Вы находитесь на странице: 1из 177

Sommaire

I. Introduction

II. Installation de Windows 2008 Server R2

III. Administration

A. Configuration Active Directory

B. Configuration du DNS

C. Configuration du DHCP

D. Gestion des utilisateurs

E. Gestion des ressources disques


F. Gestion des impressions
I. Introduction et fonctionnalité de Windows 2008 server
1. Introduction
Microsoft Windows Server 2008 est un système d'exploitation de Microsoft orienté serveur. Il est
le successeur de Windows Server 2003 sorti 5 ans plus tôt et le prédécesseur de Windows Server
2008 R2. Cette version a été officiellement présentée au public français (exclusivité mondiale) lors
des TechDays 2008 qui se sont déroulés du 11 au 13 février 2008 à Paris. La sortie internationale
du produit quant à elle a eu lieu le 27 février 2008. À l'instar de Windows Vista, Windows Server
2008 est basé sur le Kernel (noyau) Windows NT version 6.0. Ce produit a été connu sous le nom
de code « Windows Server Longhorn » jusqu'au 16 mai 2007, où Bill Gates a annoncé son nom
officiel (Windows Server 2008) lors de sa session keynote du WinHEC. La première version bêta
(version non commercialisée) officielle date du 27 juillet 2005 ; la seconde bêta a été annoncée et
publiée le 23 mai 2006 lors du WinHEC 2006 et la troisième bêta a été rendue publique le
25 avril 2007. La version Release Candidate 0 (RC0) (version terminée uniquement destinée à être
testée pour éliminer les derniers bugs) a été rendue disponible au public le 24 septembre 2007 et la
version Release Candidate 1 (RC1) a été rendue disponible au public le 5 décembre 2007. La
version RTM (Release to Manufacturing) (version prête à être distribuée) de Windows Server 2008
est arrivée le 4 février 2008 avec l'annonce de la sortie officielle mondiale pour le 27 février 2008.

2. Fonctionnalités
Windows Server 2008 étant basé sur le même noyau que Vista, il reprend la plupart des
fonctionnalités techniques, de sécurité, de gestion et d'administration apportées par celui-ci.

On peut citer par exemple (liste non-exhaustive) :

• réécriture de la couche réseau (IPv6 et connectivité sans-fil en natif) ;


• amélioration du déploiement, de la récupération et de l'installation basée sur une image
source ;
• amélioration des outils de diagnostic, de supervision, de traçabilité des évènements et de
rapports ;
• apport de nouvelles fonctionnalités de sécurité telles que Bitlocker et ASLR, amélioration du
pare-feu Windows avec la configuration sécurisée par défaut ;
• technologie .NET Framework 3.0, spécifiquement Windows Communication Foundation
(WCF), Microsoft Message Queuing et Windows Workflow Foundation ;
• amélioration également du noyau, de la gestion mémoire, et du système de fichiers : les
processeurs et composants mémoire sont définis comme des périphériques Plug and Play,
afin de permettre le « branchement à chaud » (hot-plug) de ceux-ci. Cela permet aux
ressources système d'être partitionnées de façon dynamique à l'aide du module Dynamic
Hardware Partitioning (littéralement : « Gestion Dynamique du Partitionnement ») ;
chacune disposant de sa propre partition de mémoire, processeur et pont d'hôte E/S
indépendante les unes des autres.

2.1 Server Core

2
Il s'agit probablement de la nouveauté la plus notable proposée par Windows Server 2008 : l’option
d’installation Server Core installe uniquement le strict minimum. Exit par exemple Windows
Explorer (donc plus d'interface graphique, à l'instar d'Ubuntu Server par exemple) (Il faut savoir
qu'il existe une version alternate qui n'installe pas la partie graphique dans Ubuntu.). Il ne contient
pas non plus le Framework .NET, Internet Explorer, ou toute autre fonctionnalité qui n'est pas
indispensable au bon fonctionnement du noyau. La configuration et la maintenance s'effectueront
alors en ligne de commande (ce qui demande une certaine maîtrise de l'outil, et donc limite ce type
d'installation aux utilisateurs chevronnés) ou en se connectant à distance à la machine au travers
d'un logiciel qui, lui, pourra offrir une interface graphique.

Cette installation apporte plusieurs avantages :

• Réduction tout d'abord des ressources nécessaires ;


• Réduction de la maintenance et de la gestion, puisque seuls les éléments nécessaires pour les
rôles définis sont à installer et configurer ;
• Réduction enfin de la surface d’exposition aux attaques, directement lié au nombre réduit
d’applications et services exécutées sur le serveur ;

Une machine Server Core peut être configurée pour assurer plusieurs rôles de base :

• Services de domaine Active Directory (AD DS)


• Services AD LDS (Active Directory Lightweight Directory Services)
• Serveur DHCP
• Serveur DNS
• Serveur de fichiers
• Serveur d’impression
• Services de diffusion multimédia en continu

Ainsi que les fonctionnalités facultatives suivantes :

• Sauvegarde
• Chiffrement de lecteur BitLocker
• Clustering avec basculement
• MPIO (Multipath I/O)
• Équilibrage de la charge réseau
• Stockage amovible
• Protocole SNMP (Simple Network Management Protocol)
• Sous-système pour les applications UNIX
• Client Telnet
• Service WINS (Windows Internet Name Service)

2.2 Les rôles Active Directory

Active Directory comprend désormais les services d'identité, de certificats et de gestion numérique
des droits. Jusqu'à Windows Server 2003, Active Directory a permis aux administrateurs réseaux de
gérer centralement les ordinateurs interconnectés, de définir des stratégies pour un ensemble ou
groupe d'utilisateurs, et de déployer centralement de nouvelles applications à une multitude
d'ordinateurs. Ce rôle de base d’Active Directory a été renommé en tant que Active Directory
Domain Services (AD DS). Un certain nombre de nouveau services ont été ajoutés, tel que Active
Directory Federation Services (AD FS), Active Directory Lightweight Directory Services (AD LDS
- connu initialement sous le nom Active Directory Application Mode, ou ADAM), Active Directory
Certificate Services (AD CS), et Active Directory Rights Management Services (AD RMS). Les

3
services de Certificats et d'Identité permettent aux administrateurs de gérer les comptes utilisateurs
et les certificats numériques qui leur permettent d'accéder à certains services et systèmes.
Federation management services permet aux entreprises de partager des données d'authentification
avec des partenaires et clients de confiance, permettant ainsi à un consultant d'utiliser son propre
compte utilisateur et mot de passe afin d'ouvrir une session sur le réseau de son client. Identity
Integration Feature Pack est inclus à Active Directory Metadirectory Services (ADMS). Chacun de
ces services représente un rôle serveur.

2.3 Terminal Services

Windows Server 2008 apporte des améliorations majeures à Terminal Services. Terminal Services
est désormais compatible avec le protocole de bureau à distance en version 6.0 Remote Desktop
Protocol 6.0. L'amélioration la plus notable consiste en la capacité à partager une application au
travers d'une connexion de bureau à distance, à la place du bureau entier. Cette fonctionnalité est
nommée Terminal Services Remote Programs. Les autres nouveautés à Terminal Services
comportent la passerelle Terminal Services (Terminal Services Gateway) et l'accès web à
Terminal Services (Terminal Services Web Access - interface web complète). À l'aide de Terminal
Services Gateway, les ordinateurs autorisés peuvent se connecter de manière sécurisée à un serveur
de Terminal ou à un bureau à distance depuis Internet au travers de l'utilisation du bureau à distance
via HTTPS sans avoir recours à l'établissement préalable d'une connexion VPN. Il n'est pas
nécessaire d'ouvrir des ports supplémentaires sur les pare-feu car le protocole RDP est encapsulé
dans l'accès HTTPS. Terminal Services Web Access permet aux administrateurs d'offrir un accès
aux sessions Terminal Services via une interface web. TS Web Access est fourni avec une Webpart
modifiable pour IIS et SharePoint, laquelle affiche les applications disponibles et les connexions à
l'utilisateur. En utilisant TS Gateway et TS Remote Programs, les accès complets s'effectuent via
HTTP(S) et les applications à distance apparaissent de façon transparente à l'utilisateur comme si
celles-ci étaient utilisées localement. Plusieurs applications peuvent être exécutées dans une même
session ce qui permet de ne pas avoir besoin de licences par utilisateur additionnelles. Terminal
Services Easy Print ne nécessite pas l'installation de pilotes d'imprimantes sur le serveur par
l'administrateur, mais garantit la redirection et disponibilité de toutes les interfaces utilisateurs
d'imprimantes ce qui permet une utilisation dans les sessions à distance.

