nest pas install si une liaison lente est dtecte.
Remarque : Par dfaut, une liaison est considre lente selle a un dbit infrieur
500 kilobits par seconde (Kbits/s). Cependant, vous pouvez configurer ce seuil un dbit diffrent.

Si la stratgie de groupe dtecte une liaison lente, elle paramtre un indicateur pour signaler la liaison aux
extensions CSE. Ces dernires peuvent alors dterminer sil est ncessaire de traiter les paramtres de stratgie
de groupe applicables. Le tableau suivant dcrit le comportement par dfaut des extensions ct client.
Extension ct client

Traitement des liaisons lentes

Modification possible ?

Traitement de la stratgie du Registre

Actif

Non

Maintenance Internet Explorer

Inactif

Oui

Stratgie dinstallation de logiciels

Inactif

Oui

Stratgie de redirection de dossiers

Inactif

Oui

Stratgie de scripts

Inactif

Oui

Stratgie de scurit

Actif

Non

Stratgie IPsec (Internet Protocol


Security)

Inactif

Oui

Stratgie sans fil

Inactif

Oui

Stratgie de rcupration du systme


de fichiers EFS

Actif

Oui

Stratgie de quota de disque

Inactif

Oui

Ordinateurs dconnects

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-36 Implmentation dune infrastructure de stratgie de groupe

Si un utilisateur travaille sans tre connect au rseau, les paramtres prcdemment appliqus par la
stratgie de groupe demeurent en vigueur. De cette manire, lexprience dun utilisateur est identique,
indpendamment de sa connexion au rseau. Il existe des exceptions la rgle, dont notamment le fait
que les scripts de dmarrage, douverture de session, de fermeture de session et darrt ne sexcutent pas
si lutilisateur est dconnect.
Si un utilisateur distant se connecte au rseau, le client de stratgie de groupe sort de veille et dtermine
si une fentre dactualisation de stratgie de groupe a t manque. Si tel est le cas, il excute une
actualisation de stratgie de groupe pour obtenir les derniers objets de stratgie de groupe du domaine.
Encore une fois, les extensions CSE dterminent, selon leurs paramtres de traitement de stratgie, si les
paramtres de ces objets de stratgie de groupe sont appliqus.
Remarque : Ce processus ne sapplique pas aux systmes Windows XP ou Windows
Server 2003. Il sapplique uniquement Windows Vista, Windows Server 2008, Windows
Server 2008 R2, Windows 7, Windows 8 et Windows Server 2012.

Identification du moment o les paramtres entrent en vigueur


Plusieurs processus doivent tre effectus avant
que les paramtres de stratgie de groupe ne
soient rellement appliqus un utilisateur ou
un ordinateur. Cette rubrique prsente ces
processus.

La rplication de lobjet de stratgie


de groupe doit avoir lieu
Avant quun objet de stratgie de groupe ne
puisse entrer en vigueur, le conteneur Stratgie de
groupe dans Active Directory doit tre rpliqu
sur le contrleur de domaine partir duquel le
client de stratgie de groupe obtient sa liste trie
dobjets de stratgie de groupe. En outre, le modle de stratgie de groupe du volume SYSVOL doit
rpliquer sur le mme contrleur de domaine.

Les modifications apportes au groupe doivent tre incorpores

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-37

Enfin, si vous avez ajout un nouveau groupe ou avez modifi lappartenance dun groupe utilis pour
filtrer lobjet de stratgie de groupe, cette modification doit galement tre rplique. En outre, la
modification doit tre dans le jeton de scurit de lordinateur et de lutilisateur, ce qui ncessite un
redmarrage (pour que lordinateur mette jour son appartenance de groupe) ou une fermeture de
session, puis une ouverture de session (pour que lutilisateur mette jour son appartenance de groupe).

Lactualisation de la stratgie de groupe de lutilisateur ou de lordinateur doit


avoir lieu
Lactualisation a lieu au dmarrage (pour les paramtres de lordinateur), louverture de session
(pour les paramtres de lutilisateur) et toutes les 90 120 minutes ensuite, par dfaut.
Remarque : Gardez lesprit que lincidence pratique de lintervalle dactualisation
de la stratgie de groupe est la suivante : lorsque vous apportez une modification votre
environnement, lentre en vigueur de la modification prend, en moyenne, deux fois moins de
temps, soit 45 60 minutes.

Par dfaut, les clients Windows XP, Windows Vista, Windows 7, et Windows 8 excutent uniquement des
actualisations en tche de fond au dmarrage et louverture de session, ce qui signifie quun client peut
dmarrer et quun utilisateur peut se connecter sans recevoir les dernires stratgies du domaine. Nous
vous recommandons fortement de modifier ce comportement par dfaut de sorte que les modifications
de stratgie soient implmentes de faon gre et prvisible. Activez le paramtre de stratgie Toujours
attendre le rseau lors du dmarrage de lordinateur et de louverture de session pour tous les
clients Windows. Le paramtre est situ dans Configuration de lordinateur\Stratgies\Modles
dadministration\Systme\Ouverture de session. Veillez lire le texte explicatif du paramtre de
stratgie. Notez que cette modification naffecte pas la dure de dmarrage ou douverture de session
pour les ordinateurs qui ne sont pas connects un rseau. Si lordinateur dtecte quil est dconnect,
il nattend pas un rseau.

Ouverture de session ou redmarrage

Bien que la plupart des paramtres soient appliqus pendant une actualisation de stratgie en arrireplan, certaines extensions CSE nappliquent pas le paramtre jusqu lvnement suivant de dmarrage
ou douverture de session. Par exemple, les stratgies de script de dmarrage et douverture de session
nouvellement ajoutes ne fonctionnent pas tant que lordinateur na pas t redmarr ou quune
nouvelle session na pas t ouverte. Linstallation logicielle a lieu au dmarrage suivant si le logiciel est
attribu dans les paramtres de lordinateur. Les modifications des stratgies de redirection de dossiers
entrent pas en vigueur louverture de session suivante.

Actualiser manuellement la stratgie de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-38 Implmentation dune infrastructure de stratgie de groupe

Lorsque vous exprimentez avec le traitement de stratgie de groupe dpannage de la stratgie de


groupe, vous pouvez avoir besoin dinitialiser une actualisation de stratgie de groupe manuelle de sorte
ne pas avoir attendre lactualisation en tche de fond suivante. Vous pouvez utiliser la commande
GPUpdate pour initier une actualisation de la stratgie de groupe. Utilise seule, cette commande
dclenche un traitement identique une actualisation de stratgie de groupe en tche de fond. La
stratgie dordinateur et la stratgie dutilisateur sont toutes deux actualises. Utilisez le paramtre
/target:computer ou /target:user pour limiter lactualisation aux paramtres de lordinateur ou de
lutilisateur, respectivement. Pendant lactualisation en tche de fond, par dfaut, des paramtres sont
appliqus uniquement si lobjet de stratgie de groupe a t mis jour. Le commutateur /force fait en
sorte que le systme rapplique tous les paramtres de lensemble des objets de stratgie de groupe
limits en tendue lutilisateur ou lordinateur. Certains paramtres de stratgie requirent une
fermeture de session ou un redmarrage avant dentrer rellement en vigueur. Les commutateurs /logoff
et /boot de GPUpdate causent une fermeture de session ou un redmarrage, respectivement. Vous
pouvez utiliser ces commutateurs lorsque vous appliquez des paramtres qui ncessitent une fermeture
de session ou un redmarrage.
Par exemple, la commande qui provoque une actualisation totale de lapplication, et, sil y a lieu, le
redmarrage et louverture de session pour appliquer des paramtres de stratgie mis jour est :
gpupdate /force /logoff /boot

La plupart des extensions CSE ne rappliquent pas les paramtres si lobjet


de stratgie de groupe na pas chang
Gardez lesprit que la plupart des extensions CSE appliquent les paramtres dun objet de stratgie de
groupe uniquement si celui-ci a chang. Cela signifie que, si un utilisateur peut modifier un paramtre
spcifi initialement par la stratgie de groupe, le paramtre ne sera pas ramen en conformit aux
paramtres spcifis par lobjet de stratgie de groupe tant que lobjet de stratgie de groupe na pas
chang. Heureusement, la plupart des paramtres de stratgie ne peuvent pas tre modifis par un
utilisateur sans privilges. Cependant, si un utilisateur est un administrateur de son ordinateur, ou si le
paramtre de stratgie affecte une partie du registre ou du systme que lutilisateur lautorisation de
modifier, cela peut devenir un rel problme.

Vous pouvez demander chaque extension CSE de rappliquer les paramtres des objets de stratgie de
groupe, mme si ceux-ci nont pas t modifis. Le comportement de traitement de chaque extension CSE
peut tre configur dans les paramtres de stratgie figurant sous Configuration de lordinateur\Modles
dadministration\Systme\Stratgie de groupe.

Leon 4

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-39

Dpanner lapplication des objets de stratgie de groupe

Avec linteraction de nombreux paramtres dans plusieurs objets de stratgie de groupe limits en
tendue laide dun large choix de mthodes, lapplication de stratgie de groupe peut tre complexe
analyser et comprendre. Par consquent, vous devez tre quip pour valuer et dpanner efficacement
votre implmentation de stratgie de groupe, identifier les problmes potentiels avant quils surgissent et
rsoudre les difficults imprvues. Windows Server fournit des outils indispensables la prise en charge
de la stratgie de groupe. Dans cette leon, vous explorerez lutilisation de ces outils dans des scnarios
de dpannage et de support technique proactifs et ractifs.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrire comment actualiser les objets de stratgie de groupe sur un ordinateur client.

Analyser lensemble des objets de stratgie de groupe et des paramtres de stratgie appliqus
un utilisateur ou un ordinateur.

Gnrer des rapports de jeu de stratgie rsultant (RSoP) pour contribuer lanalyse des paramtres
de lobjet de stratgie de groupe.

Modliser proactivement lincidence des modifications de la stratgie de groupe ou Active Directory


sur le RSOP.

Localiser les journaux des vnements contenant les vnements relatifs la stratgie de groupe.

Actualisation des objets de stratgie de groupe


Les paramtres de configuration de lordinateur
sont appliqus au dmarrage, puis actualiss
intervalles rguliers. Tous les scripts de dmarrage
sont excuts au dmarrage de lordinateur.
Lintervalle par dfaut est de 90 minutes, mais il
est configurable. Lexception lintervalle dfini
concerne les contrleurs de domaine, dont les
paramtres sont actualiss toutes les cinq minutes.
Les paramtres utilisateur sont appliqus
louverture de session et actualiss intervalles
rguliers er configurables ; la valeur par dfaut est
galement de 90 minutes. Tous les scripts
douverture de session sont excuts louverture de la session.
Remarque : Divers paramtres utilisateur requirent deux ouvertures de session avant
que lutilisateur peroive leffet de lobjet de stratgie de groupe. Cela est d au fait que les
utilisateurs ouvrant une session sur le mme ordinateur utilisent des informations didentification
mises en cache pour acclrer les ouvertures de session. Cela signifie que, bien que les
paramtres de stratgie soient fournis lordinateur, lutilisateur est dj connect et les
paramtres nentreront donc pas en vigueur avant louverture de session suivante. Le paramtre
de redirection de dossier en est un exemple.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-40 Implmentation dune infrastructure de stratgie de groupe

Vous pouvez modifier l'intervalle d'actualisation en configurant un paramtre de stratgie de groupe.


Pour les paramtres de l'ordinateur, le paramtre d'intervalle d'actualisation se trouve dans le nud
Configuration de l'ordinateur\Stratgies\Modles d'administration\Systme\Stratgie de groupe.
Pour les paramtres utilisateurs, l'intervalle d'actualisation se trouve dans les paramtres correspondants
sous la Configuration utilisateur. Les paramtres de scurit constituent une exception l'intervalle
d'actualisation. La section paramtres de scurit de la stratgie de groupe est actualise au moins toutes
les 16 heures, indpendamment de l'intervalle dfini pour l'intervalle d'actualisation.

Vous pouvez galement actualiser la stratgie de groupe manuellement. L'utilitaire de ligne de


commande Gpupdate actualise et fournit toutes les nouvelles configurations de stratgie de groupe.
La commande Gpupdate /force actualise tous les paramtres de stratgie de groupe. Il existe galement
un nouvel applet de commande Windows PowerShell Invoke-Gpupdate, qui remplit la mme fonction.

L'Actualisation des stratgies distance est une nouvelle fonctionnalit de Windows Server 2012. Cette
fonctionnalit permet aux administrateurs d'utiliser la console GPMC pour cibler une unit d'organisation
et forcer l'actualisation de la stratgie de groupe sur tous ses ordinateurs et utilisateurs actuellement
connects. Pour ce faire, cliquez avec le bouton droit sur n'importe quelle unit d'organisation, puis
cliquez sur Mise jour de la stratgie de groupe. La mise jour se produit dans un dlai de 10 minutes.
Remarque : Parfois, l'chec de l'application d'un objet de stratgie de groupe rsulte des
problmes au niveau de la technologie sous-jacente responsable de la rplication d'AD DS et du
volume SYSVOL. Dans Windows Server 2012, vous pouvez afficher l'tat de rplication l'aide de
Gestion des stratgies de groupe, en slectionnant le nud Domaine, en cliquant sur l'onglet
tat, puis en cliquant sur Dtecter.

Jeu de stratgie rsultant


Lhritage des stratgies de groupe, les filtres et
les exceptions sont complexes, et il est souvent
difficile de dterminer les paramtres de stratgie
appliquer.
RSoP est leffet net des objets de stratgie
de groupe appliqus un utilisateur ou un
ordinateur, compte tenu des liaisons de lobjet de
stratgie de groupe, des exceptions, telles que
Appliqu et Bloquer lhritage, et lapplication de
la scurit et des filtres WMI.

RSoP constitue galement une collection doutils


qui vous permettent dvaluer, de modliser et de
dpanner lapplication des paramtres de stratgie de groupe. RSoP peut interroger un ordinateur local
ou distant, puis gnrer un rapport sur les paramtres prcis appliqus lordinateur et aux utilisateurs
connects lordinateur. RSoP peut galement modliser les paramtres de stratgie prvus pour tre
appliqus un utilisateur ou un ordinateur dans divers scnarios, notamment le dplacement de lobjet
entre des units dorganisation ou des sites, ou la modification de lappartenance de groupe de lobjet.
Avec ces fonctions, RSoP peut vous aider grer et dpanner les stratgies conflictuelles.

Windows Server 2012 fournit les outils suivants pour effectuer des analyses RSoP :

LAssistant Rsultats de stratgie de groupe

LAssistant Modlisation de stratgie de groupe

GPResult.exe

Gnrer des rapports RSoP


Pour vous aider analyser leffet cumulatif des
objets de stratgie de groupe et des paramtres
de stratgie sur un utilisateur ou un ordinateur
dans votre organisation, la console GPMC
comprend lAssistant Rsultats de stratgie de
groupe. Si vous souhaitez comprendre exactement
quels paramtres de stratgie sont appliqu un
utilisateur ou un ordinateur, et pour quelles
raisons, lAssistant Rsultats de stratgie de groupe
est loutil utiliser.

Gnrer des rapports RSoP avec lAssistant Rsultats de stratgie de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-41

LAssistant Rsultats de stratgie de groupe peut atteindre le fournisseur WMI sur un ordinateur local ou
distant qui excute Windows Vista ou une version plus rcente. Le fournisseur WMI peut signaler tout ce
quil y savoir sur la manire dont la stratgie de groupe a t applique au systme. Il sait quel
moment le traitement a eu lieu, quels objets de stratgie de groupe ont t appliqus, quels objets de
stratgie de groupe nont pas t appliqus et pourquoi, les erreurs rencontres, et les paramtres de
stratgie prcis qui ont pris la priorit ainsi que leur objet de stratgie de groupe source.

Il existe plusieurs exigences pour lexcution de lAssistant Rsultats de stratgie de groupe, notamment :

Lordinateur cible doit tre en ligne.

Vous devez possder des informations didentification de ladministrateur sur lordinateur cible.

Lordinateur cible doit excuter Windows XP ou une version plus rcente. LAssistant Rsultats de
stratgie de groupe ne peut pas accder aux systmes Windows 2000.

Vous devez pouvoir accder WMI sur lordinateur cible. Cela signifie que lordinateur doit tre en
ligne, connect au rseau et accessible par les ports 135 et 445.

Remarque : Lexcution de lanalyse de RSoP laide de lAssistant Rsultats de stratgie


de groupe nest quun exemple dadministration distance. Pour excuter ladministration
distance, vous devez configurer des rgles de trafic entrant pour le pare-feu utilis par vos
clients et serveurs.

Le service WMI doit tre dmarr sur lordinateur cible.

Si vous souhaitez analyser RSoP pour un utilisateur, cet utilisateur doit stre connect au moins une
fois lordinateur. Il nest cependant pas ncessaire que lutilisateur soit actuellement connect.

Une fois que vous avez vrifi que les exigences sont satisfaites, vous tes prt excuter une analyse
de RSoP.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-42 Implmentation dune infrastructure de stratgie de groupe

Pour excuter un rapport RSoP, cliquez avec le bouton droit sur Rsultats de stratgie de groupe dans
larborescence de la console GPMC, puis cliquez sur Assistant Rsultats de stratgie de groupe.
LAssistant vous invite slectionner un ordinateur. Il se connecte alors au fournisseur WMI sur cet
ordinateur, et fournit une liste des utilisateurs qui y sont connects. Vous pouvez alors slectionner lun
des utilisateurs, ou vous pouvez ignorer lanalyse RSoP pour les stratgies de configuration utilisateur.
LAssistant gnre un rapport RSoP dtaill au format DHTML. Si la configuration de scurit renforce
dInternet Explorer est dfinie, vous tes invit autoriser la console afficher le contenu dynamique.
Vous pouvez dvelopper ou rduire chaque section du rapport en cliquant sur le lien Afficher ou
Masquer, ou en double-cliquant sur le titre de la section.
Le rapport est affich sur trois onglets :

Rsum. Longlet Rsum affiche ltat de traitement de la stratgie de groupe lors de la dernire
actualisation. Vous pouvez identifier les informations recueillies sur le systme, les objets de stratgie
de groupe appliqus et refuss, lappartenance au groupe de scurit qui pourrait avoir affect des
objets de stratgie de groupe filtrs avec les groupes de scurit, les filtres WMI analyss, et ltat des
extensions CSE.

Paramtres. Longlet Paramtres affiche les paramtres de jeu de stratgie rsultant appliqus
lordinateur ou lutilisateur. Cet onglet vous montre exactement ce qui est arriv lutilisateur suite
aux effets de votre implmentation de stratgie de groupe. Vous pouvez apprendre normment
dinformations grce longlet Paramtres, mme si certaines donnes ne sont pas prises en compte,
notamment les paramtres IPsec, sans fil et de stratgie de quota de disque.

vnements de stratgie. Longlet vnements de stratgie affiche des vnements de stratgie de


groupe partir des journaux dvnements de lordinateur cible.

Aprs avoir gnr un rapport RSoP laide de lAssistant Rsultats de stratgie de groupe, vous pouvez
cliquer avec le bouton droit sur ce rapport pour excuter de nouveau la requte, imprimer le rapport ou
enregistrer le rapport comme fichier XML ou fichier HTML qui conserve le dveloppement et la rduction
dynamiques des sections. Vous pouvez ouvrir les deux types de fichier avec Internet Explorer ; le rapport
RSoP est donc portable hors de la console GPMC.
Si vous cliquez avec le bouton droit le nud du rapport lui-mme, dans le dossier Rsultats de stratgie
de groupe dans larborescence de la console, vous pouvez alors basculer vers Affichage avanc. Dans
Affichage avanc, RSoP est affich laide du composant logiciel enfichable RSoP qui indique tous les
paramtres appliqus, notamment les stratgies IPsec, sans fil et de quota de disque.

Gnrer les rapports RSoP avec GPResult.exe

La commande GPResult.exe est la version ligne de commande de lAssistant Rsultats de stratgie de


groupe. GPResult puise dans le mme fournisseur WMI que lAssistant, gnre les mmes informations et
vous permet, au demeurant, de crer les mmes rapports graphiques. GPResult fonctionne uniquement
sur Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008
et Windows Server 2012.
Remarque : Windows 2000 comprend une commande GPResult.exe, qui gnre un
rapport limit du traitement de la stratgie de groupe. Cependant, elle nest pas aussi
sophistique que la commande incluse dans les versions Windows rcentes.

Lorsque vous excutez la commande GPResult, vous tes susceptible dutiliser les options suivantes :
/scomputername

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-43

Cette option spcifie le nom ou ladresse IP dun systme distant. Si vous utilisez un point (.) comme nom
dordinateur ou nincluez pas loption /s, lanalyse RSoP est excute sur lordinateur local :
/scope [user | computer]

Cette commande affiche lanalyse RSoP des paramtres utilisateur ou ordinateur. Si vous omettez loption
/scope, lanalyse RSoP comprend les paramtres utilisateur et ordinateur :
/userusername

Cette commande spcifie le nom de lutilisateur dont vous souhaitez afficher les donnes RSoP.
/r

Cette option affiche un rsum des donnes RSoP :


/v

Cette option affiche les donnes RSoP dtailles, qui prsentent les informations les plus significatives :
/z

Cela affiche les donnes trs dtailles, notamment les dtails de tous les paramtres de stratgie
appliqus au systme. Vous navez gnralement pas besoin de toutes ces informations pour le
dpannage typique de la stratgie de groupe :
/udomain\user/ppassword

Cette commande fournit les informations didentification qui se trouvent dans le groupe Administrateurs
dun systme distant. Sans ces informations didentification, GPResult sexcute laide des informations
didentification avec lesquelles vous tes connect :
[/x | /h] filename

Cette option enregistre les rapports sous format XML ou HTML. Ces options sont disponibles dans le
Service Pack 1 de Windows Vista (SP1) et versions plus rcentes, Windows Server 2008 et versions plus
rcentes, Windows 7, et Windows 8.

Dpannage de la stratgie de groupe avec lAssistant Rsultats de stratgie


de groupe ou GPResult.exe

En tant quadministrateur, vous tes susceptible de rencontrer des scnarios qui requirent le dpannage
des stratgies de groupe. Vous pouvoir avoir diagnostiquer et rsoudre des problmes, notamment :

Les objets de stratgie de groupe ne sont pas appliqus du tout.

Le jeu de stratgies rsultant pour un ordinateur ou un utilisateur nest pas ce qui a t prvu.

LAssistant Rsultats de stratgie de groupe et GPResult.exe offrent souvent lanalyse la plus prcieuse
des problmes de traitement et dapplication des stratgies de groupe. Souvenez-vous que ces outils
examinent le fournisseur WMI RSoP pour fournir un rapport exact des vnements dun systme.
Lexamen du rapport RSoP vous indique souvent les objets de stratgie de groupe limits en tendue
de manire incorrecte ou les erreurs de traitement de la stratgie qui ont empch lapplication des
paramtres de lobjet de stratgie de groupe.

Dmonstration : Procdure dexcution de lanalyse de scnarios avec


lAssistant Modlisation de stratgie de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-44 Implmentation dune infrastructure de stratgie de groupe

Si vous dplacez un ordinateur ou un utilisateur entre les sites, les domaines ou les units dorganisation,
ou si modifiez son appartenance de groupe de scurit, les objets de stratgie de groupe limits en
tendue cet utilisateur ou ordinateur seront modifis. Par consquent, le RSoP pour lordinateur ou
lutilisateur sera diffrent. Le RSoP changera galement si la liaison est lente ou si le traitement par boucle
de rappel a lieu, ou sil y a une modification dune caractristique systme cible par un filtre WMI.

Avant dapporter lune de ces modifications, vous devez valuer limpact potentiel dun utilisateur ou un
ordinateur sur le RSoP. LAssistant Rsultats de stratgie de groupe peut excuter lanalyse RSoP
uniquement sur ce qui sest produit rellement. Pour prdire lavenir et effectuer les analyses de scnarios,
vous pouvez utiliser lAssistant Modlisation de stratgie de groupe.
Pour effectuer une modlisation de stratgie de groupe, cliquez avec le bouton droit sur le nud
Modlisation de stratgie de groupe dans larborescence de la console GPMC, cliquez sur lAssistant
Modlisation de stratgie de groupe, puis suivez les tapes indiques dans lAssistant.
La modlisation est effectue laide dune simulation sur un contrleur de domaine ; vous tes ainsi
dabord invit slectionner un contrleur de domaine. Vous navez pas besoin dtre connect
localement au contrleur de domaine, mais la requte de modlisation sera effectue sur le contrleur
de domaine. Vous tes alors invit spcifier les paramtres de la simulation, notamment :

Slectionner un objet utilisateur ou ordinateur valuer, ou spcifier lunit dorganisation, le site


ou le domaine valuer.

Indiquer si le traitement de liaison lente doit tre simul.

Spcifier si vous souhaitez simuler le traitement par boucle de rappel et, si oui, slectionner le mode
Remplacer ou Fusionner.

Slectionner un site simuler.

Slectionner les groupes de scurit pour lutilisateur et pour lordinateur.

Slectionner les filtres WMI appliquer dans la simulation du traitement de stratgie utilisateur
et ordinateur.

Une fois que vous avez spcifi les paramtres de la simulation, un rapport trs similaire celui des
rsultats de stratgie de groupe prsent prcdemment est gnr. Longlet Rsum montre une vue
densemble des objets de stratgie de groupe qui seront traits, et longlet Paramtres dtaille les
paramtres de stratgie qui seront appliqus lutilisateur ou lordinateur. Ce rapport peut lui aussi tre
enregistr en cliquant dessus avec le bouton droit, puis en slectionnant Enregistrer le rapport.

Demonstration
Cette dmonstration montre comment :

excuter GPResult.exe partir de linvite de commandes ;

excuter GPResult.exe partir de linvite de commandes, puis exporter les rsultats vers un
fichier HTML ;

ouvrir la console GPMC ;

excuter lAssistant Cration de rapport de stratgie de groupe, puis afficher les rsultats ;

excuter lAssistant Modlisation de stratgie de groupe, puis afficher les rsultats.

Procdure de dmonstration
Utiliser GPResult.exe pour crer un rapport
1.

Sur lordinateur LON-DC1, ouvrez une invite de commandes.

2.

Excutez les commandes suivantes :


Gpresult /t
Gpresult /h results.html

3.

Ouvrez le rapport results.html dans Internet Explorer, puis examinez le rapport.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

5-45

Crer un rapport laide de lAssistant Cration de rapport de stratgie de groupe


1.

Fermez linvite de commandes, puis ouvrez la console Gestion des stratgies de groupe.

2.

Dans le nud Rsultats de stratgie de groupe, lancez lAssistant Rsultats de stratgie de groupe.

3.

Remplissez lAssistant laide des valeurs par dfaut.

4.

Examinez le rapport, puis enregistrez-le au bureau.

Crer un rapport laide de lAssistant Modlisation de stratgie de groupe


1.

partir du nud Modlisation de stratgie de groupe, lancez lAssistant Modlisation de


stratgie de groupe.

2.

Spcifiez lutilisateur du rapport comme Ed Meadows et le conteneur dordinateur comme lunit


dorganisation informatique.

3.

Renseignez lAssistant en utilisant les valeurs par dfaut, puis examinez le rapport.

4.

Fermez la console Gestion des stratgies de groupe.

Examiner les journaux des vnements de stratgie


Windows Vista, Windows 7, Windows 8, Windows
Server 2008 et Windows Server 2012 amliorent
votre capacit dpanner la stratgie de groupe,
non seulement grce aux outils RSoP, mais
galement grce la journalisation amliore des
vnements de stratgie de groupe, notamment :

Le journal systme, o vous trouverez des


informations de haut niveau sur la stratgie
de groupe, y compris les erreurs cres par le
client de stratgie de groupe lorsquil ne peut
pas se connecter un contrleur de domaine
ou localiser des objets de stratgie de groupe.

Le journal des applications, qui capture des vnements enregistrs par les extensions CSE.

Le journal des oprations de stratgie de groupe, qui fournit des informations dtailles sur le
traitement de stratgie de groupe.

Pour rechercher des journaux de stratgie de groupe, ouvrez le composant logiciel enfichable
Observateur dvnements ou la console. Les journaux systme et dapplications se trouvent dans le nud
Journaux Windows. Le journal des oprations de stratgie de groupe se trouve dans
Journaux des applications et services\Microsoft \Windows\GroupPolicy\Oprations.

Atelier pratique : Implmentation dune infrastructure


de stratgie de groupe
Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

5-46 Implmentation dune infrastructure de stratgie de groupe

A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.
Vous avez t invit utiliser la stratgie de groupe pour implmenter des paramtres de scurit
standardiss afin de verrouiller des crans dordinateur lorsque les utilisateurs laissent des ordinateurs
sans surveillance pendant 10 minutes ou plus. Vous devez galement configurer un paramtre de
stratgie qui empche laccs certains programmes sur les stations de travail locales.
Aprs un certain temps, il vous a t signal quune application critique choue au dmarrage de
lconomiseur dcran, et un ingnieur vous a demand dempcher que le paramtre ne sapplique
lquipe dingnieurs de recherche qui utilise lapplication quotidiennement. Vous avez t invit
galement configurer des ordinateurs de la salle de confrence de sorte quils utilisent un dlai
dexpiration de 45 minutes.

Aprs la cration des stratgies, vous devez valuer le jeu de stratgies rsultant pour les utilisateurs dans
votre environnement afin de vrifier que linfrastructure de stratgie de groupe est optimise et que
toutes les stratgies sont appliques comme prvu.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

Crer et configurer un objet de stratgie de groupe.

grer ltendue de la stratgie de groupe ;

Rsoudre les problmes lis lapplication de la stratgie de groupe.

Grer les objets de stratgie de groupe.

Configuration de latelier pratique


Dure approximative : 90 minutes

Ordinateur(s) virtuel(s)

22411B-LON-DC1
22411B-LON-CL1

Nom dutilisateur

ADATUM\Administrateur

Mot de passe

Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


6-1

Module 6
Gestion des bureaux des utilisateurs avec la stratgie
de groupe
Table des matires :
Vue d'ensemble du module

6-1

Leon 1 : Implmentation des modles dadministration

6-2

Leon 2 : Configuration de la redirection de dossiers et des scripts

6-12

Leon 3 : Configuration des prfrences de stratgies de groupe

6-20

Leon 4 : Gestion des logiciels laide de la stratgie de groupe

6-39

Atelier pratique : Gestion des bureaux des utilisateurs


avec la stratgie de groupe

6-46

Contrle des acquis et lments retenir

6-53

Vue densemble du module

laide des objets de stratgie de groupe, vous pouvez mettre en place des environnements de bureau
au sein de votre organisation en utilisant les modles dadministration, la redirection des dossiers, les
prfrences de stratgie de groupe et, le cas chant, utiliser le dploiement de logiciel afin dinstaller
et de mettre jour des programmes dapplication. Il est important de savoir utiliser ces diverses
fonctionnalits dobjet de stratgie de groupe de sorte que vous puissiez configurer les paramtres
des ordinateurs de vos utilisateurs correctement.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

Dcrire et implmenter des modles dadministration.

Configurer la redirection de dossiers et les scripts laide des objets de stratgie de groupe.

Configurer les prfrences des objets de stratgie de groupe.

Dployer le logiciel laide des objets de stratgie de groupe.

Gestion des bureaux des utilisateurs avec la stratgie de groupe

Leon 1

Implmentation des modles dadministration


Les fichiers de modle dadministration fournissent la majorit des paramtres dobjet de stratgie
de groupe disponibles, qui modifient les cls de Registre spcifiques. Lutilisation des modles
dadministration est parfois dsign sous le nom de stratgie base sur le Registre. Pour de nombreuses
applications, lutilisation de la stratgie base sur le Registre que les fichiers de modle dadministration
fournissent est la voie la plus simple et la plus efficace de prendre en charge la gestion centralise des
paramtres de stratgie. Dans cette leon, vous allez apprendre configurer des modles
dadministration.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrire des modles dadministration de stratgie de groupe.

Dcrire les fichiers ADM et ADMX, ou les modles dadministration.

Dcrire le magasin central.

Dcrire les scnarios dexemple dutilisation des modles dadministration.

Expliquer comment configurer les paramtres des modles dadministration.

Que sont les modles d'administration ?


Les modles d'administration vous offrent la
possibilit de contrler la fois l'environnement
du systme d'exploitation et l'exprience de
l'utilisateur. Il existe deux ensembles de modles
d'administration : l'un pour les utilisateurs et l'un
pour les ordinateurs.
Grce aux sections ddies aux modles
d'administration de l'objet de stratgie de
groupe, vous pouvez dployer des centaines
de modifications au Registre. Les modles
d'administration possdent les caractristiques
suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-2

Ils sont organiss en sous-dossiers qui traitent des zones spcifiques de lenvironnement, telles que le
rseau, le systme et les composants Windows.

Les paramtres de la section informatique modifient la ruche HKEY_LOCAL_MACHINE dans le Registre


et les paramtres de la section utilisateur modifient la ruche HKEY_CURRENT_USER dans le Registre.

Quelques paramtres existent la fois pour lutilisateur et lordinateur. Par exemple, il existe un
paramtre empchant lexcution de Windows Messenger la fois dans le modle Utilisateur et dans
le modle Ordinateur. En cas de paramtres contradictoires, le paramtre de lordinateur est
prioritaire.

Quelques paramtres sont disponibles seulement pour certaines versions du systme dexploitation
Windows. Par exemple, un certain nombre de nouveaux paramtres peuvent seulement tre
appliqus Windows 7 et aux versions plus rcentes du systme dexploitation Windows. Doublecliquer sur un paramtre permet dafficher les versions prises en charge pour ce paramtre.

Que sont les fichiers ADM et ADMX ?


Fichiers ADM
En gnral, les fichiers ADM sont utiliss pour
dfinir les paramtres quun administrateur peut
configurer grce la stratgie de groupe. Chaque
systme dexploitation Windows et Service Pack
successif comprend une version plus rcente de
ces fichiers. Les fichiers ADM utilisent leur propre
langage de balisage. Par consquent, il est difficile
de personnaliser les fichiers ADM. Les modles
ADM sont situs dans le dossier
%SystemRoot%\Inf.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-3

Lun des inconvnients majeurs des fichiers ADM est quils sont copis dans chaque objet de stratgie de
groupe cr et consomment environ 3 mgaoctets de (Mo) despace. Ceci peut augmenter normment
la taille du dossier du volume systme (SYSVOL) et accrotre le trafic de rplication.

Fichiers ADMX

Windows Vista et Windows Server 2008 ont prsent un nouveau format daffichage des paramtres de
stratgie bass sur le Registre. Ces paramtres sont dfinis laide dun format de fichier XML bas sur
des normes appel fichier ADMX. Ces nouveaux fichiers remplacent les fichiers ADM.
Les outils de stratgie de groupe sur Windows Vista et les systmes dexploitation les plus rcents, ainsi
que sur Windows Server 2008, continuent identifier les fichiers ADM personnaliss qui se trouvent dans
votre environnement existant, mais ignorent nimporte quel fichier ADM remplac par un fichier ADMX.
la diffrence des fichiers ADM, les fichiers ADMX ne sont pas enregistrs dans un objet de stratgie de
groupe. Lditeur dobjet de stratgie de groupe lit et affiche automatiquement les paramtres du
magasin local de fichiers ADMX. Par dfaut, les fichiers ADMX sont enregistrs dans le dossier
Windows\PolicyDefinitions, mais ils peuvent tre enregistrs dans un emplacement central.

Les fichiers ADMX sont indpendants de la langue. Les descriptions en langage simple des paramtres ne
font pas partie des fichiers ADMX. Elles sont enregistres dans des fichiers ADML spcifiques chaque
langue. Ceci signifie que les administrateurs qui parlent diverses langues, tels que langlais et lespagnol,
peuvent examiner le mme objet de stratgie de groupe et voir les descriptions de stratgie dans leur
propre langue, en utilisant leurs propres fichiers ADML correspondant chaque langue. Les fichiers ADML
sont stocks dans un sous-dossier du dossier PolicyDefinitions. Par dfaut, seuls les fichiers de langue
ADML pour la langue du systme dexploitation install sont ajouts.

Migrer les modles dadministration classiques vers ADMX

Loutil de migration ADMX est un composant logiciel enfichable pour Microsoft Management Console
(MMC) qui simplifie le processus de conversion de vos modles ADM existants de stratgie de groupe vers
le nouveau format ADMX et qui fournit une interface utilisateur graphique pour crer et modifier des
modles dadministration. Vous pouvez tlcharger loutil de migration ADMX partir du site Web de
Microsoft, la page http://go.microsoft.com/fwlink/?linkID=270013

Gestion des bureaux des utilisateurs avec la stratgie de groupe

Le magasin central
Pour des entreprises bases sur un domaine, vous
pouvez crer un emplacement de magasin central
pour les fichiers ADMX, accessible tout personne
possdant lautorisation de crer ou de modifier
lobjet de stratgie de groupe. Lditeur dobjet
de stratgie de groupe sur Windows Vista et
Windows Server 2008 (ou les versions plus
rcentes) lit et affiche automatiquement des
paramtres de stratgie de modle
dadministration partir des fichiers ADMX que
le magasin central met en cache, et ignore alors
ceux enregistrs localement. Si le contrleur de
domaine est indisponible, le magasin local est utilis.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-4

Vous devez crer le magasin central, puis le mettre jour manuellement sur un contrleur de domaine.
Lutilisation des fichiers ADMX dpend du systme dexploitation de lordinateur sur lequel vous crez ou
modifier lobjet de stratgie de groupe. Par consquent, le contrleur de domaine peut tre un serveur
dot de Windows 2000 ou une version plus rcente. Le service de rplication de fichiers (FRS) ne
rpliquera pas le contrleur de domaine vers dautres contrleurs de ce domaine. Selon votre systme
dexploitation serveur et votre configuration, vous pouvez utiliser le service FRS ou la rplication de
systme de fichiers (DFS-R) pour rpliquer les donnes.

Pour crer un magasin central pour des fichiers .admx et .adml, crez un dossier nomm PolicyDefinitions
lemplacement suivant : \\FQDN\SYSVOL\NDC\stratgies
Par exemple, pour crer un magasin central pour le domaine Test.Microsoft.com, crez un dossier
PolicyDefinitions lemplacement suivant : \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\Stratgies

Un utilisateur doit copier tous les fichiers et sous-dossiers du dossier PolicyDefinitions. Le dossier
PolicyDefinitions dun ordinateur bas sur Windows 7 se trouve dans le dossier Windows. Le dossier
PolicyDefinitions enregistre tous les fichiers .admx et fichiers .adml pour toutes les langues autorises sur
lordinateur client.
Remarque : Vous devez mettre le dossier PolicyDefinitions jour pour chaque Service Pack
et pour tout autre logiciel supplmentaire, tel que les fichiers ADMX de Microsoft Office 2010.

Discussion : Utilisations pratiques des modles dadministration


Passez quelques minutes examiner les modles
dadministration et envisagez les diffrentes
utilisations de certains dentre eux dans votre
organisation.
Soyez prpar partager des informations sur
lutilisation actuelle des objets de stratgie de
groupe et des scripts douverture de session faite
par votre organisation, telles que :

Comment fournissez-vous actuellement la


scurit de bureau ?

Combien daccs administratifs les utilisateurs


possdent-ils pour leurs systmes ?

Quels paramtres de stratgie de groupe trouverez-vous utiles dans votre organisation ?

Dmonstration : Configuration des paramtres laide de modles


dadministration

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-5

Les outils de modification de stratgie de groupe dans Windows Server 2012 fournissent plusieurs
fonctionnalits qui facilitent la configuration et la gestion des objets de stratgie de groupe. Dans cette
dmonstration, vous allez passer en revue ces options.

Filtrer les paramtres de stratgie pour les modles dadministration

Un inconvnient prsent dans les outils de modification de stratgie de groupe des versions prcdentes
de Windows est limpossibilit de rechercher un paramtre de stratgie spcifique. Avec des milliers de
stratgies possibles, il peut tre difficile de localiser exactement le paramtre que vous souhaitez
configurer. Lditeur de gestion des stratgies de groupe dans Windows Server 2012 rsout ce problme
pour les paramtres de modle dadministration. Vous pouvez dsormais crer des filtres pour localiser les
paramtres de stratgie spcifiques.
Pour crer un filtre :
1.

Cliquez avec le bouton droit sur Modles dadministration, puis cliquez sur Options de filtre.

2.

Pour localiser une stratgie spcifique, activez la case cocher Activer les filtres par mots cls,
saisissez les mots cls, puis slectionnez les champs dans lesquels effectuer la recherche.

Vous pouvez galement filtrer les paramtres de stratgie de groupe qui sappliquent des versions de
Windows spcifiques, Windows Internet Explorer et dautres composants Windows.
Malheureusement, le filtre sapplique uniquement aux paramtres des nuds des modles
dadministration.

Gestion des bureaux des utilisateurs avec la stratgie de groupe

Critres de filtrage bass sur des commentaires

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-6

Vous pouvez galement rechercher et filtrer en fonction des commentaires sur le paramtre de stratgie.
Windows Server 2012 vous permet dajouter des commentaires aux paramtres de stratgie dans le nud
des modles dadministration. Pour cela, double-cliquez sur un paramtre de stratgie, puis cliquez sur
longlet Commentaire.
Ajouter des commentaires des paramtres de stratgie configurs est considr comme une pratique
dexcellence. Vous devez documenter la justification pour un paramtre et son effet dsir. Vous devez
galement ajouter les commentaires lobjet de stratgie de groupe lui-mme. Windows Server 2012
vous permet de joindre des commentaires un objet de stratgie de groupe. Dans lditeur de gestion
des stratgies de groupe, dans larborescence de la console, cliquez avec le bouton droit sur le nud
racine, cliquez sur Proprits, puis cliquez sur longlet Commentaire.

Procdure de copie des paramtres dobjet de stratgie de groupe

Les objets de stratgie de groupe Starter ne peuvent contenir que des paramtres de stratgie de
modles dadministration. Cependant, en plus dutiliser des objets de stratgie de groupe Starter, il existe
deux autres moyens de copier des paramtres dun objet de stratgie de groupe dans un nouvel objet :

Vous pouvez copier et coller des objets de stratgie de groupe entiers dans le conteneur dobjets
de stratgie de groupe du GPMC, afin davoir un nouvel objet de stratgie de groupe possdant
tous les paramtres de lobjet de stratgie de groupe source.