Les sessions Terminal Services sont créées en parallèle et non pas en série - le nouveau modèle de
session permet d'initier 4 sessions en parallèle, ou plus si le serveur a plus de 4 processeurs.

2.4 .Windows PowerShell

Windows Server 2008 est le premier système d'exploitation qui intègre Windows PowerShell, le
nouveau shell extensible en ligne de commande de Microsoft qui inclut des fonctionnalités de
technologie de scripting (task-based scripting technology). PowerShell repose sur de la
programmation orientée objet et sur la version 2.0 du Framework Microsoft .NET, et inclut plus de
120 outils d'administration système, avec une convention de nommage et une syntaxe consistante, et
la capacité intégrée d'opérer avec des données standards de gestion telles que la base de registre
Windows, les magasins de certificats, ou Windows Management Instrumentation (WMI). Le
langage de script PowerShell a été conçu spécifiquement pour l'administration IT, et peut être utilisé
en lieu et place de cmd.exe et Windows Script Host.

2.5 Auto-réparation NTFS

Dans les versions antérieures de Windows, si le système d'exploitation détecte une corruption dans
le système de fichiers d'un volume NTFS, celui-ci marque le volume comme « impropre » ; pour
corriger les erreurs sur le volume, celui-ci devait être déconnecté. Avec la fonctionnalité Auto-

4
réparation NTFS, un processus réparateur NTFS est lancé en arrière plan et effectue une réparation
ciblée des structures endommagées, en ne laissant que les fichiers ou dossiers endommagés comme
indisponibles et non pas l'intégralité du volume.

2.6 Hyper-V

Hyper-V est un hyperviseur de système virtuel, formant la partie centrale de la stratégie de


virtualisation de Microsoft. Il permet de virtualiser des serveurs au niveau de la couche Kernel du
système d'exploitation. Il peut être vu comme le partitionnement d'un unique serveur physique en
plusieurs petits ensembles d'ordinateurs. Hyper-V inclut la possibilité d'opérer en tant qu'hôte
hyperviseur de virtualisation Xen, permettant ainsi aux systèmes d'exploitation avec la fonction Xen
activée d'être virtualisés. Cette fonctionnalité n'était pas initialement intégrée à Windows Server
2008, mais était disponible trois mois après la sortie mondiale de Windows Server 2008,
uniquement sur les versions 64 bits de Windows Server 2008.

2.7 Windows System Resource Manager

Windows System Resource Manager (WSRM) est intégré à Windows Server 2008. Il offre la
possibilité de gérer les ressources systèmes et peut être utilisé pour contrôler combien de ressources
un processus ou un utilisateur est à même d'utiliser, en fonction des priorités du métier. Process
Matching Criteria, dont le nom est explicite (littéralement : Critère de repère de processus) modèle
ou propriétaire du processus, renforce les restrictions d'utilisation de ressources par un processus
qui répond aux critères. Temps CPU, bande passante, nombre de processeurs, et allocation de
mémoire à un processus peuvent être restreints.

Les restrictions peuvent également être imposées uniquement à certaines dates et heures.

2.8 Gestionnaire de Serveurs

Server Manager est un nouvel outil de gestion pour Windows Server 2008. Il s'agit d'une
combinaison entre les fonctionnalités Manage Your Server et l'Assistant de Configuration de la
Sécurité de Windows Server 2003. Le gestionnaire de serveur (Server Manager) consiste en une
amélioration de la boîte de dialogue Configurer mon serveur qui s'exécute par défaut
automatiquement au démarrage des machines Windows Serveur 2003. Cependant, il ne s'agit pas
seulement d'un point de départ pour configurer un nouveau rôle sur le serveur, mais d'un outil qui
rassemble toutes les opérations qu'un administrateur souhaiterait réaliser sur le serveur, telles que
générer une méthode de déploiement à distance, ajouter d'autres rôles à un serveur, etc. Server
Manager se présente sous la forme d'un ensemble d'outils consolidés sous forme de portail et
contient un statut de chacun des rôles.

Il n'est pas possible actuellement d'utiliser Server Manager à distance, mais une console cliente est
prévue.

2.9 Autres fonctionnalités

Les autres fonctionnalités nouvelles ou optimisées correspondent à :

a) Améliorations du Core OS

• Le système d'exploitation est désormais entièrement constitué de plusieurs composants.


• Les mises à jour à chaud ont été améliorées, une fonctionnalité qui permet aux mises à jour
non liées au noyau d'être appliquées sans avoir recours à un redémarrage.

5
• Le démarrage depuis des périphériques compatibles EFI (Extensible Firmware Interface)
sur des systèmes 64 bits est désormais supporté.
• Le partitionnement matériel dynamique est supporté.
• L'ajout à chaud de processeur et de mémoire est désormais supporté si le matériel est
compatible. Il en va de même pour le remplacement à chaud des processeurs et de barrettes
de mémoire sur tout matériel compatible.

b) Améliorations dans Active Directory

Un nouveau mode de fonctionnement de l’Active Directory appelé « Read-Only Domain


Controller » (RODC) apparaît, destiné à une utilisation dans des succursales où les contrôleurs de
domaine peuvent être hébergés dans des locaux à faible sécurité d'accès. Le RODC contient une
copie non modifiable de l'annuaire Active Directory, et redirige toutes les tentatives d'écriture à un
contrôleur de domaine complet ; il réplique également tous les comptes excepté les comptes
sensibles. En mode RODC, les informations d'authentification ne sont pas mises en cache par
défaut. De plus, seul le contrôleur de domaine hébergeant le rôle d'émulateur PDC nécessite
Windows Server 2008 ; les administrateurs locaux peuvent ouvrir une session sur le RODC afin
d'effectuer des opérations de maintenance sans avoir besoin de privilèges d'administrateurs de
domaine. Le service Active Directory pouvant être redémarré, cela permet de stopper puis de
redémarrer ADDS depuis la console de gestion (MMC) ou la ligne de commande sans avoir à
redémarrer le contrôleur de domaine. Cela permet de réduire le temps d'indisponibilité dû aux
opérations de maintenance et diminue les pré-requis du rôle de contrôleur de domaine avec Core
Server. ADDS est implémenté en tant que Service de Contrôleur de Domaine dans Windows Server
2008.

c) Améliorations liées aux stratégies de sécurité

Toutes les améliorations liées aux stratégies de sécurité apportée par Windows Vista sont également
présentes dans Windows Server 2008. La console de gestion des stratégies (GPMC) est désormais
intégrée par défaut au système. Les GPO (Group Policy Objects) sont indexées pour permettre la
fonctionnalité de recherche et peuvent également être commentées. Les stratégies de sécurité réseau
de base incluent la protection d'accès réseau (Network Access Protection, NAP), une meilleure
gestion des succursales et une amélioration de la collaboration entre utilisateurs. Des stratégies
peuvent être créées afin d'offrir une meilleure qualité de service pour certaines applications ou
certains services qui nécessitent une priorisation d'utilisation de la bande passante entre clients et
serveurs. La gestion des mots de passe au sein d'un même domaine est désormais granulaire
(possibilité pour les comptes administrateurs d'implémenter des stratégies de mot de passe
différentes affectant des groupes ou des utilisateurs uniques) alors qu'auparavant la politique de mot
de passe était unique pour tout le domaine.