Pour transfrer des paramtres entre les objets de stratgie de groupe dans diffrents domaines ou
forts, cliquez avec le bouton droit sur un objet de stratgie de groupe, puis cliquez sur Sauvegarde.
Dans le domaine cible, crez un nouvel objet de stratgie de groupe, cliquez avec le bouton droit sur
lobjet de stratgie de groupe, puis cliquez sur Importer des paramtres. Vous pourrez importer les
paramtres de lobjet de stratgie de groupe sauvegard.

Documentation supplmentaire : Recherche de stratgie de groupe


http://go.microsoft.com/fwlink/?linkID=270014
Cette dmonstration montre comment :

Filtrer les paramtres de stratgie du modle dadministration.

Appliquer des commentaires aux paramtres de stratgie des modles dadministration.

Ajouter des commentaires aux paramtres de stratgie des modles dadministration.

Crer un nouvel objet de stratgie de groupe en copiant un objet de stratgie de groupe existant.

Crer un nouvel objet de stratgie de groupe en important les paramtres auparavant exports
depuis un autre objet de stratgie de groupe.

Procdure de dmonstration
Filtrer les paramtres de stratgie du modle dadministration

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

1.

Sur LON-DC1, ouvrez la console de gestion des stratgies de groupe .

2.

Crez un nouvel objet de stratgie de groupe (GPO) appel GPO1.

3.

Ouvrez GPO1 pour modification.

4.

Localisez le nud Configuration utilisateur, Stratgies, Modles dadministration.

5.

Filtrez les paramtres pour afficher uniquement ceux qui contiennent les mots cls cran de veille.

6.

Filtrez les paramtres pour afficher uniquement des valeurs configures.

Ajouter des commentaires un paramtre de stratgie


1.

Localisez la valeur de Personnalisation dans Configuration utilisateur\Stratgies\ Modles


dadministration\Panneau de configuration.

2.

Ajoutez un commentaire aux deux paramtres Le mot de passe protge lcran de veille et
Activer lcran de veille.

Ajouter des commentaires un objet de stratgie de groupe (GPO)

Ouvrez le nud racine de la stratgie GPO1, puis ajoutez un commentaire longlet Commentaire.

Crer un nouvel objet de stratgie de groupe en copiant un objet de stratgie


de groupe existant

6-7

Copiez GPO1, et collez-le dans le dossier dobjets de stratgie de groupe.

Crer un nouvel objet de stratgie de groupe en important les paramtres


auparavant exports depuis un autre objet
1.

Sauvegardez GPO1.

2.

Crez un nouvel objet de stratgie de groupe appel ADATUM Import.

3.

Importez les paramtres de la sauvegarde de GPO1 dans lobjet de stratgie de groupe


ADATUM Import.

Gestion des bureaux des utilisateurs avec la stratgie de groupe

Leon 2

Configuration de la redirection de dossiers et des scripts


Dans Windows Server 2012, les objets de stratgie de groupe vous permettent de dployer des scripts
sur des utilisateurs et des ordinateurs. Vous pouvez galement rediriger les dossiers qui sont compris
dans le profil dutilisateur vers un serveur central. Ces fonctionnalits vous permettent de configurer
les paramtres de bureau des utilisateurs plus facilement et de crer un environnement de bureau
standardis qui rpond vos besoins dorganisation o vous le souhaitez.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrire la redirection de dossiers.

Expliquer les paramtres disponibles pour configurer la redirection de dossiers :

Dcrire les paramtres de scurit pour les dossiers redirigs.

Expliquer comment configurer la redirection de dossiers.

Dcrire les paramtres de stratgie de groupe pour appliquer des scripts.

Expliquer comment configurer les scripts laide des stratgies de groupe.

Qu'est-ce que la redirection de dossiers ?


Vous pouvez utiliser la fonctionnalit de
redirection de dossiers pour grer les donnes
de faon efficace et, ventuellement, sauvegarder
des donnes. En redirigeant des dossiers, vous
pouvez garantir un accs utilisateur aux donnes,
indpendamment des ordinateurs auxquels les
utilisateurs se connectent. La redirection de
dossiers possde les caractristiques suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-8

Lorsque vous redirigez des dossiers, vous


modifiez lemplacement de stockage des
dossiers, depuis le disque dur local de
lordinateur de lutilisateur vers un dossier
partag sur un serveur de fichiers rseau.

Une fois redirig vers un serveur de fichiers, un dossier apparat encore lutilisateur comme sil tait
stock sur le disque dur local.

Vous pouvez utiliser la technologie des fichiers hors connexion en mme temps que la redirection
pour synchroniser des donnes dans le dossier redirig vers le disque dur local de lutilisateur. Ceci
garantit aux utilisateurs un accs leurs donnes si une panne de rseau se produit ou si lutilisateur
travaille hors connexion.

Avantages de la redirection de dossiers


Il y a beaucoup davantages la redirection de dossier, notamment :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-9

Les utilisateurs qui se connectent plusieurs ordinateurs peuvent accder leurs donnes tant quils
peuvent accder au partage rseau.

Les dossiers en mode hors connexion permettent aux utilisateurs daccder leurs donnes mme
sils se dconnectent du rseau local (LAN).

Les donnes qui sont enregistres sur des serveurs en partages rseau sont sauvegardes.

La taille de profil itinrant peut tre rduite considrablement grce la redirection des donnes
du profil.

Paramtres de configuration de la redirection de dossiers


Dans un objet de stratgie de groupe, les
paramtres suivants sont disponibles pour
configurer la redirection de dossiers :

Aucun. Aucun constitue la valeur par dfaut.


La redirection de dossiers nest pas active.

De base. La redirection de base est


utilise pour :
o

Les utilisateurs qui doivent rediriger leurs


dossiers vers un espace commun.

Les utilisateurs qui ont besoin de


conserver leurs donnes prives.

Avance. La redirection avance vous permet de spcifier des emplacements rseau diffrents pour
diffrents groupes de scurit Active Directory.

Suivre le dossier Documents. Loption Suivre la redirection du dossier Documents est disponible
uniquement pour les dossiers Images, Musique et Vidos. Ce paramtre transforme le dossier
concern en sous-dossier du dossier Documents.

Emplacements du dossier cible pour les paramtres De base et Avanc

Si vous choisissez De base ou Avanc, vous pouvez choisir les emplacements de dossier cible suivants :

Crer un dossier pour chaque utilisateur sous le chemin daccs racine. Cette option cre un dossier
sous la forme \\serveur\partage\nom de compte dutilisateur\nom du dossier. Par exemple, si vous
souhaitez enregistrer les paramtres de bureau de vos utilisateurs dans un dossier partag appel
Documents sur un serveur appel LON-DC1, vous pouvez dfinir le chemin daccs de racine \\londc1\Documents.

Chaque utilisateur possde un chemin daccs unique pour que le dossier redirig vrifie que les
donnes demeurent prives. Par dfaut, cet utilisateur possde les droits daccs exclusifs ce dossier.
Dans le cas du dossier Documents, le contenu du dossier actuel est dplac vers le nouvel emplacement.

Rediriger vers lemplacement suivant. Cette option utilise un chemin daccs prcis pour
lemplacement de redirection. Avec cette option, plusieurs utilisateurs partagent le mme chemin
daccs pour le dossier redirig. Par dfaut, cet utilisateur possde les droits daccs exclusifs ce
dossier. Dans le cas du dossier Documents, le contenu du dossier actuel est dplac vers le nouvel
emplacement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-10 Gestion des bureaux des utilisateurs avec la stratgie de groupe

Rediriger vers lemplacement du profil utilisateur local. Cette option dplace lemplacement du dossier
vers le profil dutilisateur local sous le dossier Utilisateurs.

Rediriger vers le rpertoire daccueil de lutilisateur. Cette option est disponible uniquement dans le
dossier Documents.

Remarque : Aprs la cration et lapplication initiales dun objet de stratgie de groupe qui
fournit des paramtres de redirection de dossier, les utilisateurs doivent ouvrir deux sessions
avant que la redirection nentre en vigueur. Les utilisateurs doivent suivre cette procdure car ils
se connecteront avec des informations didentification mises en cache.
Question : Les utilisateurs du mme service se connectent souvent diffrents ordinateurs.
Ils ont besoin dun accs leur dossier Documents. Ils ont galement besoin de conserver
des donnes prives. Quel paramtre de redirection de dossiers choisiriez-vous ?

Paramtres de scurit pour les dossiers redirigs


Vous devez crer et configurer les autorisations
manuellement sur un dossier rseau partag afin
de stocker les dossiers redirigs. Cependant, la
redirection de dossiers peut galement crer les
dossiers redirigs de lutilisateur.
Les autorisations daccs au dossier sont traites
comme suit :

Lorsque vous utilisez cette option, les


autorisations daccs au sous-dossier
appropries sont automatiquement dfinies.

Si vous crez des dossiers manuellement, vous


devrez connatre les autorisations appropries. Cette diapositive illustre ces autorisations.

Dmonstration : Configuration de la redirection de dossiers


Cette dmonstration montre comment :

Crer un dossier partag.

Crer un objet de stratgie de groupe pour rediriger le dossier Documents.

Tester la redirection de dossiers.

Procdure de dmonstration
Crer un dossier partag
1.

Sur LON-DC1, crez un dossier nomm C:\Redirect.

2.

Partagez le dossier avec Tout le monde avec lautorisation de lecture/criture.

Crer un objet de stratgie de groupe pour rediriger le dossier Documents

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-11

1.

Ouvrez la console Gestion des stratgies de groupe. Crez un objet de stratgie de groupe nomm
Redirection des dossiers, puis liez-le au domaine Adatum.

2.

Modifiez lobjet de stratgie de groupe Redirection des dossiers .

3.

Configurez les proprits du dossier Documents afin quil utilise le paramtre Dossier de redirection
De base de tout le monde vers le mme emplacement.

4.

Vrifiez que lemplacement du dossier cible est dfini sur Crer un dossier pour chaque
utilisateur sous le chemin daccs racine.

5.

Prcisez le chemin daccs de la racine : \\LON-DC1\Redirect.

6.

Fermez toutes les fentres ouvertes sur LON-DC1.

Tester la redirection de dossiers


1.

Ouvrez une session sur LON-CL1 en tant que ADATUM\Administrateur avec le mot de passe
Pa$$w0rd.

2.

Vrifiez les proprits du dossier Documents. Le chemin daccs sera \\LON-DC1\Redirect.

3.

Dconnectez-vous de LON-CL1.

Paramtres de stratgie de groupe pour appliquer des scripts


Vous pouvez utiliser des scripts de stratgie de
groupe pour effectuer un certain nombre de
tches. Vous pouvez avoir besoin deffectuer
certaines actions chaque fois quun ordinateur
dmarre ou sarrte, ou bien quand les utilisateurs
se connectent ou se dconnectent. Par exemple,
vous pouvez utiliser les scripts pour :

Nettoyer les bureaux lorsque les utilisateurs


ferment leurs sessions et arrtent leurs
ordinateurs.

Supprimer le contenu des rpertoires


temporaires.

Mapper les lecteurs ou les imprimantes.

Dfinir des variables denvironnement.

Les scripts qui sont attribus lordinateur sexcutent dans le contexte de scurit du compte Systme
local. Les scripts qui sont attribus lutilisateur qui ouvre une session sexcutent dans le contexte de
scurit de cet utilisateur.

Dautres paramtres de stratgie de groupe contrlent certains aspects du fonctionnement des scripts.
Par exemple, si plusieurs scripts sont attribus, vous pouvez contrler sils sexcutent de manire
synchrone ou asynchrone.
Vous pouvez crire des scripts en nimporte quelle langue de script que le client Windows peut
interprter, telle que VBScript et Jscript, ou bien via une commande ou un lot de fichiers.
Remarque : Dans Windows Server 2008 R2 et Windows Server 2012, linterface
utilisateur (UI) dans lditeur de stratgie de groupe pour les scripts douverture de session, de
fermeture de session, de dmarrage et darrt fournit un onglet supplmentaire pour les scripts
Windows PowerShell. Vous pouvez dployer votre script Windows PowerShell en lajoutant
cet onglet. Windows Server 2008 R2, Windows Server 2012, Windows 7 ou Windows 8 peuvent
excuter des scripts Windows PowerShell via la stratgie de groupe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-12 Gestion des bureaux des utilisateurs avec la stratgie de groupe

Les scripts sont stocks dans les dossiers partags sur le rseau. Vous devez vrifier que le client a accs
cet emplacement rseau. Si les clients ne peuvent pas accder lemplacement rseau, les scripts ne
fonctionnent pas. Bien que nimporte quel emplacement rseau enregistre des scripts, prenez lhabitude
dutiliser le partage Netlogon parce que tous les utilisateurs et ordinateurs qui sont authentifis pour les
services AD DS ont accs cet emplacement.

Pour la plupart de ces paramtres, utiliser les prfrences de stratgie de groupe est une meilleure
alternative que la configuration dans les images systme Windows ou lutilisation des scripts douverture de
session. Les prfrences de stratgie de groupe seront voques plus en dtail plus tard dans ce module.

Dmonstration : Configuration des scripts avec des objets de stratgie


de groupe
Cette dmonstration montre comment :

Crez un script douverture de session pour mapper un lecteur rseau.

Crer et lier un objet de stratgie de groupe pour utiliser le script et enregistrer le script dans le
partage Netlogon.

Vous connecter au client pour tester les rsultats.

Procdure de dmonstration
Crer un script douverture de session pour mapper un lecteur rseau
1.

Sur LON-DC1, lancez le Bloc-notes, puis saisissez la commande suivante :


Net use t: \\LON-dc1\Redirect

2.

Enregistrez le fichier comme Map.bat.

3.

Copiez le fichier dans le bloc-notes.

Crer et lier un objet de stratgie de groupe pour utiliser le script et enregistrer


le script dans le partage Netlogon

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-13

1.

Utilisez la console de gestion des stratgies de groupe pour crer un nouvel objet de stratgie de
groupe nomm Drivemap, puis liez-le au domaine Adatum.com.

2.

Modifiez lobjet de stratgie de groupe pour configurer un script douverture de session utilisateur.

3.

Collez le script Map.bat dans le partage Netlogon.

4.

Ajoutez le script Map.bat aux scripts douverture de session.

Vous connecter au client pour tester les rsultats


1.

Sur la machine LON-CL1, connectez-vous en tant que ADATUM\Administrateur avec le mot de


passe Pa$$word.

2.

Vrifiez que le lecteur est mapp.

3.

Dconnectez-vous de LON-CL1.

Leon 3

Configuration des prfrences de stratgies de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-14 Gestion des bureaux des utilisateurs avec la stratgie de groupe

Dans les versions prcdentes de Windows Server, vous ne pouviez pas utiliser les stratgies de groupe
pour contrler les paramtres courants qui affectent lutilisateur et lenvironnement informatique, tels que
des lecteurs mapps. En gnral, ces paramtres taient livrs par des scripts douverture de session ou
des solutions de cration dimages.
Cependant, Windows Server 2012 comprend les prfrences de stratgie de groupe intgres la
console GPMC, qui activent des paramtres tels que des lecteurs mapps livrer via la stratgie de
groupe. En outre, vous pouvez configurer des prfrences en installant les outils dadministration
de serveur distant (RSAT) sur un ordinateur qui excute Windows 7 ou Windows 8. Cela vous permet de
fournir de nombreux paramtres courants grce la stratgie de groupe.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrire les prfrences de stratgie de groupe.

Identifier les diffrences entre les paramtres de stratgie de groupe et les prfrences.

Dcrire les fonctionnalits des prfrences de stratgie de groupe.

Expliquer comment configurer les paramtres laide des prfrences.

Que sont les prfrences de stratgie de groupe ?


Les extensions de prfrence de stratgie de
groupe comprennent plus de 20 extensions de
stratgie de groupe qui dveloppent la plage
des paramtres configurables dans un objet de
stratgie de groupe. Vous pouvez maintenant
utiliser les prfrences pour appliquer un certain
nombre de paramtres qui devaient par le pass
tre appliqus par des scripts, tels que des
mappages lecteur.
Les prfrences de stratgie de groupe sont prises
en charge en mode natif sur Windows Server 2008
et les versions plus rcentes, ainsi que sur le
Service Pack 2 de Windows Vista (SP2) et les versions plus rcentes. Vous pouvez tlcharger et installer
des extensions ct client (CSE) des prfrences de stratgie de groupe pour Windows Server 2003,
Windows XP Service Pack 3 (SP3) et le Service Pack 1 de Windows Vista (SP1), afin de fournir la prise
en charge des prfrences sur ces systmes.

Les exemples des nouvelles extensions des prfrences de stratgie de groupe comprennent :

Les options des dossiers

Le mappage de lecteurs

Imprimantes

La planification des tches

Services

Menu Accueil

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-15

La configuration des prfrences de stratgie de groupe ne requiert aucun outil spcial ou installation
de logiciel. Elles font partie, en mode natif, de la GPMC dans Windows Server 2008 (et les versions plus
rcentes) et sont appliqus de la mme manire que des paramtres de stratgie de groupe, par dfaut.
Les prfrences possdent deux sections distinctes : les paramtres Windows et les paramtres du
panneau de configuration.

Quand vous configurez une nouvelle prfrence, vous pouvez excuter les quatre actions de base suivantes :

Crer. Crer un nouveau paramtre de prfrence pour lutilisateur ou lordinateur.

Supprimer. Supprimer un paramtre de prfrence existant pour lutilisateur ou lordinateur.

Remplacer. Supprimer et recrer un paramtre de prfrence pour lutilisateur ou lordinateur.


Les prfrences de stratgie de groupe remplacent alors tous les paramtres et fichiers existants
associs llment de prfrence.

Mettre jour. Modifier un paramtre de prfrence existant pour lutilisateur ou lordinateur.

Comparaison des prfrences de stratgie de groupe et des paramtres


dobjet de stratgie de groupe
Les prfrences sont semblables aux stratgies car
elles appliquent des configurations lutilisateur
ou lordinateur. Cependant, il existe plusieurs
diffrences dans la manire dont vous pouvez les
configurer et les appliquer. Lune de ces
diffrences rside dans le fait que les prfrences
ne sont pas appliques. Cependant, vous pouvez
configurer des prfrences rappliquer
automatiquement.
Voici une liste dautres diffrences entre les
paramtres de stratgie de groupe et les
prfrences :

Les paramtres de prfrence ne sont pas appliqus.

Les paramtres de stratgie de groupe dsactivent linterface utilisateur pour les paramtres que la
stratgie gre. Les prfrences nagissent pas ainsi.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-16 Gestion des bureaux des utilisateurs avec la stratgie de groupe

Les paramtres de stratgie de groupe sont appliqus intervalles rguliers. Vous pouvez appliquer
des prfrences une fois seulement ou intervalles rguliers.

Lutilisateur final peut modifier nimporte quel paramtre de prfrence qui est appliqu par la
stratgie de groupe, mais les paramtres de stratgie empchent les utilisateurs de les modifier.

Dans certains cas, vous pouvez configurer les mmes paramtres via un paramtre de stratgie aussi
bien quun lment de prfrence. Si des paramtres de stratgie de groupe et de prfrence
contradictoires sont configurs et appliqus au mme objet, la valeur du paramtre de stratgie
sapplique toujours.

Fonctionnalits des prfrences de stratgie de groupe


Aprs avoir cr une prfrence de stratgie de
groupe, vous devez configurer ses proprits.
Diffrentes prfrences ncessiteront diffrentes
informations dentre. Par exemple, les
prfrences de raccourci ncessitent des chemins
daccs cibles, tandis que les variables
denvironnement ncessitent des types et des
valeurs variables. Les prfrences fournissent
galement un certain nombre de fonctionnalits
dans les proprits communes afin daider le
dploiement.

Onglet Proprits gnrales

Longlet Proprits gnrales est lendroit o des donnes de base sont fournies. La premire tape est
de prciser laction associe la prfrence : crer, supprimer, remplacer ou mettre jour. Diffrents
paramtres seront disponibles, selon laction initiale slectionne. Par exemple, si vous crez un mappage
de lecteur, vous devez fournir un chemin daccs UNC et une option pour la lettre de lecteur, que vous
souhaitez attribuer.

Onglet Proprits communes


Les proprits communes sont cohrentes pour toutes les prfrences. Vous pouvez utiliser longlet
Proprits communes pour contrler le comportement de la prfrence comme suit :

Arrter de traiter des lments dans cette extension si une erreur se produit. Si une erreur se produit
pendant le traitement dune prfrence, aucune autre prfrence dans cet objet de stratgie de
groupe ne sera traite.

Excuter dans le contexte de scurit de lutilisateur connect. Les prfrences peuvent sexcuter en
tant que le systme reconnat lutilisateur connect. Ce paramtre force le contexte de scurit de
lutilisateur connect.

Supprimer llment lorsquil nest plus appliqu. la diffrence des paramtres de stratgie, les
prfrences ne sont pas supprimes lorsque lobjet de stratgie de groupe qui les a livres est
supprim. Ce paramtre modifiera ce comportement.

Appliquer une fois et ne pas rappliquer. Normalement, les prfrences sont actualises au mme
intervalle que les paramtres de stratgie de groupe. Ce paramtre modifie ce comportement pour
appliquer le paramtre une seule fois louverture de session ou au dmarrage.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-17

Utiliser le ciblage au niveau de llment. Lune des fonctionnalits les plus puissantes des prfrences
est le ciblage au niveau de llment. Vous pouvez utiliser cette fonctionnalit pour spcifier des
critres facilement, afin de pouvoir dterminer exactement quels utilisateurs ou ordinateurs recevront
une prfrence. Les critres comprennent, sans sy limiter :
o

Nom de lordinateur

Plage dadresses IP

Systme dexploitation

Groupe de scurit

Utilisateur

Requtes WMI (Windows Management Instrumentation)

Dmonstration : Configuration des prfrences de stratgies de groupe


Cette dmonstration montre comment :

Configurer un raccourci bureau avec des prfrences de stratgie de groupe.

Cibler la prfrence.

Configurer un nouveau dossier avec des prfrences de stratgie de groupe.

Cibler la prfrence.

Tester la prfrence.

Procdure de dmonstration

Configurer un raccourci sur le bureau avec des prfrences de stratgie de groupe


1.

Sur la machine LON-DC1, ouvrez la console de gestion de stratgie de groupe puis


Default Domain Policy pour modification.

2.

Accdez Configuration ordinateur\Prfrences\Paramtres Windows\Raccourcis.

3.

Crez un nouveau raccourci vers le programme Notepad.exe.

Cibler la prfrence

Visez la prfrence pour lordinateur LON-CL1.

Configurer un nouveau dossier avec des prfrences de stratgie de groupe


1.

Accdez Configuration utilisateur\Prfrences\Paramtres Windows\Dossiers.

2.

Crez un dossier pour le dossier C:\Rapports.

Cibler la prfrence

Visez cette prfrence pour les ordinateurs qui excutent le systme dexploitation Windows 8.

Tester les prfrences


1.

Basculez vers la machine LON-CL1 et actualisez les stratgies de groupe en utilisant la commande
suivante linvite de commandes :
gpupdate /force

2.

Connectez-vous et vrifiez la prsence du dossier C:\Rapports et du raccourci vers le Bloc-notes sur


le Bureau.

Leon 4

Gestion des logiciels laide de la stratgie de groupe


Windows Server 2012 comporte une fonctionnalit appele Installation et maintenance du logiciel qui
utilise les services AD DS, la stratgie de groupe et le service Windows Installer pour installer, grer et
supprimer des logiciels sur les ordinateurs de votre organisation. Dans cette leon, vous allez apprendre
grer des logiciels avec des stratgies de groupe.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-18 Gestion des bureaux des utilisateurs avec la stratgie de groupe

Dcrire la faon dont la distribution de logiciels grce la stratgie de groupe rpond au cycle de vie
de logiciel.

Dcrire la faon dont Windows Installer amliore la distribution de logiciels.

Dcrire la diffrence entre attribution et publication de logiciels.

Expliquer la faon de grer les mises jour de logiciel laide des stratgies de groupe.

De quelle faon la distribution de logiciels au moyen de la stratgie


de groupe rpond au cycle de vie de logiciel
Le cycle de vie des logiciels est compos de quatre
phases : prparation, dploiement, maintenance et
suppression. Vous pouvez utiliser la stratgie de
groupe pour grer toutes les phases, except la
prparation. Vous pouvez appliquer des
paramtres de stratgie de groupe des
utilisateurs ou des ordinateurs sur un site,
un domaine ou une unit dorganisation pour
automatiser linstallation, la mise niveau ou la
suppression de logiciels.
Lapplication de paramtres de stratgie de groupe
des logiciels vous permet de grer les diverses
phases du dploiement de logiciels sans dployer ceux-ci individuellement sur chaque ordinateur.

Comment Windows Installer amliore la distribution de logiciels


Windows Server 2012 utilise le service Windows
Installer pour permettre la stratgie de groupe
de dployer et de grer des logiciels. Ce
composant automatise linstallation et la
suppression dapplications en appliquant durant le
processus dinstallation un jeu de rgles de
configuration dfinies de faon centralise. Le
service Windows Installer installe les fichiers de
package Microsoft Installer (MSI). Les fichiers MSI
contiennent une base de donnes qui enregistre
toutes les instructions requises pour installer
lapplication. De petits applications peuvent tre
entirement enregistres en tant que fichiers MSI, tandis que des applications plus importantes
possderont beaucoup de fichiers sources associs rfrencs par MSI. Beaucoup de fournisseurs de
logiciels fournissent des fichiers MSI pour leurs applications.
Le service Windows Installer possde les caractristiques suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-19

Ce service fonctionne avec des privilges levs, de sorte que le logiciel puisse tre install par
le service Windows Installer, peu importe lutilisateur connect au systme. Les utilisateurs ont
uniquement besoin de laccs au point de distribution de logiciels.

Les applications sont tolrantes aux pannes. Si une application est corrompue, le service Installer
dtectera et rinstallera ou rparera lapplication.

Windows Installer ne peut pas installer des fichiers .exe. Pour distribuer un package logiciel qui
sinstalle avec un fichier .exe, le fichier .exe doit tre converti en fichier .msi laide dun utilitaire tiers.
Question : Les utilisateurs ont-ils besoin de droits dadministration pour installer
manuellement les applications qui possdent des fichiers MSI ?
Question : Pouvez-vous nous citer quelques inconvnients du dploiement de logiciels par
la stratgie de groupe ?

Publication et attribution de logiciels


Il existe deux types de dploiement
disponibles pour livrer le logiciel aux clients.
Les administrateurs peuvent soit installer le
logiciel pour des utilisateurs ou des ordinateurs
lavance en attribuant le logiciel, soit donner aux
utilisateurs loption dinstaller le logiciel quand ils
en ont besoin en publiant le logiciel dans AD DS.
Les sections de configuration utilisateur et
ordinateur dun objet de stratgie de groupe
possdent une section de paramtres de logiciel.
Vous pouvez ajouter un logiciel un objet de
stratgie de groupe en ajoutant un nouveau
package au nud dinstallation de logiciel, puis en prcisant sil faut lattribuer ou le publier.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-20 Gestion des bureaux des utilisateurs avec la stratgie de groupe

Vous pouvez galement choisir le dploiement avanc dun package. Utilisez cette option pour appliquer
un fichier de personnalisation un package pour un dploiement personnalis. Par exemple, dans le cas
o vous utilisez loutil de personnalisation Office pour crer un fichier de personnalisation de
configuration pour dployer Microsoft Office 2010.

Attribution de logiciel
Lattribution de logiciel possde les caractristiques suivantes :

Lorsque vous attribuez un logiciel un utilisateur, le menu Accueil de lutilisateur publie le logiciel
lorsquil se connecte. Linstallation ne commence pas tant que lutilisateur na pas double-cliqu sur
licne de lapplication ou sur un fichier qui lui est associ.

Les utilisateurs ne partagent pas des applications dployes. Lorsque vous attribuez le logiciel un
utilisateur, une application que vous installez pour un utilisateur au moyen de la stratgie de groupe
ne sera pas disponibles dautres utilisateurs.

En gnral, lorsque vous attribuez une application un ordinateur, elle sinstallera la prochaine fois
que lordinateur dmarrera. Lapplication sera la disposition de tous les utilisateurs de lordinateur.

Publication du logiciel
La publication de logiciel possde les caractristiques suivantes :

Le raccourci de Programmes dans le panneau de configuration affiche un programme publi


lutilisateur. Les utilisateurs peuvent installer lapplication laide de lapplet de programmes,
ou vous pouvez la configurer de sorte que lactivation du document installe lapplication.

Les applications que les utilisateurs nont pas lautorisation dinstaller ne sont pas publies pour eux.

Les applications ne peuvent pas tre publies pour des ordinateurs.

Remarque : Lorsque vous configurez la stratgie de groupe pour dployer des


applications, elles doivent tre mappes des chemins daccs UNC. Si vous utilisez des chemins
locaux, le dploiement chouera.

Administration des mises niveau de logiciels laide de la stratgie


de groupe
Les fournisseurs de logiciels publient des mises
jour de logiciels de temps en temps. Celles-ci
abordent habituellement des problmes mineurs,
tels quune mise jour ou des amliorations de
fonctionnalit, qui ne justifient pas une
rinstallation complte. Microsoft publie des
correctifs logiciels comme des fichiers .MSP.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

6-21

Les mises jour majeures qui fournissent de


nouvelles fonctionnalits requirent la mise
niveau dun package logiciel vers une version plus
rcente. Vous pouvez utiliser longlet Mises
niveau pour mettre un package niveau laide
de lobjet de stratgie de groupe. Quand vous effectuerez des mises niveau laide de la stratgie de
groupe, vous remarquerez les caractristiques suivantes :

Vous pouvez redployer un package si le fichier Windows Installer dorigine a t modifi.

Les mises niveau supprimeront souvent lancienne version dune application et installeront une
version plus rcente, conservant habituellement les paramtres dapplication.

Vous pouvez supprimer des packages logiciels sils ont t livrs lorigine laide de la stratgie de
groupe. Cest utile si une application sectorielle (LOB) est remplace par une application diffrente. La
suppression peut tre obligatoire ou facultative.

Atelier pratique : Gestion des bureaux des utilisateurs


avec la stratgie de groupe
Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

6-22 Gestion des bureaux des utilisateurs avec la stratgie de groupe

A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour
assister le sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.
A. Datum vient juste douvrir une nouvelle filiale. Les utilisateurs dans ce bureau ont besoin dune
mthode automatise pour mapper des lecteurs aux ressources du serveur partages et vous dcidez
dutiliser les prfrences de stratgie de groupe. En outre, vous avez t invit crer un raccourci
lapplication Bloc-notes pour tous les utilisateurs qui appartiennent au groupe de scurit informatique.
Pour aider rduire des tailles de profil, vous avez t invit configurer la redirection de dossiers pour
rediriger plusieurs dossiers de profil vers le lecteur de base de chaque utilisateur.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

Implmenter des paramtres laide des prfrences de stratgie de groupe.

Configurer la redirection de dossiers.

Configuration de latelier pratique


Dure approximative : 45 minutes

Ordinateurs virtuels

22411B-LON-DC1
22411B-LON-CL1

Nom dutilisateur

ADATUM\Administrateur

Mot de passe

Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


7-1

Module 7

Configuration et rsolution des problmes daccs distance


Table des matires :
Vue d'ensemble du module

7-1

Leon 1 : Configuration de laccs rseau

7-2

Leon 2 : Configuration de laccs VPN

7-11

Leon 3 : Vue densemble des stratgies rseau

7-22

Leon 4 : Rsolution des problmes du service de routage


et daccs distance

7-29

Atelier pratique A : Configuration de laccs distance

7-36

Leon 5 : Configuration de DirectAccess

7-41

Atelier pratique B : Configuration de DirectAccess

7-56

Contrle des acquis et lments retenir

7-66

Vue densemble du module

La plupart des organisations ont des utilisateurs qui travaillent distance, peut-tre depuis leur domicile
ou sur des sites client. Pour faciliter ces connexions distance, vous devez mettre en uvre des
technologies daccs distance pour prendre en charge cette main-duvre distribue. Vous devez vous
familiariser avec les technologies qui permettent aux utilisateurs distants de se connecter linfrastructure
rseau de votre organisation. Ces technologies comprennent les rseaux privs virtuels (VPN) et
DirectAccess, une fonctionnalit des systmes dexploitation Windows 7 et Windows 8. Il est important
que vous compreniez comment configurer et scuriser vos clients daccs distance laide des stratgies
rseau. Ce module dcrit ces technologies daccs distance.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

configurer laccs rseau ;

crer et configurer une solution VPN ;

dcrire le rle des stratgies rseau ;

dpanner le service de routage et daccs distance ;

configurer DirectAccess.

Configuration et rsolution des problmes daccs distance

Leon 1

Configuration de laccs rseau

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-2

Laccs rseau au sein du systme dexploitation Windows Server 2012 fournit les services requis
permettant aux utilisateurs distants de se connecter votre rseau. Pour prendre en charge les besoins de
votre organisation et de vos utilisateurs distants, il est important que vous puissiez installer et configurer
ces composants daccs rseau Windows Server 2012 avec succs.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire les composants dune infrastructure de services daccs rseau ;

dcrire le rle Services de stratgie et daccs rseau ;

dcrire le service Routage et accs distant ;

expliquer ce que sont lautorisation et lauthentification de laccs rseau ;

expliquer les mthodes dauthentification utilises dans le cadre dun accs rseau ;

dcrire une infrastructure cl publique (PKI) ;

expliquer le mode dutilisation des serveurs DHCP (Dynamic Host Configuration Protocol) avec le
service Routage et accs distant.

Composants dune infrastructure de services daccs rseau


Linfrastructure sous-jacente dune infrastructure
de services daccs rseau complte dans
Windows Server 2012 inclut gnralement les
composants suivants :

Serveur de rseau priv virtuel (VPN). Fournit


la connectivit daccs distance en fonction
de diffrents protocoles de tunneling VPN sur
un rseau public, comme Internet.

Services de domaine Active Directory


(AD DS). Rpondent aux demandes
dauthentification lors des tentatives de
connexion des clients daccs distance.

Services de certificats Active Directory (AD CS). Vous pouvez utiliser des certificats numriques pour
fournir lauthentification dans des scnarios daccs distance. En dployant AD CS, vous pouvez
crer une infrastructure cl publique dans votre organisation afin de prendre en charge la
dlivrance, la gestion et la rvocation des certificats.

Serveur DHCP. Fournit une configuration IP aux connexions daccs distance entrantes acceptes
pour la connectivit rseau au rseau local de lentreprise.

Network Policy Server (NPS). Fournit des services dauthentification pour dautres composants
daccs rseau.

Composants de protection daccs rseau (NAP) :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-3

Serveur de stratgie de contrle dintgrit NAP. value lintgrit du systme par rapport aux
stratgies de contrle dintgrit configures qui dcrivent des spcifications dintgrit et des
comportements de mise en uvre ; par exemple, les clients qui se connectent doivent tre en
conformit pour accder au rseau.

Autorit HRA (Health Registration Authority). Obtient des certificats dintgrit pour les clients
qui passent avec succs la vrification de la stratgie de contrle dintgrit.

Serveurs de mise jour. Proposent des services de mise jour aux clients qui ne rpondent pas
aux conditions dintgrit du rseau dentreprise. Les serveurs de mise jour sont des serveurs
spciaux sur un rseau limit.

Quest-ce que le rle Services de stratgie et daccs rseau ?


Le rle Services de stratgie et daccs rseau dans
Windows Server 2012 fournit les solutions de
connectivit rseau suivantes :

Applique les stratgies de contrle dintgrit.


tablit et applique automatiquement les
stratgies de contrle dintgrit. Ces
stratgies dfinissent les configurations
requises en matire de logiciels, de matriel
et de mise jour de scurit.

Fournit un accs sans fil et cbl scuris.


Lorsque vous dployez des points daccs sans
fil 802.1X, laccs sans fil scuris offre aux
utilisateurs sans fil une mthode dauthentification facile dployer reposant sur un certificat ou un
mot de passe scuris. Lorsque vous dployez des commutateurs dauthentification 802.1X, ces
derniers vous permettent de scuriser votre rseau cbl en veillant ce que les utilisateurs de
lintranet soient authentifis avant quils ne puissent se connecter au rseau ou obtenir une adresse IP
laide du protocole DHCP.

Centralise la gestion de la stratgie rseau avec un serveur et un proxy RADIUS (Remote


Authentication Dial-in User Service). Plutt que configurer la stratgie daccs rseau au
niveau de chaque serveur daccs rseau (tel que les points daccs sans fil, les commutateurs
dauthentification 802.1X, les serveurs VPN et les serveurs daccs distance), vous pouvez crer un
seul et mme emplacement des stratgies qui spcifient tous les aspects des demandes de connexion
rseau. Ces stratgies peuvent inclure qui est autoris se connecter, quel moment et quel niveau
de scurit doit tre utilis pour la connexion votre rseau.

Remarque : Les composants daccs distance constituent un rle serveur distinct dans
Windows Server 2012.

Configuration et rsolution des problmes daccs distance

Quest-ce que le rle Accs distance ?


Le rle Accs distance permet de fournir aux
utilisateurs laccs distance au rseau de votre
organisation laide de lune des technologies
suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-4

Accs VPN. Un VPN fournit une connexion


point point entre les composants dun
rseau priv via un rseau public, comme
Internet, par exemple. Les protocoles de
tunneling permettent un client VPN
dtablir et de grer une connexion au port
virtuel dcoute dun serveur VPN. Vous
pouvez galement connecter des succursales
votre rseau laide de solutions VPN, dployer des routeurs logiciels complets sur votre rseau
et partager des connexions Internet sur lintranet.

DirectAccess. DirectAccess active laccs distance transparent aux ressources intranet sans tablir
de connexion VPN au pralable. DirectAccess fournit une connectivit transparente linfrastructure
dapplications pour les utilisateurs internes et distants.

Vous pouvez dployer les technologies suivantes au cours de linstallation du rle Accs distance :

Service daccs distance (RAS) DirectAccess et VPN. Le service daccs distance DirectAccess
et VPN permet dactiver et de configurer :
o

des solutions DirectAccess pour votre organisation ;

des connexions VPN pour fournir aux utilisateurs finaux laccs distance au rseau de votre
organisation.

Service de routage. Il fournit un routeur logiciel complet ainsi quune plateforme ouverte pour le
routage et linterconnexion. Il offre des services de routage aux entreprises dans le rseau local
et les environnements de rseau tendu.

Lorsque vous choisissez le routage, la traduction dadresses rseau (NAT) est galement installe.
Lorsque vous dployez la traduction NAT, le serveur qui excute laccs distance est configur
pour partager une connexion Internet avec les ordinateurs dun rseau priv et pour traduire le
trafic entre son adresse publique et le rseau priv. Avec la traduction NAT, les ordinateurs du rseau
priv profitent dune certaine protection dans la mesure o le routeur sur lequel vous configurez la
traduction NAT ne transfre pas le trafic Internet dans le rseau priv, moins quun client du rseau
priv ne le demande ou que le trafic soit explicitement autoris.
Lorsque vous dployez une connexion VPN et la traduction NAT, vous configurez le serveur qui
excute laccs distance pour fournir la traduction NAT au rseau priv et accepter les connexions
VPN. Les ordinateurs sur Internet ne pourront pas dterminer les adresses IP des ordinateurs sur le
rseau priv. Toutefois, les clients VPN pourront se connecter aux ordinateurs sur le rseau priv
comme sils taient connects au mme rseau.

Authentification rseau et autorisation


Il est essentiel de bien saisir la diffrence
entre lauthentification et lautorisation pour
comprendre pourquoi les tentatives de
connexion sont acceptes ou refuses.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-5

Lauthentification est la vrification des


informations didentification lors de la
tentative de connexion. Ce processus consiste
envoyer les informations didentification du
client daccs distance au serveur daccs
distance sous forme de texte en clair ou
sous forme chiffre laide dun protocole
dauthentification.

Lautorisation est la procdure par laquelle le serveur vrifie que la tentative de connexion est
autorise. La phase dautorisation ne se droule quen cas de russite de la phase dauthentification.

Pour quune tentative de connexion soit accepte, elle doit tre authentifie et autorise. Il est possible
quelle soit authentifie en utilisant des informations didentification valides, mais quelle ne soit pas
autorise ; dans ce cas, la tentative de connexion est refuse.

Si vous configurez un serveur daccs distance pour lauthentification Windows, les fonctionnalits de
scurit de Windows Server 2012 vrifient les informations dauthentification, tandis que les proprits de
numrotation du compte dutilisateur et les stratgies daccs distance stockes localement autorisent la
connexion. Si la tentative de connexion est la fois authentifie et autorise, elle est alors accepte.
Si vous configurez le serveur daccs distance pour lauthentification RADIUS, les informations
didentification de la tentative de connexion sont transmises au serveur RADIUS des fins
dauthentification et dautorisation. Si la tentative de connexion est la fois authentifie et autorise,
le serveur RADIUS renvoie un message dacceptation au serveur daccs distance et la tentative de
connexion est accepte. Si la tentative de connexion nest pas authentifie ou nest pas autorise, le
serveur RADIUS renvoie un message de refus au serveur daccs distance et la tentative de connexion
est refuse.

Mthodes dauthentification
Lauthentification des clients daccs constitue un
problme important en matire de scurit. En
rgle gnrale, les mthodes dauthentification
utilisent un protocole dauthentification qui est
ngoci lors de ltablissement de la connexion.
Les mthodes suivantes sont prises en charge par
le rle Accs distance.

Configuration et rsolution des problmes daccs distance

PAP
Le protocole PAP (Password Authentication Protocol) utilise des mots de passe en clair et est le moins
scuris des protocoles dauthentification. Il est gnralement ngoci si le client et le serveur daccs
distance ne parviennent pas ngocier une forme plus scurise de validation. Le protocole PAP, inclus
dans Microsoft Windows Server 2012, prend en charge des systmes dexploitation clients antrieurs ne
prenant en charge aucune autre mthode dauthentification.

CHAP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-6

Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole dauthentification


par demande daccs/rponse qui utilise le schma de hachage MD5 standard pour chiffrer la rponse.
Plusieurs fournisseurs de clients et serveurs daccs rseau utilisent le protocole CHAP. Dans la mesure o
le protocole CHAP requiert lutilisation dun mot de passe chiffr rversible, vous devez envisager dutiliser
un autre protocole dauthentification, comme Microsoft Challenge Handshake Authentication Protocol
(MS-CHAP) version 2.