d) Améliorations liées à la gestion de disque et au stockage de fichiers

Il est désormais possible de redimensionner les partitions des disques dur sans avoir à arrêter le
serveur, y compris pour les partitions système (Note : cela ne s'applique qu'au volume simple et en
grappe (spanned volume). Les volumes agrégés (striped volume) ne peuvent pas être étendus ou
tronqués). La fonction Shadow Copy fonctionne désormais au niveau bloc ce qui permet
d'effectuer des sauvegardes sur des médias optiques, des partages réseaux et des environnements de
récupération Windows (Windows Recovery Environment). Des améliorations ont également été
apportées à DFS (Distributed File System) : la réplication du dossier SYSVOL est basée sur DFS-
R, les membres d'une réplication peuvent avoir les dossiers répliqués en mode lecture-seule. Les
espaces de nom DFS d'un domaine supportent désormais plus de 5 000 dossiers incluant le dossier
cible dans l'espace de nom. Plusieurs améliorations ont été apportées au système de cluster de

6
bascule (cluster de haute disponibilité). Le rôle Internet Storage Naming Server (iSNS) permet
l'enregistrement, la suppression et les requêtes centralisées des disques durs ISCSI.

e) Améliorations liées aux protocoles et chiffrement

Le protocole d'authentification Kerberos supporte désormais le chiffrement AES en 128 et 256 bits.
La nouvelle API de chiffrement (CNG) supporte la cryptographie en courbe elliptique et la gestion
améliorée des certificats. Un nouveau protocole propriétaire de Microsoft apparaît : le Secure
Socket Tunneling Protocol (SSTP). AuthIP est une nouvelle extension propriétaire Microsoft du
protocole de chiffrement IKE qui est utilisée dans les réseaux VPN IPsec. Le protocole Server
Message Block 2.0 dans la nouvelle couche TCP/IP apporte de nombreuses améliorations au niveau
des communications, incluant notamment de meilleures performances lors de l'accès à des partages
de fichiers sur des réseaux à haute latence, via l'utilisation de l'authentification et la signature de
messages mutuelles.

f) Améliorations liée à la partie cliente (Windows Vista)

Le lancement d'une recherche sur un serveur Windows 2008 depuis un client Windows Vista
délègue dans les faits la requête au serveur, qui utilise alors la technologie Windows Search et
retourne ensuite le résultat au client. Dans un environnement réseau contenant un serveur
d'impression sous Windows 2008, les clients peuvent traiter les travaux d'impression localement
avant de les envoyer au serveur d'impression permettant ainsi de réduire la charge du serveur et
d'augmenter sa disponibilité. Le transfert d'évènements permet la consolidation et le transfert des
journaux depuis les clients Windows Vista inscrits vers la console centrale. Le transfert
d'évènements peut être activé sur les clients inscrits directement depuis le serveur central via la
console de gestion des évènements. Les fichiers hors-connexions sont mis en cache localement et
sont alors accessibles même si le serveur n'est pas joignable, et les copies se synchronisent de façon
transparente lorsque le client et le serveur sont à nouveau connectés.

g) Améliorations diverses

Le service Windows Deployment Services remplace les services Automated Deployment Services
et Remote Installation Services. Windows Deployment Services (WDS) supporte et améliore la
fonctionnalité de multicast lors du déploiement des images de systèmes d'exploitation. Internet
Information Services 7 apporte une sécurité accrue, la possibilité de déployer via xcopy, une
amélioration des outils de diagnostique, et la délégation de l'administration. Un composant
optionnel « Desktop Experience » offre la même interface utilisateur Windows Aero de Windows
Vista, aussi bien pour les utilisateurs locaux que les utilisateurs distants connectés au travers du
client Remote Desktop.

2.10 Éditions

La plupart des éditions de Windows Server 2008 sont disponibles en version x86-64 (64-bit) et x86
(32-bit). Windows Server 2008 pour les systèmes Itanium est compatible avec les processeurs de
type IA-64. La version IA-64 est optimisée pour les environnements à charge élevée tels que les
serveurs de bases de données et les applications Line of Business (LOB). En revanche celle-ci n'est
pas optimisée pour être utilisée en tant que serveur de fichiers ou serveur de médias. Microsoft a
annoncé que Windows Server 2008 sera le dernier système d'exploitation serveur disponible en
version 32-bit. Windows Server 2008 est disponible dans les versions listées ci-dessous, à l'instar de
Windows Server 2003 :

• Windows Server 2008 Édition Standard (x86 et x64)

7
• Windows Server 2008 Édition Enterprise (x86 et x64)
• Windows Server 2008 Édition Datacenter (x86 et x64)
• Windows HPC Server 2008
• Windows Web Server 2008 (x86 et x64)
• Windows Storage Server 2008 (x86 et x64)
• Windows Small Business Server 2008 (x64) pour les PME
• Windows Essential Business Server 2008 (x64) pour les PME
• Windows Server 2008 pour systèmes Itanium
• Windows Server 2008 Foundation

La version Server Core est disponible en édition Standard, Enterprise et Datacenter. Elle n'est pas
disponible en édition Web ou Itanium. Il est important de relever que l'édition Core Server consiste
en un rôle supporté par certaines éditions, et non pas une édition distincte.

II. Installation de Windows 2008 Server R2

Maintenant que Windows Server 2008 est disponible, et avant de vous lancer, découvrez
l'installation de Windows Server 2008, dans sa version graphique.

A vrai dire ce n'est pas une nouveauté, l'installation de Windows Server 2008 utilise un fichier
WIM.

Il n'y a donc qu'un seul CD quelque soit la version de Windows Server que vous installez, c'est le
numéro de série qui décidera de la version.

1. Installation de Windows Server 2008 R2


Ce document fournit des informations sur l'installation du système d'exploitation Windows
Server® 2008 R2, notamment sur les problèmes connus que vous devrez peut-être résoudre avant
de commencer l'installation. Il fournit également des informations que vous pouvez utiliser pour
résoudre les problèmes qui sont susceptibles de se produire durant l'installation.

8
Le programme d'installation fonctionne en différentes étapes. Le système vous demande d'abord
certaines informations de base, puis le programme d'installation copie des fichiers et redémarre
l'ordinateur. L'installation se termine par un menu relatif aux tâches de configuration initiales, que
vous pouvez utiliser pour ajuster la configuration du serveur à vos besoins spécifiques.

2. Informations de pré-installation
Modifier le bios pour que l’ordre de démarrage permette de démarrer sur le DVD. Le disque dur
peut ne rien contenir (on peut supprimer toute trace d’anciennes partitions en remplissant le premier
secteur du disque dur avec le caractère de code ASCII 0).
a) Configuration requise
La configuration requise estimée pour Windows Server 2008 R2 est présentée ci-dessous. Si votre
ordinateur ne possède pas la configuration minimale requise, vous ne pourrez pas installer ce
produit correctement. La configuration requise réelle varie en fonction de la configuration de votre
système et des applications et fonctionnalités que vous installez.

Processeur
Les performances du processeur dépendent non seulement de la fréquence d'horloge du processeur,
mais également du nombre de cœurs de processeur et de la taille du cache de processeur. La
configuration requise en matière de processeur pour ce produit est la suivante :

• Configuration minimale : Processeur 1,4 GHz 64 bits

Remarque
Un processeur Intel Itanium 2 est requis pour Windows Server 2008 R2 pour les systèmes Itanium.
Mémoire vive (RAM)
La configuration requise en matière de mémoire vive (RAM) pour ce produit est la suivante :

• Configuration minimale : 512 Mo

• Configuration maximale : 32 Go (pour Windows Server 2008 R2 Standard) ou 2 To (pour


Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter et
Windows Server 2008 R2 pour les systèmes Itanium).

Espace disque requis


L'espace disque requis minimal approximatif pour la partition système est le suivant.

• Minimum : 32 Go

Remarque
Gardez à l'esprit que 32 Go doivent être considérés comme une valeur minimale absolue pour une
installation réussie. La partition système aura besoin d'espace supplémentaire dans chacun des cas
suivants :

• Si vous installez le système sur un réseau.