MS-CHAP V2
Le protocole MS-CHAP v2 est un processus dauthentification mutuelle par mot de passe chiffr sens
unique. Il fonctionne comme suit :
1.

Lauthentificateur (serveur daccs distance ou ordinateur qui excute NPS) envoie au client daccs
distance une demande daccs. Celle-ci se compose dun identificateur de session et dune chane
de demande daccs arbitraire.

2.

Le client daccs distance envoie une rponse qui contient un chiffrement sens unique de la
chane de demande daccs reue, la chane de demande daccs de lhomologue arbitraire,
lidentificateur de session et le mot de passe de lutilisateur.

3.

Lauthentificateur vrifie la rponse du client et renvoie une rponse contenant une indication de la
russite ou de lchec de la tentative de connexion et une rponse authentifie reposant sur la chane
de demande daccs envoye, la chane de demande daccs de lhomologue, la rponse chiffre du
client et le mot de passe de lutilisateur.

4.

Le client daccs distance vrifie la rponse dauthentification et utilise la connexion si celle-ci est
valide. Si la rponse dauthentification est incorrecte, le client daccs distance met fin la connexion.

EAP
Le protocole EAP (Extensible Authentication Protocol) est un mcanisme dauthentification
arbitraire qui permet dauthentifier une connexion daccs distance. Le client daccs distance
et lauthentificateur (le serveur daccs distance ou le serveur RADIUS) ngocient le modle
dauthentification exact utiliser. Le service Routage et accs distant inclut la prise en charge du
protocole EAP-TLS (EAP-Transport Layer Security) par dfaut. Vous pouvez de ce fait connecter dautres
modules EAP au serveur excutant le service Routage et accs distant de manire fournir dautres
mthodes EAP.

Autres options
Outre les mthodes dauthentification prcdemment mentionnes, il existe deux autres options que
vous pouvez activer lors de la slection dune mthode dauthentification :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-7

Accs non authentifi. Il ne sagit pas dune mthode dauthentification proprement parler, mais
plutt de labsence dune mthode. Laccs non authentifi permet aux systmes distants de se
connecter sans authentification. Toutefois, cette option ne doit en aucun cas tre active dans un
environnement de production, car elle constitue un risque pour votre rseau. Nanmoins, elle peut
parfois savrer utile pour rsoudre les problmes dauthentification dans un environnement de test.

Certificat dordinateur pour IKEv2 (Internet Key Exchange version 2). Slectionnez cette option pour
utiliser la Reconnexion VPN.

Quest-ce quune infrastructure cl publique ?


Une infrastructure cl publique se compose de
plusieurs composants qui permettent de scuriser
les communications et transactions de lentreprise,
notamment celles utilises dans des scnarios
daccs distance. Diffrents composants
fonctionnent ensemble pour fournir une solution
PKI complte. Les composants PKI de Windows
Server 2012 sont les suivants :

Autorit de certification (CA). Lautorit de


certification met et gre les certificats
numriques pour les utilisateurs, les
ordinateurs et les services. En dployant
lautorit de certification, vous tablissez linfrastructure cl publique dans votre organisation.

Certificats numriques. Les certificats numriques sapparentent un passeport lectronique. Un


certificat numrique est utilis pour justifier lidentit de lutilisateur (ou de toute autre entit). Il
contient des informations didentification lectroniques associes une cl publique et une cl
prive, utilises pour authentifier des utilisateurs et dautres priphriques tels que des serveurs Web
et des serveurs de messagerie. Les certificats numriques garantissent galement quun logiciel ou du
code est excut partir dune source approuve. Ils contiennent diffrents champs, tels que Objet,
metteur et Nom commun. Ces champs sont utiliss pour dterminer lutilisation spcifique du
certificat. Par exemple, un certificat de serveur Web peut comporter le champ Nom commun de
web01.contoso.com, ce qui rendrait ce certificat valide uniquement pour ce serveur Web. Si une
tentative venait tre effectue pour utiliser ce certificat sur un serveur Web nomm
web02.contoso.com, lutilisateur de ce serveur recevrait alors un avertissement.

Modles de certificats. Ce composant dcrit le contenu ainsi que lobjectif dun certificat numrique.
Lors de la demande dun certificat auprs dune autorit de certification dentreprise AD CS, le
demandeur de certificat peut, en fonction de ses droits daccs, faire un choix parmi plusieurs types
de certificats bass sur des modles de certificats, tels que les modles Utilisateur et Signature du
code. Le modle de certificat enregistre les utilisateurs de bas niveau et les dcisions techniques
relatives au type de certificat dont ils ont besoin. En outre, il permet aux administrateurs didentifier
le demandeur et le type de certificat demand.

Configuration et rsolution des problmes daccs distance

Listes de rvocation de certificats et rpondeurs en ligne.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-8

Les listes de rvocation de certificats consistent en des listes compltes numriquement signes
de certificats rvoqus. Ces listes sont publies priodiquement et peuvent tre rcupres et
mises en cache par les clients, selon la dure de vie configure de la liste de rvocation de
certificats. Elles sont utilises pour vrifier ltat de la rvocation dun certificat.

Les rpondeurs en ligne font partie du service de rle OCSP (Online Certificate Status Protocol)
de Windows Server 2008 et Windows Server 2012. Un rpondeur en ligne peut recevoir une
demande de vrification de la rvocation dun certificat sans que le client ait besoin de
tlcharger la liste de rvocation de certificats complte. Cette opration acclre le processus
de vrification de la rvocation de certificats et rduit la bande passante rseau. Elle amliore
galement lvolutivit et la tolrance de panne en permettant la configuration de groupe
des rpondeurs en ligne.

Applications et services bass sur une cl publique. Il sagit des applications ou des services qui
prennent en charge le chiffrement par cl publique. En dautres termes, lapplication ou les services
doivent pouvoir prendre en charge les implmentations de cl publique pour en tirer profit.

Outils de gestion des certificats et des autorits de certification. Les outils de gestion fournissent les
outils bass sur linterface graphique utilisateur et sur la ligne de commande pour :
o

configurer les autorits de certification ;

rcuprer les cls prives archives ;

importer et exporter les certificats et les cls ;

publier les certificats des autorits de certification et les listes de rvocation de certificats ;

grer les certificats mis.

Accs aux informations de lautorit (AIA) et points de distribution de la liste de rvocation de certificats
(CDP). Les points daccs aux informations de lautorit dterminent lemplacement de recherche
et de validation des certificats des autorits de certification, et les emplacements de points de
distribution de la liste de rvocation de certificats dterminent les points de recherche des listes de
rvocation de certificats pendant le processus de validation du certificat. Dans la mesure o les listes
de rvocation de certificats peuvent devenir volumineuses (en fonction du nombre de certificats mis
et rvoqus par une autorit de certification), vous pouvez galement publier des listes de rvocation
de certificats temporaires plus limites appeles listes de rvocation de certificats delta. Les listes de
rvocation de certificats delta contiennent uniquement les certificats rvoqus depuis la publication
de la dernire liste CRL standard. Cela permet aux clients de rcuprer les listes de rvocation de
certificats delta plus petites et dtablir plus rapidement la liste complte des certificats rvoqus.
Les listes de rvocation de certificats delta permettent galement de publier plus frquemment les
donnes de rvocation, dans la mesure o leur transfert seffectue plus rapidement que celui des
listes CRL compltes.

Module de scurit matriel (HSM, Hardware security module). Un module de scurit matriel est
un priphrique matriel de chiffrement scuris facultatif qui acclre le traitement du chiffrement
en vue de grer les codes numriques. Ce matriel de stockage spcialis hautement scuris est
connect lautorit de certification afin de grer les certificats. En rgle gnrale, le module
de scurit matriel est physiquement raccord un ordinateur. Il consiste en un module
complmentaire facultatif de linfrastructure cl publique, et est plus frquemment utilis dans
les environnements de haute scurit dans lesquels les rpercussions seraient importantes si une cl
venait tre compromise.

Intgration du protocole DHCP au service Routage et accs distant


Vous pouvez dployer le rle DHCP avec le rle
Accs distance afin de fournir aux clients daccs
distance une adresse IP affecte de manire
dynamique pendant la connexion. Lorsque vous
utilisez ces deux services sur le mme serveur, les
informations fournies pendant la configuration
dynamique le sont dune manire diffrente par
rapport la configuration DHCP classique des
clients de rseau local.
Dans les environnements de rseau local,
les clients DHCP ngocient et reoivent les
informations de configuration suivantes, en
fonction uniquement des paramtres que vous configurez dans la console DHCP du serveur DHCP :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-9

Une adresse IP alloue extraite du pool dadresses disponibles dune porte active sur le serveur
DHCP. Le serveur DHCP gre ladresse et la distribue directement au client DHCP sur le rseau local.

Des paramtres supplmentaires et dautres informations de configuration fournis par les options
DHCP affectes dans le bail dadresse. Les valeurs et la liste doptions correspondent aux types
doptions que vous configurez et que vous affectez sur le serveur DHCP.

Lorsquun serveur daccs distance propose une configuration dynamique pour les clients daccs
distance, il commence par excuter les tapes suivantes :
1.

Lorsque le serveur qui excute le service daccs distance dmarre avec loption Utiliser DHCP pour
attribuer des adresses TCP/IP distantes, il indique au client DHCP quil doit obtenir 10 adresses IP
auprs dun serveur DHCP.

2.

Le serveur daccs distance utilise la premire des 10 adresses IP obtenues auprs du serveur DHCP
pour linterface du serveur daccs distance.

3.

Les neuf adresses restantes sont alloues aux clients TCP/IP lorsquils tablissent une session sur le
serveur daccs distance.

Les adresses IP qui sont libres lorsque les clients daccs distance se dconnectent sont rutilises.
Lorsque les 10 adresses IP sont utilises, le serveur daccs distance en obtient 10 de plus auprs dun
serveur DHCP. Lorsque le service Routage et accs distant sarrte, toutes les adresses IP obtenues via
le serveur DHCP sont libres.

Lorsque le serveur daccs distance utilise ce type de mise en cache proactive des baux dadresses DHCP
pour les clients daccs distance, il enregistre les informations suivantes pour chaque rponse de bail
obtenue du serveur DHCP :

ladresse IP du serveur DHCP ;

ladresse IP alloue par le client (pour une distribution ultrieure au client du service de routage et
daccs distance) ;

lheure laquelle le bail a t obtenu ;

lheure laquelle le bail expire ;

la dure du bail.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-10 Configuration et rsolution des problmes daccs distance

Toutes les autres informations renvoyes par le serveur DHCP relatives aux options DHCP comme les options
de serveur, de porte ou de rservation, sont ignores. Lorsque le client se connecte au serveur et demande
une adresse IP (autrement dit, lorsque Adresse IP attribue par serveur est slectionn), il utilise un bail
DHCP mis en cache pour fournir au client daccs distance une configuration dadresse IP dynamique.
Lorsque ladresse IP est fournie au client daccs distance, le client ne sait pas que cette adresse a t
obtenue via ce processus intermdiaire entre le serveur DHCP et le serveur daccs distance. Le serveur
daccs distance maintient le bail au nom du client. Par consquent, la seule information que le client
reoit du serveur DHCP est ladresse IP.
Dans les environnements daccs distance, les clients DHCP ngocient et reoivent la configuration
dynamique de la manire suivante, qui est lgrement diffrente :

Une adresse IP alloue provenant du cache dadresses de porte DHCP sur le serveur de routage et
daccs distance. Le serveur de routage et daccs distance obtient et renouvelle son pool
dadresses mis en cache sur le serveur DHCP.

Si le serveur DHCP fournit normalement les paramtres supplmentaires et les autres informations de
configuration fournis grce des options DHCP affectes dans le bail dadresse, ces informations sont
renvoyes au client daccs distance en fonction des proprits TCP/IP configures sur le serveur
daccs distance.

Remarque : Les serveurs DHCP qui excutent Windows Server 2012 fournissent une classe
dutilisateur prdfinie (la Classe de routage et daccs distant par dfaut) pour affecter des
options fournies uniquement aux clients de routage et daccs distance. Pour affecter ces
options, vous devez crer une stratgie DHCP avec la condition selon laquelle la classe
dutilisateur quivaut la classe de routage et daccs distant par dfaut. Configurez
ensuite les options requises.

Leon 2

Configuration de laccs VPN

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-11

Pour implmenter correctement et prendre en charge un environnement VPN au sein de votre


organisation, il est important de comprendre comment slectionner un protocole de tunneling appropri,
configurer lauthentification VPN et configurer le rle serveur Services de stratgie et daccs rseau pour
prendre en charge la configuration de votre choix.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire ce quest une connexion VPN et la manire dont elle est utilise pour connecter des clients
de rseau distant ;

dcrire les protocoles de tunneling utiliss pour une connexion VPN ;

dcrire la reconnexion VPN ;

dcrire les conditions requises de la configuration lies une connexion VPN ;

expliquer comment configurer un accs VPN ;

dcrire les tches supplmentaires qui peuvent tre excutes lissue de la configuration dun
serveur VPN ;

dcrire les fonctionnalits et les avantages du Kit dadministration du Gestionnaire des connexions ;

expliquer comment crer un profil de connexion laide du Kit dadministration du Gestionnaire


des connexions.

Quest-ce quune connexion VPN ?


Pour muler une liaison point point, les donnes
sont encapsules (ou enrobes) et prfixes
laide dun en-tte qui contient les informations
de routage, lesquelles permettent aux donnes de
traverser le rseau partag ou public jusqu leur
destination finale.
Pour muler une liaison prive, les donnes
sont chiffres afin dassurer la confidentialit.
Les paquets qui sont intercepts sur le rseau
partag ou public sont indchiffrables sans cl de
chiffrement. La liaison dans laquelle les donnes
prives sont encapsules et chiffres est appele
connexion VPN.
Il existe deux types de connexions VPN :

accs distance ;

de site site.

VPN daccs distance

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-12 Configuration et rsolution des problmes daccs distance

Les connexions VPN daccs distance permettent aux utilisateurs qui travaillent hors site (par exemple,
la maison, chez un client, ou partir dun point daccs sans fil public) daccder un serveur sur le rseau
priv de votre organisation en utilisant linfrastructure mise disposition par un rseau public, comme
Internet. Du ct de lutilisateur, la connexion VPN est une connexion point point entre lordinateur, le
client VPN et le serveur de votre organisation. Linfrastructure exacte du rseau partag ou public na pas
dimportance car cette connexion fonctionne logiquement comme si les donnes taient envoyes sur
une liaison prive ddie.

Connexion VPN de site site


Les connexions VPN de site site (galement appeles connexions VPN routeur routeur) permettent
votre organisation dutiliser des connexions routes entre des bureaux loigns les uns des autres
(ou avec dautres organisations) sur un rseau public tout en assurant la scurit des communications.
Une connexion VPN route sur Internet fonctionne logiquement comme une liaison de rseau tendue
ddie. Lorsque des rseaux se connectent via Internet, un routeur transmet les paquets un autre
routeur par lintermdiaire dune connexion VPN. Du ct des routeurs, la connexion VPN fonctionne
comme une liaison de couche de liaison de donnes.

Une connexion VPN de site site connecte deux segments dun rseau priv. Le serveur VPN fournit une
connexion route vers le rseau auquel le serveur VPN est rattach. Le routeur appelant (le client VPN)
sauthentifie auprs du routeur rpondant (le serveur VPN) et, rciproquement, le routeur rpondant
sauthentifie auprs du routeur appelant. Dans une connexion VPN de site site, les paquets envoys
par lun ou lautre des routeurs via la connexion VPN ne proviennent gnralement pas des routeurs.

Proprits des connexions VPN


Les connexions VPN qui utilisent le protocole PPTP (Point-to-Point Tunneling Protocol), le
protocole L2TP/IPsec (Layer Two Tunneling Protocol/Internet Protocol security) ou le protocole SSTP
(Secure Socket Tunneling Protocol), ont les proprits suivantes :

Encapsulation. Avec la technologie VPN, les donnes prives sont encapsules avec un en-tte
contenant les informations de routage permettant aux donnes dtre transmises sur le rseau
de transit.

Authentification. Lauthentification des connexions VPN prend les trois formes suivantes :
o

Authentification au niveau utilisateur laide de lauthentification PPP (Point-to-Point Protocol).


Pour tablir la connexion VPN, le serveur VPN authentifie le client VPN qui essaie de se
connecter laide dune mthode dauthentification PPP au niveau utilisateur et vrifie que le
client VPN possde lautorisation approprie. Si vous utilisez lauthentification mutuelle, le client
VPN authentifie galement le serveur VPN, ce qui permet dassurer une protection contre les
ordinateurs qui se font passer pour des serveurs VPN.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-13

Authentification au niveau ordinateur laide du protocole IKE (Internet Key Exchange).


Pour tablir une association de scurit IPsec, le client VPN et le serveur VPN utilisent le
protocole IKE pour changer des certificats dordinateur ou une cl prpartage. Dans lun
ou lautre cas, le client et le serveur VPN sauthentifient lun lautre au niveau de lordinateur.
Nous recommandons lauthentification par certificat dordinateur car il sagit dune mthode
dauthentification beaucoup plus puissante. Lauthentification de niveau ordinateur est excute
uniquement pour les connexions L2TP/IPsec.

Authentification de lorigine des donnes et intgrit des donnes. Pour vrifier que les donnes
envoyes sur la connexion VPN proviennent bien de lautre extrmit de la connexion et quelles
nont pas t modifies pendant leur transit, les donnes contiennent une somme de contrle
de chiffrement base sur une cl de chiffrement connue uniquement de lexpditeur et du
destinataire. Lauthentification de lorigine des donnes et lintgrit des donnes sont
uniquement disponibles pour les connexions L2TP/IPsec.

Chiffrement des donnes. Pour assurer la confidentialit des donnes transmises sur le rseau de
transit partag ou public, lexpditeur chiffre les donnes et le destinataire les dchiffre. Les processus
de chiffrement et de dchiffrement reposent sur lexpditeur et sur le destinataire qui utilisent tous les
deux une cl de chiffrement commune.
Les paquets intercepts sur le rseau de transit sont inintelligibles pour quiconque ne possde pas
la cl de chiffrement commune. La longueur de la cl de chiffrement est un paramtre de scurit
important. Vous pouvez utiliser des techniques de calcul pour dterminer la cl de chiffrement.
Toutefois, plus cette cl est longue, plus la puissance et le temps de calcul ncessaires seront levs.
Par consquent, il est important dutiliser la plus grande taille de cl possible pour assurer la
confidentialit des donnes.

Protocoles de tunneling pour les connexions VPN


Les protocoles PPTP, L2TP et SSTP dpendent
largement des fonctionnalits spcifies lorigine
pour le protocole PPP. Le protocole PPP a t conu
pour envoyer des donnes via des connexions point
point daccs distance ou ddies. Dans le cadre
des paquets IP, le protocole PPP encapsule les
paquets IP dans des trames PPP, puis transmet les
paquets PPP encapsuls via une liaison point point.
Le protocole PPP a t dfini lorigine comme le
protocole utiliser entre un client daccs distance
et un serveur daccs rseau.

PPTP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-14 Configuration et rsolution des problmes daccs distance

Le protocole PPTP vous permet de chiffrer et dencapsuler dans un en-tte IP le trafic multiprotocole qui
est ensuite envoy sur un rseau IP ou sur un rseau IP public comme Internet. Vous pouvez utiliser le
protocole PPTP pour les connexions daccs distance et les connexions VPN de site site. Si vous utilisez
Internet comme rseau public VPN, le serveur PPTP est un serveur VPN PPTP avec une interface sur
Internet et une seconde interface sur le rseau intranet.

Encapsulation. Le protocole PPTP encapsule des trames PPP dans des datagrammes IP
en vue de la transmission sur le rseau. Le protocole PPTP utilise une connexion TCP
(Transmission Control Protocol) pour grer les tunnels et une version modifie du protocole GRE
(Generic Route Encapsulation) afin dencapsuler des trames PPP pour les donnes en tunnel.
Les charges utiles des trames PPP encapsules peuvent tre chiffres et/ou compresses.

Chiffrement. La trame PPP est chiffre avec le chiffrement Microsoft Point-to-Point (MPPE,
Microsoft Point-to-Point Encryption) laide des cls de chiffrement gnres par le processus
dauthentification MS-CHAPv2 ou EAP-TLS. Les clients VPN doivent utiliser le protocole
dauthentification MS-CHAPv2 ou EAP-TLS pour que les charges utiles des trames PPP soient
chiffres. Le protocole PPTP utilise le chiffrement PPP sous-jacent et de lencapsulation dune
trame PPP prcdemment chiffre.

L2TP
Le protocole L2TP vous permet de chiffrer le trafic multiprotocole qui doit tre envoy via tout support
prenant en charge la remise de datagramme point point, comme le trafic IP ou le mode de transfert
asynchrone. Le protocole L2TP est une combinaison des protocoles PPTP et L2F (Layer 2 Forwarding).
Il regroupe les meilleures fonctionnalits des deux.
la diffrence du protocole PPTP, limplmentation Microsoft du protocole L2TP nutilise pas le
chiffrement MPPE pour chiffrer les datagrammes PPP. Le protocole L2TP sappuie sur IPsec en mode
transport pour les services de chiffrement. La combinaison des protocoles L2TP et IPsec est appele
L2TP/IPsec.

Pour utiliser les protocoles L2TP et IPsec, le client et le serveur VPN doivent tous deux prendre en charge
les protocoles L2TP et IPsec. La prise en charge des clients pour le protocole L2TP est intgre dans les
clients daccs distance Windows XP, Windows Vista, Windows 7 et Windows 8. La prise en charge du
serveur VPN pour le protocole L2TP est intgre dans les produits des familles Windows Server 2012,
Windows Server 2008 et Windows Server 2003.

Encapsulation : lencapsulation pour les paquets L2TP/IPsec est forme de deux couches,
lencapsulation L2TP et lencapsulation IPsec. L2TP encapsule et chiffre les donnes de la
manire suivante :
o

Premire couche. La premire couche est lencapsulation L2TP. Une trame PPP (datagramme IP)
est encapsule avec un en-tte L2TP et un en-tte UDP (User Datagram Protocol).

Seconde couche. La seconde couche est lencapsulation IPsec. Le message L2TP rsultant est
encapsul avec un en-tte et un code de fin ESP (Encapsulating Security Payload) IPsec, un code
de fin dauthentification IPsec qui fournit lintgrit et lauthentification des messages, et un entte IP final. Len-tte IP contient les adresses IP source et de destination qui correspondent au
client et au serveur VPN.

Chiffrement : le message L2TP est chiffr avec lalgorithme AES (Advanced Encryption Standard)
ou 3DES (Triple Data Encryption Standard) en utilisant les cls de chiffrement gnres par le
processus de ngociation IKE.

SSTP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-15

Le protocole SSTP est un nouveau protocole de tunneling qui utilise le protocole HTTPS (HTTP Secure)
sur le port TCP 443 pour faire transiter le trafic travers des pare-feux et des proxys Web qui peuvent
bloquer le trafic PPTP et L2TP/IPsec. Le protocole SSTP propose un mcanisme permettant dencapsuler
le trafic PPP sur le canal SSL (Secure Sockets Layer) du protocole HTTPS. Lutilisation du protocole PPP
permet la prise en charge de mthodes dauthentification fortes, telles quEAP-TLS. Le protocole SSL offre
une scurit de niveau du transport avec une ngociation des cls amliore, le chiffrement et le contrle
dintgrit.
Lorsquun client essaie dtablir une connexion VPN base sur le protocole SSTP, ce dernier commence
par tablir une couche HTTPS bidirectionnelle avec le serveur SSTP. Sur cette couche HTTPS, les paquets
du protocole sont transmis comme charge utile des donnes laide des mthodes suivantes
dencapsulation et de chiffrement :

Encapsulation. Le protocole SSTP encapsule des trames PPP dans des datagrammes IP en vue
de la transmission sur le rseau. Le protocole SSTP utilise une connexion TCP (sur le port 443)
pour la gestion des tunnels et comme trames de donnes PPP.

Chiffrement. Le message SSTP est chiffr avec le canal SSL du protocole HTTPS.

IKEv2

IKEv2 utilise le protocole Mode de tunnel IPsec sur port UDP 500. IKEv2 prend en charge la mobilit, ce
qui en fait le choix idal pour la main duvre mobile. Les connexions VPN bases sur IKEv2 permettent
aux utilisateurs de se dplacer plus facilement entre les zones daccs sans fil et les connexions cbles.
Lutilisation des protocoles IKEv2 et IPsec permet la prise en charge des mthodes de chiffrement et
dauthentification forte.

Encapsulation. Le protocole IKEv2 encapsule des datagrammes en utilisant les modes AH


(Authentication Header) ou ESP IPsec pour la transmission sur le rseau.

Chiffrement. Le message est chiffr avec un des protocoles suivants laide des cls de chiffrement
gnres partir du processus de ngociation IKEv2 : algorithmes de chiffrement AES 256, AES 192,
AES 128 et 3DES.

IKEv2 est pris en charge uniquement sur les ordinateurs avec les systmes dexploitation suivants :
Windows 7, Windows 8, Windows Server 2008 R2 et Windows Server 2012. IKEv2 est le protocole de
tunneling VPN par dfaut dans Windows 7 et Windows 8.

Quest-ce quune Reconnexion VPN ?


Dans les scnarios dentreprise dynamiques, les
utilisateurs doivent tre en mesure daccder en
toute scurit aux donnes, tout moment,
partout, et de manire continue, sans interruption.
Par exemple, les utilisateurs peuvent souhaiter
accder en toute scurit aux donnes figurant sur
le serveur de la socit, partir dune succursale
ou lors dun dplacement.

Pour rpondre cette exigence, vous pouvez configurer la fonctionnalit Reconnexion VPN disponible
dans Windows Server 2012, Windows Server 2008 R2, Windows 8 et Windows 7. Grce cette
fonctionnalit, les utilisateurs peuvent accder aux donnes de la socit laide dune connexion VPN,
qui se reconnectera automatiquement en cas dinterruption de la connectivit. La Reconnexion VPN
permet galement le dplacement entre diffrents rseaux.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-16 Configuration et rsolution des problmes daccs distance

La Reconnexion VPN utilise la technologie IKEv2 pour fournir une connectivit VPN transparente et
cohrente. Les utilisateurs qui se connectent via une large bande mobile sans fil tireront davantage parti
de cette fonctionnalit. Prenons lexemple dun utilisateur avec un ordinateur portable quip de
Windows 8. Lorsque ce dernier emprunte le train pour se rendre sur son lieu de travail, il se connecte
Internet via une carte large bande mobile sans fil, puis tablit une connexion VPN au rseau de
lentreprise. Quand le train passe dans un tunnel, la connexion Internet sinterrompt. Ds que le train sort
du tunnel, la carte large bande mobile sans fil se reconnecte automatiquement au rseau Internet. Avec
les versions prcdentes des systmes dexploitation serveur et client Windows, VPN ne se reconnectait
pas automatiquement. Cest pourquoi lutilisateur devait rpter le processus en plusieurs tapes de
connexion au VPN manuellement. Ctait long et frustrant pour les utilisateurs mobiles avec une
connectivit par intermittence.

Avec la Reconnexion VPN, Windows Server 2012 et Windows 8 rtablissent les connexions VPN actives de
manire automatique lorsque la connectivit Internet est rtablie. Mme si la reconnexion peut prendre
plusieurs secondes, les utilisateurs nont pas besoin de relancer manuellement la connexion, ou de
sauthentifier nouveau pour accder aux ressources du rseau.
Les conditions requises du systme pour utiliser la fonctionnalit Reconnexion VPN sont les suivantes :

Windows Server 2008 R2 ou Windows Server 2012 en tant que serveur VPN.

Client Windows 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012.

Infrastructure cl publique (PKI), car un certificat informatique est indispensable pour une
connexion distance avec la Reconnexion VPN. Vous pouvez utiliser les certificats mis par une
autorit de certification interne ou publique.

Configuration requise
Avant de dployer la solution VPN de votre
organisation, il convient de tenir compte des
configurations requises suivantes en matire de
configuration :

Votre serveur VPN a besoin de deux interfaces


rseau. Vous devez identifier quelle interface
rseau se connectera Internet et quelle
interface rseau se connectera au rseau
priv. Durant la configuration, vous serez
invit choisir linterface rseau qui assure la
connexion Internet. Si vous nindiquez pas
linterface approprie, le serveur VPN daccs
distance ne fonctionnera pas correctement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-17

Dterminez si les clients distants reoivent des adresses IP dun serveur DHCP situ sur votre rseau
priv ou du serveur VPN daccs distance en cours de configuration. Si le rseau priv comporte un
serveur DHCP, le serveur VPN daccs distance peut tout moment rserver simultanment dix
adresses auprs du serveur DHCP, puis les attribuer aux clients distants. Dans le cas contraire, le
serveur VPN daccs distance peut gnrer et attribuer automatiquement des adresses IP aux clients
distants. Si vous voulez que le serveur VPN daccs distance attribue des adresses IP dans une plage
dtermine, vous devez spcifier cette dernire.

Prcisez si les demandes de connexion des clients VPN doivent tre authentifies par un serveur
RADIUS ou par le serveur VPN daccs distance en cours de configuration. Lajout dun serveur
RADIUS est utile si vous envisagez dinstaller plusieurs serveurs VPN daccs distance, points daccs
sans fil ou autres clients RADIUS sur votre rseau priv.

Remarque : Pour activer une infrastructure RADIUS, installez le rle serveur Services de
stratgie et daccs rseau. Le NPS peut agir soit en tant que proxy RADIUS, soit en tant que
serveur RADIUS.

Dterminez si les clients VPN peuvent envoyer des messages DHCPINFORM au serveur DHCP sur
votre rseau priv. Si un serveur DHCP se trouve sur le mme sous-rseau que votre serveur VPN
daccs distance, les messages DHCPINFORM des clients VPN seront en mesure datteindre le
serveur DHCP une fois la connexion VPN tablie. Si un serveur DHCP se trouve sur un sous-rseau
diffrent de votre serveur VPN daccs distance, assurez-vous que le routeur entre les sous-rseaux
peut relayer des messages DHCP entre clients et le serveur. Si votre routeur excute Windows
Server 2008 R2 ou Windows Server 2012, vous pouvez configurer le service Agent relais DHCP sur le
routeur de sorte que les messages DHCPINFORM soient transfrs entre les sous-rseaux.

Veillez vous assurer que le responsable du dploiement de votre solution VPN dispose des
appartenances au groupe dadministration requises pour installer les rles serveur et configurer les
services ncessaires ; lappartenance au groupe Administrateurs local est requise pour effectuer
ces tches.

Dmonstration : Procdure de configuration dun accs VPN


Cette dmonstration montre comment :

configurer laccs distance en tant que serveur VPN ;

configurer un client VPN.

Procdure de dmonstration
Configurer laccs distance en tant que serveur VPN
1.

Ouvrez une session sur LON-RTR en tant quADATUM\Administrateur avec le mot de passe Pa$$w0rd.

2.

Sur LON-RTR, ouvrez le Gestionnaire de serveur, puis ajoutez le rle Services de stratgie et daccs
rseau.

3.

Fermez le Gestionnaire de serveur.

4.

Ouvrez la console Serveur NPS.

5.

Enregistrez le serveur dans AD DS.

6.

Laissez la fentre Serveur NPS (Network Policy Server) ouverte.

7.

Ouvrez Routage et accs distant.

8.

Dsactivez la configuration existante.

9.

Reconfigurez LON-RTR en tant que serveur VPN laide des paramtres suivants :
o

Connexion au rseau local 2 correspond linterface publique.

Le serveur VPN alloue des adresses du pool : 172.16.0.100 - 172.16.0.111.

Le serveur est configur avec loption Non, utiliser Routage et accs distant pour authentifier
les demandes de connexion.

10. Dmarrez le service VPN.

Configurer un client VPN


1.

Basculez vers LON-CL2, puis ouvrez une session en tant quADATUM\Administrateur avec le mot
de passe Pa$$w0rd.

2.

Crez une connexion VPN avec les proprits suivantes :

3.

4.

5.

Adresse Internet de connexion : 10.10.0.1.

Nom de la destination : VPN Adatum

Autoriser dautres personnes utiliser cette connexion : true.

Une fois le VPN cr, modifiez ses paramtres en affichant les proprits de la connexion, puis
slectionnez longlet Scurit pour reconfigurer le VPN laide des paramtres suivants :
o

Type de rseau VPN : Protocole PPTP (Point to Point Tunneling Protocol).

Authentification : Autoriser ces protocoles = Protocole Microsoft CHAP Version 2


(MS-CHAP v2).

Testez la connexion VPN laide des informations didentification suivantes :


o

Nom dutilisateur : ADATUM\administrateur

Mot de passe : Pa$$w0rd

Attendez que la connexion VPN soit tablie. La connexion choue. Vous recevez une erreur relative
aux problmes dauthentification.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-18 Configuration et rsolution des problmes daccs distance

Ralisation de tches de configuration supplmentaires


lissue de ces tapes de dploiement et de
configuration initiale de votre solution daccs
distance, votre serveur est prt tre utilis en
tant que serveur VPN daccs distance.
Cependant, vous trouverez ci-aprs les tches
supplmentaires que vous pouvez galement
effectuer sur votre serveur VPN/daccs
distance :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-19

Configurer des filtres de paquets statiques.


Ajoutez des filtres de paquets statiques afin
de mieux protger votre rseau.

Configurer des services et des ports.


Choisissez quels services du rseau priv vous souhaitez rendre disponibles pour les utilisateurs
daccs distance.

Rgler les niveaux denregistrement. Configurez le niveau de dtails des vnements que vous
souhaitez enregistrer. Vous pouvez dcider quelles informations vous souhaitez suivre dans les
fichiers journaux.

Configurer le nombre de ports VPN. Ajoutez ou supprimez des ports VPN.

Crer un profil Gestionnaire des connexions pour les utilisateurs. Grez lexprience de connexion
cliente des utilisateurs et simplifiez la configuration et le dpannage de ces connexions.

Ajouter AD CS. Configurez et grez une autorit de certification (CA) sur un serveur en vue de
lutiliser dans une infrastructure cl publique (PKI).

Renforcer la scurit de laccs distance. Protgez les utilisateurs distants et le rseau priv en
appliquant des mthodes dauthentification scurises, en exigeant des niveaux suprieurs de
chiffrement des donnes, etc.

Renforcer la scurit VPN. Protgez les utilisateurs distants et le rseau priv en exigeant lutilisation
de protocoles de tunneling scuriss, en configurant le verrouillage de compte, etc.

Implmenter la fonctionnalit Reconnexion VPN. Ajoutez la Reconnexion VPN pour rtablir les
connexions VPN automatiquement pour les utilisateurs qui perdent temporairement leurs
connexions Internet.

Quest-ce que le Kit dadministration du Gestionnaire des connexions ?


Le Kit dadministration du Gestionnaire des
connexions (CMAK, Connection Manager
Administration Kit) vous permet de personnaliser
les options de connexion distance des
utilisateurs en crant des connexions prdfinies
aux serveurs et aux rseaux distance. LAssistant
Kit dadministration du Gestionnaire des
connexions cre un fichier excutable que vous
pouvez distribuer de diffrentes manires ou
intgrer dans limage du systme dexploitation
dans le cadre des activits de dploiement.
Connection Manager est un outil de connexion
rseau client qui permet un utilisateur de se connecter un rseau distant, tel quun fournisseur de
services Internet ou un rseau dentreprise protg par un serveur VPN.
Le Kit dadministration du Gestionnaire des connexions (CMAK) est un outil que vous pouvez utiliser
pour personnaliser lexprience de connexion distance des utilisateurs de votre rseau en crant des
connexions prdfinies des serveurs et des rseaux distance. Utilisez lAssistant Kit dadministration
du Gestionnaire des connexions pour crer et personnaliser une connexion pour vos utilisateurs.
Le Kit dadministration du Gestionnaire des connexions est un composant facultatif qui nest pas install
par dfaut. Vous devez linstaller avant de pouvoir crer des profils de connexion que vos utilisateurs
pourront installer pour accder aux rseaux distance.

Distribution du profil de connexion

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-20 Configuration et rsolution des problmes daccs distance

LAssistant Kit dadministration du Gestionnaire des connexions compile le profil de connexion dans un
fichier excutable unique portant lextension de nom de fichier .exe. Vous pouvez distribuer ce fichier aux
utilisateurs par toute mthode votre disposition. Diffrentes mthodes considrer :

Inclure le profil de connexion dans limage qui est fournie avec les nouveaux ordinateurs.
Vous pouvez installer votre profil de connexion avec les images dordinateur client installes sur les
nouveaux ordinateurs de votre organisation.

Distribuer le profil de connexion sur un mdia amovible afin que lutilisateur puisse linstaller
manuellement.

Vous pouvez distribuer le programme dinstallation du profil de connexion sur un CD-DVD, un lecteur
flash USB ou tout autre mdia amovible auquel vous autorisez les utilisateurs accder. Un certain
nombre de mdias amovibles prennent en charge la fonction de dmarrage automatique qui permet
de lancer linstallation ds que lutilisateur insre le mdia dans lordinateur.

Remettre le profil de connexion laide doutils de distribution de logiciels automatiss.

De nombreuses organisations utilisent un outil de gestion du bureau ou de gestion des logiciels tel
que Microsoft System Center Configuration Manager (auparavant appel Systems Management
Server). Configuration Manager permet de mettre le package en logiciel et de le distribuer aux
ordinateurs clients. Linstallation peut tre invisible pour vos utilisateurs et vous pouvez la configurer
pour signaler son succs ou son chec dans la console de gestion.

Dmonstration : Procdure de cration dun profil de connexion


Cette dmonstration montre comment :

installer les services CMAK ;

crer un profil de connexion ;

examiner le profil.

Procdure de dmonstration
Installer les services CMAK
1.

Au besoin, ouvrez une session sur LON-CL2 en tant quADATUM\Administrateur avec le mot de
pass Pa$$w0rd.

2.

Ouvrez le Panneau de configuration, puis activez la nouvelle fonctionnalit Windows appele Kit
dadministration du Gestionnaire des connexions Microsoft (CMAK) RAS.

Crer un profil de connexion

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-21

1.

Dans Outils dadministration, ouvrez le Kit dadministration du Gestionnaire des connexions.

2.

Suivez les instructions de lAssistant Kit dadministration du Gestionnaire des connexions pour crer
le profil de connexion.

Examiner le profil cr

Utilisez lExplorateur de fichiers pour examiner le contenu du dossier que vous avez cr laide de
lAssistant Kit dadministration du Gestionnaire des connexions pour crer le profil de connexion.
Normalement, vous devriez prsent distribuer ce profil vos utilisateurs.

Leon 3

Vue densemble des stratgies rseau

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-22 Configuration et rsolution des problmes daccs distance

Les stratgies rseau dterminent si une tentative de connexion aboutit. Si la tentative de connexion
aboutit, la stratgie rseau dfinit galement des caractristiques de connexion, telles que des restrictions
de jour et dheure, des dconnexions de session en cas dinactivit ainsi que dautres paramtres.
La comprhension du mode de configuration des stratgies rseau est essentielle si vous voulez
implmenter avec succs des connexions VPN bases sur le rle serveur Services de stratgie et daccs
rseau dans votre organisation.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dfinir une stratgie rseau ;

dcrire le traitement dune stratgie rseau ;

dcrire le processus de cration dune stratgie rseau ;

expliquer comment crer une stratgie rseau pour les connexions VPN.

Quest-ce quune stratgie rseau ?


Une stratgie rseau est un ensemble de
conditions, de contraintes et de paramtres qui
vous permettent de dsigner les personnes
autorises se connecter au rseau et les
circonstances dans lesquelles elles peuvent, ou
non, se connecter. De plus, lorsque vous dployez
la protection daccs rseau NAP, la stratgie de
contrle dintgrit est ajoute la configuration
de la stratgie rseau afin que le serveur NPS
puisse effectuer des contrles dintgrit des
clients pendant le processus dautorisation.

Vous pouvez envisager les stratgies rseau


comme des rgles : chaque rgle regroupe un ensemble de conditions et de paramtres. Le serveur NPS
compare les conditions de la rgle aux proprits des demandes de connexion. En cas de correspondance
entre la rgle et la demande de connexion, les paramtres dfinis dans la rgle sont alors appliqus la
connexion.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-23

Lorsque vous configurez plusieurs stratgies rseau sur le serveur NPS, elles constituent un jeu ordonn
de rgles. Le serveur NPS vrifie chaque demande de connexion par rapport la premire rgle de la liste,
puis la deuxime, et ainsi de suite, jusqu ce quune correspondance soit trouve.
Remarque : Une fois quune rgle de correspondance est dtermine, les autres rgles sont
ignores. Par consquent, il est important que vous commandiez vos stratgies rseau de
manire approprie, par ordre dimportance.
Chaque stratgie rseau possde un paramtre tat de la stratgie qui vous permet dactiver ou de
dsactiver la stratgie. Si vous dsactivez une stratgie rseau, le serveur NPS ne lvalue pas lors du
processus dautorisation des demandes de connexion.

Proprits des stratgies rseau


Chaque stratgie rseau possde quatre catgories de proprits :

Vue densemble. Les proprits de vue densemble vous permettent de spcifier si la stratgie est
active, si elle accorde ou refuse laccs et si une mthode de connexion rseau ou un type de serveur
daccs rseau spcifique est requis pour les demandes de connexion. Ces proprits vous permettent
galement de spcifier si les proprits de numrotation des comptes dutilisateurs dans AD DS
doivent tre ignores. Si vous slectionnez cette option, le serveur NPS utilise uniquement les
paramtres de la stratgie rseau pour dterminer si la connexion doit tre autorise.

Conditions. Ces proprits vous permettent de spcifier les conditions que la demande de connexion
doit runir pour tre conforme la stratgie rseau. Si les conditions configures dans la stratgie
sont runies dans la demande de connexion, le serveur NPS applique les paramtres de la stratgie
rseau la connexion. Par exemple, si vous spcifiez ladresse IPv4 du serveur daccs rseau (adresse
IPv4 NAS) comme condition de la stratgie rseau et que le serveur NPS reoit une demande de
connexion dun serveur daccs rseau ayant cette adresse IP, la demande de connexion est conforme
la condition de la stratgie.