9
• Les ordinateurs disposant de plus de 16 Go de RAM peuvent avoir besoin d'un espace disque
supplémentaire pour les fichiers de pagination, de mise en veille prolongée et d'image
mémoire.

• Si vous installez Windows Server 2008 R2 pour l'édition des systèmes Itanium.

Lorsque vous décidez si l'espace disque minimal pour le système d'exploitation est approprié, vous
devez prendre en considération plusieurs variables supplémentaires :

• La mémoire vive (RAM) installée, qui influencera l'espace requis pour les fichiers de
pagination, de mise en veille prolongée et de vidage

• Configuration requise liée au traitement - spécifiquement, si vous projetez d'installer toutes


les mises à jour disponibles, uniquement les mises à jour critiques, ou les Service Packs,
ainsi que la fréquence de ces installations (tous les mois, tous les trimestres ou à une
fréquence différente)

• La vie planifiée du serveur, puisque vous devez tenir compte de la croissance à long terme
de la partition système à mesure que des mises à jour sont installées

• Les mises à niveau anticipées vers des versions ultérieures du système d'exploitation, car
l'exécution de mises à niveau sur place nécessite souvent plus d'espace que ce que les mises
à niveau utiliseront une fois l'installation terminée

• Le nombre et la taille de tous pilotes et outils non Microsoft associés

Cette liste suppose que vous utilisez les paramètres par défaut à l'installation (comme pour la taille
du journal des événements) et qu'aucun logiciel supplémentaire n'est installé. Toute modification
apportée aux paramètres par défaut ou à des logiciels supplémentaires doit être également prise en
considération.

Pour obtenir des liens vers des informations complémentaires sur les exigences et considérations
liées à la taille des disques pour des applications spécifiques, consultez le site
http://go.microsoft.com/fwlink/?LinkId=188098.

b) Autres conditions requises pour la configuration

Les éléments suivants sont également requis :

• Lecteur de DVD

• Écran Super VGA (800 x 600) ou de résolution supérieure

• Clavier et souris Microsoft® (ou tout autre dispositif de pointage compatible)

10
• Accès Internet (frais possibles)

Informations importantes relatives aux systèmes d'exploitation basés sur un processeur x64
Assurez-vous que vous avez mis à jour et signé numériquement les pilotes en mode noyau des
versions x64 de Windows Server 2008. (Ils comprennent toutes les versions de Windows
Server 2008 à l'exception de Windows Server 2008 pour les systèmes à architecture Itanium).

Si vous installez un périphérique Plug-and-Play, il se peut que vous receviez un avertissement si le


pilote n'est pas numériquement signé. Si vous installez une application contenant un pilote qui n'est
pas numériquement signé, vous ne recevrez pas de message d'erreur pendant l'installation. Dans les
deux cas, Windows Server 2008 R2 ne chargera pas le pilote non signé.

Si vous ne savez pas avec certitude si le pilote est numériquement signé ou si vous n'arrivez pas à
démarrer votre ordinateur après l'installation, utilisez la procédure suivante pour désactiver la
condition de signature du pilote. Cette procédure permet à votre ordinateur de démarrer
correctement et le pilote non signé sera chargé avec succès.

Pour désactiver la condition de signature pour le processus de démarrage actuel :

1. Redémarrez l'ordinateur et appuyez sur F8 pendant le démarrage.

2. Sélectionnez Options de démarrage avancées.

3. Sélectionnez Désactiver le contrôle obligatoire des signatures de pilotes.

4. Démarrez Windows® et désinstallez le pilote non signé.

Avant de démarrer l'installation


Avant d'installer Windows Server 2008 R2, suivez les étapes décrites dans cette section en vue de
préparer l'installation.

• Déconnectez les onduleurs. Si un onduleur est connecté à votre ordinateur de destination,


déconnectez le câble série avant d'exécuter l'installation. Le programme d'installation essaie
de détecter automatiquement les périphériques connectés aux ports série et l'équipement de
l'onduleur peut provoquer des problèmes au niveau du processus de détection.

• Sauvegardez vos serveurs. La sauvegarde doit inclure toutes les données et informations de
configuration nécessaires au fonctionnement de votre ordinateur. Il est primordial d'effectuer
une sauvegarde des informations de configuration des serveurs, notamment pour les serveurs
qui fournissent l'infrastructure réseau, tels que les serveurs DHCP (Dynamic Host
Configuration Protocol). N'oubliez pas de sauvegarder vos partitions de démarrage et
système ainsi que les données d'état du système. Pour sauvegarder les informations de
configuration, vous avez également la possibilité de créer un jeu de sauvegarde pour la
récupération automatique du système.

11
• Désactivez votre logiciel de protection antivirus. Le logiciel de protection antivirus peut
interférer avec l'installation. Il peut par exemple ralentir fortement l'installation en analysant
chaque fichier copié localement sur votre ordinateur.

• Exécutez l'outil Diagnostics de la mémoire Windows. Exécutez cet outil pour tester la
mémoire vive (RAM) installée sur votre ordinateur. Pour utiliser l'outil Diagnostics de la
mémoire Windows, suivez les instructions du Guide utilisateur du diagnostic mémoire
Windows (http://go.microsoft.com/fwlink/?LinkId=50362).

• Fournissez des pilotes de stockage de masse. Si le fabricant de votre pilote vous a fourni
un fichier de pilote séparé, enregistrez le fichier sur une disquette, un CD, un DVD ou un
disque mémoire flash USB, dans le répertoire racine du média ou dans l'un des dossiers
suivants : amd64 pour les ordinateurs x64 ou ia64 pour les ordinateurs Itanium. Pour fournir
le pilote durant l'installation, sur la page de sélection de disque, cliquez sur Charger un
pilote (ou appuyez sur F6). Vous pouvez rechercher vous-même le pilote ou faire en sorte
que le programme d'installation effectue lui-même la recherche sur le média.

• Sachez que le Pare-feu Windows est activé par défaut. Les applications serveur qui
doivent recevoir des connexions entrantes non sollicitées échoueront tant que vous n'aurez
pas créé de règles de pare-feu entrantes pour les autoriser. Vérifiez avec le fournisseur de
votre application quels ports et quels protocoles sont nécessaires pour que l'application
fonctionne correctement.

Pour plus d'informations sur le Pare-feu Windows, voir


http://go.microsoft.com/fwlink/?LinkID=84639 (page éventuellement en anglais).

• Préparez votre environnement Active Directory® avec les mises à jour Windows
Server 2008 R2. Avant d'ajouter un contrôleur de domaine exécutant
Windows Server 2008 R2 à une forêt Active Directory ou de mettre à niveau un contrôleur
de domaine existant vers Windows Server 2008 R2, exécutez Adprep.exe depuis le média
Windows Server 2008 R2 sur votre contrôleur de domaine existant pour préparer votre
domaine et votre forêt.

Pour ce faire, utilisez les procédures suivantes : Si vous exécutez une installation sans
assistance, effectuez cette étape avant d'installer le système d'exploitation. Sinon, vous devrez le
faire après l'exécution du programme d'installation et avant d'installer les services de domaine
Active Directory.

Pour préparer une forêt

12
1. Connectez-vous au contrôleur de schéma en tant que membre du groupe
Administrateurs de l'entreprise, Administrateurs du schéma ou
Administrateurs du domaine.

2. Copiez le contenu du dossier \support\adprep (notez le nouvel emplacement) à


partir du DVD d'installation de Windows Server 2008 R2 vers le détenteur du rôle de
contrôleur de schéma.

3. Ouvrez une fenêtre d'invite de commandes, accédez au dossier Adprep, puis


exécutez adprep /forestprep.

4. Si vous prévoyez d'installer un contrôleur de domaine en lecture seule, exécutez


adprep /rodcprep.

5. Attendez la fin de l'opération et la réplication des modifications avant de passer à la


procédure suivante.