Contraintes. Les contraintes sont des paramtres supplmentaires de la stratgie rseau auxquels les
demandes de connexion doivent se conformer. Si une demande de connexion ne rpond pas une
contrainte, le serveur NPS rejette automatiquement cette demande. la diffrence de la rponse du
serveur NPS des conditions de la stratgie rseau auxquelles la demande de connexion ne se
conforme pas, si une demande de connexion ne rpond pas une contrainte, le serveur NPS nvalue
pas les stratgies rseau supplmentaires, et la demande de connexion est refuse.

Paramtres. Les proprits de paramtres vous permettent de spcifier les paramtres que le serveur
NPS applique la demande de connexion ds lors que toutes les conditions de la stratgie rseau
sont runies et que la demande est accepte.

Lorsque vous ajoutez une nouvelle stratgie rseau laide du composant logiciel enfichable MMC
(Microsoft Management Console) Serveur NPS, vous devez utiliser lAssistant Nouvelle stratgie rseau.
Aprs avoir cr une stratgie rseau laide de lAssistant Nouvelle stratgie rseau, vous pouvez la
personnaliser en double-cliquant dessus dans le serveur NPS de manire afficher ses proprits.
Remarque : Les stratgies par dfaut du serveur NPS bloquent laccs au rseau. Une fois
vos propres stratgies cres, vous devez modifier la priorit, dsactiver ou supprimer ces
stratgies par dfaut.

Traitement des stratgies rseau


Lorsque le serveur NPS excute le processus
dautorisation dune demande de connexion, il
compare la demande chaque stratgie rseau de
la liste trie de stratgies, en commenant par la
premire stratgie. Sil trouve une stratgie dont
les conditions correspondent la demande de
connexion, le serveur NPS utilise la stratgie
correspondante et les proprits de numrotation
du compte dutilisateur pour raliser lautorisation.
Si vous configurez les proprits de numrotation
du compte dutilisateur de manire accorder ou
contrler laccs laide dune stratgie rseau,
et si la demande de connexion est autorise, le serveur NPS applique les paramtres configurs dans la
stratgie rseau la connexion :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-24 Configuration et rsolution des problmes daccs distance

Si le serveur NPS ne trouve pas de stratgie rseau qui corresponde la demande de connexion,
il refuse la connexion, sauf si les proprits de numrotation du compte dutilisateur sont configures
pour accorder laccs.

Si les proprits de numrotation du compte dutilisateur sont configures pour refuser laccs,
le serveur NPS rejette la demande de connexion.

Processus de cration et de configuration dune stratgie rseau


Le serveur NPS utilise des stratgies rseau et
les proprits de numrotation des comptes
dutilisateurs pour dterminer si une demande
de connexion rseau peut tre autorise. Vous
pouvez configurer une nouvelle stratgie rseau
dans le composant logiciel enfichable MMC
Serveur NPS ou Service de routage et daccs
distance.

Cration de votre stratgie

Lorsque vous utilisez lAssistant Nouvelle stratgie


rseau pour crer une stratgie rseau, la valeur
spcifie comme mthode de connexion rseau
est utilise automatiquement pour configurer la condition Type de stratgie. Si vous conservez la valeur
par dfaut Non spcifi, le serveur NPS value la stratgie rseau que vous crez pour tous les types de
connexion rseau via tout type de serveur daccs rseau. Si vous spcifiez une mthode de connexion
rseau, le serveur NPS value la stratgie rseau uniquement si la demande de connexion mane du type
de serveur daccs rseau que vous spcifiez.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-25

Par exemple, si vous spcifiez Passerelle des services Bureau distance, le serveur NPS value la stratgie
rseau uniquement pour les demandes de connexion qui proviennent de serveurs de passerelle des
services Bureau distance.

Sur la page Spcifier lautorisation daccs, vous devez slectionner Accs accord si vous souhaitez
que la stratgie autorise les utilisateurs se connecter votre rseau. Si vous souhaitez que la stratgie
empche les utilisateurs de se connecter votre rseau, slectionnez Accs refus. Si vous souhaitez que
les proprits de numrotation des comptes dutilisateurs dans AD DS dterminent lautorisation daccs,
vous pouvez activer la case cocher Laccs est dtermin par les proprits de numrotation des
utilisateurs. Ce paramtre remplace la stratgie NPS.

Configuration de votre stratgie

Une fois que vous avez cr votre stratgie rseau, vous pouvez utiliser la bote de dialogue Proprits
de la stratgie rseau pour afficher ou modifier ses paramtres.

Proprits de Stratgie rseau - Onglet Vue densemble


Sous longlet Vue densemble de la bote de dialogue Proprits de la stratgie rseau, ou dans
lAssistant Nouvelle stratgie rseau, vous pouvez configurer les paramtres suivants :

Nom de la stratgie. Spcifiez un nom convivial et pertinent pour la stratgie rseau.

tat de la stratgie. Indiquez sil convient dactiver la stratgie.

Autorisation daccs. Indiquez si la stratgie autorise ou refuse laccs. Indiquez galement si


le serveur NPS doit ignorer les proprits de numrotation des comptes dutilisateurs dans AD DS
lorsquil utilise la stratgie pour autoriser la tentative de connexion.

La mthode de connexion rseau utiliser pour la demande de connexion :


o

Non spcifi. Si vous slectionnez Non spcifi, le serveur NPS value la stratgie rseau pour
toutes les demandes de connexion ayant pour origine tout type de serveur daccs rseau et
pour toute mthode de connexion.

Passerelle des services Bureau distance. Si vous spcifiez Passerelle des services Bureau
distance, le serveur NPS value la stratgie rseau pour les demandes de connexion qui
proviennent de serveurs excutant la passerelle des services Bureau distance.

Serveur daccs distance (VPN-Dial up). Si vous slectionnez Serveur daccs distance
(VPN-Dial up), le serveur NPS value la stratgie rseau pour les demandes de connexion ayant
pour origine un ordinateur qui excute le service de routage et daccs distance configur en
tant que serveur daccs distance ou VPN. Si un autre serveur daccs distance ou VPN est
utilis, le serveur doit prendre en charge le protocole RADIUS et les protocoles dauthentification
fournis par le serveur NPS pour les connexions daccs distance et les connexions VPN.

Serveur DHCP. Si vous spcifiez Serveur DHCP, le serveur NPS value la stratgie rseau pour
les demandes de connexion ayant pour origine des serveurs excutant le protocole DHCP.

Autorit dinscription dintgrit. Si vous slectionnez Autorit dinscription dintgrit, le


serveur NPS value la stratgie rseau pour les demandes de connexion ayant pour origine des
serveurs excutant lautorit HRA.

Serveur HCAP. Si vous spcifiez Serveur HCAP, le serveur NPS value la stratgie rseau pour
les demandes de connexion ayant pour origine des serveurs excutant le protocole HCAP.

Proprits de Stratgie rseau - Onglet Conditions

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-26 Configuration et rsolution des problmes daccs distance

Vous devez configurer au moins une condition pour chaque stratgie rseau. Cette opration seffectue
dans longlet Conditions de la bote de dialogue Proprits de la stratgie rseau. Dans cet onglet, le
serveur NPS propose de nombreux groupes de conditions qui vous permettent de dfinir avec prcision
les proprits que doivent prsenter les demandes de connexion pour tre conformes la stratgie.
Les groupes de conditions disponibles que vous pouvez slectionner sont les suivants :

Groupes. Ces conditions spcifient les groupes dutilisateurs ou dordinateurs que vous configurez
dans AD DS et auxquels vous souhaitez que les autres rgles de la stratgie rseau sappliquent
lorsque des membres du groupe essaient de se connecter au rseau.

HCAP (Host Credential Authorization Protocol). Ces conditions sont utilises uniquement lorsque vous
souhaitez intgrer votre solution NAP NPS la solution Contrle dadmission au rseau de Cisco.
Pour utiliser ces conditions, vous devez dployer le Contrle dadmission au rseau de Cisco, ainsi
que la Protection daccs rseau (NAP). Vous devez galement dployer un serveur HCAP qui excute
les Services Internet (IIS) et le serveur NPS.

Restrictions relatives aux jours et aux heures. Ces conditions vous permettent de spcifier de manire
hebdomadaire si les connexions doivent tre autorises des jours et des heures spcifiques de
la semaine.

NAP. Les paramtres incluent Type didentit, Classe MS-Service, Ordinateurs compatibles avec la p
daccs rseau (NAP), Systme dexploitation et Expiration de la stratgie.

Proprits de la connexion. Les paramtres incluent Adresse IPv4 du client daccs, Adresse IPv6
du client daccs, Type dauthentification, Types de protocoles EAP autoriss, Protocole de trames,
Type de service et Type de tunnel.

Proprits du client RADIUS. Les paramtres incluent ID de la station appelante, Nom convivial du
client, Adresse IPv4 du client, Adresse IPv6 du client, Fournisseur du client et Fournisseur MS-RAS.

Passerelle. Les paramtres incluent ID de la station appele, Identificateur NAS, Adresse IPv4 NAS,
Adresse IPv6 NAS et Type de port NAS.

Proprits de Stratgie rseau - Onglet Contraintes

Les contraintes sont des paramtres supplmentaires facultatifs de la stratgie rseau qui sont trs
diffrents de ses conditions : lorsquune demande de connexion ne rpond pas une condition, le
serveur NPS continue valuer les autres stratgies rseau configures afin de trouver une stratgie
laquelle la demande de connexion est conforme. Lorsquune demande de connexion ne rpond pas une
contrainte, le serveur NPS nvalue pas les autres stratgies rseau, mais rejette la demande de connexion
et laccs de lutilisateur ou de lordinateur au rseau est refus.
La liste suivante dcrit les contraintes que vous pouvez configurer dans longlet Contraintes de la bote
de dialogue Proprits de la stratgie rseau :

Mthodes dauthentification. Permet de spcifier les mthodes dauthentification requises pour que la
demande de connexion soit conforme la stratgie rseau.

Dlai dinactivit. Permet de spcifier la dure maximale (en minutes) pendant laquelle le serveur
daccs rseau peut rester inactif avant que la connexion ne soit rompue.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-27

Dlai dexpiration de session. Permet de spcifier la dure maximale (en minutes) pendant laquelle
un utilisateur peut rester connect au rseau.

ID de la station appele. Permet de spcifier le numro de tlphone du serveur daccs distance


que les clients utilisent pour accder au rseau.

Restrictions relatives aux jours et aux heures. Permet de spcifier quel moment les utilisateurs
peuvent se connecter au rseau.

Type de port NAS. Permet de spcifier les types de support daccs qui sont autoriss pour la
connexion des utilisateurs au rseau.

Proprits de Stratgie rseau - Onglet Paramtres

Si les proprits de la demande de connexion rpondent toutes les conditions et contraintes configures
dans la stratgie, le serveur NPS applique les paramtres configurs dans longlet Paramtres de la bote
de dialogue Proprits de la stratgie rseau la connexion. Ces paramtres sont notamment :

Attributs RADIUS. Ce paramtre permet de dfinir des attributs RADIUS supplmentaires envoyer
au serveur RADIUS.

NAP. Ce paramtre permet de configurer les paramtres de protection daccs rseau (NAP), pour
notamment indiquer si les clients qui se connectent disposent dun accs total ou limit au rseau, ou
encore si la mise jour automatique est active.

Routage et accs distant. Ce paramtre permet de configurer des paramtres de liaisons multiples et
de protocole BAP, des filtres IP, des paramtres de chiffrement et dautres paramtres IP pour les
connexions.

Dmonstration : Procdure de cration dune stratgie rseau


Cette dmonstration montre comment :

crer une stratgie VPN base sur la condition Groupes Windows ;

tester la stratgie VPN.

Procdure de dmonstration
Crer une stratgie VPN base sur la condition Groupes Windows
1.

Sur LON-RTR, basculez vers la console Serveur NPS (Network Policy Server).

2.

Dsactivez les deux stratgies rseau existantes ; elles empcheraient le traitement de la stratgie que
vous tes sur le point de crer.

3.

Crez une stratgie rseau laide des proprits ci-dessous :


o

Nom de la stratgie : Stratgie VPN Adatum

Type de serveur daccs rseau : Serveur daccs distance (VPN-Dial up)

Condition : Groupes Windows = Admins du domaine

Autorisation : Accs accord

Mthodes dauthentification : valeur par dfaut

Contraintes : valeur par dfaut

Paramtres : valeur par dfaut

Tester la stratgie VPN


1.

Basculez vers LON-CL2.

2.

Testez la connexion VPN Adatum. Utilisez les informations didentification suivantes :


o

Nom dutilisateur : ADATUM\administrateur

Mot de passe : Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-28 Configuration et rsolution des problmes daccs distance

Leon 4

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-29

Rsolution des problmes du service de routage et daccs


distance
Le dpannage du service de routage et daccs distance peut prendre du temps. Les problmes peuvent
en effet tre trs diffrents et difficilement identifiables. Par ailleurs, sachant que vous pouvez utiliser des
rseaux distants, ddis, rservs ou publics selon la solution de connectivit distance choisie, vous
devez effectuer le dpannage en suivant une procdure systmatique mthodique.
Dans certains cas, vous pouvez identifier et rsoudre rapidement le problme. Dans dautres, vous devrez
mettre lpreuve vos connaissances sur tous les outils disponibles afin de dterminer la source du
problme et pouvoir le rsoudre dans les temps impartis.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire comment configurer lenregistrement des connexions daccs distance ;

dcrire comment configurer le suivi de laccs distance ;

expliquer comment rsoudre les problmes gnraux de connectivit VPN ;

expliquer comment rsoudre les autres problmes courants daccs distance.

Configuration de lenregistrement des connexions daccs distance


Pour configurer lenregistrement des connexions
daccs distance, ouvrez la console Routage et
accs distant, cliquez avec le bouton droit sur le
nom du serveur, puis cliquez sur Proprits.
Cliquez sur longlet Enregistrement pour afficher
les options disponibles pour le journal de suivi et
connatre son emplacement.
Pour commencer, il est prfrable de spcifier plus
doptions denregistrement que ncessaire, plutt
que pas assez. Une fois que vous aurez dtermin
le niveau denregistrement optimal pour dpanner
votre infrastructure, vous pourrez modifier les
options et/ou le niveau denregistrement.

Quatre niveaux denregistrement sont disponibles dans longlet Enregistrement, comme dcrit dans le
tableau suivant.
Option de la bote de dialogue

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-30 Configuration et rsolution des problmes daccs distance

Enregistrer uniquement les


erreurs dans le journal

Indique que seules les erreurs sont enregistres dans le journal


systme dans lObservateur dvnements.

Enregistrer les erreurs et les


avertissements

Indique que les erreurs et les avertissements sont enregistrs dans le


journal systme dans lObservateur dvnements.

Enregistrer tous les


vnements

Indique que la quantit maximale dinformations est enregistre dans


le journal systme dans lObservateur dvnements.

Ne pas enregistrer
dvnements

Indique quaucun vnement nest enregistr dans le journal systme


dans lObservateur dvnements.

La case cocher Enregistrer les informations dAccs distance et routage supplmentaires


(utilises pour le dbogage) vous permet de spcifier si les vnements du processus dtablissement
de la connexion PPP sont consigns dans le fichier PPP.LOG. Ce fichier journal est stock dans le dossier
systemroot\Tracing (emplacement par dfaut).

Configuration du suivi de laccs distance


Le service de routage et daccs distance de
Windows Server 2012 propose une fonction
de suivi tendue que vous pouvez utiliser
pour rsoudre les problmes rseau complexes.
laide de la commande Netsh ou laide du
Registre, vous pouvez activer lenregistrement
des informations de suivi dans des fichiers par
les composants de Windows Server 2012.

Activation du suivi laide


de la commande Netsh

La commande Netsh vous permet dactiver


et de dsactiver le suivi pour des composants
spcifiques ou pour tous les composants. Pour activer et dsactiver le suivi pour un composant spcifique,
utilisez la syntaxe suivante :
netsh ras set tracing composant enabled|disabled

O composant est un composant figurant dans la liste des composants du service de routage et daccs
distance qui se trouve dans le Registre sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing.
Par exemple, pour activer le suivi du composant RASAUTH, la commande est la suivante :
netsh ras set tracing rasauth enabled

Pour activer le suivi pour tous les composants, utilisez la commande suivante :
netsh ras set tracing * enabled

Activation du suivi laide du Registre

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-31

Vous pouvez galement configurer la fonction de suivi en modifiant les paramtres du Registre sous le
chemin suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing

Vous pouvez activer le suivi pour chaque composant du service daccs distance en dfinissant les
valeurs de Registre appropries. Vous pouvez activer et dsactiver le suivi de composants mme si le
service de routage et daccs distance est en cours dexcution. Chaque composant peut tre suivi et
apparat sous la forme dune sous-cl sous la cl de Registre prcdente.
Pour activer le suivi pour chaque composant, vous pouvez configurer les entres de Registre suivantes
pour chaque cl de protocole :
EnableFileTracing REG_DWORD Flag

Vous pouvez activer lenregistrement des informations de suivi dans un fichier en attribuant la valeur 1
EnableFileTracing, la valeur par dfaut tant 0.

Vous pouvez modifier lemplacement par dfaut des fichiers de suivi en indiquant le chemin daccs de
votre choix dans FileDirectory. Le nom du fichier journal est le nom du composant faisant lobjet du suivi.
Par dfaut, les fichiers journaux sont placs dans le dossier SystemRoot\Tracing.
Chemin daccs FileDirectory REG_EXPAND_SZ

FileTracingMask dtermine le volume dinformations de suivi stockes dans le fichier. La valeur par dfaut
est 0xFFFF0000.
FileTracingMask REG_DWORD LevelOfTracingInformationLogged

Vous pouvez modifier la taille du fichier journal en attribuant des valeurs diffrentes MaxFileSize.
La valeur par dfaut est 0x10000 (64 Ko).
MaxFileSize REG_DWORD SizeOfLogFile

Remarque : Le suivi utilise des ressources systme et doit tre utilis avec modration pour
tenter didentifier les problmes rseau. Une fois le suivi enregistr ou le problme identifi,
dsactivez immdiatement le suivi. Ne le laissez pas activ sur des ordinateurs multiprocesseurs.
Les informations de suivi peuvent tre complexes et dtailles. Cest pourquoi elles ne sont
gnralement utiles quaux professionnels du support technique Microsoft ou aux
administrateurs rseau ayant une exprience avec le service de routage et daccs distance.
Vous pouvez enregistrer les informations de suivi sous forme de fichiers et les envoyer au support
technique Microsoft pour analyse.

Rsolution des problmes VPN gnraux


Pour rsoudre les problmes gnraux
dtablissement dune connexion VPN daccs
distance, effectuez les tches suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-32 Configuration et rsolution des problmes daccs distance

laide de la commande ping, vrifiez que le


nom dhte est rsolu en adresse IP correcte.
Il est possible que la commande ping ellemme choue en raison du filtrage de
paquets qui peut empcher la remise de
messages ICMP (Internet Control Message
Protocol) au serveur VPN ou depuis
ce dernier.

Vrifiez que les informations didentification


du client VPN (nom dutilisateur, mot de passe et nom de domaine) sont correctes et que le serveur
VPN peut les valider.

Vrifiez que le compte dutilisateur du client VPN nest pas verrouill, arriv expiration ou dsactiv,
ou bien encore que lheure laquelle la connexion est tablie ne correspond pas aux heures de
connexion configures. Si le mot de passe du compte a expir, vrifiez que le client VPN daccs
distance utilise le protocole MS-CHAP v2. MS-CHAP v2 est le seul protocole dauthentification fourni
par Windows Server 2012 qui vous permet de modifier un mot de passe arriv expiration au cours
du processus de connexion.

Rinitialisez les mots de passe arrivs expiration des comptes de niveau administrateur laide dun
autre compte de niveau administrateur.

Vrifiez que le compte dutilisateur na pas t verrouill en raison du verrouillage dun compte
daccs distance.

Vrifiez que le service de routage et daccs distance est en cours dexcution sur le serveur VPN.

Vrifiez que le serveur VPN est activ pour laccs distance dans longlet Gnral de la bote de
dialogue Proprits du serveur VPN.

Vrifiez que les priphriques Miniport WAN (PPTP) et Miniport WAN (L2TP) sont activs pour laccs
distance entrant dans les proprits de lobjet Ports dans le composant logiciel enfichable Routage
et accs distance.

Vrifiez que le client VPN, le serveur VPN et la stratgie rseau correspondant aux connexions VPN
sont configurs pour utiliser au moins une mthode dauthentification commune.

Vrifiez que le client VPN et la stratgie rseau correspondant aux connexions VPN sont configurs
pour utiliser au moins un niveau de chiffrement commun.

Vrifiez que les paramtres de la connexion sont autoriss au moyen de stratgies rseau.

Dpannage des autres problmes


Cette rubrique rpertorie les autres problmes
courants que vous pouvez rencontrer lors de
lutilisation de la fonctionnalit daccs distance
dans Windows Server 2012.

Erreur 800 : Le serveur VPN est


inaccessible

Cause : Les paquets PPTP/L2TP/SSTP


provenant du client VPN ne peuvent pas
atteindre le serveur VPN.

Solution : Assurez-vous que les ports


appropris sont ouverts sur le pare-feu.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-33

PPTP. Pour le trafic PPTP, configurez le pare-feu du rseau de sorte quil ouvre le port TCP 1723
et quil transmette le protocole IP 47 pour le trafic GRE vers le serveur VPN.

L2TP. Pour le trafic L2TP, configurez le pare-feu du rseau de sorte quil ouvre le port UDP 1701
et quil autorise les paquets au format ESP IPsec (protocole IP 50).

SSTP. Pour SSTP, activez le port TCP 443.

Erreur 721 : Lordinateur distant ne rpond pas

Cause : Ce problme peut se produire si le pare-feu du rseau nautorise pas le trafic GRE
(protocole IP 47). Le protocole PPTP utilise le protocole GRE pour les donnes en tunnel.

Solution : Configurez le pare-feu du rseau entre le client VPN et le serveur de sorte quil autorise
le trafic GRE. De plus, assurez-vous que le pare-feu du rseau autorise le trafic TCP sur le port 1723.
Ces deux conditions doivent tre runies pour tablir la connectivit VPN laide du protocole PPTP.
Remarque : Le pare-feu peut se trouver sur ou devant le client VPN, ou devant le serveur VPN.

Erreur 741/742 : Erreur dincompatibilit de chiffrement

Cause : Ces erreurs se produisent si le client VPN demande un niveau de chiffrement non valide
ou si le serveur VPN ne prend pas en charge un type de chiffrement demand par le client.

Solution : Vrifiez les proprits de la connexion VPN sur le client VPN sous longlet Scurit.
Si loption Exiger le chiffrement des donnes (sinon, dconnecter) est slectionne, effacez
la slection et ressayez dtablir la connexion. Si vous utilisez un serveur NPS, vrifiez le
niveau de chiffrement dans la stratgie rseau de la console NPS ou les stratgies sur les
autres serveurs RADIUS. Vrifiez que le niveau de chiffrement demand par le client VPN
est slectionn sur le serveur VPN.

Problmes dauthentification L2TP/IPsec


La liste qui suit dcrit les causes les plus communes dchec des connexions L2TP/IPsec :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-34 Configuration et rsolution des problmes daccs distance

Absence de certificat. Par dfaut, les connexions L2TP/IPsec exigent pour lauthentification de
lhomologue IPsec quun change de certificats dordinateur ait lieu entre le serveur daccs
distance et le client daccs distance. Vrifiez quun certificat appropri existe dans les magasins
de certificats de lordinateur local du client daccs distance et du serveur daccs distance
utilisant le composant logiciel enfichable Certificats.

Certificat incorrect. Un certificat dordinateur valide mis par une autorit de certification qui suit
une chane de certificats valide depuis lautorit de certification mettrice jusqu une autorit de
certification racine approuve par le serveur VPN doit tre install sur le client VPN. Par ailleurs, un
certificat dordinateur valide mis par une autorit de certification qui suit une chane de certificats
valide depuis lautorit de certification mettrice jusqu une autorit de certification racine
approuve par le client VPN doit tre installe sur le serveur VPN.

Un priphrique NAT existe entre le client daccs distance et le serveur daccs distance. Sil existe
un service de routage NAT entre un client L2TP/IPsec Windows 2000 Server, Windows Server 2003 ou
Windows XP et un serveur L2TP/IPsec Windows Server 2008, vous ne pouvez pas tablir de connexion
L2TP/IPsec, sauf si le client et le serveur prennent en charge IPSec NAT-T (IPSec NAT Traversal).

Un pare-feu existe entre le client daccs distance et le serveur daccs distance. Sil existe
un pare-feu entre un client L2TP/IPsec Windows et un serveur L2TP/IPsec Windows Server 2012 et si
vous ne parvenez pas tablir une connexion L2TP/IPsec, vrifiez que le pare-feu autorise le transfert
du trafic L2TP/IPsec.

Problmes dauthentification EAP-TLS

Lorsque vous utilisez le protocole EAP-TLS pour lauthentification, le client VPN envoie un certificat utilisateur et
le serveur dauthentification (le serveur VPN ou le serveur RADIUS) soumet un certificat dordinateur. Pour que
le serveur dauthentification puisse valider le certificat du client VPN, les assertions suivantes doivent tre vraies
dans chacun des certificats de la chane de certificats envoye par le client VPN :

La date actuelle doit tre comprise dans les dates de validit du certificat. Lorsque des certificats sont
mis, ils sont assortis dune plage de dates valides, avant laquelle ils ne peuvent pas tre utiliss et
aprs laquelle ils sont considrs comme tant arrivs expiration.

Le certificat na pas t rvoqu. Les certificats mis peuvent tre rvoqus tout moment. Chaque
autorit de certification mettrice gre une liste de certificats qui ne sont pas considrs comme
valides, et publie une liste de rvocation de certificats. Par dfaut, le serveur dauthentification
vrifie chacun des certificats de la chane de certificats des clients VPN (la srie de certificats entre
le certificat du client VPN et lautorit de certification racine) afin de voir sil na pas t rvoqu.
Si lun des certificats de la chane a t rvoqu, la validation du certificat choue.

Le certificat est assorti dune signature numrique valide. Les autorits de certification signent
numriquement les certificats quelles mettent. Le serveur dauthentification vrifie la signature
numrique de chaque certificat de la chane ( lexception du certificat dautorit de certification
racine) en obtenant la cl publique auprs de lautorit de certification mettrice des certificats
et en validant mathmatiquement la signature numrique.
Pour que le client VPN valide le certificat du serveur dauthentification pour
lauthentification EAP-TLS, les assertions suivantes doivent tre vraies pour chaque certificat
de la chane de certificats envoye par le serveur dauthentification :
o

La date actuelle doit tre comprise dans les dates de validit du certificat.

Le certificat doit avoir une signature numrique valide.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-35

Atelier pratique A : Configuration de laccs distance


Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-36 Configuration et rsolution des problmes daccs distance

A. Datum Corporation est une socit internationale dingnierie et de fabrication, dont le sige social est
bas Londres, au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs Londres
pour assister le sige social de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure
serveur et client Windows Server 2012.
La direction de A. Datum souhaite implmenter une solution daccs distance pour ses employs afin
que les utilisateurs puissent se connecter au rseau dentreprise en dehors du bureau. Vous dcidez de
dployer un projet pilote qui permettra aux utilisateurs du service informatique de se connecter laide
dune connexion VPN lintranet dentreprise.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :
1.

configurer un serveur VPN ;

2.

configurer des clients VPN.

Configuration de latelier pratique


Dure approximative : 60 minutes

Ordinateurs virtuels

22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2

Nom dutilisateur

Administrateur

Mot de passe

Pa$$w0rd

Leon 5

Configuration de DirectAccess

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-41

Les organisations comptent souvent sur les connexions VPN pour fournir des utilisateurs distants laccs
scuris aux donnes et aux ressources sur le rseau dentreprise. Les connexions VPN sont faciles
configurer et sont prises en charge par diffrents clients. Cependant, elles doivent dabord tre initialises
par lutilisateur, et peuvent requrir une configuration supplmentaire au niveau du pare-feu de
lentreprise. En outre, les connexions VPN permettent gnralement daccder distance lensemble du
rseau dentreprise. De plus, les organisations ne peuvent pas grer efficacement les ordinateurs distants,
moins quils ne soient connects. Pour aller au-del de telles restrictions sur ces connexions VPN, les
organisations peuvent implmenter DirectAccess pour fournir une connexion transparente entre le rseau
interne et lordinateur distant sur Internet. DirectAccess permet aux organisations de grer les ordinateurs
distants plus efficacement, car ils sont considrs comme faisant partie du rseau dentreprise.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dbattre de la complexit des connexions VPN typiques ;

dcrire DirectAccess ;

dcrire les composants requis pour implmenter DirectAccess ;

expliquer comment utiliser la Table de stratgie de rsolution de noms ;

expliquer comment DirectAccess fonctionne pour les clients connects en interne ;

expliquer comment DirectAccess fonctionne pour les clients connects en externe ;

lister la configuration requise pour DirectAccess ;

expliquer comment configurer DirectAccess.

Complexits lies la gestion des connexions VPN


Bon nombre dorganisations comptent souvent
sur les connexions VPN pour fournir leurs
utilisateurs laccs distance scuris aux
ressources sur le rseau interne dentreprise.
Ces connexions VPN doivent bien souvent tre
configures manuellement, ce qui peut entraner
des problmes dinteroprabilit lorsque les
utilisateurs utilisent diffrents clients VPN.
En outre, les connexions VPN peuvent poser
les problmes suivants :

Les utilisateurs doivent initialiser les


connexions VPN.

Les connexions peuvent requrir plusieurs tapes pour sinitialiser, et la procdure de connexion peut
prendre plusieurs secondes voire plus.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-42 Configuration et rsolution des problmes daccs distance

Les pare-feu peuvent soulever dautres considrations. Si elles ne sont pas correctement configures
sur le pare-feu, les connexions VPN peuvent chouer, voire permettre laccs distance la totalit
du rseau dentreprise.

Le dpannage des problmes lis aux checs de connexions VPN peut souvent reprsenter une
importante partie des appels au support technique pour de nombreuses organisations.

La gestion des ordinateurs disposant de connexions VPN savre complexe. Les ordinateurs clients
distants bass sur VPN reprsentent un dfi pour les professionnels de linformatique, car ces
ordinateurs ne peuvent pas se connecter au rseau interne pendant des semaines la fois, ce qui les
empche de tlcharger des objets de stratgie de groupe (GPO, Group Policy Objects) et les mises
jour logicielles.

Extension du rseau pour atteindre les ordinateurs et les utilisateurs connects


distance

Pour aller au-del de ces restrictions sur ces connexions VPN traditionnelles, les organisations peuvent
implmenter DirectAccess pour fournir une connexion transparente entre le rseau interne et lordinateur
distant sur Internet. DirectAccess permet aux organisations de grer plus facilement des ordinateurs
distants car ils sont toujours connects.

Quest-ce que DirectAccess ?


La fonctionnalit DirectAccess dans Windows
Server 2012 active laccs distance transparent
aux ressources intranet sans tablir de connexion
VPN au pralable. La fonctionnalit DirectAccess
garantit galement une connectivit transparente
linfrastructure dapplications pour les utilisateurs
internes et les utilisateurs distants.
la diffrence des VPN traditionnels qui
ncessitent lintervention de lutilisateur pour
tablir une connexion un intranet, DirectAccess
permet toutes les applications compatibles
avec IPv6 sur lordinateur client davoir un accs
complet aux ressources intranet. DirectAccess vous permet galement de spcifier les ressources
et les applications ct client qui sont limites en ce qui concerne laccs distance.
DirectAccess profite aux organisations en permettant leur personnel informatique de grer des
ordinateurs distants comme il grerait des ordinateurs locaux. Lutilisation des mmes serveurs de
gestion et de mise jour garantit que les ordinateurs distants sont toujours mis jour et conformes aux
stratgies de contrle dintgrit systme et de scurit. Vous pouvez galement dfinir des stratgies
daccs plus dtailles pour laccs distance par rapport aux stratgies de contrle daccs dfinies
dans les solutions VPN.

DirectAccess prsente les fonctionnalits suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-43

connexion automatique lintranet dentreprise lorsque connect Internet ;

utilisation de divers protocoles, y compris HTTPS, pour tablir une connectivit IPv6. HTTPS est
gnralement autoris via les pare-feu et les serveurs proxy ;

prise en charge de laccs au serveur slectionn et authentification IPsec de bout en bout avec les
serveurs du rseau intranet ;

prise en charge de lauthentification de bout en bout et du chiffrement avec les serveurs du


rseau intranet ;

prise en charge de la gestion des ordinateurs clients distants ;

connexion directe des utilisateurs distants aux serveurs intranet.

DirectAccess prsente galement les avantages ci-dessous :

Connectivit toujours active. Lorsque lutilisateur connecte lordinateur client Internet, lordinateur
client est galement connect lintranet. Cette connectivit permet aux ordinateurs clients distants
daccder aux applications, et de les mettre jour, plus facilement. Les ressources intranet demeurent
ainsi toujours disponibles, permettant aux utilisateurs de se connecter lintranet dentreprise depuis
nimporte quel endroit, tout moment, amliorant par consquent leur productivit et leurs
performances.

Connectivit transparente. DirectAccess fournit une exprience de connectivit cohrente, que


lordinateur client soit local ou distant. Grce cela, les utilisateurs dlaissent les options et la
procdure de connectivit au profit de la productivit. Cette cohrence peut rduire les frais de
formation pour les utilisateurs, avec moins dincidents de support.

Accs bidirectionnel. Vous pouvez configurer DirectAccess de manire ce que les clients
DirectAccess aient accs aux ressources intranet et de sorte que vous puissiez galement avoir accs
ces clients DirectAccess depuis lintranet. Par consquent, DirectAccess peut tre bidirectionnel. Cela
garantit la mise jour constante des ordinateurs clients avec les dernires mises jour de scurit,
lapplication du domaine Stratgie de groupe et une exprience identique, que lutilisateur soit sur
lintranet dentreprise ou sur le rseau public. Cet accs bidirectionnel a galement les
consequences suivantes :

dlai des mises jour rduit ;

renforcement de la scurit ;

taux dchec des mises jour rduit ;

amlioration de lanalyse de la conformit.

Prise en charge de la gestion sortante. Cette nouvelle fonctionnalit de Windows Server 2012 permet
dactiver uniquement la fonctionnalit de gestion distance dans le client DirectAccess. Cette
nouvelle sous-option de lAssistant de configuration des clients DirectAccess automatise le
dploiement des stratgies qui sont utilises pour la gestion des ordinateurs clients. La prise en
charge de la gestion sortante nassure aucune option de stratgie permettant aux utilisateurs de se
connecter au rseau pour accder un fichier ou une application. Unidirectionnelle, elle fournit un
accs entrant des fins administratives uniquement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-44 Configuration et rsolution des problmes daccs distance

Scurit optimise. Contrairement aux VPN traditionnels, DirectAccess offre plusieurs niveaux de
contrle daccs aux ressources du rseau. Ce contrle avanc permet aux architectes de la scurit
de contrler de manire prcise les utilisateurs distants qui accdent aux ressources spcifies. Vous
pouvez utiliser une stratgie granulaire pour dfinir les utilisateurs pouvant utiliser DirectAccess ainsi
que lemplacement partir duquel ils peuvent y accder. Le chiffrement IPsec est utilis pour
protger le trafic DirectAccess, de telle sorte que les utilisateurs peuvent garantir la fiabilit de la
scurit de leur communication.

Solution intgre. DirectAccess sintgre pleinement aux solutions NAP et disolation de serveur et de
domaine, entranant ainsi lintgration transparente des stratgies de spcification dintgrit, daccs
et de scurit entre lintranet et les ordinateurs distants.

Composants de DirectAccess
Pour dployer et configurer DirectAccess,
votre organisation doit prendre en charge
les composants dinfrastructure suivants :

serveur DirectAccess ;

clients DirectAccess ;

Serveur demplacement rseau

ressources internes ;

domaine AD DS ;

Stratgie de groupe

PKI (en option pour le rseau interne) ;

Serveur DNS (Domain Name System)

Serveur NAP

Serveur DirectAccess

Le serveur DirectAccess peut tre nimporte quel serveur Windows Server 2012 connect un domaine ;
il accepte les connexions partir des clients DirectAccess et tablit la communication avec les ressources
intranet. Ce serveur fournit les services dauthentification pour les clients DirectAccess et agit comme
point de terminaison de mode de tunnel IPsec pour le trafic externe. Le nouveau rle du serveur daccs
distance permet ladministration centralise, la configuration et lanalyse la fois de la connectivit
DirectAccess et de la connectivit VPN.

Par rapport la prcdente implmentation dans Windows Server 2008 R2, la nouvelle installation
sous la forme dun Assistant simplifie la gestion DirectAccess pour les petites et moyennes organisations.
LAssistant simplifie la gestion en supprimant le recours au dploiement complet PKI ainsi que le
besoin de deux adresses IPv4 publiques conscutives pour la carte physique connecte Internet.
Dans Windows Server 2012, lAssistant dinstallation DirectAccess dtecte ltat rel de limplmentation
du serveur DirectAccess et slectionne automatiquement le meilleur dploiement. Cela pargne ainsi
ladministrateur la complexit dune configuration manuelle des technologies de transition IPv6.

Clients DirectAccess
Les clients DirectAccess peuvent tre tout ordinateur connect un domaine fonctionnant sous
Windows 8 Enterprise, Windows 7 Enterprise ou Windows 7 Ultimate.
Remarque : Avec la mise en service hors site, vous pouvez associer lordinateur client
Windows 8 Enterprise un domaine sans le connecter en interne.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-45

Lordinateur client DirectAccess se connecte au serveur DirectAccess laide dIPv6 et IPsec. Si un rseau
IPv6 natif nest pas disponible, le client tablit alors un tunnel IPv6/IPv4 laide des technologies de
transition 6to4 ou Teredo. Notez que lexcution de cette tape ne requiert pas que lutilisateur soit
connect lordinateur.
Si un pare-feu ou un serveur proxy empche lordinateur client utilisant 6to4 ou Teredo de se
connecter au serveur DirectAccess, lordinateur client essaie automatiquement de se connecter laide
du protocole IP-HTTPS qui utilise une connexion SSL pour garantir la connectivit. Le client a accs
aux rgles de Table de stratgie de rsolution de noms et de tunnel de scurit de connexion.

Serveur demplacement rseau

Les clients DirectAccess utilisent le serveur demplacement rseau (NLS) pour dterminer leur
emplacement. Si lordinateur client peut se connecter avec HTTPS, il suppose alors quil est sur lintranet
et il dsactive les composants DirectAccess. Sil est impossible de contacter le serveur NLS, le client
suppose quil est sur Internet. Le serveur NLS est install avec le rle serveur Web.
Remarque : LURL pour le serveur NLS est distribue laide dun objet de stratgie de groupe.

Ressources internes

Vous pouvez configurer nimporte quelle application compatible avec IPv6 qui sexcute sur les serveurs
internes ou les ordinateurs clients de manire la rendre disponible pour les clients DirectAccess.
Pour les applications et serveurs plus anciens, notamment ceux qui ne sont pas bass sur les systmes
dexploitation Windows et qui ne prennent pas en charge IPv6, Windows Server 2012 inclut dsormais
la prise en charge native dune passerelle de traduction de protocole (NAT64) et de rsolution de noms
(DNS64) pour convertir les communications IPv6 provenant dun client DirectAccess vers IPv4 pour les
serveurs internes.
Remarque : Comme dans le pass, cette fonctionnalit peut tre galement accomplie en
passant par le dploiement de Microsoft Forefront Unified Access Gateway. De mme, comme
dans les versions antrieures, ces services de traduction ne prennent pas en charge les sessions
lances par les priphriques internes, mais uniquement les demandes en provenance de
DirectAccess IPv6.

Domaine Active Directory

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-46 Configuration et rsolution des problmes daccs distance

Vous devez dployer au moins un domaine Active Directory dot, au minimum, du niveau fonctionnel du
domaine Windows Server 2003. Windows Server 2012 DirectAccess offre une prise en charge intgre de
plusieurs domaines, ce qui permet aux ordinateurs clients provenant de diffrents domaines daccder aux
ressources qui peuvent tre situes dans diffrents domaines approuvs.

Stratgie de groupe
La stratgie de groupe est ncessaire ladministration centralise et au dploiement des paramtres
DirectAccess. LAssistant Installation DirectAccess cre un ensemble dobjets de stratgie de groupe
et les paramtres des clients DirectAccess, le serveur DirectAccess ainsi que les serveurs slectionns.

PKI

Le dploiement de linfrastructure PKI est facultatif pour la configuration et la gestion simplifies.


DirectAccess sous Windows Server 2012 permet lenvoi des demandes dauthentification client vers un
service proxy Kerberos bas sur HTTPS qui sexcute sur le serveur DirectAccess. Cela limine le besoin
dtablir un second tunnel IPsec entre les clients et les contrleurs de domaine. Le proxy Kerberos envoie
alors les demandes Kerberos aux contrleurs de domaine de la part du client.
Cependant, pour une configuration DirectAccess complte qui permet lintgration de la protection
daccs rseau (NAP), lauthentification deux facteurs et le tunneling forc, vous devez encore
implmenter les certificats dauthentification pour chaque client qui participera aux communications
DirectAccess.

Serveur DNS
Lorsque le protocole ISATAP est excut, vous devez utiliser au moins Windows Server 2008 R2,
Windows Server 2008 Service Pack 2 (SP2) ou plus rcent, ou un serveur DNS non-Microsoft qui prend
en charge les changes de messages DNS sur le protocole ISATAP.

Serveurs NAP

La protection daccs rseau (NAP) est un composant facultatif de la solution DirectAccess qui permet
deffectuer un contrle de conformit et dappliquer la stratgie de scurit pour les clients DirectAccess
sur Internet. DirectAccess sous Windows Server 2012 permet de configurer une vrification dintgrit
NAP directement depuis linterface utilisateur dinstallation plutt que de modifier manuellement les
objets de stratgie de groupe ncessaires avec DirectAccess sous Windows Server 2008 R2.

Quest-ce que la Table de stratgie de rsolution de noms ?


Intgre Windows Server 2012 et Windows 8, la
Table de stratgie de rsolution de noms (NRPT)
permet de sparer le trafic Internet du trafic
intranet dans DirectAccess. Cette fonctionnalit
permet aux serveurs DNS dtre dfinis pour un
espace de noms DNS plutt que pour une
interface.
La table NRPT stocke une liste de rgles. Chaque
rgle dfinit un espace de noms DNS et des
paramtres de configuration qui dcrivent le
comportement du client DNS pour cet espace
de noms.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-47

Lorsquun client DirectAccess est connect Internet, chaque demande de requte de nom est compare
aux rgles despace de noms figurant dans la table NRPT.

Si une correspondance est trouve, la demande est traite selon les paramtres de la rgle NRPT.

Si une demande de requte de nom ne correspond pas un espace de noms rpertori dans
la table NRPT, la demande est envoye aux serveurs DNS configurs dans les paramtres TCP/IP
pour linterface rseau spcifie.

Les paramtres DNS sont configurs selon lemplacement client :

Pour un ordinateur client distant, les serveurs DNS sont gnralement les serveurs DNS Internet
configurs via le fournisseur de services Internet (ISP, Internet Service Provider).

Pour un client DirectAccess sur lintranet, les serveurs DNS sont gnralement les serveurs DNS
intranet configurs via le protocole DHCP.

Les noms en une partie, par exemple, http://internal, ont, en gnral, des suffixes de recherche DNS
configurs ajouts au nom avant quils ne soient contrls par rapport la table NRPT.

Si aucun suffixe de recherche DNS nest configur et que le nom en une partie ne correspond aucune
autre entre de nom en une partie dans la table NRPT, la demande est envoye aux serveurs DNS
spcifis dans les paramtres TCP/IP du client.

Les espaces de noms, par exemple, internal.adatum.com, sont saisis dans la table NRPT, suivis des serveurs
DNS vers lesquels les demandes correspondant cet espace de noms doivent tre diriges. Si une adresse
IP est saisie pour le serveur DNS, toutes les demandes DNS sont envoyes directement au serveur DNS
sur la connexion DirectAccess. De telles configurations ne requirent pas de scurit supplmentaire.
Cependant, si un nom est spcifi pour le serveur DNS (par exemple, dns.adatum.com) dans la table
NRPT, ce nom doit pouvoir tre publiquement rsolu lorsque le client interroge les serveurs DNS spcifis
dans ses paramtres TCP/IP.
La table NRPT permet aux clients DirectAccess dutiliser les serveurs DNS intranet pour la rsolution de
noms des ressources internes et les serveurs DNS Internet pour la rsolution de noms dautres ressources.
Les serveurs DNS ddis ne sont pas indispensables la rsolution de nom. DirectAccess est conu pour
empcher lexposition de votre espace de noms intranet Internet.

Il convient de traiter diffremment certains noms en ce qui concerne la rsolution de nom ; ces noms ne
doivent pas tre traduits laide des serveurs DNS intranet. Pour garantir la traduction de ces noms avec
les serveurs DNS spcifis dans les paramtres TCP/IP du client, vous devez les ajouter aux exemptions de
la table NRPT.
La table NRPT est contrle par la stratgie de groupe. Quand lordinateur est configur pour utiliser la
table NRPT, le mcanisme de rsolution de noms utilise, dans lordre :

le cache de noms local ;

le fichier dhtes ;

la table NRPT.

Puis, le mcanisme de rsolution de noms envoie la demande aux serveurs DNS spcifis dans les
paramtres TCP/IP.

Fonctionnement de DirectAccess pour les clients internes


Un serveur NLS est un serveur de rseau interne
qui hberge une URL accessible via HTTPS. Les
clients DirectAccess essayent daccder lURL
du serveur NLS pour dterminer sils sont situs
sur lintranet ou sur un rseau public. Le serveur
DirectAccess peut galement tre le serveur NLS.
Dans quelques organisations dans lesquelles
DirectAccess est un service vital pour lentreprise,
le serveur NLS doit tre maintenu un haut
niveau de disponibilit. En gnral, le serveur Web
sur le serveur NLS ne doit pas tre ddi
uniquement la prise en charge des clients
DirectAccess.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-48 Configuration et rsolution des problmes daccs distance

Il est vital que le serveur NLS soit disponible depuis chaque site de lentreprise, car le comportement
du client DirectAccess dpend de la rponse du serveur NLS. Les emplacements des succursales peuvent
requrir un serveur NLS distinct sur chaque site pour garantir que le serveur NLS reste accessible mme
en cas de dfaillance de liaison entre les succursales.

Fonctionnement de DirectAccess pour les clients internes


La procdure de connexion DirectAccess se produit automatiquement, sans intervention de lutilisateur.
Les clients DirectAccess utilisent la procdure suivante pour se connecter aux ressources de lintranet :
1.

Le client DirectAccess tente de rsoudre le nom de domaine complet (FQDN) dune URL du serveur
NLS. Puisque le nom de domaine complet (FQDN) de lURL du serveur NLS correspond une rgle
dexemption dans la table NRPT, le client DirectAccess envoie la place la requte DNS un serveur
DNS configur localement (un serveur DNS bas sur lintranet). Le serveur DNS bas sur lintranet
rsout le nom.

2.

Le client DirectAccess accde lURL accessible via HTTPS du serveur NLS, procdure au cours de
laquelle il obtient le certificat du serveur NLS.

3.

Selon le champ Points de distribution de la liste de rvocation des certificats du certificat du serveur
NLS, le client DirectAccess vrifie les fichiers de rvocation de la liste de rvocation de certificats dans
le point de distribution CRL pour dterminer si le certificat du serveur NL a t rvoqu.

4.

Lorsque le code de rponse HTTP est 200, le client DirectAccess dtermine le succs de lURL du
serveur NLS (accs, authentification de certificat et test de vrification de rvocation russis). Le client
DirectAccess bascule vers le profil du pare-feu du domaine et ignore les stratgies DirectAccess ;
il suppose quil se situe sur le rseau interne jusqu la prochaine modification rseau.

5.

Lordinateur client DirectAccess tente de localiser et de se connecter au domaine AD DS laide


de son compte dordinateur.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-49

Puisque le client ne rfrence plus aucune rgle DirectAccess dans la table NRPT pendant le reste
de la session connecte, toutes les demandes DNS sont envoyes via les serveurs DNS configurs
sur linterface (serveurs DNS bass sur lintranet). Avec lassociation de la dtection demplacement
rseau et la connexion au domaine dordinateurs, le client DirectAccess se configure pour un accs
normal lintranet.
6.

Selon la russite de la connexion de lordinateur au domaine, le client DirectAccess attribue le profil


de domaine (rseau de pare-feu) au rseau associ.

Normalement, les rgles du tunnel de scurit de connexion DirectAccess stendent aux profils de parefeu privs et publics ; elles sont dsactives partir de la liste des rgles actives de scurit de connexion.
Le client DirectAccess a dtermin avec succs quil est connect son intranet, et nutilise pas de
paramtres DirectAccess (rgles de la table NRPT ou rgles de tunnel de scurit de connexion). Le client
DirectAccess peut prsent accder normalement des ressources intranet. Il peut galement accder
des ressources Internet par des moyens normaux, tels quun serveur proxy.

Fonctionnement de DirectAccess pour les clients externes


Lorsquun client DirectAccess dmarre, il tente
daccder ladresse URL spcifie pour le
serveur NLS et suppose quil nest pas connect
lintranet car il ne parvient pas communiquer
avec le serveur NLS. Il commence alors utiliser
la table NRPT et les rgles de scurit de
connexion. La table NRPT a des rgles bases sur
DirectAccess en ce qui concerne la rsolution
de noms, et les rgles de scurit de connexion
dfinissent les tunnels IPsec DirectAccess pour la
communication avec les ressources intranet. Les
clients DirectAccess connects Internet utilisent
les tapes gnrales suivantes pour se connecter aux ressources intranet.

Tout dabord, le client DirectAccess tente daccder au serveur NLS.

Puis, le client tente de trouver un contrleur de domaine.

Enfin, le client tente daccder aux ressources intranet, puis aux ressources Internet.

Le client DirectAccess tente daccder au serveur demplacement rseau (NLS)


Le client DirectAccess essaie daccder au serveur NLS comme suit :
1.

Le client essaie de rsoudre le nom de domaine complet de lURL du serveur NLS. Puisque le nom
de domaine complet de lURL du serveur NLS correspond une rgle dexemption de la table NRPT,
le client DirectAccess nenvoie pas de demande DNS un serveur DNS configur au niveau local
(serveur DNS bas sur Internet). Un serveur DNS externe bas sur Internet ne parviendrait pas
rsoudre le nom.

2.

Le client DirectAccess traite la demande de rsolution de noms comme dfini dans les rgles
dexemption de DirectAccess dans la table NRPT.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-50 Configuration et rsolution des problmes daccs distance

3.

Puisque le serveur NLS est introuvable sur le mme rseau sur lequel le client DirectAccess se trouve
actuellement, le client DirectAccess applique au rseau associ un profil rseau de pare-feu priv ou
public.

4.

Les rgles de tunnel de scurit de connexion pour DirectAccess, tendues aux profils privs et
publics, fournissent le profil rseau de pare-feu priv ou public.

Le client DirectAccess utilise la fois les rgles NRPT et les rgles de scurit de connexion pour trouver
les ressources intranet et y accder travers Internet via le serveur DirectAccess.

Le client DirectAccess tente de trouver un contrleur de domaine

Aprs la dtermination de son emplacement rseau, le client DirectAccess tente de trouver un contrleur
de domaine et de sy connecter. Cette procdure gnre un tunnel IPsec ou un tunnel dinfrastructure
laide du mode de tunnel IPsec et du mode ESP vers le serveur DirectAccess. Le processus se droule
comme suit :
1.

Le nom DNS pour le contrleur de domaine correspond la rgle despace de noms intranet dans
la table NRPT, qui spcifie ladresse IPv6 du serveur DNS intranet. Le service client DNS tablit la
demande de nom DNS adresse ladresse IPv6 du serveur DNS intranet et la fait suivre la pile
TCP/IP du client DirectAccess pour envoi.

2.

Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine si des
rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet existent.

3.

Puisque ladresse IPv6 de destination dans la demande de nom DNS correspond une rgle de
scurit de connexion qui correspond elle-mme au tunnel de linfrastructure, le client DirectAccess
utilise les protocoles AuthIP (Authenticated IP) et IPsec pour ngocier et authentifier un tunnel IPsec
chiffr vers le serveur DirectAccess. Le client DirectAccess ( la fois lordinateur et lutilisateur)
sauthentifie respectivement avec son certificat dordinateur install et ses informations
didentification Microsoft Windows NT LAN Manager (NTLM).

Remarque : AuthIP amliore lauthentification dans IPsec en ajoutant la prise en charge de


lauthentification base sur lutilisateur avec Kerberos v5 ou les certificats SSL. AuthIP prend
galement en charge la ngociation efficace de protocole et lutilisation de plusieurs jeux
dinformations didentification pour authentification.
4.

Le client DirectAccess envoie la demande de nom DNS via le tunnel IPsec dinfrastructure vers le
serveur DirectAccess.

5.

Le serveur DirectAccess transmet la demande de nom DNS au serveur DNS intranet. La rponse la
demande de nom DNS est renvoye au serveur DirectAccess, puis vers le client DirectAccess via le
tunnel IPsec dinfrastructure.

Le trafic de connexions au domaine ultrieur passe par le tunnel IPsec dinfrastructure. Lorsque lutilisateur
sur le client DirectAccess se connecte, le trafic de connexions du domaine se passe via le tunnel IPsec
dinfrastructure.

Le client DirectAccess tente daccder aux ressources intranet

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-51

La premire fois que le client DirectAccess envoie le trafic un emplacement intranet qui ne figure pas
sur la liste de destinations pour le tunnel dinfrastructure (tel quun site Web interne), le processus suivant
se produit :
1.

Lapplication ou le processus qui tente dtablir une communication labore un message ou une
charge utile, puis le/la transfre vers la pile TCP/IP pour envoi.

2.

Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine si des
rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet existent.

3.

Puisque ladresse IPv6 de destination correspond la rgle de scurit de connexion qui correspond
au tunnel intranet (qui spcifie lespace dadressage IPv6 de lintranet tout entier), le client
DirectAccess utilise AuthIP et IPsec pour ngocier et authentifier un tunnel IPsec supplmentaire vers
le serveur DirectAccess. Le client DirectAccess sauthentifie avec son certificat dordinateur install et
les informations didentification Kerberos de son compte dutilisateur.

4.

Le client DirectAccess envoie le paquet via le tunnel intranet vers le serveur DirectAccess.

5.

Le serveur DirectAccess transmet le paquet vers les ressources intranet. La rponse est renvoye au
serveur DirectAccess, puis vers le client DirectAccess via le tunnel intranet.

Tout trafic daccs intranet ultrieur qui ne correspond pas une destination intranet dans la rgle de
scurit de connexion du tunnel dinfrastructure passe via le tunnel intranet.

Le client DirectAccess tente daccder aux ressources Internet


Quand lutilisateur ou un processus sur le client DirectAccess tente daccder une ressource Internet
(telle quun serveur Web), le processus suivant se produit :
1.

Le service client DNS transmet le nom DNS pour la ressource Internet via la table NRPT. Il nexiste
aucune correspondance. Le service client DNS tablit la demande de nom DNS adresse ladresse IP
dun serveur DNS Internet configur sur linterface et la fait suivre la pile TCP/IP pour envoi.

2.

Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine si des
rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet existent.

3.

Parce que ladresse IP de destination dans la demande de nom DNS ne correspond pas aux rgles de
scurit de connexion pour les tunnels vers le serveur DirectAccess, le client DirectAccess envoie
normalement la demande de nom DNS.

4.

Le serveur DNS Internet rpond avec ladresse IP de la ressource Internet.

5.

Lapplication de lutilisateur ou le processus tablit le premier paquet envoyer vers la ressource


Internet. Avant de procder lenvoi du paquet, la pile TCP/IP effectue une vrification et dtermine
si des rgles sortantes du Pare-feu Windows ou des rgles de scurit de connexion pour le paquet
existent.

6.

Parce que ladresse IP de destination dans la demande de nom DNS ne correspond pas aux rgles de
scurit de connexion pour les tunnels vers le serveur DirectAccess, le client DirectAccess envoie
normalement le paquet.

Tout trafic daccs Internet ultrieur, qui ne correspond pas une destination dans les rgles soit du
tunnel Internet dinfrastructure, soit de scurit de connexion, transite normalement.
La procdure daccs au contrleur de domaine et aux ressources intranet est trs similaire la
procdure de connexion, parce que les deux utilisent les tables NRPT pour trouver le serveur DNS
appropri afin de rsoudre les demandes de nom. La diffrence rside dans le fait que le tunnel IPsec
est tabli entre le client et le serveur DirectAccess. En accdant au contrleur de domaine, toutes les
demandes DNS sont envoyes par le tunnel IPsec dinfrastructure, et lors de laccs aux ressources
intranet, un deuxime tunnel IPsec (intranet) est tabli.

Conditions prrequises pour limplmentation de DirectAccess


Conditions requises pour
le serveur DirectAccess
Pour dployer DirectAccess, vous devez vous
assurer que le serveur rpond aux conditions
requises pour le matriel et le rseau suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-52 Configuration et rsolution des problmes daccs distance

Le serveur doit tre joint un


domaine AD DS.

Le serveur doit tre dot du systme


dexploitation Windows Server 2012 ou
Windows Server 2008 R2.

Une seule carte rseau peut tre installe sur le systme dexploitation Windows Server 2012 install
en tant que serveur DirectAccess. Elle doit tre connecte lintranet et publie sur Microsoft
Forefront Threat Management Gateway (TMG) 2010 ou Microsoft Forefront Unified Access Gateway
(UAG) 2010 pour connexion Internet. Dans le scnario de dploiement selon lequel DirectAccess est
install sur un serveur Edge, deux cartes rseau doivent tre disponibles : lune tant connecte au
rseau interne et lautre, au rseau externe. Un serveur Edge correspond nimporte quel serveur
qui rside la priphrie entre deux, voire plusieurs, rseaux ; en gnral, il sagit dun rseau priv
et dInternet.

Limplmentation de DirectAccess dans Windows Server 2012 ne requiert pas que deux adresses IPv4
publiques, statiques conscutives soient attribues la carte rseau.

Vous pouvez contourner le besoin dune adresse publique supplmentaire en dployant


Windows Server 2012 DirectAccess derrire un priphrique NAT, avec prise en charge pour une,
voire plusieurs, interface(s). Dans cette configuration, seul le protocole IP-HTTPS (IP sur HTTPS) est
dploy ; il permet ltablissement dun tunnel IP scuris laide dune connexion HTTP scurise.

Sur le serveur DirectAccess, vous pouvez installer le rle daccs distance pour configurer les
paramtres DirectAccess pour le serveur et les clients DirectAccess et surveiller ltat du serveur
DirectAccess. LAssistant Accs distance fournit la possibilit de configurer des scnarios
DirectAccess uniquement, VPN uniquement, ou les deux la fois sur le mme serveur excutant
Windows Server 2012. Cela ntait pas possible dans le dploiement Windows Server 2008 R2
de DirectAccess.

Pour la prise en charge de lquilibrage de charge, Windows Server 2012 peut utiliser lquilibrage de
la charge rseau (jusqu 8 nuds) pour obtenir une haute disponibilit et lvolutivit la fois pour
DirectAccess et RAS.

Conditions requises pour le client DirectAccess


Pour dployer DirectAccess, vous devez galement vous assurer que lordinateur client rpond
certaines exigences :

Lordinateur client doit tre joint un domaine Active Directory.

Le nouveau scnario 2012 de DirectAccess permet de fournir hors connexion lappartenance


au domaine aux ordinateurs client Windows 8 sans que ceux-ci se trouvent sur le site.

Lordinateur client peut tre charg avec Windows 8 Enterprise, Windows 7 Enterprise,
Windows 7 Ultimate, Windows Server 2012 ou Windows Server 2008 R2. Il est impossible
de dployer DirectAccess sur des clients excutant Windows Vista, Windows Server 2008
ou dautres versions antrieures des systmes dexploitation Windows.

lments prrequis pour linfrastructure


Vous trouverez ci-aprs les conditions requises dinfrastructure pour dployer DirectAccess :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-53

AD DS. Vous devez dployer au moins un domaine Active Directory. Les groupes de travail ne sont
pas pris en charge.

Stratgie de groupe. La stratgie de groupe est ncessaire ladministration centralise et au


dploiement des paramtres du client DirectAccess. LAssistant Installation DirectAccess cre un
ensemble dobjets de stratgie de groupe et les paramtres des clients DirectAccess, des serveurs
DirectAccess ainsi que des serveurs de gestion.

DNS et contrleur de domaine. Vous devez avoir au moins un contrleur de domaine et un serveur
DNS excutant Windows Server 2012, Windows Server 2008 SP2 ou Windows Server 2008 R2.

PKI. Si vous disposez uniquement dordinateurs client Windows 8, vous navez pas besoin de PKI.
Les ordinateurs client Windows 7 requirent une installation plus complexe et donc une PKI.

Stratgies IPSec. DirectAccess utilise les stratgies IPsec configures et administres dans le cadre
du pare-feu Windows avec fonctions avances de scurit.

Trafic de requtes dcho ICMPv6. Vous devez crer des rgles de trafic entrant et de trafic sortant
distinctes qui autorisent les messages de requtes dcho ICMPv6. La rgle de trafic entrant est
requise pour permettre les messages de requtes dcho ICMPv6, et doit tre tendue tous les
profils. La rgle de trafic sortant pour autoriser les messages de requtes dcho ICMPv6 doit
tre tendue tous les profils, et est requise uniquement si le bloc sortant est activ. Les clients
DirectAccess qui utilisent Teredo pour la connectivit IPv6 lintranet utilisent le message ICMPv6
pour tablir la communication.

Technologies de transition IPv6. Les technologies de transition IPv6 doivent tre disponibles
sur le serveur DirectAccess. Pour chaque serveur DNS excutant Windows Server 2008
ou Windows Server 2008 R2, vous devez supprimer le nom ISATAP de la liste rouge de
requtes globale.

Configuration de DirectAccess
Pour configurer DirectAccess, procdez
comme suit :
1.

2.

Configurez les configurations requises


dAD DS et de DNS :
o

Crez un groupe de scurit dans


AD DS, et ajoutez tous les comptes
dordinateur client qui accderont
lintranet par DirectAccess.

Configurez les serveurs DNS la fois


internes et externes avec les noms
dhtes et les adresses IP appropris.

Configurez lenvironnement PKI :


o

3.

Ajoutez et configurez le rle serveur Autorit de certification, crez le modle de certificat et le


point de distribution de la liste de rvocation de certificats, publiez la liste CRL et distribuez les
certificats dordinateur. Cette opration nest pas requise si linstallation est lance partir de
lAssistant Mise en route.

Configurez le serveur DirectAccess.


o

Installez Windows Server 2012 sur un ordinateur serveur dot dune ou deux cartes rseau
physiques (selon le scnario de conception DirectAccess).

Associez le serveur DirectAccess un domaine Active Directory.

Installez le rle daccs distance et configurez le serveur DirectAccess de manire ce quil


prsente lune des configurations suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-54 Configuration et rsolution des problmes daccs distance

Le serveur DirectAccess est sur le rseau de primtre avec une carte rseau connecte au
rseau de primtre, et au moins une autre carte rseau connecte lintranet. Dans ce
scnario de dploiement, le serveur DirectAccess est plac entre un pare-feu frontal et le
pare-feu principal.

Le serveur DirectAccess est publi laide de TMG, dUAG, ou dautres pare-feux tiers. Dans
ce scnario de dploiement, DirectAccess est plac derrire un pare-feu frontal et il dispose
dune carte rseau connecte au rseau interne.

Le serveur DirectAccess est install sur un serveur Edge (en gnral, un pare-feu frontal),
avec une carte rseau connecte Internet, et au moins une autre carte rseau connecte
lintranet.

Une autre possibilit consiste en ce que le serveur DirectAccess dispose dune interface rseau
uniquement, et non de deux. Pour cette approche, procdez comme suit :

4.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

7-55

Vrifiez que les ports et les protocoles ncessaires pour DirectAccess et la requte dcho ICMP
sont autoriss dans les exceptions du pare-feu et ouverts sur les pare-feux Internet et de
primtre.

Dans le cadre dune implmentation simplifie, le serveur DirectAccess peut utiliser une adresse IP
publique unique en association avec les services proxy Kerberos pour authentifier le client au
niveau des contrleurs de domaine. Dans le cadre de lauthentification deux facteurs et de
lintgration de protection daccs rseau (NAP), vous devez configurer au moins deux adresses
IPv4 publiques, statiques conscutives pouvant tre rsolues en externe via le serveur DNS.
Assurez-vous que vous avez une adresse IPv4 disponible et que vous pouvez la publier dans votre
serveur DNS externe.

Si vous avez dsactiv IPv6 sur les clients et les serveurs, vous devez le ractiver car il est
indispensable pour DirectAccess.

Installez un serveur Web sur le serveur DirectAccess pour permettre aux clients DirectAccess de
dterminer sils se trouvent sur ou en dehors de lintranet. Vous pouvez installer ce serveur Web
sur un serveur interne distinct pour dterminer lemplacement rseau.

Selon le scnario de dploiement, vous devez indiquer une des cartes rseau de serveur comme
linterface Internet (dans un dploiement avec deux cartes rseau), ou publier le serveur
DirectAccess dploy derrire un priphrique NAT pour laccs Internet.

Sur le serveur DirectAccess, assurez-vous que linterface Internet est configure pour tre une
interface publique ou prive, selon la conception de votre rseau. Configurez les interfaces
dintranet comme interfaces de domaine. Si vous disposez de plus de deux interfaces, vrifiez
que seuls deux types de classification sont slectionns au maximum.

Configurez les clients DirectAccess et testez laccs lintranet et Internet.


o

Vrifiez que la stratgie de groupe DirectAccess a t applique et que des certificats ont t
distribus aux ordinateurs clients :

Testez si vous pouvez vous connecter au serveur DirectAccess depuis lintranet.

Testez si vous pouvez vous connecter au serveur DirectAccess partir dInternet.

Atelier pratique B : Configuration de DirectAccess


Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

7-56 Configuration et rsolution des problmes daccs distance

Puisque A. Datum Corporation sest dveloppe, plusieurs employs sont maintenant frquemment hors
du bureau, travaillant depuis leur domicile ou en voyageant. A. Datum souhaite implmenter une solution
daccs distance pour ses employs afin quils puissent se connecter au rseau dentreprise tout en tant
en dehors du bureau. Bien que la solution VPN implmente fournisse un haut niveau de scurit, la
gestion dentreprise est proccupe par la complexit de lenvironnement pour les utilisateurs finaux. En
outre, les responsables informatiques sont galement proccups par le fait de ne pas tre en mesure de
grer efficacement les clients distants. Pour aborder ces problmes, A. Datum a dcid dimplmenter
DirectAccess en fonction des ordinateurs clients excutant Windows 8.
En tant quadministrateur rseau senior, vous devez dployer et valider le dploiement DirectAccess. Vous
configurerez lenvironnement DirectAccess et validerez que les ordinateurs clients peuvent se connecter
au rseau interne en fonctionnant distance.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

configurer linfrastructure de serveur pour dployer DirectAccess ;

configurer les clients DirectAccess ;

valider limplmentation DirectAccess.

Configuration de latelier pratique


Dure approximative : 90 minutes

Ordinateurs virtuels

22411B-LON-DC1
22411B-LON-SVR1
22411B-LON-RTR
22411B-LON-CL1

Nom dutilisateur

Administrateur

Mot de passe

Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


8-1

Module 8
Installation, configuration et rsolution des problmes
du rle de serveur NPS
Table des matires :
Vue d'ensemble du module

8-1

Leon 1 : Installation et configuration d'un serveur NPS

8-2

Leon 2 : Configuration de clients et de serveurs RADIUS

8-7

Leon 3 : Mthodes d'authentification NPS

8-14

Leon 4 : Analyse et rsolution des problmes d'un serveur NPS

8-24

Atelier pratique : Installation et configuration d'un serveur NPS

8-30

Contrle des acquis et lments retenir

8-34

Vue densemble du module

Le rle de serveur NPS (Network Policy Server) dans Windows Server 2012 fournit la prise en charge
du protocole RADIUS (Remote Authentication Dial-In User Service), et peut tre configur comme
une serveur RADIUS ou proxy. En outre, NPS fournit une fonctionnalit qui est essentielle pour
limplmentation de la protection daccs rseau (NAP). Pour prendre en charge des clients distants et
implmenter la protection daccs rseau (NAP), il est important que vous sachiez installer, configurer
et rsoudre NPS.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

installer et configurer le systme NPS ;

configurer des clients et des serveurs RADIUS ;

expliquer les mthodes dauthentification NPS ;

analyser le service NPS et rsoudre les problmes ventuels.

Installation, configuration et rsolution des problmes du rle de serveur NPS

Leon 1

Installation et configuration dun serveur NPS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-2

NPS est implment en tant que rle serveur dans Windows Server 2012. Quand vous installez le rle NPS,
vous devez dcider dutiliser NPS en tant que serveur RADIUS, proxy RADIUS ou serveur de stratgie NAP.
Aprs linstallation, vous pouvez configurer le rle NPS laide de divers outils. Vous devez comprendre
comment installer et configurer le rle NPS afin de prendre en charge votre infrastructure RADIUS.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire le service de rle NPS ;

expliquer comment installer NPS ;

dcrire les outils utiliss pour configurer un NPS ;

expliquer comment configurer les paramtres NPS gnraux.

Quest-ce quun serveur NPS ?


Le serveur NPS vous permet de crer et de mettre
en uvre des stratgies daccs rseau lchelle
dune entreprise pour assurer lintgrit des
clients, lauthentification des demandes de
connexion et lautorisation des demandes de
connexion. Vous pouvez galement utiliser le
serveur NPS en tant que proxy RADIUS pour
transmettre les demandes de connexion au
serveur NPS ou dautres serveurs RADIUS que
vous configurez dans des groupes de serveurs
RADIUS distants.
Vous pouvez utiliser NPS pour configurer et grer
de manire centralise lauthentification daccs rseau, lautorisation et les stratgies de contrle
dintgrit des clients en combinant une ou plusieurs des fonctionnalits suivantes :

serveur RADIUS ;

proxy RADIUS ;

serveur de stratgie NAP.

Serveur RADIUS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-3

NPS ralise, de manire centralise, des oprations dauthentification, dautorisation et de gestion des
comptes pour les connexions daccs distance et VPN, ainsi que pour les connexions sans fil et reposant
sur des commutateurs dauthentification. Lorsque vous utilisez le service NPS en tant que serveur RADIUS,
vous devez configurer des serveurs daccs rseau (tels que des points daccs sans fil et des serveurs VPN)
en tant que clients RADIUS dans le service NPS. Vous devez configurer galement des stratgies rseau
dont le serveur NPS se sert pour autoriser les demandes de connexion, et vous pouvez configurer la
gestion de comptes RADIUS de telle sorte que le serveur NPS enregistre les informations de comptes dans
des fichiers journaux sur le disque dur local ou dans une base de donnes Microsoft SQL Server.
Le serveur NPS est limplmentation Microsoft dun serveur RADIUS. Il permet lutilisation dun jeu
htrogne de priphriques sans fil, commutateur, daccs distance ou VPN. Vous pouvez utiliser NPS
avec le service de routage et daccs distance, qui est disponible dans Windows 2000 et des versions
plus rcentes de Windows Server.
Quand un serveur NPS est membre dun domaine des services de domaine Active Directory (AD DS),
NPS utilise AD DS comme base de donnes de comptes dutilisateurs et fournit lauthentification unique
(SSO), ce qui signifie que les utilisateurs utilisent le mme ensemble dinformations didentification pour le
contrle daccs rseau (authentification et autorisation de laccs un rseau) comme ils le font pour
accder des ressources dans le domaine AD DS.
Les organisations en charge de laccs rseau (les fournisseurs de services Internet, par exemple)
sont confrontes un dfi croissant, savoir les diffrents types daccs rseau partir dun point
dadministration unique, indpendamment des types de priphriques daccs rseau utiliss. La norme
RADIUS prend en charge ce besoin. Le service RADIUS est un protocole client-serveur qui permet aux
priphriques daccs rseau (utiliss en tant que clients RADIUS) de soumettre des demandes
dauthentification et de comptes un serveur RADIUS.

Un serveur RADIUS a accs aux informations du compte dutilisateur et peut vrifier les informations
dauthentification daccs rseau. Si les informations didentification de lutilisateur sont authentifies et
que le serveur RADIUS autorise la tentative de connexion, le serveur RADIUS autorise laccs de
lutilisateur en fonction de conditions spcifies et enregistre la connexion daccs rseau dans un journal
de gestion. Le service RADIUS vous permet de collecter et de conserver dans un emplacement central,
plutt que sur chaque serveur daccs, les donnes dauthentification, dautorisation et de comptes des
utilisateurs relatives laccs rseau.

Proxy RADIUS

Lorsque vous utilisez le serveur NPS en tant que proxy RADIUS, vous configurez des stratgies de
demande de connexion qui spcifient, dune part, les demandes de connexion transmises par le
serveur NPS dautres serveurs RADIUS et, dautre part, les serveurs RADIUS auxquels vous souhaitez
transmettre les demandes de connexion. Vous pouvez galement configurer le serveur NPS de manire
ce quil transmette les donnes de comptes un ou plusieurs ordinateurs dans un groupe de serveurs
RADIUS distants des fins de journalisation.
Avec le serveur NPS, votre organisation peut galement sous-traiter linfrastructure daccs distance
un fournisseur de services tout en maintenant le contrle de lauthentification, de lautorisation et de
la gestion de comptes des utilisateurs.

Installation, configuration et rsolution des problmes du rle de serveur NPS

Vous pouvez crer des configurations NPS diffrentes pour les solutions suivantes :

Accs sans fil

accs distance ou VPN dentreprise ;

Accs distance ou sans fil sous-trait

accs Internet ;

accs authentifi des ressources extranet pour les partenaires professionnels.

Serveur de stratgie NAP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-4

Lorsque vous configurez le serveur NPS en tant que serveur de stratgie NAP, le serveur NPS value les
dclarations dintgrit envoyes par les ordinateurs clients compatibles avec la protection daccs rseau
(NAP) qui tentent de se connecter au rseau. Le serveur NPS agit galement en tant que serveur RADIUS
lorsquil est configur avec la protection NAP, en assurant lauthentification et lautorisation des
demandes de connexion. Vous pouvez configurer des stratgies NAP et des paramtres dans le
serveur NPS, y compris les programmes de validation dintgrit systme, la stratgie de contrle
dintgrit et les groupes de serveurs de mise jour qui permettent aux ordinateurs clients de mettre
jour leur configuration afin de se conformer la stratgie rseau de votre organisation.
Windows 8 et Windows Server 2012 intgrent NAP, qui contribue protger laccs aux rseaux
privs en vrifiant que les ordinateurs clients sont configurs conformment aux stratgies de
contrle dintgrit rseau de lorganisation avant quils ne puissent se connecter aux ressources rseau.
En outre, la protection daccs rseau contrle la conformit des ordinateurs clients la stratgie de
contrle dintgrit dfinie par ladministrateur lorsque lordinateur est connect au rseau. La mise
jour automatique NAP permet de garantir que les ordinateurs non conformes soient mis jour
automatiquement, ce qui assure leur mise en conformit la stratgie de contrle dintgrit afin quils
puissent se connecter au rseau.
Les administrateurs systme dfinissent des stratgies de contrle dintgrit rseau, puis crent
ces stratgies laide de composants NAP fournis soit par le serveur NPS, en fonction de votre
dploiement NAP, soit par des socits tierces.
Les stratgies de contrle dintgrit peuvent inclure les logiciels requis, les mises jour de scurit
requises et les paramtres de configuration requis. La protection daccs rseau met en uvre des
stratgies de contrle dintgrit en inspectant et en valuant lintgrit des ordinateurs clients, en
limitant laccs rseau lorsque des ordinateurs clients sont jugs dfectueux et en mettant jour les
ordinateurs clients dfectueux pour obtenir un accs rseau complet.

Dmonstration : Installation du rle Serveur NPS (Network Policy Server)


Cette dmonstration montre comment :

installer le rle NPS ;

inscrire NPS dans AD DS.

Procdure de dmonstration
Installer le rle NPS
1.

Basculez vers LON-DC1.

2.

Ouvrez le Gestionnaire de serveur, puis ajoutez le rle de Stratgie rseau et services daccs.

3.

Fermez le Gestionnaire de serveur.

Inscrire NPS dans AD DS


1.

Ouvrez la console Serveur NPS.

2.

Enregistrez le serveur dans AD DS.

3.

Laissez la fentre Serveur NPS (Network Policy Server) ouverte.

Outils de configuration dun serveur NPS


Aprs avoir install le rle Serveur NPS, vous
pouvez ouvrir loutil dadministration NPS dans
le menu Outils dadministration, ou ajouter le
composant logiciel enfichable pour crer un
outil MMC (Microsoft Management Console)
personnalis. Vous pouvez galement utiliser
des commandes netsh pour grer et configurer
le rle Serveur NPS.
Les outils suivants vous permettent de grer
le rle serveur Services de stratgie et
daccs rseau :

Composant logiciel enfichable MMC NP.


Utilisez le composant logiciel enfichable MMC NPS pour configurer un serveur RADIUS, un proxy
RADIUS ou une technologie NAP.

Commandes netsh pour NPS. Les commandes netsh pour NPS fournissent un jeu de commandes
qui est compltement quivalent tous les paramtres de configuration disponibles travers
le composant logiciel enfichable MMC NPS. Vous pouvez excuter des commandes netsh
manuellement linvite netsh ou dans des scripts dadministrateur.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-5

Par exemple, aprs avoir install et configur le serveur NPS, vous pouvez enregistrer la configuration
laide de la commande netsh suivante : netsh nps show config > path\file.txt. Vous devez alors
sauvegarder la configuration NPS avec cette commande chaque fois que vous faites une modification.

Windows PowerShell. Vous pouvez galement utiliser les applets de commande Windows
PowerShell pour configurer et grer un serveur NPS.
Par exemple, pour exporter la configuration NPS, vous pouvez utiliser lapplet de commande
Export-NpsConfiguration -Path <filename>.

Dmonstration : Configuration des paramtres NPS gnraux


Cette dmonstration montre comment :

configurer un serveur RADIUS pour des connexions VPN ;

enregistrer la configuration.

Installation, configuration et rsolution des problmes du rle de serveur NPS

Procdure de dmonstration
Configurer un serveur RADIUS pour des connexions VPN

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-6

1.

Dans la console Serveur NPS, lancez la configuration VPN ou lAssistant Accs distance.

2.

Ajoutez LON-RTR en tant que client RADIUS.

3.

Utilisez un secret partag Pa$$word pour lauthentification entre le client RADIUS et le serveur NPS.

4.

Slectionnez Authentification chiffre Microsoft version 2 (MS-CHAPv2) pour lauthentification.

Enregistrer la configuration
1.

Ouvrez Windows PowerShell.

2.

Utilisez la commande Export-NpsConfiguration -Path lon-dc1.xml pour enregistrer la


configuration.

3.

Examinez cette configuration avec le Bloc-notes.

Leon 2

Configuration de clients et de serveurs RADIUS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-7

RADIUS est un protocole dauthentification standard que beaucoup de fournisseurs utilisent pour prendre
en charge lchange dinformations dauthentification entre les lments dune solution daccs distant.
Pour centraliser les besoins dauthentification distants de votre organisation, vous pouvez configurer NPS
comme serveur RADIUS ou proxy RADIUS. Lorsque vous configurez des clients et des serveurs RADIUS,
vous devez considrer plusieurs facteurs, notamment les serveurs RADIUS qui authentifieront les
demandes de connexion des clients RADIUS et des ports que le trafic de RADIUS utilisera.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire un client RADIUS ;

dcrire un proxy RADIUS ;

expliquer comment configurer un client RADIUS ;

dcrire comment utiliser une stratgie de demande de connexion ;

dcrire et configurer le traitement des demandes de connexion pour un environnement


de proxy RADIUS ;

expliquer comment crer une stratgie de demande de connexion.

Quest-ce quun client RADIUS ?


Un serveur daccs rseau est un priphrique qui
fournit un certain niveau daccs un rseau plus
important. Un serveur daccs rseau utilisant une
infrastructure RADIUS est galement un client
RADIUS, ce titre, il envoie des demandes de
connexion et des messages de comptes un
serveur RADIUS des fins dauthentification,
dautorisation et de gestion de comptes. Les
ordinateurs clients, tels que les ordinateurs
portables sans fil et dautres ordinateurs qui
excutent des systmes dexploitation clients, ne
sont pas des clients RADIUS. Les clients RADIUS
sont des serveurs daccs rseau (y compris des points daccs sans fil, des commutateurs
dauthentification 802.1X, des serveurs VPN et des serveurs daccs distance) parce quils utilisent le
protocole RADIUS pour communiquer avec les serveurs RADIUS tels que les serveurs NPS.

Pour dployer le serveur NPS en tant que serveur RADIUS, proxy RADIUS ou serveur de stratgie NAP,
vous devez configurer des clients RADIUS dans le serveur NPS.

Installation, configuration et rsolution des problmes du rle de serveur NPS

Exemples de clients RADIUS


Voici quelques exemples de serveurs daccs rseau :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-8

Des serveurs daccs rseau qui fournissent la connectivit daccs distance un rseau
dorganisation ou Internet, par exemple un ordinateur qui excute le systme dexploitation
Windows Server 2012 et le service de routage et daccs distance qui fournit des services daccs
distance traditionnels ou VPN lintranet dune organisation.

Des points daccs sans fil qui fournissent laccs la couche physique du rseau dune organisation
laide de technologies de transmission et de rception sans fil.

Des commutateurs qui fournissent laccs la couche physique du rseau dune organisation laide
de technologies de rseau local traditionnelles comme Ethernet.

Des proxys RADIUS NPS qui transmettent les demandes de connexion aux serveurs RADIUS membres
dun groupe de serveurs RADIUS distants que vous configurez sur le proxy RADIUS ou dautres
proxys RADIUS.

Quest-ce quun proxy RADIUS ?


Vous pouvez utiliser le serveur NPS en tant que
proxy RADIUS pour router les messages RADIUS
entre les clients RADIUS (serveurs daccs rseau)
et les serveurs RADIUS qui authentifient les
utilisateurs, leur accordent les autorisations et
excutent les oprations de gestion de comptes
associes la tentative de connexion.
Lorsque vous utilisez le serveur NPS en tant que
proxy RADIUS, le serveur NPS fait office de point
central de commutation ou de routage par lequel
transitent les messages daccs et de comptes
RADIUS. Le serveur NPS enregistre les
informations sur les messages transmis dans un journal de gestion.
Vous pouvez utiliser le serveur NPS en tant que proxy RADIUS dans les cas suivants :

Vous tes un fournisseur de services qui sous-traite des services daccs rseau distance, VPN
ou sans fil plusieurs clients.
Votre NAS envoie des demandes de connexion au proxy RADIUS NPS. En fonction de la partie de
domaine du nom dutilisateur dans la demande de connexion, le proxy RADIUS NPS transmet la
demande de connexion un serveur RADIUS gr par le client, et peut authentifier et autoriser
la tentative de connexion.

Vous souhaitez authentifier et autoriser les comptes dutilisateurs qui ne sont pas membres du
domaine dont le serveur NPS est membre ou dun domaine qui bnficie dune approbation
bidirectionnelle avec le domaine du membre du serveur NPS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-9

Il sagit notamment des comptes dans des domaines non approuvs, des domaines approuvs sens
unique et dautres forts. Au lieu de configurer vos serveurs daccs pour envoyer leurs demandes de
connexion un serveur RADIUS NPS, vous pouvez les configurer pour envoyer leurs demandes de
connexion un proxy RADIUS NPS. Le proxy RADIUS NPS utilise la partie du nom de domaine du
nom de lutilisateur et transmet la demande un serveur NPS dans le domaine ou la fort appropri.
Les tentatives de connexion pour les comptes dutilisateurs dans un domaine ou une fort peuvent
tre authentifies pour NAS dans un autre domaine ou une autre fort.

Vous souhaitez effectuer lauthentification et lautorisation en utilisant une base de donnes qui nest
pas une base de donnes de comptes Windows.
Dans ce cas, le serveur NPS transmet les demandes de connexion qui correspondent un nom de
domaine spcifi un serveur RADIUS, lequel a accs une autre base de donnes de comptes
dutilisateurs et de donnes dautorisation. Les bases de donnes SQL sont un autre exemple de base
de donnes utilisateur.