Pour préparer un domaine

Effectuez cette procédure pour chaque domaine où vous souhaitez installer un contrôleur de
domaine exécutant Windows Server 2008 R2.

1. Connectez-vous au maître d'infrastructure en tant que membre du groupe


Administrateurs du domaine.

2. Copiez le contenu du dossier \support\adprep (notez le nouvel


emplacement) à partir du DVD d'installation vers le détenteur du rôle de
maître d'infrastructure.

3. Ouvrez une fenêtre d'invite de commandes, accédez au dossier Adprep, puis


exécutez adprep /domainprep /gpprep.

4. Attendez la fin de l'opération et la réplication des modifications.

Une fois ces étapes effectuées, vous pouvez ajouter des contrôleurs de domaine exécutant
Windows Server 2008 R2 aux domaines que vous avez préparés.

La commande adprep étend le schéma, met à jour les descripteurs de sécurité par défaut des
objets sélectionnés et ajoute de nouveaux objets répertoire, comme requis par certaines
applications. Pour plus d'informations sur adprep, consultez le site
http://go.microsoft.com/fwlink/?linkid=50439 (page éventuellement en anglais).

13
3. Chemins de mise à niveau pris en charge

Le tableau ci-dessous indique quels systèmes d'exploitation Windows peuvent être mis à niveau
vers quelles éditions de Windows Server 2008 R2.

Notez les directives générales suivantes pour les chemins d'accès pris en charge :

• Les mises à niveau sur place des architectures 32 bits aux architectures 64 bits ne sont pas
prises en charge. Toutes les éditions de Windows Server 2008 R2 sont des éditions 64 bits
uniquement.

• Les mises à niveau sur place d'une langue à une autre ne sont pas prises en charge.

• Les mises à niveau sur place d'un type de version (par exemple, de fre vers chk) ne sont pas
prises en charge.

• Si vous ne voyez pas la version actuelle dans la colonne de gauche, cela signifie que la mise
à niveau vers cette version de Windows Server 2008 R2 n'est pas prise en charge.

Si vous exécutez : Vous pouvez migrer vers cette édition :

Windows Server 2003 Standard Edition avec Windows Server 2008 R2 Standard,
Service Pack 2 (SP2) ou Windows Windows Server 2008 R2 Enterprise
Server 2003 R2 Standard Edition

Windows Server 2003 Enterprise Edition avec Windows Server 2008 R2 Enterprise,
SP2 ou Windows Server 2003 R2 Enterprise Windows Server 2008 R2 Datacenter
Edition

Windows Server 2003 Datacenter Edition avec Windows Server 2008 R2 Datacenter
SP2 ou Windows Server 2003 R2 Datacenter
Edition

Installation minimale de Windows Server 2008, Installation minimale de Windows


Standard Edition avec ou sans SP2 Server 2008 R2 Standard ou Windows
Server 2008 R2 Enterprise

Installation minimale de Windows Server 2008, Installation minimale de Windows


Enterprise Edition avec ou sans SP2 Server 2008 R2 Enterprise ou Windows
Server 2008 R2 Datacenter

Installation minimale de Windows Server 2008, Installation minimale de Windows


Datacenter Edition Server 2008 R2 Datacenter

Installation minimale de Windows Web Installation minimale de Windows


Server 2008 avec ou sans SP2 Server 2008 R2 Standard ou Windows Web
Server 2008 R2

14
Installation complète de Windows Server 2008, Installation complète de Windows
Standard Edition avec ou sans SP2 Server 2008 R2 Standard ou Windows
Server 2008 R2 Enterprise

Installation complète de Windows Server 2008, Installation complète de Windows


Enterprise Edition avec ou sans SP2 Server 2008 R2 Enterprise ou Windows
Server 2008 R2 Datacenter

Installation complète de Windows Server 2008, Installation complète de Windows


Datacenter Edition avec ou sans SP2 Server 2008 R2 Datacenter

Installation complète de Windows Web Installation complète de Windows


Server 2008 avec ou sans SP2 Server 2008 R2 Standard ou Windows Web
Server 2008 R2

Installation minimale de Windows Installation minimale de Windows


Server 2008 R2 Standard Server 2008 R2 Standard (réparation sur
place) ou Windows Server 2008 R2
Enterprise

Installation minimale de Windows Installation minimale de Windows


Server 2008 R2 Enterprise Server 2008 R2 Enterprise (réparation sur
place) ou Windows Server 2008 R2
Datacenter

Installation minimale de Windows Installation minimale de Windows


Server 2008 R2 Datacenter Server 2008 R2 Datacenter (réparation sur
place)

Installation minimale de Windows Web Installation minimale de Windows Web


Server 2008 R2 Server 2008 R2 (réparation sur place) ou
Windows Server 2008 R2 Standard

Installation complète de Windows Installation complète de Windows


Server 2008 R2 Standard Server 2008 R2 Standard (réparation sur
place) ou Windows Server 2008 R2
Enterprise

Installation complète de Windows Installation complète de Windows


Server 2008 R2 Enterprise Server 2008 R2 Enterprise (réparation sur
place) ou Windows Server 2008 R2
Datacenter

Installation complète de Windows Installation complète de Windows


Server 2008 R2 Datacenter Server 2008 R2 Datacenter (réparation sur
place)

Installation complète de Windows Web Installation complète de Windows Web


Server 2008 R2 Server 2008 R2 (réparation sur place) ou
Windows Server 2008 R2 Standard

Pour commencer, insérez le DVD de Windows Server 2008 R2 dans votre lecteur, et démarrez la
machine. Votre PC devrait booter sur le DVD et lancer l'installation. Si ce n'est pas le cas, pensez à

15
vérifier l'ordre de boot dans votre BIOS: votre BIOS doit d'abord vérifier le lecteur CD/DVD avant
de booter sur le disque dur.

Si tout ce passe bien, vous arriverez sur cette page:

Il est recommandé d'installer tous vos serveurs en Anglais. Pourquoi ? Car il arrive que des mises à
jour critiques soit disponibles en anglais avant les autres langues. Vous serez donc plus proactif
quant à la sécurité de votre Datacenter. Vous pouvez par contre changer la langue du clavier et le
fuseau horaire, cela n'affecte en rien la sécurité du serveur.

Cliquez sur "Install now".

Ensuite, sélectionnez le mode d'installation.

16
Vous avez ici quatre versions de Windows Server 2008 R2:

• Web
• Standard
• Enterprise
• Datacenter

Pour bien comprendre les différences entre ces versions (outre le prix), voici un tableau
comparatif:

17
Il est important de bien choisir sa version de Windows. Il faut prendre en compte plusieurs facteurs,
comme la RAM maximal que vous voulez installer sur votre machine (qui passe de 32G à 2TB
entre les versions Standard et Enterprise), la possibilité de faire du Clustering, d'ajouter à chaud du
matériel, ou encore le nombre de licences disponibles pour les machines virtuelles sous Hyper-V.

Le deuxième choix concerne le mode graphique de votre serveur: "Full Installation" ou "Server
Core Installation".

Le mode "Full Installation" est le mode avec une interface graphique, comme vous le connaissez
sous Windows 2003 ou Windows 7. Le mode "Server Core", quant à lui, est une version
administrable en ligne de commande, comme sur un serveur Linux. Cette version présente de
nombreux avantages, comme une consommation réduite des ressources systèmes et une sécurité
accrue. Par contre, elle vous oblige à maitriser les lignes de commandes pour administrer votre
server. De plus, certains services ne peuvent être installés en version Core. Pour plus de détails, voir
le tableau ci-dessous, qui détail les services disponibles en mode Core:

18
Une fois votre version de Windows choisie, lisez et acceptez le contrat de licence.

Pour une nouvelle installation, sélectionnez "Custum". "Upgrade" vous permet de passer à
Windows Server 2008 R2 depuis une version antérieure (par exemple Windows Server 2008) en
gardant vos paramètres, fichiers et programmes.