Vous souhaitez traiter un grand nombre de demandes de connexion. Dans ce cas, au lieu de
configurer vos clients RADIUS de manire tenter dquilibrer leurs demandes de connexion et de
comptes sur plusieurs serveurs RADIUS, vous pouvez les configurer de telle sorte quils envoient leurs
demandes de connexion et de comptes un proxy RADIUS NPS.
Le proxy RADIUS NPS quilibre dynamiquement la charge des demandes de connexion et de
comptes sur plusieurs serveurs RADIUS et augmente le traitement de grands nombres de clients
RADIUS et dauthentifications par seconde.

Vous souhaitez fournir lauthentification et lautorisation RADIUS des sous-traitants de services et


rduire les tches de configuration du pare-feu intranet.

Un pare-feu intranet se trouve entre votre intranet et votre rseau de primtre (le rseau entre votre
intranet et Internet). En plaant un serveur NPS sur votre rseau de primtre, le pare-feu situ entre
votre rseau de primtre et lintranet doit autoriser le flux de trafic entre le serveur NPS et plusieurs
contrleurs de domaine.
Si vous remplacez le serveur NPS par un proxy NPS, le pare-feu doit autoriser uniquement le flux de
trafic RADIUS entre le proxy NPS et un ou plusieurs serveurs NPS dans votre intranet.

Dmonstration : Configuration dun client RADIUS


Cette dmonstration vous indique comment configurer un client RADIUS.

Procdure de dmonstration
1.

Ouvrez Routage et accs distant.

2.

Dsactivez la configuration existante.

3.

4.

Reconfigurez LON-RTR en tant que serveur VPN laide des paramtres suivants :
o

Interface publique : Connexion au rseau local 2

Le serveur VPN alloue des adresses du pool : 172.16.0.100 172.16.0.110

Option de configuration du serveur : Oui, configurer ce serveur pour travailler avec


un serveur RADIUS.

Serveur RADIUS principal : LON-DC1

Secret : Pa$$w0rd

Dmarrez le service VPN.

Quest-ce quune stratgie de demande de connexion ?


Les stratgies de demande de connexion sont
des jeux de conditions et de paramtres qui
permettent aux administrateurs rseau de
dsigner les serveurs RADIUS qui authentifient et
autorisent les demandes de connexion que le
serveur NPS reoit des clients RADIUS. Vous
pouvez configurer des stratgies de demande de
connexion pour dsigner les serveurs RADIUS
utiliser pour la gestion de comptes RADIUS.
Remarque : Lorsque vous dployez la
protection daccs rseau laide des mthodes de
contrainte de mise en conformit VPN ou 802.1X avec lauthentification PEAP (Protected Extensible
Authentication Protocol), vous devez configurer lauthentification PEAP dans la stratgie de demande
de connexion mme lorsque les demandes de connexion sont traites localement.
Vous pouvez crer une srie de stratgies de demande de connexion de sorte que quelques messages
de demande RADIUS envoys des clients RADIUS sont traits localement (NPS est un serveur RADIUS)
et dautres types de messages sont transfrs un autre serveur RADIUS (NPS est un proxy RADIUS).
Avec des stratgies de demande de connexion, vous pouvez utiliser NPS en tant que serveur RADIUS
ou proxy RADIUS, selon un grand choix de facteurs, notamment :

lheure et le jour de la semaine ;

le nom de domaine dans la demande de connexion ;

le type de connexion que vous demandez ;

ladresse IP du client RADIUS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-10 Installation, configuration et rsolution des problmes du rle de serveur NPS

Conditions

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-11

Les conditions de la stratgie de demande de connexion se composent dun ou plusieurs attributs RADIUS
qui sont valus par rapport aux attributs du message de demande daccs RADIUS entrant. Si plusieurs
conditions existent, NPS applique la stratgie uniquement si toutes les conditions dans le message de
demande de connexion et dans la stratgie de demande de connexion correspondent.

Paramtres

Les paramtres de la stratgie de demande de connexion sont un jeu de proprits qui sont appliques
un message RADIUS entrant. Les paramtres sont constitus des groupes de proprits suivants :

Authentification

Gestion

Manipulation dattribut

Avanc

Stratgie de demande de connexion par dfaut


Lorsque vous installez le serveur NPS, une stratgie de demande de connexion par dfaut est cre
avec les conditions suivantes :

Lauthentification nest pas configure.

La gestion de comptes nest pas configure de manire transmettre les informations de comptes
un groupe de serveurs RADIUS distants.

La manipulation dattribut nest pas configure avec des rgles qui modifient les attributs dans les
demandes de connexion transmises.

La transmission de la demande est active, ce qui signifie que le serveur NPS local authentifie et
autorise les demandes de connexion.

Les attributs avancs ne sont pas configurs.

La stratgie de demande de connexion par dfaut utilise le serveur NPS en tant que serveur RADIUS.
Pour configurer un serveur NPS pour agir en tant que proxy RADIUS, vous devez galement configurer un
groupe de serveurs RADIUS distants. Vous pouvez crer un groupe de serveurs RADIUS distants au cours du
processus la cration dune stratgie de demande de connexion laide de lAssistant Nouvelle stratgie de
demande de connexion. Vous pouvez soit supprimer la stratgie de demande de connexion par dfaut, soit
vrifier que la stratgie de demande de connexion par dfaut est la dernire stratgie traite.
Remarque : Si le serveur NPS et le service de routage et daccs distance sont installs
sur le mme ordinateur, et que le service de routage et daccs distance est configur
pour lauthentification et la gestion de comptes Windows, il est possible que les demandes
dauthentification et de gestion du service de routage et daccs distance soient transmises un
serveur RADIUS. Cela peut se produire lorsque les demandes dauthentification et de comptes du
service de routage et daccs distance correspondent une stratgie de demande de connexion
configure pour les transmettre un groupe de serveurs RADIUS distants.

Configuration du traitement des demandes de connexion


La stratgie de demande de connexion par dfaut
utilise le serveur NPS en tant que serveur RADIUS
et traite toutes les demandes dauthentification
localement.

lments prendre en considration


pour la configuration du traitement
des demandes de connexion
Lorsque vous configurez le traitement des
demandes de connexion, prenez en compte
les lments suivants :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-12 Installation, configuration et rsolution des problmes du rle de serveur NPS

Pour configurer un serveur NPS pour agir en


tant que proxy RADIUS et transmettre les demandes de connexion dautres serveurs NPS ou
RADIUS, vous devez configurer un groupe de serveurs RADIUS distants, puis ajouter une nouvelle
stratgie de demande de connexion qui spcifie les conditions et les paramtres auxquels doivent
satisfaire les demandes de connexion.

Vous pouvez utiliser lAssistant Nouvelle stratgie de demande de connexion pour crer un groupe
de serveurs RADIUS distants lors de la demande de connexion.

Si vous ne souhaitez pas que le serveur NPS agisse en tant que serveur RADIUS et traite les demandes
de connexion localement, vous pouvez supprimer la stratgie de demande de connexion par dfaut.

Si vous souhaitez que le serveur NPS agisse en tant que serveur RADIUS (pour traiter les demandes
de connexion localement) et en tant que proxy RADIUS (pour transmettre certaines demandes de
connexion un groupe de serveurs RADIUS distants), ajoutez une nouvelle stratgie, puis vrifiez
que la stratgie de demande de connexion par dfaut est la dernire stratgie traite.

Ports pour le trafic RADIUS et la journalisation


Par dfaut, le serveur NPS coute le trafic RADIUS sur les ports 1812, 1813, 1645 et 1646 pour le
protocole IPv6 (Internet version 6) et IPv4 sur toutes les cartes rseau installes.
Remarque : Si vous dsactivez le protocole IPv4 ou IPv6 sur une carte rseau,
le serveur NPS ne contrle pas trafic RADIUS pour le protocole dsinstall.

Les valeurs 1812 pour lauthentification et 1813 pour la gestion de comptes sont des ports RADIUS
standard dfinis dans les documents RFC 2865 et 2866. Toutefois, de nombreux serveurs daccs utilisent
par dfaut le port 1645 pour les demandes dauthentification et le port 1646 pour les demandes de
comptes. Lorsque vous dterminez les numros de port utiliser, assurez-vous de configurer le
serveur NPS et le serveur daccs pour utiliser les mmes numros de port. si vous nutilisez pas les
numros de port RADIUS par dfaut, vous devez configurer des exceptions sur le pare-feu pour
lordinateur local de manire activer le trafic RADIUS sur les nouveaux ports.

Configuration des informations de port UDP NPS


Vous pouvez utiliser la procdure suivante pour configurer les ports UDP utiliss par le serveur NPS
pour le trafic dauthentification et de gestion de comptes RADIUS.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.
Pour configurer les informations des ports UDP NPS laide de linterface Windows :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-13

1.

Ouvrez la console NPS.

2.

Cliquez avec le bouton droit sur Serveur NPS, puis cliquez sur Proprits.

3.

Cliquez sur longlet Ports, puis examinez les paramtres des ports. Si vos ports UDP dauthentification
RADIUS et de gestion de comptes RADIUS ont des valeurs diffrentes des valeurs par dfaut fournies
(1812 et 1645 pour lauthentification, et 1813 et 1646 pour la gestion de comptes), tapez vos
paramtres de port dans Authentification et Gestion.

Remarque : Pour utiliser plusieurs paramtres de port pour des demandes


dauthentification ou de comptes, sparez les numros des ports par des virgules.

Dmonstration : Cration dune stratgie de demande de connexion


Cette dmonstration montre comment crer une stratgie de demande de connexion VPN.

Procdure de dmonstration
1.

Sur LON-DC1, basculez vers la console Serveur NPS (Network Policy Server).

2.

Affichez les Stratgies de demande de connexion existantes. LAssistant a cr ces derniers


automatiquement quand vous avez spcifi le rle NPS de ce serveur.

3.

Crez une stratgie de demande de connexion avec les paramtres suivants :

4.

Type de serveur daccs rseau : Serveur daccs distance (VPN-Dial up)

Condition : Type de port de NAS en tant que Virtuel (VPN)

Autres paramtres : valeurs par dfaut

Attribuez la priorit la plus leve la nouvelle stratgie.

Leon 3

Mthodes dauthentification NPS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-14 Installation, configuration et rsolution des problmes du rle de serveur NPS

NPS authentifie et autorise la demande de connexion avant dautoriser ou de refuser laccs lorsque des
utilisateurs tentent de se connecter votre rseau par lintermdiaire de serveurs daccs rseau (aussi
appels clients RADIUS), tels que des points daccs sans fil, des commutateurs dauthentification 802.1X,
des serveurs daccs distance et des serveurs VPN.
Lauthentification tant le processus de vrification de lidentit de lutilisateur ou de lordinateur qui
essaie de se connecter au rseau, le serveur NPS doit recevoir une preuve didentit de lutilisateur
ou de lordinateur sous forme dinformations didentification.

Certaines mthodes dauthentification implmentent lutilisation dinformations didentification bases sur


un mot de passe. Le serveur daccs rseau passe ensuite ces informations didentification au serveur NPS
qui vrifie les informations didentification dans la base de donnes des comptes dutilisateurs.
Dautres mthodes dauthentification implmentent lutilisation dinformations didentification bases sur
des certificats pour lutilisateur, lordinateur client, le serveur NPS ou une combinaison de ces lments.
Les mthodes dauthentification bases sur les certificats offrent une scurit forte et sont prfrables
aux mthodes dauthentification par mot de passe.
Lorsque vous dployez le serveur NPS, vous pouvez spcifier le type de mthode dauthentification
utiliser pour laccs votre rseau.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrivez les mthodes dauthentification bases sur un mot de passe pour un serveur NPS.

Dcrivez la manire dont les certificats sont utiliss pour fournir lauthentification pour des clients
rseau.

Dcrivez les types de certificats requis pour diffrentes mthodes dauthentification.

Dcrivez comment dployer des certificats pour PEAP et EAP.

Mthodes dauthentification par mot de passe


Chaque mthode dauthentification prsente des
avantages et des inconvnients en termes de
scurit, de facilit dutilisation et dtendue de la
prise en charge. Toutefois, nous dconseillons les
mthodes dauthentification par mot de passe car
elles ne garantissent pas une scurit renforce.
Nous recommandons plutt lutilisation dune
mthode dauthentification base sur les certificats
pour toutes les mthodes daccs rseau qui
prennent en charge lutilisation de certificats. Cela
sapplique particulirement aux connexions sans fil
pour lesquelles nous recommandons lutilisation
de la mthode PEAP-MS-CHAP v2 ou PEAP-TLS.

La mthode dauthentification dont vous avez besoin est dtermine par la configuration du serveur
daccs rseau, de lordinateur client et de la stratgie rseau sur le serveur NPS. Consultez la
documentation de votre serveur daccs pour dterminer les mthodes dauthentification qui sont
prises en charge.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-15

Vous pouvez configurer le serveur NPS de telle sorte quil accepte plusieurs mthodes dauthentification.
Vous pouvez galement configurer vos serveurs daccs rseau, aussi appels clients RADIUS, de manire
ce quils tentent de ngocier une connexion avec les ordinateurs en utilisant diffrents protocoles, du
plus scuris au moins scuris. Par exemple, le service de routage et daccs distance essaie de ngocier
une connexion laide des protocoles suivants dans lordre indiqu :
1.

Protocole EAP (Extensible Authentication Protocol)

2.

MS-CHAP v2

3.

MS-CHAP

4.

Protocole CHAP (Challenge Handshake Authentication Protocol)

5.

Protocole SPAP (Shiva Password Authentication Protocol)

6.

Protocole PAP (Password Authentication Protocol)

Lorsque le protocole EAP est choisi comme mthode dauthentification, la ngociation du type EAP
se produit entre le client daccs et le serveur NPS.

MS-CHAP Version 2

Le protocole MS-CHAP v2 offre une scurit renforce pour les connexions daccs rseau par rapport
son prdcesseur (MS-CHAP). Le protocole MS-CHAP v2 est un processus dauthentification mutuelle par
mot de passe chiffr sens unique. Il fonctionne comme suit :
1.

Lauthentificateur (serveur daccs rseau ou serveur NPS) envoie au client distant une demande
daccs qui se compose dun identificateur de session et dune chane de demande daccs arbitraire.

2.

Le client daccs envoie une rponse qui contient :

3.

4.

le nom dutilisateur ;

une chane de demande daccs de lhomologue arbitraire ;

un chiffrement sens unique de la chane de demande daccs reue, la chane de demande


daccs de lhomologue arbitraire, lidentificateur de session et le mot de passe de lutilisateur.

Lauthentificateur vrifie la rponse du client et met une rponse contenant :


o

une indication de la russite ou de lchec de la tentative de connexion ;

une rponse authentifie base sur la chane de demande daccs envoye, la chane de
demande daccs de lhomologue, la rponse chiffre du client et le mot de passe de lutilisateur.

Le client daccs vrifie la rponse dauthentification et utilise la connexion si celle-ci est valide.
Si la rponse dauthentification est incorrecte, le client daccs met fin la connexion.

MS-CHAP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-16 Installation, configuration et rsolution des problmes du rle de serveur NPS

Le protocole MS-CHAP, aussi appel MS-CHAP version 1, est un protocole dauthentification par mot de
passe irrversible et chiffr.
Le processus de demande daccs fonctionne comme suit :
1.

Lauthentificateur (serveur daccs rseau ou serveur NPS) envoie au client distant une demande
daccs qui se compose dun identificateur de session et dune chane de demande daccs arbitraire.

2.

Le client daccs envoie une rponse qui contient le nom de lutilisateur ainsi quun chiffrement
irrversible de la chane de demande daccs, lidentificateur de la session et le mot de passe.

3.

Lauthentificateur vrifie la rponse et, si elle est valide, authentifie les informations didentification
de lutilisateur.

Remarque : Si vous utilisez le protocole MS-CHAP, MS-CHAP v2 ou EAP-TLS comme


protocole dauthentification, vous pouvez utiliser le chiffrement MPPE (Microsoft Point-to-Point
Encryption) pour chiffrer les donnes envoyes sur la connexion PPP (Point-to-Point Protocol)
ou PPTP (Point-to-Point Tunneling Protocol).
Le protocole MS-CHAP v2 offre une scurit renforce pour les connexions daccs rseau par
rapport au protocole MS-CHAP. Il est recommand dutiliser le protocole MS-CHAP v2 la place
du protocole MS-CHAP.

CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole dauthentification
par demande daccs/rponse qui utilise le schma de hachage MD5 (Message Digest 5) standard pour
chiffrer la rponse.
Plusieurs fournisseurs de clients et serveurs daccs rseau utilisent le protocole CHAP. Un serveur qui
excute le service de routage et daccs distance prend en charge le protocole CHAP, ce qui permet
aux clients daccs qui requirent le protocole CHAP dtre authentifis. Le protocole CHAP ncessitant
lutilisation dun mot de passe chiffr rversible, songez utiliser un autre protocole dauthentification,
par exemple MS-CHAP v2.

Autres aspects prendre en considration


Tenez compte des points suivants lors de limplmentation de CHAP :

Lorsque les mots de passe des utilisateurs expirent, le protocole CHAP ne permet pas aux utilisateurs
de modifier leurs mots de passe au cours du processus dauthentification.

Vrifiez que votre serveur daccs rseau prend en charge le protocole CHAP avant de lactiver sur
une stratgie rseau dun serveur NPS. Pour plus dinformations, consultez la documentation de votre
serveur daccs rseau.

Vous ne pouvez pas utiliser MPPE avec le protocole CHAP.

PAP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-17

Ce protocole utilise des mots de passe en clair et constitue le protocole dauthentification le moins sr.
Il est ngoci en gnral si le client daccs et serveur daccs rseau ne peuvent ngocier aucune autre
mthode dauthentification plus scurise. Lorsque vous activez le protocole PAP comme protocole
dauthentification, les mots de passe des utilisateurs sont envoys sous forme de texte en clair. Toute
personne capturant les paquets du processus dauthentification peut aisment lire le mot de passe,
puis lutiliser pour accder votre intranet de faon non autorise. Lutilisation du protocole PAP est
fortement dconseille, surtout pour les connexions VPN.

Accs non authentifi

Dans le cadre dun accs non authentifi, les informations didentification de lutilisateur (nom dutilisateur
et mot de passe) ne sont pas requises. Bien que laccs non authentifi soit utile dans certains cas, nous
dconseillons en gnral son dploiement dans le rseau de votre organisation.
Lorsque vous activez laccs non authentifi, les utilisateurs peuvent accder votre rseau sans envoyer
dinformations didentification de lutilisateur. En outre, les clients daccs non authentifis ne ngocient
pas lutilisation dun protocole dauthentification commun pendant le processus dtablissement de la
connexion et nenvoient pas de nom dutilisateur ni de mot de passe au serveur NPS.
Si vous autorisez laccs non authentifi, les clients peuvent se connecter sans tre authentifis si les
protocoles dauthentification configurs sur le client daccs ne correspondent pas aux protocoles
dauthentification configurs sur le serveur daccs rseau. Dans ce cas, lutilisation dun protocole
dauthentification commun nest pas ngocie, et le client daccs nenvoie pas de nom dutilisateur
ni de mot de passe. Cette circonstance pose un srieux problme de scurit. Par consquent, laccs
non authentifi ne doit pas tre autoris sur la plupart des rseaux.

Utilisation de certificats pour lauthentification


Les certificats sont des documents numriques
mis par les autorits de certification (CA), par
exemple les services de certificats Active Directory
(AD CS) ou lautorit de certification publique
Verisign. Les applications des certificats sont
nombreuses, notamment la signature de code
et la scurisation des communications par
messagerie lectronique. Toutefois, avec le
serveur NPS, les certificats sont utiliss pour
lauthentification daccs rseau car ils fournissent
une scurit forte pour authentifier les utilisateurs
et les ordinateurs, et vous vitent davoir recours
des mthodes dauthentification bases sur un mot de passe moins scurises.

Les serveurs NPS utilisent les protocoles EAP-TLS et PEAP pour effectuer lauthentification base sur les
certificats pour de nombreux types daccs rseau, y compris les connexions VPN et sans fil.

Mthodes dauthentification

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-18 Installation, configuration et rsolution des problmes du rle de serveur NPS

Deux mthodes dauthentification, lorsque vous les configurez avec des types dauthentification base
sur les certificats, utilisent des certificats : EAP et PEAP. Avec le protocole EAP, vous pouvez configurer
le type dauthentification TLS (EAP-TLS) ; et avec le protocole PEAP, vous pouvez configurer les types
dauthentification TLS (PEAP-TLS) et MS-CHAP v2 (PEAP-MS-CHAP v2). Ces mthodes dauthentification
utilisent toujours des certificats pour lauthentification serveur. En fonction du type dauthentification que
vous configurez avec la mthode dauthentification, vous pouvez galement utiliser des certificats pour
lauthentification dutilisateurs et lauthentification dordinateurs clients.
Remarque : Lutilisation de certificats dans le cadre de lauthentification de connexion VPN
constitue la forme dauthentification la plus puissante dans Windows Server 2008 R2. Vous devez
utiliser des certificats pour lauthentification dIPsec sur les connexions VPN qui sont bass
sur le protocole L2TP/IPsec (Layer Two Tunneling protocol over Internet protocol security).
Les connexions PPTP ne requirent pas de certificats, bien que vous puissiez configurer des
connexions PPTP de manire utiliser des certificats pour lauthentification dordinateur
lorsque vous utilisez la mthode dauthentification EAP-TLS. Pour les clients sans fil (appareils
informatiques avec des cartes rseau sans fil, tels quun ordinateur portable ou un assistant
numrique personnel), utilisez la mthode dauthentification PEAP avec EAP-TLS et des cartes
puce ou des certificats.
Remarque : Vous pouvez dployer des certificats en vue dune utilisation avec le
serveur NPS en installant et en configurant le rle serveur AD CS.

Authentification mutuelle

Lorsque vous utilisez le protocole EAP avec un type EAP fort (par exemple la scurit TLS avec des cartes
puce ou des certificats), le client et le serveur utilisent des certificats pour vrifier leurs identits les uns par
rapports aux autres, cette procdure est galement appele authentification mutuelle. Les certificats
doivent rpondre des exigences spcifiques pour que le serveur et le client puissent les utiliser pour
lauthentification mutuelle.
Entre autres, le certificat doit tre configur avec un ou plusieurs rles dans les extensions dutilisation
amliore de la cl (EKU) qui correspondent lutilisation du certificat. Par exemple, vous devez configurer
un certificat que vous utilisez pour lauthentification dun client avec le rle Authentification du client. De la
mme faon, vous devez configurer un certificat que vous utilisez pour lauthentification dun serveur avec le
rle Authentification du serveur. Lorsque vous utilisez des certificats pour lauthentification, lauthentificateur
examine le certificat client la recherche de lidentificateur dobjet de rle correct dans les extensions EKU.
Par exemple, lidentificateur dobjet pour le rle Authentification du client est 1.3.6.1.5.5.7.3.2. Lorsque vous
utilisez un certificat pour lauthentification dordinateur client, cet identificateur dobjet doit tre prsent
dans les extensions EKU du certificat ; sinon, lauthentification choue.

Modles de certificats

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-19

Modles de certificats est un composant logiciel enfichable MMC qui permet la personnalisation de
certificats mis par les services AD CS. Il est possible de personnaliser le mode dmission des certificats
et leur contenu, y compris leurs rles. Dans Modles de certificats, vous pouvez utiliser un modle par
dfaut, tel que le modle Ordinateur, pour dfinir le modle utilis par lautorit de certification pour
affecter des certificats aux ordinateurs. Vous pouvez galement crer un modle de certificat et lui
affecter des rles dans les extensions EKU. Par dfaut, le modle Ordinateur inclut les rles
Authentification du client et Authentification du serveur dans les extensions EKU.

Le modle de certificat que vous crez peut inclure le rle de votre choix. Par exemple, si vous utilisez des
cartes puce pour lauthentification, vous pouvez inclure le rle Ouverture de session par carte puce
en plus du rle Authentification du client. Lorsque vous utilisez le serveur NPS, vous pouvez le configurer
pour vrifier les rles du certificat avant daccorder lautorisation rseau. Le serveur NPS peut vrifier
des rles EKU et de stratgie dmission supplmentaires (aussi appels stratgies de certificat).
Remarque : Certains logiciels dautorit de certification non-Microsoft peuvent contenir
un rle nomm Tout, celui-ci reprsentant tous les rles possibles. Cela est indiqu par une
extension EKU vide (ou nulle). Bien que Tout signifie tous les rles possibles , vous ne pouvez
pas remplacer le rle Authentification du client, le rle Authentification du serveur ou tout autre
rle en rapport lauthentification daccs rseau par le rle Tout.

Certificats requis pour lauthentification


Le tableau suivant fournit le dtail des certificats
requis pour dployer correctement chacune
des mthodes dauthentification bases sur les
certificats rpertories.

Certificat
Certificat
dautorit de
certification dans
le magasin de
certificats
Autorits de
certification racine
approuves pour
lordinateur local
et lutilisateur
actuel

Requis pour
lauthentification EAP-TLS
et PEAP-TLS ?
Oui. Le certificat dautorit
de certification est inscrit
automatiquement pour
les ordinateurs membres
du domaine. Pour les
ordinateurs qui ne sont
pas membres du domaine,
vous devez importer
manuellement le certificat
dans le magasin de
certificats.

Requis pour
lauthentification
PEAP-MS-CHAP v2 ?
Oui. Ce certificat est
inscrit automatiquement
pour les ordinateurs
membres du domaine.
Pour les ordinateurs qui
ne sont pas membres du
domaine, vous devez
importer manuellement
le certificat dans le
magasin de certificats.

Dtails

Pour
lauthentification
PEAP-MS-CHAP v2,
ce certificat est
requis pour
lauthentification
mutuelle entre le
client et le serveur.

(suite)
Certificat

Requis pour
lauthentification EAP-TLS
et PEAP-TLS ?

Requis pour
lauthentification
PEAP-MS-CHAP v2 ?

Dtails

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-20 Installation, configuration et rsolution des problmes du rle de serveur NPS

Certificat
dordinateur
client dans le
magasin de
certificats
du client

Oui. Les certificats


dordinateur client sont
requis moins que les
certificats utilisateur ne
soient distribus sur des
cartes puce. Les certificats
clients sont inscrits
automatiquement pour
les ordinateurs membres
du domaine. Pour les
ordinateurs qui ne sont pas
membres du domaine, vous
devez importer le certificat
manuellement ou lobtenir
avec loutil dinscription via
le Web.

Non. Lauthentification
utilisateur est effectue
avec des informations
didentification bases
sur un mot de passe, et
non avec des certificats.

Si vous dployez des


certificats utilisateur
sur des cartes puce,
les ordinateurs
clients nont pas
besoin de certificats
clients.

Certificat de
serveur dans le
magasin de
certificats du
serveur NPS

Oui. Vous pouvez


configurer les lments
suivants :
AD CS de manire inscrire
automatiquement les
certificats de serveur auprs
des membres du groupe de
serveurs RAS et IAS dans
AD DS.

Oui. Outre lutilisation


des services AD CS pour
les certificats de serveur,
vous pouvez acheter des
certificats de serveur
auprs dautres autorits
de certification que les
ordinateurs clients
approuvent dj.

Le serveur NPS
envoie le certificat de
serveur lordinateur
client. Lordinateur
client utilise le
certificat pour
authentifier le
serveur NPS.

Certificat
utilisateur sur une
carte puce

AD CS de manire inscrire
automatiquement les
certificats de serveur auprs
des membres du groupe de
serveurs RAS et IAS dans
AD DS.

Non. Lauthentification
utilisateur est effectue
avec des informations
didentification bases
sur un mot de passe, et
non avec des certificats.

Pour EAP-TLS et
PEAP-TLS, si vous
ninscrivez pas
automatiquement les
certificats
dordinateur client,
des certificats
utilisateur sur les
cartes puce sont
requis.

Lauthentification 802.1X de linstitut IEEE (Institute of Electrical and Electronics Engineers, Inc.) offre
un accs authentifi aux rseaux sans fil 802.11 et aux rseaux Ethernet cbls. 802.1X prend en charge
les types EAP scuriss, tels que la scurit TLS avec les cartes puce ou les certificats. Vous pouvez
configurer lauthentification 802.1X avec EAP-TLS de plusieurs manires.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-21

Si vous configurez loption Valider le certificat du serveur sur le client, le client authentifie le serveur
en utilisant son certificat. Lauthentification de lordinateur client et de lutilisateur est accomplie
laide de certificats du magasin de certificats client ou dune carte puce, garantissant une
authentification mutuelle.

Avec les clients sans fil, vous pouvez utiliser la mthode dauthentification PEAP-MS-CHAP v2. Cette
dernire est une mthode dauthentification utilisateur base sur mot de passe qui utilise la scurit TLS
avec les certificats de serveur. Pendant lauthentification PEAP-MS-CHAP v2, le serveur NPS fournit un
certificat pour valider son identit au client (si loption Valider le certificat du serveur est configure sur le
client Windows 8). Lauthentification de lordinateur client et de lutilisateur est accomplie laide de mots
de passe, ce qui simplifie en partie le dploiement de certificats vers les ordinateurs clients sans fil.

Dploiement de certificats pour lauthentification PEAP et EAP


Tous les certificats que vous utilisez pour
lauthentification daccs rseau avec les mthodes
EAP-TLS et PEAP doivent satisfaire aux exigences
des certificats X.509 et fonctionner avec des
connexions SSL/TLS (Secure Sockets LayerTransport Layer Security). Lorsque ces conditions
sont remplies, les certificats client et serveur
imposent des exigences supplmentaires.

Exigences relatives aux certificats


de serveur
Vous pouvez configurer des clients pour valider
des certificats de serveur laide de loption
Valider le certificat du serveur dans les proprits du protocole dauthentification. Avec la mthode
dauthentification PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS, le client accepte la tentative
dauthentification serveur lorsque le certificat satisfait aux conditions suivantes :

Le nom du sujet contient une valeur. Si vous mettez un certificat votre serveur NPS avec un sujet
vide, le certificat nest pas disponible pour authentifier votre serveur NPS. Pour configurer le modle
de certificat avec un nom de sujet :
a.

Ouvrez Modles de certificats.

b.

Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.

c.

Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations Active
Directory.

d.

Dans Format du nom du sujet, slectionnez une valeur autre que None.

Le certificat dordinateur sur le serveur est li une autorit de certification racine de confiance et
satisfait tous les contrles effectus par CryptoAPI ou spcifis par les stratgies daccs distance
ou rseau.

Le certificat de serveur NPS ou VPN est configur avec le rle Authentification du serveur dans les
extensions EKU (lidentificateur dobjet pour le rle Authentification du serveur est 1.3.6.1.5.5.7.3.1).

Le certificat de serveur est configur avec la valeur dalgorithme requise RSA. Pour configurer le
paramtre de chiffrement requis :
a.

Ouvrez Modles de certificats.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-22 Installation, configuration et rsolution des problmes du rle de serveur NPS

b. Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.

Cliquez sur longlet Chiffrement. Dans Nom de lalgorithme, cliquez sur RSA. Vrifiez que
Taille de cl minimale est dfinie sur 2048.

Lextension Autre nom de lobjet (SubjectAltName), si vous lutilisez, doit contenir le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) du serveur. Pour configurer le modle de
certificat avec le nom DNS (Domain Name System) du serveur dinscription :
a.

Ouvrez Modles de certificats.

b. Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.

Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations
Active Directory.

d. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.
Avec les mthodes PEAP-TLS et EAP-TLS, les serveurs affichent une liste de tous les certificats installs
dans le composant logiciel enfichable Certificats, avec les exceptions suivantes :

les certificats qui ne contiennent pas le rle Authentification du serveur dans les extensions EKU ;

les certificats qui ne contiennent pas de nom de sujet ;

les certificats bass sur le Registre et douverture de session par carte puce.

Exigences relatives aux certificats clients


Avec la mthode dauthentification EAP-TLS ou PEAP-TLS, le serveur accepte la tentative
dauthentification du client lorsque le certificat satisfait aux conditions suivantes :

Une autorit de certification dentreprise a mis le certificat client ou est mappe un compte
dutilisateur ou dordinateur Active Directory.

Le certificat utilisateur ou dordinateur sur le client est li une autorit de certification racine de
confiance. Il inclut le rle Authentification du client dans les extensions EKU (lidentificateur dobjet
pour le rle Authentification du client est 1.3.6.1.5.5.7.3.2) ; et satisfait aux contrles effectus par
CryptoAPI, spcifis par les stratgies daccs distance ou rseau, et aux contrles didentificateur
dobjet Certificat, spcifis par les stratgies daccs distance IAS ou rseau NPS.

Le client 802.1X nutilise pas les certificats bass sur le Registre qui sont des certificats douverture de
session par carte puce ou des certificats protgs par un mot de passe.

Pour les certificats utilisateur, lextension Autre nom de lobjet (SubjectAltName) dans le certificat
contient le nom principal de lutilisateur. Pour configurer le nom principal de lutilisateur dans un
modle de certificat :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-23

a.

Ouvrez Modles de certificats.

b.

Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.

c.

Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations
Active Directory.

d.

Dans Inclure cette information dans le nom de substitution du sujet, slectionnez


User principal name (UPN).

Pour les certificats dordinateur, lextension Autre nom de lobjet (SubjectAltName) dans le certificat
doit contenir le nom de domaine complet du client, aussi appel nom DNS . Pour configurer ce
nom dans le modle de certificat :
a.

Ouvrez Modles de certificats.

b. Dans le volet dinformations, cliquez avec le bouton droit sur le modle de certificat modifier,
puis cliquez sur Proprits.
c.

Cliquez sur longlet Nom du sujet , puis sur Construire partir de ces informations
Active Directory.

d. Dans Inclure cette information dans le nom de substitution du sujet, slectionnez Nom DNS.
Avec les mthodes PEAP-TLS et EAP-TLS, les clients affichent une liste de tous les certificats installs dans
le composant logiciel enfichable Certificats, avec les exceptions suivantes :

Les clients sans fil naffichent pas les certificats bass sur le Registre ni les certificats douverture de
session par carte puce.

Les clients sans fil et les clients VPN naffichent pas les certificats protgs par un mot de passe.

Les certificats qui ne contiennent pas le rle Authentification du client dans les extensions EKU.

Leon 4

Analyse et rsolution des problmes dun serveur NPS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-24 Installation, configuration et rsolution des problmes du rle de serveur NPS

Vous pouvez analyser le serveur NPS en configurant et en utilisant la journalisation des vnements et les
demandes dauthentification et de comptes dutilisateurs. La journalisation des vnements vous permet
denregistrer des vnements NPS dans les journaux systme et les journaux des vnements de scurit.
Vous pouvez utiliser la journalisation des demandes pour lanalyse des connexions et la facturation.
Les informations collectes dans les fichiers journaux sont utiles pour rsoudre les problmes de
tentatives de connexion et pour tudier la scurit.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire les mthodes danalyse du protocole NPS :

expliquer comment configurer des proprits des fichiers journaux ;

expliquer comment configurer la journalisation SQL Server sur le serveur NPS ;

expliquer configurer lenregistrement dvnements NPS dans lObservateur dvnements.

Mthodes danalyse du serveur NPS


Deux mthodes de gestion de comptes, ou
journalisation, soffrent vous pour analyser
le serveur NPS :

Journalisation des vnements pour le


serveur NPS. Vous pouvez utiliser la
journalisation des vnements pour
enregistrer les vnements NPS dans les
journaux systme et les journaux des
vnements de scurit. Ce type de
journalisation est principalement utilis pour
auditer et dpanner les tentatives de
connexion.

Journalisation des demandes dauthentification et de comptes dutilisateurs. Vous pouvez enregistrer


les demandes dauthentification et de comptes dutilisateurs dans des fichiers journaux au format
texte ou base de donnes, ou encore dans une procdure stocke dans une base de donnes
SQL Server. La journalisation des demandes est particulirement utile pour lanalyse des connexions
et la facturation. Vous pouvez aussi vous en servir comme outil pour tudier la scurit puisquelle
permet didentifier lactivit dun intrus.

Pour utiliser le plus efficacement possible la journalisation NPS :

Activez la journalisation (au dpart) pour les enregistrements dauthentification et de comptes.


Modifiez ces choix aprs avoir dtermin ce qui convient votre environnement.

Vrifiez que vous configurez la journalisation des vnements avec une capacit suffisante pour
prendre en charge vos journaux.

Sauvegardez rgulirement tous les fichiers journaux car il vous sera impossible de les recrer si vous
les endommagez ou les supprimez.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-25

Utilisez lattribut Class RADIUS pour suivre lemploi et simplifier lidentification des services ou des
utilisateurs facturer. Bien que lattribut Class, qui est gnr automatiquement, soit unique pour
chaque demande, des enregistrements dupliqus peuvent exister lorsque la rponse au serveur
daccs est perdue et que la demande est renvoye. Vous devrez peut-tre supprimer les demandes
dupliques dans vos journaux pour obtenir un suivi prcis de lutilisation.

Pour gnrer un basculement et une redondance dans le cadre de la journalisation SQL Server, placez
deux ordinateurs quips de SQL Server sur des sous-rseaux diffrents. Utilisez lAssistant Cration
dune publication de SQL Server pour configurer la rplication de la base de donnes entre les deux
serveurs. Pour plus dinformations, consultez la documentation SQL Server.

Remarque : Pour interprter des donnes journalises, consultez les informations


du site Web Microsoft TechNet :
Interprter les fichiers journaux au format de base de donnes NPS
http://go.microsoft.com/fwlink/?LinkID=214832&clcid=0x409

Enregistrement de la gestion des comptes NPS


Vous pouvez configurer le serveur NPS pour
effectuer la gestion de comptes RADIUS pour
les demandes dauthentification utilisateur, les
messages dacceptation daccs, les messages de
rejet daccs, les demandes et les rponses de
comptes, et les mises jour de statut priodique.
Vous pouvez utiliser cette procdure pour
configurer les fichiers journaux o vous souhaitez
stocker les donnes de comptes.

lments prendre en considration


pour la configuration de la gestion
de comptes pour NPS
La liste suivante fournit plus dinformations sur la configuration de la gestion de comptes NPS :

Pour envoyer les donnes du fichier journal afin dtre collectes par un autre processus, vous pouvez
configurer le service NPS de manire crire dans un canal nomm. Pour utiliser des canaux
nomms, dfinissez le dossier du fichier journal comme suit : \\.\canal ou \\ComputerName\canal. Le
programme serveur de canal nomm cre un canal nomm appel \\.\canal\iaslog.log pour accepter
les donnes. Dans la bote de dialogue Proprits de Fichier local, dans Crer un fichier journal,
slectionnez Jamais (taille de fichier non limite) lorsque vous utilisez des canaux nomms.

Pour crer le rpertoire du fichier journal, utilisez des variables denvironnement systme (au lieu de
variables utilisateur), telles que %systemdrive%, %systemroot% et %windir%. Par exemple, le chemin
daccs suivant, qui utilise la variable denvironnement %windir%, localise le fichier journal dans le
rpertoire systme du sous-dossier \System32\Logs (cest--dire %windir%\System32\Logs\).

Le fait de changer de formats de fichier journal nentrane pas la cration dun nouveau journal.
Si vous modifiez les formats de fichier journal, le fichier actif au moment de la modification contient
un mlange des deux formats. Les enregistrements en dbut de journal appliqueront lancien format,
tandis que les enregistrements en fin de journal auront le nouveau format.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-26 Installation, configuration et rsolution des problmes du rle de serveur NPS

Si vous grez un serveur NPS distance, vous ne pouvez pas parcourir la structure de rpertoires.
Pour journaliser des informations de comptes sur un serveur distant, spcifiez le nom du fichier
journal en tapant un nom UNC (Universal Naming Convention), par exemple
\\MyLogServer\LogShare.

Si la gestion de comptes RADIUS choue en raison dun lecteur de disque dur plein ou pour dautres
motifs, le serveur NPS cesse de traiter les demandes de connexion, ce qui empche les utilisateurs
daccder aux ressources rseau.

Le serveur NPS vous permet denregistrer des journaux dans une base de donnes SQL Server en plus,
ou la place, de lenregistrement dans un fichier local.

Remarque : Si vous ne spcifiez pas un chemin daccs complet dans le rpertoire


du fichier journal, le chemin par dfaut est utilis. Par exemple, si vous tapez NPSLogFile
dans le rpertoire du fichier journal, le fichier se trouve lemplacement
%systemroot%\System32\NPSLogFile.

Configuration des proprits des fichiers journaux

Pour configurer les proprits des fichiers journaux laide de linterface Windows, procdez comme suit :
1.

Ouvrez le composant logiciel enfichable MMC Serveur NPS.

2.

Dans larborescence de la console, cliquez sur Gestion.

3.

Dans le volet dinformations, cliquez sur Modifier les proprits du fichier journal.

4.

Dans Proprits du fichier journal, sur longlet Fichier journal, dans Rpertoire, tapez
lemplacement o vous souhaitez stocker les fichiers journaux NPS. Lemplacement par dfaut est
le dossier systemroot\System32\LogFiles.

5.

Dans Format, slectionnez Compatible DTS, ODBC (hrit) et IAS (hrit).

6.

Pour configurer le serveur NPS de manire dmarrer de nouveaux fichiers journaux des intervalles
spcifis, cliquez sur lintervalle que vous souhaitez utiliser :

Pour un volume de transaction lourd et des activits de journalisation importantes, cliquez sur
Chaque jour.

Pour des volumes de transaction et des activits de journalisation moindres, cliquez sur
Hebdomadaire ou Tous les mois.

Pour stocker toutes les transactions dans un fichier journal, cliquez sur Jamais (taille de fichier
non limite).

Pour limiter la taille de chaque fichier journal, cliquez sur Lorsque le fichier journal atteint
cette taille, puis tapez une taille de fichier. La taille par dfaut est de 10 mgaoctets (Mo).

7.

Pour configurer le serveur NPS de manire supprimer automatiquement des fichiers journaux
lorsque le disque est plein, cliquez sur Lorsque le disque est plein, supprimer les anciens fichiers
journaux. Si le fichier journal le plus ancien est le fichier journal actif, il nest pas supprim.

Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.

Configuration de la journalisation SQL Server


Vous pouvez configurer NPS pour excuter la
gestion de comptes RADIUS dans une base de
donnes SQL Server. Vous pouvez utiliser cette
procdure pour configurer les proprits de
journalisation et la connexion au serveur,
excutant SQL Server, qui stocke vos donnes
de comptes. La base de donnes SQL Server
peut se trouver sur lordinateur local ou sur un
serveur distant.
Remarque : Le serveur NPS met en
forme les donnes de comptes en tant que
document XML, puis envoie ce document la procdure stocke report_event dans la base de
donnes SQL Server que vous dsignez dans le serveur NPS. Pour que la journalisation SQL Server
fonctionne correctement, vous devez avoir une procdure stocke nomme report_event dans la
base de donnes SQL Server qui peut recevoir les documents XML du serveur NPS et les analyser.

Configuration de la journalisation SQL Server dans le serveur NPS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-27

Pour configurer la journalisation SQL Server dans le serveur NPS laide de linterface Windows, procdez
comme suit :
1.

Ouvrez le composant logiciel enfichable MMC Serveur NPS.

2.

Dans larborescence de la console, cliquez sur Gestion.

3.

Dans le volet dinformations, cliquez sur Modifier les proprits de journalisation SQL Server.
La bote de dialogue Proprits de journalisation SQL Server souvre.

4.

Dans Enregistrer les informations suivantes, slectionnez les informations enregistrer :

5.

Pour journaliser toutes les demandes de comptes, cliquez sur Demandes de comptes.

Pour journaliser les demandes dauthentification, cliquez surDemandes dauthentification.

Pour journaliser le statut priodique, tel que les demandes de comptes intrimaires, cliquez sur
Statut de gestion de compte priodique.

Pour journaliser le statut priodique, tel que les demandes dauthentification intrimaires, cliquez
sur Statut dauthentification priodique.

Pour configurer le nombre de sessions simultanes que vous souhaitez autoriser entre le serveur NPS
et la base de donnes SQL Server, tapez un nombre dans Nombre maximal de sessions
simultanes.

6.

7.

Cliquez sur Configurer pour configurer la source de donnes SQL Server. La bote de dialogue
Proprits de liaison de donnes souvre. Sous longlet Connexion, indiquez les informations
suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-28 Installation, configuration et rsolution des problmes du rle de serveur NPS

Pour spcifier le nom du serveur sur lequel la base de donnes est stocke, tapez ou slectionnez
un nom dans Slectionnez un serveur ou entrez un nom de serveur.

Pour spcifier la mthode dauthentification avec laquelle se connecter au serveur, cliquez sur
Scurit intgre de Windows NT ou sur Utiliser un nom dutilisateur et mot de passe
spcifiques, puis saisissez vos informations didentification Nom dutilisateur et Mot de passe.

Pour autoriser un mot de passe vide, cliquez sur Mot de passe vide.

Pour stocker le mot de passe, cliquez sur Autoriser lenregistrement du mot de passe.

Pour spcifier quelle base de donnes se connecter sur lordinateur SQL Server, cliquez sur
Slectionnez la base de donnes sur le serveur, puis slectionnez un nom de base de donnes
dans la liste.

Pour tester la connexion entre le serveur NPS et lordinateur sur lequel sexcute SQL Server, cliquez
sur Tester la connexion.

Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.

Configuration des vnements NPS enregistrer dans lObservateur


dvnements
Vous pouvez configurer la journalisation des
vnements NPS de manire enregistrer les
vnements dchec et de russite des demandes
de connexion dans le journal systme Observateur
dvnements.

Configuration de la journalisation
des vnements NPS
Pour configurer la journalisation des vnements
NPS laide de linterface Windows, procdez
comme suit :
1.

Ouvrez le composant logiciel enfichable


Serveur NPS (Network Policy Server).

2.

Cliquez avec le bouton droit sur NPS (Local), puis cliquez sur Proprits.

3.

Sous longlet Gnral, cochez la case des deux options suivantes, selon les besoins, puis cliquez
sur OK:
o

Demandes dauthentification rejetes

Demandes dauthentification russies

Remarque : pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine ou du groupe Administrateurs de lentreprise.

laide des journaux des vnements dans lObservateur dvnements, vous pouvez analyser les
erreurs NPS et dautres vnements enregistrs par le serveur NPS selon vos spcifications.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

8-29

Le serveur NPS enregistre les vnements dchec des demandes de connexion dans les journaux systme
et les journaux des vnements de scurit par dfaut. Les vnements dchec des demandes de
connexion se composent des demandes refuses ou ignores par le serveur NPS. Dautres vnements
dauthentification NPS sont enregistrs dans le journal systme de lObservateur dvnements en
fonction des paramtres que vous spcifiez dans le composant logiciel enfichable Serveur NPS. Par
consquent, le journal de scurit de lObservateur dvnements peut enregistrer certains vnements
qui contiennent des donnes sensibles.

vnements dchec des demandes de connexion

Bien que le serveur NPS enregistre les vnements dchec des demandes de connexion par dfaut, vous
pouvez modifier la configuration en fonction de vos besoins de journalisation. Le serveur NPS refuse
ou ignore des demandes de connexion pour diverses raisons, en particulier :

La mise en forme du message RADIUS nest pas conforme au document RFC 2865 ou 2866.

Le client RADIUS est inconnu.

Le client RADIUS a plusieurs adresses IP et a envoy la demande sur une adresse autre que celle
dfinie dans NPS.

Lauthentificateur de message (aussi appel signature numrique) que le client a envoy nest pas
valide car le secret partag nest pas valide.

Le serveur NPS na pas pu localiser le domaine du nom dutilisateur.

Le serveur NPS na pas pu se connecter au domaine du nom dutilisateur.

Le serveur NPS na pas pu accder au compte dutilisateur dans le domaine.

Lorsque le serveur NPS refuse une demande de connexion, les informations dans le texte dvnement
contiennent le nom dutilisateur, les identificateurs de serveur daccs, le type dauthentification, le nom
de la stratgie rseau correspondante, la raison du refus et dautres informations.

vnements de russite des demandes de connexion

Bien que le serveur NPS enregistre les vnements de russite des demandes de connexion par dfaut,
vous pouvez modifier la configuration en fonction de vos besoins de journalisation.

Lorsque le serveur NPS accepte une demande de connexion, les informations dans le texte dvnement
contiennent le nom de lutilisateur, les identificateurs de serveur daccs, le type dauthentification et
le nom de la premire stratgie rseau correspondante.

Journalisation des vnements Schannel

Schannel (Secure channel) est un fournisseur SSP (Security Support Provider) qui prend en charge un jeu
de protocoles de scurit Internet, notamment SSL et TLS. Ces protocoles assurent lauthentification des
identits et garantissent des communications scurises et prives grce au chiffrement.
La journalisation dchecs de la validation de certificats clients est un vnement de canal scuris et
nest pas activ par dfaut sur le serveur NPS. Vous pouvez activer des vnements de canal scuris
supplmentaires en remplaant la valeur 1 (type REG_DWORD, donnes 0x00000001) de la cl de
Registre suivante par la valeur 3 (type REG_DWORD, donnes 0x00000003) :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogg
ing

Atelier pratique : Installation et configuration


dun serveur NPS
Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

8-30 Installation, configuration et rsolution des problmes du rle de serveur NPS

A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes sont situs London pour assister le
bureau de Londres et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.
A. Datum dveloppe sa solution daccs distant dans toute lorganisation. Cette opration ncessite la
mise en place de plusieurs serveurs VPN situs diffrents endroits pour assurer la connectivit des
employs. Vous tes charg de mettre en place les tches ncessaires pour prendre en charge ces
connexions VPN.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

installer et configurer NPS pour prendre en charge RADIUS ;

configurer et tester un client RADIUS.

Configuration de latelier pratique


Dure approximative : 60 minutes

Ordinateurs virtuels

22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2

Nom dutilisateur

ADATUM\Administrateur

Mot de passe

Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


9-1

Module 9
Implmentation de la protection daccs rseau
Table des matires :
Vue d'ensemble du module

9-1

Leon 1 : Vue densemble de la protection daccs rseau

9-2

Leon 2 : Vue densemble des processus de contrainte de mise


en conformit NAP

9-8

Leon 3 : Configuration de NAP

9-16

Leon 4 : Analyse et rsolution des problmes du systme NAP

9-22

Atelier pratique : Implmentation de la protection daccs rseau

9-27

Contrle des acquis et lments retenir

9-34

Vue densemble du module


La scurit de votre rseau nest pas meilleure que celle de lordinateur le moins scuris connect.
Beaucoup de programmes et doutils existent pour vous aider scuriser les ordinateurs connects
au rseau, tels que des logiciels de dtection de programme malveillant ou antivirus. Cependant, si le
logiciel sur certains de vos ordinateurs nest pas jour, ou nest pas activ ou configur correctement,
ces ordinateurs prsentent alors un risque de scurit.

Il est relativement facile de maintenir la configuration et la mise jour des ordinateurs qui restent
dans lenvironnement de bureau et qui sont toujours connects au mme rseau. Il est moins facile
de contrler les ordinateurs qui se connectent diffrents rseaux, en particulier les rseaux non grs.
Il est par exemple difficile de contrler les ordinateurs portables que les utilisateurs utilisent pour se
connecter aux rseaux des clients ou aux points daccs Wi-Fi publics. En outre, les ordinateurs non grs
qui cherchent se connecter distance votre rseau (les utilisateurs se connectant partir de leurs
ordinateurs personnels, par exemple) posent galement une difficult.
La protection daccs rseau (NAP) vous permet de crer des stratgies personnalises de spcifications
dintgrit pour valider lintgrit des ordinateurs avant de permettre laccs ou la communication. En
outre, la protection daccs rseau (NAP) met automatiquement jour les ordinateurs pour vrifier leur
conformit, et peut limiter laccs aux ordinateurs non conformes un rseau restreint jusqu ce quils
deviennent conformes.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

dcrire comment la protection daccs rseau (NAP) peut aider protger votre rseau ;

dcrire les divers processus de contrainte de mise en conformit NAP ;

configurer les services NAP ;

analyser le service NAP et rsoudre les problmes ventuels.

Implmentation de la protection daccs rseau

Leon 1

Vue densemble de la protection daccs rseau

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-2

NAP est une plateforme dapplication de stratgies qui est intgre aux systmes dexploitation
Windows 8, Windows 7, Windows Vista, Windows XP avec Service Pack 3 (SP3), Windows Server 2008,
Windows Server 2008 R2 et Windows Server 2012. NAP vous permet de protger plus efficacement les
ressources du rseau en mettant en uvre la conformit des spcifications dintgrit systme. NAP
fournit les composants logiciels ncessaires pour garantir que les ordinateurs qui sont connects ou qui se
connectent au rseau restent grables, afin quils nentranent aucun risque de scurit pour le rseau de
lentreprise ou les autres ordinateurs connects.
Le fait de comprendre la fonctionnalit et les limitations de la protection daccs rseau (NAP) vous aide
protger votre rseau contre les risques de scurit poss par les ordinateurs non conformes.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Expliquez comment vous pouvez utiliser la protection daccs rseau (NAP) pour appliquer les
exigences dintgrit des ordinateurs.

Dcrivez les scnarios dans lesquels vous utiliseriez la protection daccs rseau (NAP).

Dcrivez les mthodes de contrainte de mise en conformit NAP.

Dcrivez larchitecture dune infrastructurerseau qui prend en charge la protection daccs


rseau (NAP).

Quest-ce que la protection daccs rseau ?


NAP fournit des composants et une interface
de programmation dapplications (API) qui
permettent dimposer la conformit aux stratgies
de spcification dintgrit de lentreprise pour la
communication ou laccs rseau.
NAP vous permet de crer des solutions de
validation des ordinateurs qui se connectent vos
rseaux, et de fournir les mises jour ncessaires
ou laccs aux ressources de mise jour de
lintgrit. En outre, NAP vous permet de limiter
laccs ou la communication des ordinateurs non
conformes.
Vous pouvez intgrer les fonctionnalits de contrainte de mise en conformit de la protection daccs
rseau (NAP) des logiciels dautres fournisseurs ou des programmes personnaliss.

Il est important de garder lesprit que NAP ne protge pas un rseau des utilisateurs malveillants.
Elle vous permet plutt dassurer automatiquement lintgrit des ordinateurs en rseau de votre
organisation, ce qui contribue garantir lintgrit gnrale du rseau. Par exemple, si un ordinateur
inclut tous les logiciels et les paramtres de configuration quimpose la stratgie de contrle dintgrit,
lordinateur est conforme et bnficie alors dun accs illimit au rseau. Toutefois, la protection daccs
rseau nempche pas un utilisateur autoris quip dun ordinateur conforme de tlcharger un
programme malveillant sur le rseau ou dentreprendre dautres actions inappropries.

Procdure dutilisation de NAP


Vous pouvez utiliser NAP de trois faons diffrentes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-3

Pour valider ltat dintgrit. Lorsquun ordinateur tente de se connecter au rseau, NAP valide son
tat dintgrit par rapport aux stratgies de spcification dintgrit que ladministrateur dfinit.
Vous pouvez galement dfinir laction entreprendre en cas de non-conformit dun ordinateur.
Dans un environnement danalyse uniquement, ltat dintgrit de tous les ordinateurs est valu,
et ltat de conformit de chaque ordinateur est consign par NAP des fins danalyse. Dans un
environnement avec accs limit, les ordinateurs qui rpondent aux stratgies de spcification
dintgrit bnficient dun accs rseau illimit. Quant aux ordinateurs qui ne rpondent pas aux
stratgies de spcification dintgrit, leur accs peut tre limit un rseau restreint.

Pour appliquer les stratgies de contrle dintgrit. pour garantir la conformit aux stratgies de
spcification dintgrit, vous pouvez choisir de mettre automatiquement jour les ordinateurs non
conformes en leur appliquant les mises jour logicielles manquantes ou les modifications de
configuration par le biais de logiciels de gestion, tels que Microsoft System Center Configuration
Manager. Dans un environnement danalyse uniquement, NAP garantit que les ordinateurs peuvent
mettre jour laccs au rseau avant de recevoir les modifications de configuration ou les mises jour
requises. Dans un environnement avec accs limit, les ordinateurs non conformes bnficient dun
accs limit tant que les mises jour et les modifications de configuration nont pas t effectues.
Dans les deux environnements, les ordinateurs compatibles avec NAP peuvent devenir conformes
automatiquement, et vous pouvez dfinir des exceptions pour les ordinateurs non compatibles
avec NAP.

Pour limiter laccs rseau. Vous pouvez protger vos rseaux en limitant laccs des ordinateurs
non conformes. Vous pouvez spcifier un accs rseau limit en fonction dune dure spcifique ou
des ressources auxquelles lordinateur non conforme peut accder. Dans ce dernier cas, vous devez
dfinir un rseau restreint contenant les ressources de mise jour de lintgrit, et laccs restera
limit tant que lordinateur non conforme naura pas atteint un tat de conformit. Vous pouvez
galement configurer des exceptions afin que laccs rseau des ordinateurs non compatibles
avec NAP ne soit pas limit.

Scnarios de protection daccs rseau


La protection daccs rseau (NAP) fournit une
solution pour les scnarios courants, tels que les
ordinateurs portables demploys itinrants, les
ordinateurs de bureau, les ordinateurs portables
de visiteurs et des ordinateurs non grs. En
fonction de vos besoins, vous pouvez configurer
pour votre rseau une solution adapte certains
ou tous ces scnarios.

Implmentation de la protection daccs rseau

Ordinateurs portables des employs itinrants

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-4

La portabilit et la souplesse constituent deux avantages essentiels dun ordinateur portable, mais ces
caractristiques gnrent galement un risque en termes dintgrit du systme. En effet, les utilisateurs
connectent souvent leurs ordinateurs portables dautres rseaux. Lorsque les utilisateurs sont loin de
lorganisation, leurs ordinateurs portables ne peuvent pas forcment recevoir les mises jour logicielles ou
les modifications de configuration les plus rcentes. En outre, lexposition des rseaux non protgs, tels
quInternet, peut introduire des risques lis la scurit dans les ordinateurs portables. NAP vous permet
de vrifier ltat dintgrit de nimporte quel ordinateur portable lorsquil est reconnect au rseau de
lorganisation, que ce soit via une connexion VPN, une connexion Windows 8 DirectAccess ou une
connexion rseau sur le lieu de travail.

Ordinateurs de bureau

Bien que les ordinateurs de bureau restent en gnral dans lenceinte de lentreprise, ils peuvent tout de
mme prsenter un risque pour le rseau. Pour minimiser ce risque, vous devez garder ces ordinateurs
jour en installant les mises jour et les logiciels requis les plus rcents. Dans le cas contraire, ces
ordinateurs sont susceptibles dtre infects par des sites Web, des messages lectroniques, des fichiers
de dossiers partags et dautres ressources auxquelles tous les utilisateurs peuvent accder. Vous pouvez
utiliser NAP pour automatiser les contrles de ltat dintgrit afin de vrifier la conformit de chaque
ordinateur de bureau aux stratgies de spcification dintgrit. Vous pouvez consulter les fichiers
journaux pour identifier les ordinateurs qui ne sont pas conformes. En outre, lutilisation de logiciels de
gestion vous permet de gnrer des rapports automatiques et dassurer automatiquement la mise jour
des ordinateurs non conformes. Lorsque vous modifiez des stratgies de spcification dintgrit, vous
pouvez configurer NAP pour fournir automatiquement les mises jour les plus rcentes aux ordinateurs.

Ordinateurs portables des visiteurs

Les organisations sont frquemment amenes autoriser des consultants, des partenaires commerciaux
et des invits se connecter leurs rseaux privs. Il est possible que les ordinateurs portables que ces
visiteurs amnent dans votre organisation ne rpondent pas aux spcifications dintgrit systme et
prsentent des risques dintgrit. NAP vous permet de dterminer quels ordinateurs portables de
visiteurs ne sont pas conformes et de limiter leur accs un rseau restreint. En rgle gnrale, vous
nexigez ni ne fournissez aucune mise jour ou modification de configuration pour les ordinateurs
portables de visiteurs. Vous pouvez configurer un accs Internet pour ces ordinateurs portables, mais pas
pour dautres ordinateurs dorganisation bnficiant dun accs limit.

Ordinateurs non grs destins un usage priv

Les ordinateurs privs non grs qui nappartiennent pas au domaine Active Directory de la socit
peuvent se connecter un rseau dentreprise gr par le biais dune connexion VPN. Les ordinateurs
privs non grs constituent une difficult supplmentaire car vous ne pouvez pas y accder
physiquement. Du fait de labsence daccs physique, la mise en conformit aux spcifications dintgrit
(comme lutilisation dun antivirus) se rvle plus difficile. Toutefois, NAP vous permet de vrifier ltat
dintgrit dun ordinateur destin un usage priv chaque fois quil tablit une connexion VPN au
rseau de lentreprise, et de limiter son accs un rseau restreint jusqu ce quil rponde aux
spcifications dintgrit du systme.

Mthodes de contrainte de mise en conformit NAP


Les composants de linfrastructure NAP (appels
clients de contrainte de mise en conformit et
serveurs de contrainte de mise en conformit )
requirent une validation de ltat dintgrit et
appliquent un accs rseau limit pour les
ordinateurs non conformes. Windows 8,
Windows 7, Windows Vista, Windows XP avec SP3,
Windows Server 2008, Windows Server 2008 R2
et Windows Server 2012 comprennent la prise en
charge NAP pour laccs rseau suivant ou les
mthodes de communication suivantes :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-5

Trafic protg par le protocole IPsec. La


contrainte de mise en conformit IPsec (Internet Protocol security) restreint la communication aux
ordinateurs conformes une fois quils se sont correctement connects et quils ont obtenu une
configuration dadresse IP valide. La contrainte de mise en conformit IPsec constitue la forme
de communication ou daccs rseau limit la plus puissante de la protection daccs rseau.

Connexions rseau authentifies par le protocole IEEE (Institute of Electrical and Electronics
Engineers) 802.1X. La contrainte de mise en conformit IEEE 802.1X requiert quun ordinateur soit
conforme pour obtenir un accs rseau illimit via une connexion rseau authentifie IEEE 802.1X.
Les exemples de ce type de connexion rseau comprennent un commutateur dauthentification
Ethernet ou un point daccs sans fil IEEE 802.11.

Connexions VPN daccs distance. La contrainte de mise en conformit VPN ncessite quun
ordinateur soit conforme pour pouvoir obtenir un accs rseau illimit via une connexion VPN
daccs distance. Pour les ordinateurs non conformes, laccs rseau est limit au moyen dun jeu
de filtres de paquets IP que le serveur VPN applique la connexion VPN.

Connexions DirectAccess. Les connexions DirectAccess ncessitent quun ordinateur soit conforme
pour pouvoir obtenir un accs rseau illimit via un serveur DirectAccess. Pour les ordinateurs non
conformes, laccs rseau est limit lensemble dordinateurs qui sont dfinis comme serveurs
dinfrastructure laide du tunnel dinfrastructure. Les ordinateurs conformes peuvent crer le tunnel
intranet distinct qui offre un accs illimit aux ressources intranet. Les connexions DirectAccess
utilisent la mise en conformit IPsec.

Configurations dadresses DHCP (Dynamic Host Configuration Protocol). La contrainte de mise en


conformit par DHCP ncessite quun ordinateur soit conforme pour pouvoir obtenir une
configuration IPv4 (Internet Protocol version 4) illimite partir dun serveur DHCP. Pour les
ordinateurs non conformes, laccs rseau est limit par une configuration dadresse IPv4 qui limite
laccs au rseau restreint.

Ces accs rseau ou ces mthodes de communication, ou ces mthodes de contrainte de mise
en conformit NAP sont utiles sparment ou ensemble pour limiter laccs ou la communication
des ordinateurs non conformes. Un serveur qui excute NPS (Network Policy Server) dans
Windows Server 2012 agit en tant que serveur de stratgie de contrle dintgrit pour toutes
ces mthodes de contrainte de mise en conformit NAP.

Implmentation de la protection daccs rseau

Architecture de la plateforme NAP


Le tableau suivant dcrit les composants dune
infrastructure rseau qui prend en charge la
protection daccs rseau (NAP).

Composants
Clients NAP
Points de contrainte
de mise en
conformit NAP

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-6

Ces ordinateurs prennent en charge la plateforme NAP pour la communication


et la validation avant laccs rseau dun contrle dintgrit systme.
Il sagit dordinateurs ou de priphriques daccs rseau qui utilisent la
protection daccs rseau (NAP) ou que vous pouvez utiliser avec NAP pour
exiger lvaluation de ltat dintgrit dun client NAP et assurer des
communications ou un accs rseau restreints. Les points de contrainte de
mise en conformit NAP utilisent un serveur NPS qui joue le rle de serveur
de stratgie de contrle dintgrit NAP pour valuer ltat dintgrit des
clients NAP, pour dterminer si la communication ou laccs rseau sont
autoriss et pour dfinir les actions de mise jour quun client NAP non
conforme doit excuter.
Les points de contrainte de mise en conformit NAP sont les suivants :
o

Autorit HRA (Health Registration Authority). Ordinateur excutant


Windows Server 2012 et les Services Internet (IIS), et qui obtient des
certificats dintgrit dune autorit de certification pour les ordinateurs
conformes.

Serveur VPN. Ordinateur excutant Windows Server 2012 et le service


Routage et accs distant, qui autorise les connexions intranet VPN
daccs distance via laccs distance.

Serveur DHCP. Ordinateur excutant Windows Server 2012 et le service


Serveur DHCP, et qui fournit une configuration dadresse IPv4 (Internet
Protocol version 4) automatique aux clients intranet DHCP.

Priphriques daccs rseau. Commutateurs Ethernet ou de points


daccs sans fil qui prennent en charge lauthentification IEEE 802.1X.

(suite)
Composants

Description

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-7

Serveurs de stratgie
de contrle
dintgrit NAP

Ordinateurs excutant Windows Server 2012 et le service NPS, qui stockent les
stratgies de spcification dintgrit et qui assurent la validation de ltat
dintgrit pour la protection daccs rseau. Le service NPS remplace le
service dauthentification Internet (IAS), ainsi que le serveur et le proxy RADIUS
(Remote Authentication Dial-In User Service) de Windows Server 2003.
Le service NPS fait galement office de serveur dauthentification,
dautorisation et dadministration (AAA) pour laccs rseau. Lorsquil agit en
tant que serveur AAA ou serveur de stratgie de contrle dintgrit NAP, le
service NPS sexcute gnralement sur un serveur indpendant pour
permettre la configuration centralise des stratgies daccs rseau et de
spcification dintgrit. Le service NPS sexcute galement sur les points de
contrainte de mise en conformit NAP (selon Windows Server 2012) qui ne
comportent pas dordinateur client RADIUS intgr, comme un serveur HRA
ou DHCP. Toutefois, dans ces configurations, le service NPS agit en tant que
proxy RADIUS pour changer des messages RADIUS avec un serveur de
stratgie de contrle dintgrit NAP.

Serveurs de
spcification
dintgrit

Ces ordinateurs fournissent ltat dintgrit systme actuel pour les serveurs
de stratgie de contrle dintgrit NAP. Il peut sagir, par exemple, dun
serveur de spcification dintgrit pour un antivirus qui dtecte la version la
plus rcente du fichier de signature antivirus.

AD DS

Ce service dannuaire Windows stocke les proprits et les informations


didentification de compte, ainsi que des paramtres de stratgie de groupe.
Bien que le service Active Directory ne soit pas requis pour la validation de
ltat dintgrit, il est indispensable pour les communications protges par
la scurit IPsec, pour les connexions authentifies par le protocole 802.1X
et pour les connexions VPN daccs distance.

Priphriques 802.1X

Commutateur dauthentification Ethernet ou point daccs sans fil IEEE 802.11.

Rseau restreint

Il sagit dun rseau logique ou physique qui contient les lments suivants :
o

Serveurs de mise jour. Ces ordinateurs contiennent des ressources de


mise jour dintgrit auxquelles les clients NAP peuvent accder pour
mettre jour leur tat non conforme. Cest le cas notamment des
serveurs de distribution de signatures antivirus et des serveurs de mises
jour de logiciels.

Clients NAP dots dun accs limit. Ces ordinateurs sont placs sur le
rseau restreint lorsquils ne sont pas conformes aux stratgies de
spcification dintgrit.

Implmentation de la protection daccs rseau

Leon 2

Vue densemble des processus de contrainte de mise


en conformit NAP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-8

Lorsquun client tente daccder au rseau ou de communiquer sur ce dernier, il doit prsenter son tat
dintgrit systme ou prouver sa conformit la stratgie de contrle dintgrit. Si un client ne peut pas
prouver quil est conforme aux spcifications dintgrit systme (quil comporte, par exemple, les mises
jour dantivirus et du systme dexploitation les plus rcentes), vous pouvez alors limiter son accs ou sa
communication sur le rseau contenant des ressources de serveur. Vous pouvez limiter cet accs jusqu
ce que les problmes de conformit soient rsolus. Une fois que les mises jour ont t installes, le client
demande laccs au rseau ou tente dtablir nouveau la communication. Sil est conforme, le client
reoit alors un accs illimit au rseau, ou les communications sont autorises.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire les processus de contrainte de mise en conformit NAP gnraux ;

prsenter la contrainte de mise en conformit IPsec ;

dcrire la contrainte de mise en conformit 802.1X ;

expliquer la contrainte de mise en conformit VPN ;

prsenter la contrainte de mise en conformit DHCP ;

Processus de contrainte de mise en conformit NAP


Quelle que soit la contrainte de mise en
conformit NAP que vous slectionnez, plusieurs
des communications client/serveur sont courantes.
Les points suivants rsument ces communications :

Entre un client NAP et une autorit HRA


Le client NAP envoie ltat dintgrit actuel
de systme au HRA et demande un certificat
dintgrit. Si le client NAP est conforme,
lautorit HRA dlivre un certificat dintgrit
au client NAP. Si le client nest pas conforme,
lautorit HRA dlivre des instructions de mise
jour dintgrit au client NAP.

Entre un client NAP et un serveur de mise jour


Mme si le client NAP dispose dun accs intranet illimit, il accde au serveur de mise jour pour
vrifier quil reste conforme. Si le client NAP bnficie dun accs limit, il communique avec le
serveur de mise jour pour devenir conforme, en fonction des instructions du serveur de stratgie
de contrle dintgrit NAP.

Entre une autorit HRA et un serveur de stratgie de contrle dintgrit NAP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-9

Lautorit HRA envoie des messages RADIUS qui contiennent ltat dintgrit systme du client NAP
au serveur de stratgie de contrle dintgrit NAP. Le serveur de stratgie de contrle
dintgrit NAP envoie des messages RADIUS pour indiquer que le client NAP a :

Un accs illimit parce quil est conforme. En fonction de la rponse, lautorit HRA obtient
un certificat dintgrit et lenvoie au client NAP.

Un accs limit jusqu ce quil excute des fonctions de mise jour. En fonction de la rponse,
lautorit HRA ne dlivre pas de certificat dintgrit au client NAP.

Entre un priphrique daccs rseau 802.1X et un serveur de stratgie de contrle dintgrit NAP

Le priphrique daccs rseau 802.1X envoie des messages RADIUS pour transfrer les messages
PEAP (Protected Extensible Authentication Protocol) envoys par un client NAP 802.1X. Le serveur de
stratgie de contrle dintgrit NAP envoie des messages RADIUS pour :

indiquer que le client 802.1X dispose dun accs illimit car il est conforme ;

indiquer un profil daccs limit et placer le client 802.1X sur le rseau restreint jusqu ce quil
excute des fonctions de mise jour ;

envoyer des messages PEAP au client 802.1X.

Entre un serveur VPN et un serveur de stratgie de contrle dintgrit NAP

Le serveur VPN envoie des messages RADIUS pour transfrer les messages PEAP qui sont envoys par
un client NAP utilisant une connexion VPN. Le serveur de stratgie de contrle dintgrit NAP envoie
des messages RADIUS pour :

indiquer que le client VPN dispose dun accs illimit car il est conforme ;

indiquer que le client VPN dispose dun accs limit au moyen dun jeu de filtres de paquets IP
appliqus la connexion VPN ;

envoyer des messages PEAP au client VPN.

Entre un serveur DHCP et un serveur de stratgie de contrle dintgrit NAP

Le serveur DHCP envoie des messages RADIUS qui contiennent ltat dintgrit systme du client
DHCP au serveur de stratgie de contrle dintgrit NAP. Le serveur de stratgie de contrle
dintgrit NAP envoie des messages RADIUS au serveur DHCP pour indiquer que le client DHCP a :

Un accs illimit parce quil est conforme.

Un accs limit jusqu ce quil excute des fonctions de mise jour.

Entre un serveur de stratgie de contrle dintgrit NAP et un serveur de spcification dintgrit :


Lorsque vous validez laccs rseau dun client NAP, le serveur de stratgie de contrle
dintgrit NAP peut tre amen contacter un serveur de spcification dintgrit pour obtenir
des informations sur les spcifications actuelles de lintgrit systme.

Communication base sur le type de contrainte


Selon le type de contrainte slectionn, la communication suivante est tablie :

Entre un client NAP et un priphrique daccs rseau 802.1X

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-10 Implmentation de la protection daccs rseau

Le client NAP effectue lauthentification de la connexion 802.1X, puis fournit ltat actuel de lintgrit
systme au serveur de la stratgie de contrle dintgrit NAP.
Le serveur de stratgie de contrle dintgrit NAP fournit soit des instructions de mise jour (car le
client 802.1X nest pas conforme) ou indique que le client 802.1X dispose dun accs rseau illimit.
La protection daccs rseau (NAP) route ces messages par le priphrique daccs rseau 802.1X.

Entre un client NAP et un serveur VPN


Le client NAP qui agit comme un client VPN indique son tat dintgrit systme actuel au serveur
de stratgie de contrle dintgrit NAP.

Le serveur de stratgie de contrle dintgrit NAP rpond par des messages pour fournir soit les
instructions de mise jour (car le client VPN nest pas conforme) soit pour indiquer que le client VPN
dispose dun accs intranet illimit.
La protection daccs rseau (NAP) route ces messages par le serveur VPN.

Entre un client NAP et un serveur DHCP


Le client NAP (galement client DHCP) communique avec le serveur DHCP pour obtenir une
configuration dadresse IPv4 valide et pour indiquer son tat dintgrit systme actuel.

Le serveur DHCP alloue une configuration dadresse IPv4 pour le rseau restreint, puis fournit les
instructions de mise jour (si le client DHCP nest pas conforme), ou une configuration dadresse IPv4
pour laccs illimit (si le client DHCP est conforme).

Contrainte de mise en conformit IPsec


Avec la contrainte de mise en conformit IPsec,
un ordinateur doit tre conforme pour tre en
mesure dtablir des communications avec
dautres ordinateurs conformes. La contrainte de
mise en conformit IPsec tirant parti de la scurit
IPsec, vous pouvez dfinir des spcifications pour
les communications protges avec les
ordinateurs conformes bases sur lune des
caractristiques de communication suivantes :

Adresse IP

Numro de port TCP (Transmission Control


Protocol)

Numro de port UDP (User Datagram Protocol)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-11

La contrainte de mise en conformit IPsec restreint la communication aux ordinateurs conformes une fois
quils se sont correctement connects et quils ont obtenu une configuration dadresse IP valide. La
contrainte de mise en conformit IPsec constitue la forme de communication ou daccs rseau limit
la plus puissante de la protection daccs rseau.
Les composants de la contrainte de mise en conformit IPsec se composent dune autorit HRA qui
excute Windows Server 2012 et dun client de contrainte de mise en conformit IPSec qui excute lun
des systmes dexploitation suivants :

Windows XP Service Pack 3

Windows Vista

Windows 7

Windows 8

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Lautorit HRA obtient des certificats X.509 pour les clients NAP lorsque ces derniers prouvent quils
sont conformes. Ces certificats dintgrit sont alors utiliss pour authentifier les clients NAP lorsquils
tablissent des communications protges par la scurit IPsec avec dautres clients NAP sur un intranet.

La contrainte de mise en conformit IPsec limite la communication des clients NAP protgs par IPsec en
rejetant les tentatives de communications entrantes envoyes par les ordinateurs qui ne peuvent pas
ngocier la protection IPsec laide de certificats dintgrit. Avec la contrainte de mise en conformit
IPsec, chaque ordinateur excute la contrainte de mise en conformit IPsec, alors quavec la contrainte de
mise en conformit 802.1X et VPN, la contrainte de mise en conformit se produit au point dentre du
rseau. tant donn que vous pouvez tirer parti des paramtres de stratgie IPsec, la contrainte de mise
en conformit de certificats dintgrit peut concerner :

tous les ordinateurs dun domaine ;

des ordinateurs spcifiques dun sous-rseau ;

un ordinateur spcifique ;

un jeu spcifique de ports TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol) ;

un jeu de ports TCP ou UDP sur un ordinateur spcifique.

lments prendre en compte pour la contrainte de mise en conformit IPsec


Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP IPsec, tenez compte
des lments ci-dessous :

La contrainte de mise en conformit IPsec est plus complexe implmenter que dautres mthodes,
car elle requiert une autorit HRA et une autorit de certification.

Aucun matriel supplmentaire nest requis pour implmenter la contrainte de mise en conformit
IPsec. Il nest pas ncessaire de mettre niveau des commutateurs ou des protocoles WAP, alors que
vous devriez le faire si vous slectionnez la contrainte de mise en conformit 802.1X.

Vous pouvez implmenter la contrainte de mise en conformit IPsec dans nimporte quel
environnement.

La contrainte de mise en conformit IPsec est trs scurise et difficile contourner.

Vous pouvez configurer IPsec pour chiffrer la communication pour plus de scurit.

La contrainte de mise en conformit IPsec est applique la communication IPv4 et IPv6.

Contrainte de mise en conformit 802.1X


Avec la contrainte de mise en conformit 802.1X
un ordinateur doit tre conforme pour pouvoir
obtenir un accs rseau illimit via une connexion
rseau authentifie par le protocole 802.1X ; par
exemple, un commutateur dauthentification
Ethernet ou un point daccs sans fil IEEE 802.11.
Pour les ordinateurs non conformes, laccs rseau
est limit au moyen dun profil daccs restreint
que le commutateur Ethernet ou le point daccs
sans fil place sur la connexion. Le profil daccs
restreint peut spcifier soit des filtres de
paquets IP, soit un identificateur de rseau local
virtuel (VLAN) qui correspond au rseau restreint. La contrainte de mise en conformit 802.1X impose
les spcifications des stratgies de contrle dintgrit chaque fois quun ordinateur tente dtablir
une connexion rseau authentifie par le protocole 802.1X. Qui plus est, la contrainte de mise en
conformit 802.1X analyse activement ltat dintgrit du client NAP connect, puis applique le profil
daccs restreint la connexion si le client devient non conforme.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-12 Implmentation de la protection daccs rseau

Les composants de la contrainte de mise en conformit 802.1X se composent de NPS dans Windows
Server 2012 et dun client de contrainte dhte de programme daide au personnel dans Windows 8,
Windows 7, Windows Vista, Windows XP Service Pack 3, Windows Server 2008, Windows Server 2008 R2,
et Windows Server 2012. La contrainte de mise en conformit 802.1X fournit laccs rseau limit fort
pour tous les ordinateurs qui accdent au rseau par une connexion 802.1X authentifie.

Pour implmenter la contrainte de mise en conformit 802.1X, vous devez vrifier que les commutateurs
rseau ou les points daccs sans fil prennent en charge lauthentification 802.1X. Les commutateurs ou
les points daccs sans fil agissent alors en tant que point de contrainte de mise en conformit pour des
clients NAP. Ltat dintgrit du client est envoy dans le cadre de la procdure dauthentification.
Quand un ordinateur nest pas conforme, le commutateur le place sur un rseau VLAN distinct ou utilise
des filtres de paquets pour restreindre laccs aux serveurs de mise jour seulement.

lments prendre en compte pour la contrainte de mise en conformit 802.1X

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-13

Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP 802.1X, tenez compte
des lments ci-dessous :

Le commutateur ou le point daccs sans fil qui se connecte avec le client isole les ordinateurs non
conformes. Ceci est trs difficile contourner, et est par consquent trs scuris.

Utilisez la contrainte de mise en conformit 802.1X pour les ordinateurs internes. Ce type de mise en
conformit est appropri pour des ordinateurs du rseau local avec des connexions cbles et sans fil.

Vous ne pouvez pas utiliser la contrainte de mise en conformit 802.1X si vos commutateurs et points
daccs sans fil ne prennent pas en charge lutilisation du protocole 802.1X pour lauthentification.

Contrainte de mise en conformit VPN


La contrainte de mise en conformit VPN impose
les spcifications des stratgies de contrle
dintgrit chaque fois quun ordinateur tente
dtablir une connexion VPN daccs distance
au rseau. Qui plus est, la contrainte de mise
en conformit VPN analyse activement ltat
dintgrit du client NAP, et applique les filtres de
paquets IP du rseau restreint la connexion VPN
si le client devient non conforme.
Les composants de la contrainte de mise en
conformit VPN comprennent le service NPS dans
Windows Server 2012 et un client de contrainte de
mise en conformit VPN qui fait partie du client daccs distance dans :

Windows 8

Windows 7

Windows Vista

Windows XP SP3

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

La contrainte de mise en conformit VPN fournit un accs rseau limit puissant pour tous les ordinateurs
qui accdent au rseau via une connexion VPN daccs distance. La contrainte de mise en conformit
VPN utilise un jeu de filtres de paquets IP daccs distance pour limiter le trafic des clients VPN, afin quil
puisse atteindre uniquement les ressources du rseau restreint. Le serveur VPN applique les filtres de
paquets IP au trafic IP quil reoit du client VPN et rejette silencieusement tous les paquets qui ne
correspondent pas un filtre de paquets configur.

lments prendre en compte pour la contrainte de mise en conformit VPN


Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP VPN tenez compte
des lments ci-dessous :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-14 Implmentation de la protection daccs rseau

La contrainte de mise en conformit VPN est la plus adapte lorsque vous utilisez dj VPN. Il est peu
probable que vous implmentiez des connexions VPN sur un rseau interne pour utiliser la contrainte
de mise en conformit VPN.

Utilisez la contrainte de mise en conformit VPN pour vous assurer que les membres du personnel se
connectant partir dordinateurs personnels nintroduisent pas de programmes malveillants dans
votre rseau. Souvent les utilisateurs ne grent pas leurs ordinateurs personnels correctement, et
ceux-ci peuvent reprsenter un risque lev. Beaucoup dutilisateurs nont pas dantivirus, ou
nappliquent pas les mises jour Windows rgulirement.

Utilisez la contrainte de mise en conformit VPN pour vous assurer que les ordinateurs portables
demploys itinrants nintroduisent pas de programmes malveillants dans votre rseau. Les
ordinateurs portables demploys itinrants sont plus sensibles aux attaques malveillantes que
les ordinateurs directement connects au rseau dentreprise, car ils ne peuvent pas forcment
tlcharger les mises jour des virus et les mises jour Windows en dehors du rseau dentreprise.
Ils sont galement plus susceptibles de se trouver dans des environnements o un programme
malveillant est prsent.

Contrainte de mise en conformit DHCP


Le serveur DHCP applique les spcifications de
la stratgie de contrle dintgrit chaque fois
quun client DHCP tente de louer ou de
renouveler une configuration dadresse IP. Qui
plus est, la contrainte de mise en conformit par
DHCP analyse activement ltat dintgrit du
client NAP et, si le client devient non conforme,
renouvelle la configuration dadresse IPv4 pour
laccs au rseau restreint uniquement, si le client
devient non conforme.
Les composants de la contrainte de mise en
conformit par DHCP se composent dun service
Contrainte de mise en conformit par DHCP qui fait partie du service Serveur DHCP dans
Windows Server 2012 et dun client de contrainte de mise en conformit par DHCP qui fait partie
du service Client DHCP dans :

Windows 8

Windows 7

Windows Vista

Windows XP SP3

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Comme la contrainte de mise en conformit par DHCP repose sur une configuration dadresse IPv4
limite quun utilisateur (bnficiant dun accs administrateur) peut remplacer, il sagit de la forme
daccs rseau limit la plus faible de la protection daccs rseau dans NAP.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-15

La configuration dadresses DHCP limite laccs rseau du client DHCP via sa table de routage IPv4. tant
donn que la contrainte de mise en conformit par DHCP dfinit la valeur 0.0.0.0 pour loption Router
DHCP, aucune passerelle par dfaut nest configure pour lordinateur non conforme. La contrainte de
mise en conformit par DHCP dfinit galement le masque de sous-rseau pour ladresse IPv4 alloue
la valeur 255.255.255.255. Il nexiste donc aucun itinraire vers le sous-rseau li.