19
La liste de vos partitions s'affiche. Pour pouvoir les modifier, cliquez sur "Drive options
(advanced)".

20
Vous pouvez à présent créer, supprimer, formater ou étendre vos partitions. Comme vous pouvez le
voir sur la capture d'écran, le système se réserve une partition de 100 MB (comme sous Windows
7).

Au redémarrage de la machine, on vous demandera de changer le mot de passe du compte


Administrator.

Changez le mot de passe, validez... et accédez à votre serveur.

21
Insérez le DVD et redémarrez le PC. Appuyez sur une touche.

Windows PE se charge.

22
Choisissez la langue d'installation, le format de l'heure et la langue du clavier. Cliquez sur Next.

Cliquez sur Install Now.

23
Entrez le product Key.

En cliquant directement sur suivant, on passe en mode évaluation du produit. Dans ce cas, cliquez
sur Non :

Si vous passez en mode évaluation, il faut choisir l'édition de Windows 2008 Server à installer.

24
Cliquez sur Next.

25
Acceptez la CLUF ( Contrat de Licence Utilisateur Final).

26
Choisissez le type d'installation. La mise à jour est grisée. En effet il faut démarrer l'installation de
Windows 2008 depuis une version antérieure de WIndows.

27
Sélectionnez le disque sur lequel va être installé le système d'exploitation, puis cliquez sur suivant.

28
L'installation démarre alors. Une fois l'installation terminée, et le redémarrage effectué, le message
suivant apparaît :

Changer le mot de passe de l'administrator.

29
L'installation est terminée.

4. Configuration de Windows Server 2008


Après installation, un nouvel écran apparait. Celui-ci permet d'effectuer les principales opérations
préliminaires d'un serveur.

30
31
32
33
1 - Fournir des informations sur le serveur :

Permet de définir les paramètres de date et heure et de fuseau horaire.

Une nouvelle option permet d'être prévenu une semaine avant le changement d'heure.

Le nouvel écran de gestion du réseau vous permet de changer les propriétés des connexions
réseaux, voici les paramètres par défaut.

34
Permet de définir les paramètres de date et heure et de fuseau horaire. Une nouvelle option
permet d'être prévenu une semaine avant le changement d'heure.

Le nouvel écran de gestion du réseau vous permet de changer les propriétés des connexions
réseaux, voici les paramètres par défaut.

35
Cet écran vous permet de définir le nom du serveur, sa description, le nom du groupe de
travail ou du domaine (dans ce cas il vous faudra un compte administrateur du domaine).Si
vous changez le nom, le domaine ou groupe de travail, vous devrez redémarrer le serveur.

36
2 -Mettre à jour ce serveur

Utilisez cet écran pour configurer Microsoft Update, Windows Error Reporting et le
Programme d'amélioration de l'Experience (Customer Experience Program).

Si vous choisissez de configurer automatiquement alors vous pouvez paramétrer chacun de


ces paramètres séparément (à l'aide de la fenêtre de droite)

37
Ecran de choix de la configuration Paramétrage
manuel

38
Cliquez sur cette option pour télécharger les mises à jour

3 - Personnaliser ce serveur

Cliques sur cette icone pour ajouter des rôles au serveur.

39
NB : comme vous pouvez le constater le rôle Windows SharePoint Services (WSS) n'est pas
dans la liste, Microsoft a décidé de le fournir de nouveau à part.

40
41
Cliquez ici pour ajouter de nouveaux composants (cet endroit remplace l'Ajout / Suppression de programmes ou l'on pouvait ajouter des
composants)

Un assistant permet alors de choisir les fonctionnalités (features)

42
43
44
45
46
Cliquez sur cet élément pour activer le bureau à distance.

Si vous activez cette option, le pare feu sera aussi modifié.

La pare feu (Windows Firewall), qui est activé par défaut peut être configuré en cliquant sur
cet élément.

47
48
III. Administration du serveur

A. Installation Active Directory sur un serveur


Windows Server 2008 à l’aide de l’assistant
d’installation.

1. Installation
Lancer la commande dcpromo afin de démarrer l’assistant d’installation:

49
Je choisis ici d’installer le 1er serveur du 1er domaine d’une nouvelle forêt

Nommons le domaine domlab.com

50
Le nom NetBIOS correspond généralement au nom dns sans son extension, ici DOMLAB

Nous n’avons pas d’autres contrôleurs de domaine dans des versions antérieures à Windows
Server 2008 dans la même forêt, choisissons donc le niveau fonctionnel le plus élevé afin de
profiter de toutes les spécificités propres à 2008.

51
DNS sera installé en même temps que l’AD.

Placer de préférence votre base NTDS dans un emplacement sécurisé. Dans un environnement
de production un RAID 1 sera dédié exclusivement à cette base !

52
Il s’agit ici de spécifier un mot de passe de restauration. A conserver précieusement ! Ce
mot de passe sera indispensable pour réaliser des opérations de maintenance sur la base de
données ntds.dit

53
L’installation peut démarrer …

Une fois terminée vous êtes invité à redémarrer le système !

54
Lors du redémarrage vous pouvez d’ores et déjà constater que la mire de connexion a changée
puisque l’authentification se fait désormais sur le domaine DOMLAB. Vous devez utiliser le
mot de passe du compte Administrator Local que vous utilisiez auparavant !

Vérifier l’installation
Une fois le redémarrage automatique effectué, l’Active Directory est installé et opérationnel

Avec la mise à disposition du grand public de la version Beta 3 de son nouveau système
d'exploitation pour serveurs « Windows Server 2008 », WSS V3 est maintenant intégré au
système.

Nous allons donc voir comment installer Windows SharePoint Services V3 sur ce système.

2. Installation de Windows SharePoint Services


Comme pour Windows Server 2003 où le service WEB est un rôle applicatif à installer
(activer) sur le serveur, Windows Server 2008 possède un nouveau rôle :

• SharePoint Services

Pour donc activer ce nouveau rôle, il faut lancer le Server Manager :

• Start > Administrative Tools > Server Manager

55
On voit une nouvelle interface qui est une amélioration de l'outil existant depuis Windows
2000 :

• Computer Manager (Gestion de l'ordinateur)

Cette interface contient de nouvelles rubriques et sous-rubriques, dont « Roles » et


« Features » (un rôle peut correspondre à plusieurs « features »). Nous allons dans la partie
« Roles » afin de voir comment installer WSS.

56
Pour installer ce rôle, il faut cliquer sur « Add Roles » afin de choisir parmi les rôles
possibles nativement. Un outil se lance alors pour vous aider dans cette installation.

57
On clique sur « Next » pour choisir le rôle à activer parmi la liste des rôles disponibles.

58
En cochant le rôle « Windows SharePoint Services », on voit apparaître la liste des
« features » dépendantes avec la notion de regroupement comme toujours.

59
On clique sur « Add Required Role Services » pour valider le choix et on voit que le rôle
« Web Server (IIS) » a été aussi activé.

60
On doit maintenant valider ce choix en cliquant sur « Next ». L'outil nous explique donc
maintenant que cette installation de WSS va devoir être configurée (connexion à la base de
données, ...).

61
On clique sur « Next » pour aller dans l'étape de configuration.

62
Dans notre cas, nous choisirons le mode « Stand Alone » qui est le premier choix, si vous
souhaitez effectuer une installation en ferme, je vous conseille de regarder l'article sur ce
mode d'installation :

• Installation de WSS V3

Il faut aussi noter que le mode « Stand-Alone » installe un moteur SQL Server interne.

• WSS V3 en Stand-Alone

On sélectionne dans l'étape suivante la langue à appliquer sur ce serveur WSS. Il est
fortement conseillé de rester homogène dans les installations de serveur (sauf cas
particulier comme SPS 2003 en Français). Nous choisissons de ce fait la langue anglaise.

63
On doit maintenant paramétrer le serveur de mail et les adresses à utiliser.

64
L'étape suivante nous explique que le rôle IIS sera aussi installé et nous présente ce
service.

65
On voit maintenant les composants installés avec le rôle IIS.

66
On valide en cliquant sur « Next » et on a un résumé de nos choix.

67
L'installation se lance alors.

68
A la fin de cette installation, nous avons un bilan, on voit d'ailleurs que nous avons une
erreur dans cette installation de SharePoint.

69
Nous devons redémarrer le serveur afin de relancer l'installation de WSS. Cette erreur n'a
pas impact l'installation et nous pouvons voir le site d'administration central.

70
Vous pouvez donc maintenant créer votre application Web.

Création d'une application WEB

Dans un premier temps, vous devez créer un compte local (par exemple WSSAdmin) qui
devra appartenir aux groupes locaux :

• Administrators
• WSS_ADMIN_WPG

Vous allez ensuite sur le site de l'administration centrale avec ce compte.

71
On peut maintenant aller dans l'onglet « Application Management » et cliquer sur « Create
or Extend a Web Application ».

72
On choisit de créer une nouvelle application Web en cliquant sur « Create a new Web
application ».

Conclusion

Vous avez donc maintenant votre installation WSS V3 sur la future plateforme Windows
Server 2008, il reste à voir comment effectuer cette installation dans une ferme existante.

B. INSTALLATION ET CONFIGURATION
DU SERVEUR DNS

1. Présentation du système DNS


1.1 Introduction à la résolution de noms
Pour pouvoir communiquer, chaque machine présente sur un réseau doit avoir un identifiant
unique. Avec le protocole IP (Internet protocole), cet identifiant se présente sous la forme d'un
nombre d'une longueur de 32 bits. On parle d'adresses IP. Cependant pour un utilisateur, il est
impensable de retenir les adresses IP de chaque ordinateur. C'est pourquoi des mécanismes de
résolution de noms ont été mis en place. Un mécanisme de résolution de noms permet de
traduire des noms en adresses IP et inversement.

Au départ, chaque machine stockait localement les mappages noms / adresse IP (un mappage
est une correspondance entre un nom et une adresse IP). Cependant ce système a
l'inconvénient de demander une trop lourde charge administrative. En effet, à chaque ajout de

73
machine dans le réseau ou bien à chaque modification de la configuration d'une machine, il
faut éditer manuellement le fichier contenant les mappages noms / adresse IP.

Le premier mécanisme de résolution de noms mis en place sous Windows est NetBIOS
(NetBIOS Extended User Interface), un protocole crée par IBM dans les années 80. Cette
méthode de résolution de noms a de nombreux inconvénients :

• Les noms NetBIOS sont limités à 16 caractères (15 caractères pour le nom de la
machine et un 16ème caractère indiquant le type de services hébergés par la machine).
• Le protocole NetBIOS utilise la diffusion (ou broadcast) pour résoudre les noms en
adresses IP ce qui surcharge la bande passante du réseau.
• Les noms NetBIOS ne possèdent pas de hiérarchie ce qui les rends inutilisables sur
Internet.
• Le protocole NetBIOS n'est pas utilisé sur les plateformes non Microsoft ce qui pose
un problème d'interopérabilité.

C'est pourquoi sous Windows 2000/2003/XP un nouveau système de résolution de noms


appelé DNS (Domain Name System) a été adopté. Il corrige les inconvénients du protocole
NetBIOS.

1.2 Le système DNS


Le système DNS introduit une convention de nommage hiérarchique des domaines qui
commence par un domaine racine appelé ".". Les domaines situés directement sous le
domaine racine sont appelés domaines de premier niveau. Ils sont gérés par l'ICANN et
représentent souvent la localisation géographique (fr, be, eu, ru, de ...) ou le type de service
(museum, info, org, gov, mail, ...). Les domaines de second niveau sont disponibles pour les
entreprises et les particuliers. Ils sont distribués et gérés par d'autres sociétés comme
l'InterNIC (une filiale le l'ICANN) ou bien l'AFNIC (Association Française pour le Nommage
Internet en Coopération) qui gère le domaine fr. Enfin une multitude de sous domaines
peuvent être crée à l'intérieur d'un domaine de second niveau.

74
la hiérarchie du système DNS

Les noms de machine utilisant le système DNS sont appelés noms d'hôtes. Un nom d'hôte
peut contenir jusqu'à 255 caractères alphanumériques (chiffres et lettres) et le caractère trait
d'union "-". L'utilisation du caractère "." est interdite car il est réservé afin de séparer un
domaine supérieur d'un domaine inférieur.

En effet, on distingue deux types de noms avec le système DNS :

o le nom d'hôte qui représente le nom d'une machine (un ordinateur, une imprimante
réseau ou bien encore un routeur).
o le nom de domaine pleinement qualifié ou FQDN (Fully Qualified Domain Name).

Le FQDN est en fait composé de deux parties : le nom d'hôte et le suffixe DNS. Le suffixe
DNS défini la relation entre le domaine auquel appartiennent la machine et le domaine racine.
Par exemple, si l'on considère une machine avec le nom d'hôte CLIENT-11 située dans le
domaine students, son suffixe DNS est : students.supinfo.com. Le nom de domaine
pleinement qualifié (FQDN) de la machine CLIENT-11 est donc CLIENT-
11.students.supinfo.com.

2. Configuration des clients DNS


2.1 Fonctionnement de la résolution de nom d'hôte côté client

Lorsqu'un client DNS exécutant Windows souhaite résoudre un nom de domaine en adresse
IP (par exemple lors de l'accès à une page web ayant l'URL www.laboratoire-microsoft.org ou
bien lors de l'accès à un dossier partagé \\ServeurFichiers\Documents), un processus
décomposable en plusieurs étapes est exécuté :

75
fonctionnement de la résolution de nom d'hôte

La première chose que doit faire le client avant de pouvoir se connecter au serveur web ou
bien au serveur de fichier est de trouver son adresse IP à partir de son nom d'hôte. Le client
commence par vérifier si une adresse IP correspondant au nom d'hôte est présente dans le
cache de noms DNS. Le cache de noms DNS contient tous les mappages noms d'hôte /
adresses IP qui ont été précédemment résolus. Le cache de noms DNS est stocké en mémoire
vive ce qui permet d'accélérer le processus de résolution de noms d'hôte lorsque l'utilisateur
accède souvent au même serveur. On peut afficher le cache de noms DNS en utilisant la
commande ipconfig /displaydns. Il est aussi possible de vider cette mémoire cache grâce à la
commande ipconfig /flushdns.

Si l'adresse IP recherchée n'est pas présente dans le cache de noms DNS, alors le client
consulte le fichier hosts. Ce fichier est situé dans le répertoire

76
%SYSTEMROOT%\system32\drivers\etc. Toutes les entrées sont faites de manières statiques.
Par défaut, il contient uniquement le mappage entre le nom d'hôte localhost et l'adresse IP
127.0.0.1.

le fichier hosts

Si le mappage n'a pas été trouvé dans le fichier hosts, alors le client va envoyer une requête
DNS au premier serveur DNS dont l'adresse IP a été définie dans ses paramètres TCP/IP. Si
le premier serveur DNS est injoignable alors le client envoie une requête au second et ainsi de
suite... Si aucun serveur DNS n'a été paramétré dans les paramètres TCP/IP du client ou bien
si aucun serveur DNS n'est capable de résoudre le nom en adresse IP alors le client passe à la
quatrième et dernière étape.

Si le client n'a pas trouvé le mappage recherché alors il considère que l'adresse IP recherchée
ne correspond pas à un nom d'hôte mais à un nom NetBIOS et lance une résolution de nom
NetBIOS. La résolution de noms NetBIOS se passe en plusieurs étapes :

1. vérification de la présence de l'adresse IP dans le cache de noms NetBIOS.


2. envoie d'une requête au premier serveur WINS dont l'adresse IP a été définie dans ses
paramètres TCP/IP du client. (*)
3. le client cherche l'adresse IP de la machine sur son sous-réseau en réalisant une
diffusion (broadcast). (*)
4. recherche d'une éventuelle entrée dans le fichier
%SYSTEMROOT%\system32\drivers\etc\lmhosts.