Pour permettre lordinateur non conforme daccder aux serveurs de mise jour du rseau restreint, le
serveur DHCP attribue loption DHCP Itinraires statiques sans classe. Cette option contient des itinraires
htes vers les ordinateurs du rseau restreint, tels que les serveurs DNS (Domain Name System) et de mise
jour. Le rsultat final de laccs rseau limit de DHCP est une table de configuration et de routage qui
autorise uniquement la connectivit aux adresses de destination spcifiques correspondant au rseau
restreint. Par consquent, lorsquune application tente denvoyer des donnes une adresse IPv4 unicast
(monodiffusion) diffrente de celles fournies via loption Itinraires statiques sans classe, le protocole
TCP/IP retourne une erreur de routage.

lments prendre en compte pour la contrainte de mise en conformit DHCP


Lorsque vous choisissez une mthode de contrainte de mise en conformit NAP DHCP tenez compte
des lments ci-dessous :

La contrainte de mise en conformit par DHCP est facile implmenter, et peut tre applique
nimporte quel ordinateur avec une adresse IP dynamique.

Il est facile de contourner la contrainte de mise en conformit par DHCP. Un client peut contourner la
contrainte de mise en conformit par DHCP laide dune adresse IP statique. En outre, un ordinateur
non conforme pourrait ajouter des itinraires htes statiques pour atteindre les serveurs qui ne sont
pas des serveurs de mise jour.

La contrainte de mise en conformit par DHCP nest pas possible pour des clients IPv6. Si les
ordinateurs de votre rseau utilisent les adresses IPv6 pour communiquer, la contrainte de mise en
conformit par DHCP est inefficace.

Leon 3

Configuration de NAP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-16 Implmentation de la protection daccs rseau

Si vous souhaitez que votre dploiement de NAP fonctionne de faon optimale, il est important que vous
compreniez ce que chacun des composants de protection daccs rseau (NAP) fait, et comment ils
interagissent pour protger votre rseau. Si vous souhaitez protger votre rseau laide de la protection
daccs rseau (NAP), vous devez comprendre les impratifs requis en matire de configuration pour le
client NAP, comment configurer NPS en tant que serveur de la stratgie de contrle dintgrit NAP,
configurer des stratgies de contrle dintgrit et des stratgies rseau et configurer les paramtres de
client et serveur. Il est galement important de tester la protection daccs rseau (NAP) avant de lutiliser.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire les programmes de validation dintgrit systme ;

expliquer lutilisation dune stratgie de contrle dintgrit ;

expliquer lutilisation des groupes de serveurs de mise jour ;

dcrire les impratifs requis pour la configuration du client NAP ;

expliquer comment activer et configurer NAP.

Quest-ce que les programmes de validation dintgrit systme ?


Les agents dintgrit systme et les programmes
de validation dintgrit systme sont des
composants dinfrastructure de protection daccs
rseau (NAP) qui assurent la validation de ltat
dintgrit. Windows 8 inclut un programme de
validation dintgrit de la scurit Windows
qui analyse les paramtres du Centre de scurit
Windows. Windows Server 2012 inclut un
programme de validation dintgrit de la
scurit Windows correspondant.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-17

La protection daccs rseau est conue pour tre flexible et extensible, et elle peut interagir avec les
logiciels de tous les fournisseurs qui proposent des agents dintgrit systme et des programmes de
validation dintgrit systme utilisant lAPI NAP. Un programme de validation dintgrit systme reoit
une dclaration dintgrit, puis compare les informations dtat dintgrit systme fournies dans la
dclaration dintgrit ltat dintgrit systme requis. Par exemple, si la dclaration dintgrit provient
dun agent dintgrit systme dantivirus et quelle contient le dernier numro de version du fichier de
signature antivirus, le programme de validation dintgrit systme dantivirus correspondant peut
contacter le serveur de spcification dintgrit dantivirus afin dobtenir le numro de version le plus
rcent et de valider la dclaration dintgrit du client NAP.

Le programme de validation dintgrit systme renvoie une rponse la dclaration dintgrit au


serveur dadministration NAP. Cette rponse peut contenir des informations de mise jour indiquant
comment lagent dintgrit systme correspondant sur le client NAP peut rpondre aux spcifications
dintgrit systme actuelles. Par exemple, la rponse SoHR que le programme de validation dintgrit
systme dantivirus envoie peut demander lagent dintgrit systme dantivirus du client NAP de se
procurer la version la plus rcente (en fonction du nom ou de ladresse IP) du fichier de signature antivirus
auprs dun serveur de signatures antivirus spcifique.

Quest-ce quune stratgie de contrle dintgrit ?


Les stratgies de contrle dintgrit sont
composes dun ou de plusieurs programmes de
validation dintgrit systme, ainsi que dautres
paramtres, qui vous permettent de dfinir les
critres de configuration des ordinateurs clients
pour les ordinateurs compatibles avec la
protection daccs rseau qui tentent de se
connecter votre rseau.

Lorsque des clients compatibles avec la


protection daccs rseau tentent de se connecter
au rseau, lordinateur client envoie une
dclaration dintgrit au serveur NPS. La
dclaration dintgrit est un rapport de ltat de configuration du client, et le serveur NPS la compare
aux critres dfinis par la stratgie de contrle dintgrit. Si ltat de configuration du client ne rpond
pas aux critres que la stratgie de contrle dintgrit dfinit, en fonction de la configuration NAP,
le serveur NAP effectue lune des oprations suivantes :

Il rejette la demande de connexion.

Il place le client NAP sur un rseau restreint, o il peut recevoir des mises jour des serveurs de mise
jour qui procdent la mise en conformit du client avec la stratgie de contrle dintgrit. Une
fois que la conformit du client NAP a t vrifie et son nouvel tat dintgrit soumis nouveau,
NPS lui permet de se connecter.

Il autorise le client NAP se connecter au rseau bien quil ne soit pas conforme la stratgie de
contrle dintgrit.

Vous pouvez dfinir des stratgies de contrle dintgrit des clients dans le service NPS en ajoutant un
ou plusieurs programmes de validation dintgrit systme la stratgie de contrle dintgrit.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-18 Implmentation de la protection daccs rseau

Une fois que vous avez configur une stratgie de contrle dintgrit avec un ou plusieurs programmes
de validation dintgrit systme, vous pouvez lajouter la condition Stratgies de contrle dintgrit
dune stratgie rseau que vous souhaitez utiliser pour mettre en application la protection daccs rseau
lorsque des ordinateurs clients tentent de se connecter votre rseau.

Quest-ce que les groupes de serveurs de mise jour ?


Un groupe de serveurs de mise jour est une liste
de serveurs sur le rseau restreint qui fournissent
des ressources permettant de mettre les clients
non conformes en conformit avec la stratgie
de contrle dintgrit client dfinie par vous.
Un serveur de mise jour hberge les mises jour
quun agent NAP peut utiliser pour que les
ordinateurs clients non conformes deviennent
conformes la stratgie de contrle dintgrit
dfinie par le serveur NPS. Par exemple, un serveur
de mise jour peut hberger des signatures
antivirus. Si une stratgie de contrle dintgrit
impose que les ordinateurs clients incluent les dfinitions antivirus les plus rcentes, la mise jour des
ordinateurs non conformes est assure grce linteraction des composants suivants :

un Agent dintgrit systme antivirus ;

un programme de validation dintgrit systme antivirus ;

un serveur de stratgie antivirus ;

le serveur de mise jour.

Configuration du client NAP


Gardez en mmoire les consignes de base
indiques ci-aprs lorsque vous configurez
des clients NAP :

Certains dploiements NAP qui utilisent le


programme de validation dintgrit de la
scurit Windows requirent lactivation du
Centre de scurit. Le centre de scurit nest
pas compris avec Windows Server 2008,
Windows Server 2008 R2 ou
Windows Server 2012.

Vous devez activer le service de protection


daccs rseau lorsque vous dployez
desordinateurs clients compatibles avec la protection daccs rseau.

Vous devez configurer les clients de contrainte de mise en conformit NAP sur les ordinateurs
compatibles avec la protection daccs rseau.

Activer le Centre de scurit dans la stratgie de groupe


Vous pouvez utiliser le centre de scurit dactivation dans la procdure de stratgie de groupe pour
activer le centre de scurit sur les clients compatibles avec la protection daccs rseau laide de la
Stratgie de groupe. Certains dploiements NAP qui utilisent le programme de validation dintgrit
de la scurit Windows ncessitent le Centre de scurit.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.
Pour activer le Centre de scurit dans la stratgie de groupe :
1.

Ouvrez la console Gestion des stratgies de groupe.

2.

Dans larborescence de la console, double-cliquez sur Stratgie Ordinateur Local, puis sur
Configuration ordinateur, sur Modles dadministration, sur Composants Windows, et enfin
sur Centre de scurit.

3.

Double-cliquez sur Activer le Centre de scurit (ordinateurs appartenant un domaine


uniquement), cliquez sur Activ, puis sur OK.

Activer le service de protection daccs rseau sur les clients

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-19

Vous pouvez utiliser la procdure dactivation du service de protection daccs rseau sur les clients pour
activer et configurer le service de protection daccs rseau sur des ordinateurs clients compatibles avec
la protection daccs rseau. Lorsque vous dployez la protection daccs rseau, il est indispensable
dactiver ce service.
Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe Admins
du domaine, Administrateurs de lentreprise ou Administrateurs sur lordinateur local.
Pour activer le service de protection daccs rseau sur les ordinateurs clients :
1.

Ouvrez le Panneau de configuration, cliquez sur Systme et scurit, puis sur Outils
dadministration, et double-cliquez sur Services.

2.

Dans la liste Services, faites dfiler le contenu et double-cliquez sur Agent de protection daccs
rseau.

3.

Dans la bote de dialogue Proprits de Agent de protection daccs rseau, remplacez Type
de dmarrage par Automatique, puis cliquez sur OK.

Activer et dsactiver les clients de contrainte de mise en conformit NAP


Vous pouvez utiliser la procdure dactivation et de dsactivation des clients de contrainte de mise
en conformit NAP pour activer ou dsactiver un ou plusieurs clients de contrainte de mise en
conformit NAP sur des ordinateurs compatibles avec la protection daccs rseau. Il peut sagir
des clients suivants :

client de contrainte de mise en conformit DHCP ;

client de contrainte de mise en conformit daccs distance ;

client de contrainte de mise en conformit EAP ;

client de contrainte de mise en conformit IPsec (galement utilis pour les connexions
DirectAccess) ;

client de contrainte de mise en conformit Passerelle des services Terminal Server.

Pour activer et dsactiver les clients de contrainte de mise en conformit NAP :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-20 Implmentation de la protection daccs rseau

1.

Ouvrez la console Configuration du client NAP (NAPCLCFG.MSC).

2.

Cliquez sur Clients de contrainte. Dans le volet dinformations, cliquez avec le bouton droit sur le
client de contrainte que vous souhaitez activer ou dsactiver, puis cliquez sur Activer ou Dsactiver.

Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries.
Si lordinateur est rattach un domaine, les membres du groupe Admins du domaine
peuvent peut-tre excuter la procdure. Par mesure de scurit, il est conseill deffectuer
cette procdure laide de la commande Excuter en tant que.

Dmonstration : Configuration de NAP


Cette dmonstration montre comment :

installer le rle de serveur NPS ;

configurer le serveur NPS en tant que serveur de stratgie de contrle dintgrit NAP ;

configurer les stratgies de contrle dintgrit ;

configurer des stratgies rseau pour les ordinateurs conformes ;

configurer des stratgies rseau pour les ordinateurs non conformes ;

configurer le rle de serveur DHCP pour la protection daccs rseau ;

configurer les paramtres NAP du client ;

tester NAP.

Procdure de dmonstration
Installer le rle de serveur NPS
1.

Basculez vers LON-DC1 et connectez-vous en tant quadministrateur de domaine.

2.

Ouvrez le Gestionnaire de serveur, puis installez le rle de Stratgie rseau et services daccs.

Configurer le serveur NPS en tant que serveur de stratgie de contrle


dintgrit NAP
1.

Ouvrez la console Serveur NPS.

2.

Configurez le Programme de validation dintgrit de la scurit Windows pour demander que


tous les ordinateurs sous Windows 8 excutent un pare-feu.

Configurer les stratgies de contrle dintgrit


1.

Crez une stratgie de contrle dintgrit appele Conforme qui spcifier la condition Russite
de tous les contrles SHV pour le client.

2.

Crez une autre stratgie de contrle dintgrit appele Non conformequi spcifie la condition
chec dun ou de plusieurs contrles SHV pour le client.

Configurer des stratgies rseau pour les ordinateurs conformes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-21

1.

Dsactivez les deux stratgies rseau existantes ; elles empcheraient le traitement des stratgies que
vous tes sur le point de crer.

2.

Crez une nouvelle stratgie rseau appele Conforme Accs Complet ayant une condition de
stratgie de contrle dintgrit Conforme. Un accs illimit est accord aux ordinateurs.

Configurer des stratgies rseau pour les ordinateurs non conformes

Crez une nouvelle stratgie rseau appele Non conforme-restreint ayant une condition de
stratgie de contrle dintgrit Non conforme. Un accs limit est accord aux ordinateurs.

Configurer le rle de serveur DHCP pour la protection daccs rseau


1.

Ouvrez la console DHCP.

2.

Modifiez les proprits de la porte IPv4 pour prendre en charge la protection daccs rseau.

3.

Crez une nouvelle stratgie DHCP qui alloue des options de porte DHCP appropries aux
ordinateurs non conformes. Ces options attribuent un suffixe DNS restricted.Adatum.com.

Configurer les paramtres NAP du client


1.

Activez le Client de contrainte de quarantaine DHCP sur LON-CL1.

2.

Activez le service Agent de protection daccs rseau.

3.

Utilisez la console de gestion de stratgie de groupe locale pour activer le centre de scurit.

4.

Reconfigurez LON-CL1 pour obtenir une adresse IP partir dun serveur DHCP.

Tester NAP
1.

Vrifiez la configuration obtenue avec la commande ipconfig.

2.

Dsactivez et arrtez Pare-feu Windows service.

3.

Dans la zone de barre dtat systme, cliquez sur la fentre contextuelle Protection daccs rseau.
Examinez le contenu de la bote de dialogue Protection daccs rseau. Cliquez sur Fermer.

4.

Vrifiez la configuration obtenue avec la commande ipconfig.

5.

Notez que lordinateur a un masque de sous-rseau de 255.255.255.255 et un suffixe DNS


restricted.Adatum.com. Ne fermez aucune fentre.

Leon 4

Analyse et rsolution des problmes du systme NAP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-22 Implmentation de la protection daccs rseau

Lopration de rsolution des problmes et danalyse de la structure NAP est une tche dadministration
importante en raison des diffrents niveaux de technologie, notamment de la diversit des comptences
et des connaissances pralables indispensables pour chaque mthode de contrainte de mise en
conformit NAP. Des journaux de suivi sont disponibles pour la protection daccs rseau, mais ils sont
dsactivs par dfaut. Ces journaux ont une double utilit : ils permettent de rsoudre les problmes et
dvaluer lintgrit et la scurit dun rseau.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

Dcrivez comment le suivi NAP peut aider surveiller et rsoudre la protection daccs rseau (NAP).

Expliquez comment configurer le suivi NAP.

Dpannez la protection daccs rseau (NAP) avec Netsh.

Utilisez le journal des vnements NAP pour corriger NAP.

Quest-ce que le suivi NAP ?


Outre les recommandations gnrales
prcdentes, vous pouvez utiliser la console
Configuration du client NAP pour configurer le
suivi NAP. Le suivi, qui consiste enregistrer
les vnements NAP dans un fichier journal, est
utile pour la rsolution des problmes et la
maintenance. Vous pouvez aussi utiliser les
journaux de suivi pour valuer lintgrit et la
scurit de votre rseau. Vous pouvez configurer
trois niveaux de suivi : De base, Avanc et
Dbogage.
Activez le suivi NAP quand :

Vous souhaitez rsoudre des problmes lis la protection daccs rseau.

Vous souhaitez valuer lintgrit et la scurit globales des ordinateurs de votre organisation.

En plus de la journalisation du suivi, vous pouvez afficher des journaux de gestion de comptes NPS.
Ces journaux peuvent contenir des informations utiles sur la protection daccs rseau (NAP). Par dfaut,
les journaux de gestion de comptes NPS se trouvent dans %systemroot%\system32\logfiles.
Les journaux suivants peuvent contenir des informations lies la protection daccs rseau (NAP) :

IASNAP.LOG. Ce journal contient des donnes dtailles au sujet des processus de protection daccs
rseau (NAP), de lauthentification NPS et de lautorisation NPS.

IASSAM.LOG. Ce journal contient des donnes dtailles au sujet de lauthentification utilisateur et


des autorisations.

Dmonstration : Configuration du suivi NAP


Les deux outils suivants sont disponibles pour configurer le suivi de la protection daccs rseau :
La console Configuration du client NAP, qui fait partie de linterface utilisateur Windows, et netsh
qui est un outil de ligne de commande.

Utilisation de linterface utilisateur Windows

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-23

Vous pouvez utiliser linterface utilisateur Windows afin dactiver ou de dsactiver le suivi de la protection
daccs rseau et de spcifier le niveau de dtail enregistr en procdant comme suit :
1.

Ouvrez la console Configuration du client NAP en excutant napclcfg.msc.

2.

Dans larborescence de la console, cliquez avec le bouton droit sur Configuration du client NAP
(ordinateur local), puis cliquez sur Proprits.

3.

Dans la bote de dialogue Proprits de Configuration du client NAP (ordinateur local),


slectionnez Activ ou Dsactiv.

Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries. Par mesure de
scurit, il est conseill deffectuer cette opration laide de la commande Excuter en tant que.
4.

Si loption Activ est choisie, sous Spcifier le niveau de dtails inscrire dans les journaux
de suivi, slectionnez De base, Avanc ou Dbogage.

Utilisation dun outil en ligne de commande

Pour utiliser un outil en ligne de commande afin dactiver ou de dsactiver le suivi NAP et de spcifier le
niveau de dtail enregistr, procdez comme suit :
1.

Ouvrez une invite de commandes avec lvation de privilges.

2.

Pour activer ou dsactiver le suivi NAP, effectuez lune des oprations suivantes :
o

Pour activer le suivi NAP et configurer le niveau denregistrement de base ou avanc, tapez :
netsh NAP client set tracing state=enable level =[advanced or basic]

Pour activer le suivi NAP afin de consigner des informations de dbogage, tapez : netsh NAP
client set tracing state=enable level =verbose

Pour dsactiver le suivi NAP, tapez : netsh NAP client set tracing state=disable

Remarque : Pour effectuer cette procdure, vous devez tre membre du groupe
Administrateurs sur lordinateur local ou bien disposer des autorisations appropries. Par mesure de
scurit, il est conseill deffectuer cette opration laide de la commande Excuter en tant que.

Affichage des fichiers journaux


Pour afficher les fichiers journaux, accdez au rpertoire %systemroot%\tracing\nap, puis ouvrez le
journal de suivi que vous souhaitez consulter.

Demonstration
Cette dmonstration montre comment :

configurer le suivi partir de linterface utilisateur graphique ;

configurer le suivi partir de la ligne de commande.

Procdure de dmonstration
Configurer le suivi partir de linterface utilisateur graphique
1.

Sur LON-CL1, ouvrez la console NAPCLCFG [Configuration du client NAP (ordinateur local)].

2.

partir des proprits Configuration de client NAP (ordinateur local), activez le suivi Avanc.

Configurer le suivi partir de la ligne de commande

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-24 Implmentation de la protection daccs rseau

linvite de commandes, tapez netsh NAP client set tracing state = enable et appuyez sur Entre.

Rsolution des problmes de la protection daccs rseau


Pour rsoudre des problmes de protection
daccs rseau (NAP), utilisez les outils suivants.

Commandes Netsh
Utilisez la commande de protection daccs rseau
netsh pour rsoudre des problmes de protection
daccs rseau (NAP). La commande suivante
affiche ltat dun client NAP, y compris ce
qui suit :

tat de restriction

tat des clients de contrainte

tat des agents dintgrit systme installs

Groupes de serveurs approuvs qui ont t configurs


netsh NAP client show state

La commande suivante affiche les paramtres de configuration locaux sur un client NAP, notamment :

Paramtres de chiffrement

Paramtres du client de contrainte de mise en conformit

Paramtres des groupes de serveurs approuvs

Paramtres du suivi de client qui ont t configurs


netsh NAP client show config

La commande suivante affiche les paramtres de configuration de la stratgie de groupe sur un


client NAP, notamment :

Paramtres de chiffrement

Paramtres du client de contrainte de mise en conformit

Paramtres des groupes de serveurs approuvs

Paramtres du suivi de client qui ont t configurs


netsh NAP client show group

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-25

Rsolution des problmes de la protection daccs rseau avec les journaux


dvnements
Les services NAP enregistrent les vnements lis
la protection daccs rseau dans les journaux
des vnements Windows. Pour afficher ces
vnements, ouvrez lobservateur dvnements,
slectionnez Vues personnalises, slectionnez
Rles serveur, puis Stratgie rseau et services
daccs. Les vnements suivants fournissent des
informations au sujet des services de protection
daccs rseau (NAP) qui sexcutent sur un
serveur NPS :

ID dvnement 6272. Accs accord par


serveur NPS un utilisateur.

Se produit quand un client NAP authentifie avec succs, et, selon son tat dintgrit, obtient laccs
complet ou limit au rseau.

ID dvnement 6273. Accs refus par le serveur NPS un utilisateur.


Se produit quand un problme dauthentification ou dautorisation surgit et quil est associ un
code de raison.

ID dvnement 6274. Le serveur NPS a ignor la demande dun utilisateur.

Se produit quand un problme de configuration surgit, ou si les paramtres de client RADIUS sont
incorrects ou si NPS ne peut pas crer des journaux de gestion de comptes.

ID dvnement 6276. Utilisateur mis en quarantaine par le serveur NPS.


Se produit quand la demande daccs client correspond une stratgie rseau qui est configure
avec un paramtre de contrainte de mise en conformit NAP de type Autoriser un accs limit.

ID dvnement 6277. Le serveur NPS a accord laccs un utilisateur, mais la mis en priode
dessai parce que lhte ne respecte pas la stratgie de contrle dintgrit dfinie.
Se produit quand la demande daccs client correspond une stratgie rseau qui est configure
avec un paramtre de contrainte de mise en conformit NAP de type Autoriser laccs rseau
complet pendant une priode limite quand la date spcifie dans la stratgie est passe.

ID dvnement 6278. Le serveur NPS a accord laccs complet un utilisateur parce que lhte
respecte la stratgie de contrle dintgrit dfinie.
Se produit quand la demande daccs client correspond une stratgie rseau qui est configure
avec un paramtre de contrainte de mise en conformit NAP de type Autoriser un accs rseau
complet.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

9-26 Implmentation de la protection daccs rseau

Atelier pratique : Implmentation de la protection


daccs rseau
Scnario

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

9-27

A. Datum est une socit internationale dingnierie et de fabrication, dont le sige social est Londres,
au Royaume-Uni. Un bureau informatique et un centre de donnes situs Londres pour soccuper
du sige social et dautres sites. A. Datum a rcemment dploy une infrastructure serveur et client
Windows Server 2012.

Pour amliorer la scurit et les exigences de conformit, A. Datum doit tendre sa solution VPN pour
inclure la protection daccs rseau (NAP). Vous devez trouver une manire de le vrifier et, sil y a lieu,
mettre automatiquement les ordinateurs client en conformit chaque fois quils se connectent distance
laide de la connexion VPN. Vous allez raliser cet objectif laide de NPS pour crer des paramtres de
validation dintgrit systme, des stratgies rseau et de contrle dintgrit et configurer la protection
daccs rseau (NAP) pour vrifier lintgrit des clients et y remdier.

Objectifs
la fin de cet atelier pratique, vous serez mme deffectuer les tches suivantes :

configurer des composants NAP ;

configurer laccs VPN ;

configurer les paramtres clients pour prendre en charge NAP.

Configuration de latelier pratique


Dure approximative : 60 minutes

Ordinateurs virtuels

22411B-LON-DC1
22411B-LON-RTR
22411B-LON-CL2

Nom dutilisateur

ADATUM\Administrateur

Mot de passe

Pa$$w0rd

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT


10-1

Module 10
Optimisation des services de fichiers
Table des matires :
Vue d'ensemble du module

10-1

Leon 1 : Vue densemble de FSRM

10-3

Leon 2 : Utilisation de FSRM pour grer les quotas, les filtres de fichiers
et les rapports de stockage

10-10

Leon 3 : Implmentation des tches de classification et de gestion


de fichiers

10-21

Atelier pratique A : Configuration des quotas et du filtrage


des fichiers laide de FSRM

10-28

Leon 4 : Vue densemble de DFS

10-32

Leon 5 : Configuration des espaces de noms DFS

10-41

Leon 6 : Configuration et rsolution des problmes de la rplication DFS

10-46

Atelier pratique B : Implmentation de DFS

10-50

Contrle des acquis et lments retenir

10-55

Vue densemble du module

Les fichiers se trouvant sur vos serveurs changent constamment, en fonction du contenu qui est ajout,
supprim et modifi.

Le rle serveur Service de fichiers et de stockage de Windows Server 2012 est conu pour aider les
administrateurs dans un environnement dentreprise grer le volume de donnes, qui est en constante
augmentation et volution. Quand les besoins de stockage changent en mme temps que les donnes
stockes, vous devez grer une infrastructure de stockage de plus en plus volumineuse et complexe. Par
consquent, pour rpondre aux besoins de votre organisation, vous devez comprendre et dterminer la
manire dont les ressources de stockage existantes sont utilises.
Ce module vous prsente le Gestionnaire de ressources du serveur de fichiers (FSRM) et le systme de
fichiers DFS (Distributed File System), deux technologies que vous pouvez utiliser pour rsoudre et grer
ces problmes.

Objectifs
la fin de ce module, vous serez mme deffectuer les tches suivantes :

dcrire FSRM ;

utiliser FSRM pour grer les quotas, les filtres de fichiers et les rapports de stockage ;

implmenter des tches de classification et de gestion de fichiers ;

dcrire le systme de fichiers DFS ;

configurer des espaces de noms DFS ;

configurer et rsoudre les problmes de rplication DFS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-2 Optimisation des services de fichiers

Leon 1

Vue densemble de FSRM

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

10-3

Le Gestionnaire de ressources du serveur de fichiers (FSRM) est un ensemble doutils qui vous permettent
de comprendre, contrler et grer la quantit et le type de donnes enregistres sur vos serveurs. FSRM
vous permet de placer des quotas sur les volumes de stockage, filtrer les fichiers et dossiers, gnrer des
rapports de stockage complets, contrler linfrastructure de classification des fichiers, et utiliser des tches
de gestion de fichiers pour raliser des actions programmes sur des ensembles de fichiers. Ces outils vous
aident surveiller les ressources de stockage existantes et planifier et implmenter les modifications de
stratgie venir.

Objectifs de la leon
la fin de cette leon, vous serez mme deffectuer les tches suivantes :

dcrire les principales difficults en matire de gestion de la capacit ;

dcrire les fonctionnalits disponibles dans FSRM ;

expliquer comment installer et configurer le service de rle FSRM.

Comprhension des dfis en matire de gestion de la capacit


La gestion de la capacit est un processus proactif
visant dterminer les besoins actuels et futurs
en capacit pour lenvironnement de stockage
de votre entreprise. mesure que la taille et la
complexit des donnes augmentent, le besoin
de gestion de la capacit crot galement. Pour
rpondre efficacement aux besoins de stockage
de votre organisation, vous devez suivre la
capacit de stockage disponible, valuer lespace
de stockage dont vous avez besoin des fins
dexpansion, et dterminer la manire dont vous
exploitez le stockage dans votre environnement.

Principales difficults en matire de gestion de la capacit


La gestion de la capacit implique les difficults principales suivantes :

Dtermination de lutilisation du stockage existant. Pour grer votre environnement de stockage et


simplifier au maximum la tche de gestion de la capacit, vous devez comprendre les besoins de
stockage actuels de votre environnement. Le fait de connatre la quantit de donnes stockes sur vos
serveurs et de savoir quels types de donnes sont stocks et comment ces donnes sont actuellement
utilises constitue le point de rfrence pour mesurer les divers aspects de la gestion de la capacit
dans votre environnement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-4 Optimisation des services de fichiers

tablissement et application de stratgies dutilisation du stockage. La gestion de la capacit vous


garantit que votre environnement de stockage est utilis au maximum de ses capacits. Il est
important de matriser la croissance afin de veiller ne pas submerger lenvironnement de stockage
par un stockage de donnes non planifi ou non autoris sur vos serveurs. Les donnes de mdias
modernes telles que laudio, la vido et les fichiers graphiques consomment une grande quantit
despace de stockage. Si elles ne sont pas contrles, le stockage non autoris de ces types de fichiers
peut consommer lespace qui est requis pour un usage professionnel lgitime.

Anticipation des besoins futurs. Les besoins de stockage changent constamment. Les nouveaux
projets et les nouvelles initiatives dorganisation requirent davantage despace de stockage. Il en va
de mme pour les nouvelles applications et les donnes importes. Si vous ntes pas en mesure
danticiper ces vnements ou de vous y prparer, votre environnement de stockage risque de ne pas
pouvoir rpondre aux besoins de stockage.

Prise en compte des difficults en matire de gestion de la capacit


Pour relever ces dfis majeurs, vous devez implmenter des mesures basiques de gestion de la capacit
afin de grer de faon proactive lenvironnement de stockage et dviter que ces dfis deviennent des
problmes. Vous trouverez ci-aprs une liste de mesures de gestion de la capacit qui vous permet de
grer votre environnement de stockage de manire proactive :

Analyser le mode dutilisation du stockage. La premire tape en matire de gestion de la capacit


consiste analyser lenvironnement de stockage actuel. Une analyse prcise commence avec les outils
appropris qui fournissent des informations exploitables et organises concernant ltat actuel de
votre environnement de stockage.

Dfinir des stratgies de gestion des ressources de stockage. Il est indispensable de sappuyer sur un
ensemble fiable de stratgies pour grer lenvironnement de stockage actuel et sassurer que la
croissance du stockage progresse de faon matrisable et prvisible. Empcher lenregistrement des
fichiers non autoriss sur vos serveurs, vrifier que les donnes sont stockes au bon emplacement et
que les utilisateurs disposent de lespace de stockage ncessaire font partie des principales questions
auxquelles vos stratgies de gestion de la capacit sont susceptibles de rpondre.

Implmenter des stratgies pour grer laugmentation du stockage. Aprs limplmentation des
stratgies de gestion de la capacit, vous devez disposer dun outil efficace pour vrifier que ces
stratgies sont techniquement appliques. Les quotas qui sont dfinis pour le stockage des donnes
dun utilisateur doivent tre grs, lenregistrement des fichiers restreints doit tre empch, et les
fichiers professionnels doivent tre stocks aux emplacements appropris.

Implmenter un systme permettant la cration de rapports et la surveillance. tablissez un systme


de cration de rapports et de notification pour vous informer sur lapplication des stratgies. Ces
rapports doivent complter ceux concernant ltat gnral de votre systme de gestion de la capacit
et de la situation de stockage des donnes.
Question : Quels sont les dfis en matire de gestion de la capacit auxquels vous avez t
ou tes confronts dans votre environnement ?

Quest-ce que FSRM ?


FSRM est un service du rle Services de fichiers
dans Windows Server 2012. Vous pouvez linstaller
dans le cadre du rle Services de fichiers via le
Gestionnaire de serveur. Ensuite, vous pouvez
utiliser la console FSRM pour grer FSRM sur votre
serveur. FSRM est destin agir en tant que
solution de gestion de la capacit pour votre
serveur Windows Server 2012. Il fournit un
ensemble fiable doutils et de fonctionnalits qui
vous permettent de grer et surveiller la capacit
de stockage de votre serveur avec efficacit.
FSRM contient cinq composants qui fonctionnent
ensemble pour fournir une solution de gestion de la capacit.

Gestion de quota

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

10-5

La gestion de quota est un composant qui vous permet de crer, de grer et dobtenir des informations
sur les quotas. Ces informations sont ensuite utilises pour fixer des limites de stockage sur des volumes
ou des dossiers (et leur contenu). En dfinissant des seuils de notification, vous pouvez envoyer des
notifications par courrier lectronique, enregistrer un vnement, excuter une commande ou un script,
ou gnrer des rapports lorsque les utilisateurs sapprochent dun quota ou le dpassent. La gestion de
quota vous permet galement de crer et grer des modles de quota afin de simplifier le processus
de gestion de quota.

Gestion du filtrage de fichiers

La gestion du filtrage de fichiers est un composant qui vous permet de crer, de grer et dobtenir des
informations sur les filtres de fichiers. Vous pouvez utiliser ces informations pour empcher le stockage de
types de fichiers spcifiques sur un volume ou un dossier ou pour vous informer quand les utilisateurs
enregistrent ces types de fichiers. Lorsque les utilisateurs tentent denregistrer des fichiers non autoriss,
le filtrage de fichiers peut bloquer le processus et informer les administrateurs pour quils autorisent la
gestion proactive.
linstar de la gestion de quota, la gestion du filtrage de fichiers vous permet de crer et grer des
modles de filtre de fichiers pour simplifier la gestion du filtrage de fichiers. Vous pouvez galement crer
des groupes de fichiers qui vous permettent de dterminer les types de fichiers pouvant tre bloqus ou
autoriss.

Gestion des rapports de stockage

La gestion des rapports de stockage est un composant qui vous permet de planifier et de configurer des
rapports de stockage. Ces rapports fournissent des informations concernant les composants et les aspects
de FSRM, notamment :

lutilisation de quota ;

lactivit de filtrage de fichiers ;

les fichiers susceptibles davoir un impact ngatif sur la gestion de la capacit, tels que les fichiers
volumineux, les fichiers en double ou les fichiers inutiliss ;

lnumration et le filtrage de fichiers en fonction dun propritaire, dun groupe de fichiers ou


dune proprit de fichier spcifique.

Remarque : Les rapports de stockage peuvent tre excuts selon une planification, ou
vous pouvez les gnrer la demande.

Gestion de la classification

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-6 Optimisation des services de fichiers

La gestion de la classification est un composant qui vous permet de crer et grer des proprits
de classification que vous pouvez ensuite attribuer aux fichiers. Vous pouvez attribuer des valeurs de
proprit aux fichiers laide de rgles de classification, qui peuvent tre appliques la demande ou
bases sur une planification. La classification vous permet de classer et de grer des fichiers laide dun
grand nombre de proprits dans le but didentifier et de grouper vos fichiers.

Tches de gestion de fichiers


Le composant de tches de gestion de fichiers vous permet de planifier et configurer des tches
spcifiques, qui peuvent automatiser lapplication ou lexpiration de commandes personnalises. Ainsi,
vous pouvez automatiser les procdures de gestion des fichiers. Les tches de gestion de fichiers tirent
parti des fonctionnalits de gestion de la classification pour vous permettre de supprimer les fichiers
anciens ou de les dplacer vers un emplacement spcifique en fonction dune proprit de fichier (nom
de fichier ou type de fichier).
Remarque : Les volumes que FSRM gre doivent tre formats en utilisant le systme
de fichiers NTFS. FSRM est fourni avec Windows Server 2003 Service Pack 1 (SP1) et versions
ultrieures.

Dmonstration : Procdure dinstallation et de configuration de FSRM

Pour installer FSRM dans Windows 2012, ajoutez le service de rle FSRM dans le rle Services de fichiers
et de stockage.

FSRM comporte plusieurs options de configuration qui sappliquent globalement tous ses composants.
Pour accder ces options, procdez comme suit :
1.

Ouvrez la console Gestionnaire de ressources du serveur de fichiers.

2.

Dans le volet gauche, cliquez avec le bouton droit sur le nud racine Gestionnaire de ressources
du serveur de fichiers, puis cliquez sur Configurer les options.

Options FSRM

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

10-7

Dans la bote de dialogue Options du Gestionnaire de ressources du serveur de fichiers, plusieurs


onglets vous permettent de configurer les divers aspects de FSRM. Les onglets suivants sont disponibles
dans la bote de dialogue de proprits Options du Gestionnaire de ressources du serveur de fichiers :

Onglet Notifications par courrier lectronique. Cet onglet vous permet dindiquer le nom ou ladresse
dun serveur SMTP, ainsi que dautres dtails que FSRM utilisera pour envoyer des notifications par
courrier lectronique.

Onglet Limites de notification. Les limites de notification vous permettent de spcifier une dure
pendant laquelle FSRM attend entre chaque envoi de notifications afin dviter lexcs de notifications
rsultant de la rptition dun dpassement de quota ou dune dtection de fichier non autoris. Cet
onglet vous permet de dfinir des valeurs distinctes pour les notifications par courrier lectronique,
les entres enregistres dans le journal des vnements, les commandes en cours dexcution ou les
rapports en cours de gnration. La valeur par dfaut de chaque intervalle est de 60 minutes.

Onglet Rapports de stockage. Cet onglet vous permet de configurer et dafficher les paramtres par
dfaut de rapports de stockage existants. Onglet Emplacements des rapports. Cet onglet vous permet
dafficher et de modifier lemplacement dans lequel les trois diffrents types de rapports de stockage
sont enregistrs : rapports dincident, rapports planifis et rapports la demande. Par dfaut, chaque
catgorie est enregistre dans son propre dossier : %systemdrive%\Rapports de stockage.

Remarque : Si FSRM gnre un grand nombre de rapports de stockage, il est possible de


dplacer les dossiers de rapport de stockage vers un autre volume physique afin de diminuer les
entres/sorties (E/S) disque sur votre volume systme. Vous pouvez galement modifier
lemplacement si la taille de vos rapports de stockage provoque un problme de capacit sur
votre volume systme.

Onglet Vrification du filtrage de fichiers. Sous cet onglet, une case cocher permet dactiver ou
de dsactiver lenregistrement de lactivit de filtrage des fichiers dans la base de donnes de
vrification. Vous pouvez afficher lactivit rsultante du filtrage de fichiers quand vous excutez
le rapport de vrification du filtrage des fichiers depuis Gestion des rapports de stockage.

Onglet Classification automatique. Cet onglet vous permet de dfinir une planification qui rgit la
classification automatique des fichiers. Vous pouvez spcifier les journaux gnrer, puis indiquer
sil faut gnrer un rapport du processus de classification et comment procder.

Onglet Assistance en cas daccs refus. Cet onglet vous permet de dfinir un message personnalis
quand FSRM empche une opration de niveau fichier suite une restriction de la gestion de quota
pour le filtrage de fichiers.

Gestion des services FSRM

La gestion dun serveur excutant FSRM se produit en gnral localement, via la console FSRM Microsoft
Management Console (MMC). Toutefois, vous disposez dautres options pour grer un serveur excutant
ce type de service.

Gestion de FSRM laide de Windows PowerShell

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-8 Optimisation des services de fichiers

Windows PowerShell 3.0 contient les nouvelles applets de commande pour la gestion de FSRM. Celles-ci
tendent les fonctionnalits de gestion tous les aspects de FSRM. Le module FileServerResourceManager
pour Windows PowerShell est install sur un ordinateur Windows Server 2012 automatiquement quand
vous installez le service de rle FSRM.
Les applets de commande Windows PowerShell3.0 remplacent la fonctionnalit prcdemment fournie
par les excutables de ligne de commande dirquota.exe, filescrn.exe et storrpt.exe de FSRM. Bien que ces
excutables soient toujours prsents dans Windows Server 2012, ils sont dconseills et seront supprims
de la future version de Windows Server. Par consquent, vous devriez utiliser les applets de commande
Windows PowerShell pour crer toutes les solutions de gestion impliquant des tches de ligne de
commande.
Pour voir la liste complte des applets de commande FSRM disponibles, excutez la commande suivante
depuis une interface de ligne de commande Windows PowerShell :
Get-Command -Module FileServerResourceManager

Gestion de FSRM distance

Vous pouvez vous connecter distance un autre serveur qui excute FSRM laide de la console FSRM.
Depuis cette console, vous grez FSRM de la mme manire que vous grez des ressources sur votre
ordinateur local.
Pour grer FSRM distance laide de la console FSRM :

Assurez-vous que les deux serveurs excutent Windows Server 2008 R2 ou une version plus rcente,
puis installez FSRM.

Activez lexception Gestion de ressources du serveur de fichiers distance manuellement depuis


le Pare-feu Windows, via le Panneau de configuration ou laide dune stratgie de groupe.

Autorisez le trafic dappel de procdure distante (RPC) entre les deux serveurs quel que soit le pare-feu.

Connectez-vous lordinateur local avec un compte membre du groupe dadministrateurs locaux sur
lordinateur distant.

Vous pouvez galement excuter les applets de commande Windows PowerShell de FSRM distance
laide des fonctionnalits de communication distance de Windows PowerShell.
Dans cette dmonstration, vous allez apprendre :

installer le service de rle FSRM ;

spcifier les options de configuration de FSRM ;

utiliser Windows PowerShell pour grer FSRM.

Procdure de dmonstration
Installer le service de rle FSRM
1.

Connectez-vous LON-SVR1 en tant que ADATUM\Administrateur avec le mot de passe


Pa$$w0rd.

2.

Ouvrez le Gestionnaire de serveur.

3.

Installez le service de rle Gestionnaire de ressources du serveur de fichiers dans le rle Service
de fichiers et de stockage (Install).

Spcifier les options de configuration de FSRM

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration de Windows Server 2012

10-9

1.

Ouvrez la console Gestionnaire de ressources du serveur de fichiers.

2.

Ouvrez la fentre Options du Gestionnaire de ressources du serveur de fichiers pour linstance locale
du Gestionnaire de ressources du serveur de fichiers.

3.

Activez la vrification du filtrage de fichiers.

Utiliser Windows PowerShell pour grer FSRM

partir dune invite de commande Windows PowerShell, excutez la commande suivante :


set-FSRMSetting -SMTPServer server1 -AdminEmailAddress fileadmin@adatum.com FromEmailAddress fileadmin@adatum.com

Optimisation des services de fichiers

Leon 2

Utilisation de FSRM pour grer les quotas, les filtres


de fichiers et les rapports de stockage
Les donnes sont le principal composant de votre infrastructure de serveur. Dans la pl