(*) les étapes 2 et 3 peuvent être inversées ou non présentes selon le type de noeud NetBT
défini sur le client. Par défaut, le noeud NetBT H (Hybride) est utilisé et il réalise les étapes
dans l'ordre ci-dessus. Le type de noeud NetBT peut se paramétrer au niveau du serveur
DHCP (le type de noeud NetBT correspond à l'option DHCP numéro 46).

Si à la fin de ce processus aucune adresse IP n'a été trouvée alors le client ne peut pas obtenir
l'adresse IP correspondante et ne peut pas joindre la ressource (par exemple un serveur web

77
ou un serveur de fichier). Dans tous les cas le résultat de la requête DNS sera mis dans le
cache de noms DNS.

2.2 Paramétrage des ordinateurs clients

Lorsque l'on veut accéder à une ressource située sur un réseau (un partage réseau par
exemple), il peut être fastidieux de taper son nom de domaine pleinement qualifié (FQDN).
C'est pourquoi Windows offre la possibilité de définir un suffixe DNS spécifique à un compte
d'ordinateur ou bien à une connexion particulière. Ainsi un utilisateur peut taper le nom d'hôte
de la ressource au lieu de son FQDN. Par exemple, si l'on dispose d'un serveur de fichier
nommé srv-file-1 situé dans le domaine labomicrosoft.lan et si le suffixe DNS des comptes
d'ordinateur a été correctement paramétré, alors l'utilisateur peut taper \\srv-file-1 au lieu de
\\srv-file-1.labomicrosoft.lan pour accéder au partage réseau.

Si l'on défini un suffixe DNS au niveau d'une connexion particulière, celui-ci s'applique à la
place du suffixe DNS du compte d'ordinateur (ou suffixe DNS principal). Pour définir un
suffixe DNS principal, il faut aller dans panneau de configuration / système, sélectionner
l'onglet nom de l'ordinateur, cliquer sur le bouton modifier, puis sur le bouton autres. Vous
pouvez ensuite entrer le suffixe DNS principal dans le champ réservé à cet effet.

78
Pour définir un suffixe
DNS spécifique à une connexion donnée, il faut aller dans les propriétés du protocole
TCP/IP de cette connexion, puis cliquer sur l'onglet DNS. Il suffit ensuite d'entrer le suffixe
DNS dans la zone de texte Suffixe DNS pour cette connexion. Cette fenêtre vous permet
également de définir les serveurs DNS que le client essayera de contacter pour résoudre
les noms d'hôtes.

Vous pouvez aussi activer ou désactiver les mises à jour automatiques des
enregistrements de ressources par les clients grâce à la case Enregistrer les adresses de
cette connexion dans le système DNS.

3. Configuration du serveur DNS


3.1 Installation du service DNS
Lors de la planification de l'installation du serveur DNS vous devez vérifier si les ressources
matérielles de votre machine sont suffisantes. En effet, le service DNS utilise environ 4Mo de
mémoire vive pour s'exécuter et chaque enregistrement de ressource ajoutée au serveur utilise
100 octets (source : documentation Windows 2000 Server). Ainsi si votre serveur doit
héberger 10 000 ressources, cela occupera 10Mo supplémentaires dans la mémoire vive.

Vous pouvez installer le service DNS en passant par l'assistant Configurer votre serveur ou
bien en utilisant la fenêtre Ajout/Suppression de programmes du panneau de configuration.
Dans le second cas, il faut cliquer sur le bouton Ajouter ou Supprimer des Composants

79
Windows, sélectionner Services de mise en réseau, puis Système DNS (Domain Name System).
Avant de lancer la procédure d'installation, assurez-vous de disposer d'une carte réseau
paramétrée avec une adresse IP fixe ainsi que du CD-ROM de Windows 2003 Server.

Une fois le service DNS installé, vous pouvez le configurer grâce à une console dédiée
accessible dans panneau de configuration / outils d'administration ou bien en tapant
dnsmgmt.msc dans la boite de dialogue exécuter.

3.2 Les différents types de requêtes

Un serveur DNS peut recevoir deux types de requêtes DNS :

o une requête récursive : Lorsqu'un serveur DNS reçoit une requête récursive, il doit
donner la réponse la plus complète possible. C'est pourquoi le serveur DNS est
souvent amené à joindre d'autres serveurs de noms dans le but de trouver la réponse
exacte.
o une requête itérative : Lorsqu'un serveur reçoit une requête itérative, il renvoie la
meilleure réponse qu'il peut donner sans contacter d'autres serveurs DNS (c'est-
à-dire en consultant uniquement sa propre base de données).

Lorsqu'une machine cliente envoie une requête à un serveur DNS (étape 3 de la résolution de
nom d'hôte), elle est toujours de type récursif. Dans l'exemple ci-dessous, l'ordinateur client
nommé client23.laboms.lan cherche l'adresse IP correspondant au nom d'hôte
websrever.laboms.lan. C'est pourquoi il envoie une requête récursive au serveur DNS nommé
dns1.laboms.lan. A partir de cet instant dns1.laboms.lan a pour obligation de renvoyer une
réponse au client. Pour cela il va chercher dans sa mémoire cache, puis la base de données
qu'il héberge et va éventuellement contacter d'autres serveurs DNS. Une fois qu'il a obtenu la
réponse (la réponse peut être négative), il la renvoie au client. Dans notre exemple, le serveur

80
DNS a trouvé l'adresse IP recherchée qui est : 172.16.104.30. L'ordinateur client peut ensuite
contacter le serveur web nommé webserver.laboms.lan.

Lorsqu'un serveur DNS ne peut pas répondre à la requête récursive d'un client, il va d'abord
essayer de contacter ses redirecteurs. Si le serveur DNS est paramétré pour utilisé des
redirecteurs alors il envoie une requête récursive au premier serveur DNS défini dans sa liste
de redirecteurs. Par contre, si le serveur DNS n'a pas de redirecteurs, il va envoyer une
requête itérative au premier serveur DNS situé dans sa liste de serveur DNS racine. Le
serveurs DNS n'envoie donc des requêtes itératives que si il n'a pas de redirecteurs.

Dans l'exemple ci-dessus, un client nommé client-11.ms.lan souhaite accéder au site web du
laboratoire Microsoft. La procédure de résolution de nom se passe en plusieurs étapes :

1. L'ordinateur client client-11.ms.lan commence par chercher l'adresse IP du serveur


Web. Pour cela il envoie une requête récursive au premier serveur DNS de sa liste de
serveurs DNS soit dns-2.ms.lan.

81
2. Le serveur dns-2.ms.lan ne connaît pas la réponse, il envoie donc une requête
récursive à dns-1.ms.lan qui est le premier serveur DNS de sa liste de redirecteurs.
3. Dans le cas présent dns-1.ms.lan ne connaît pas l'adresse IP recherchée et n'est pas
configuré pour utiliser des redirecteurs. Il envoie donc une requête itérative au premier
serveur DNS racine parmi sa liste d'indications de racine.
4. Le serveur DNS racine ne connaît pas la réponse mais il sait quel serveur DNS fait
autorité pour le domaine org. Il renvoie donc l'adresse IP du serveur DNS faisant
autorité pour le domaine org à dns-1.ms.lan.
5. Le serveur dns-1.ms.lan envoie alors une requête itérative au serveur DNS du
domaine org.
6. Le serveur DNS du domaine org ne connaît pas la réponse et renvoie l'adresse IP du
serveur DNS faisant autorité pour le domaine laboratoire-microsoft au serveur dns-
1.ms.lan.
7. Le serveur dns-1.ms.lan contacte alors le serveur DNS faisant autorité pour la zone
laboratoire-microsoft au moyen d'une requête itérative.
8. Le serveur DNS faisant autorité pour la zone laboratoire-microsoft possède le
mappage dans sa zone de recherche directe locale. Il envoie donc l'adresse IP
recherché à dns-1.ms.lan.
9. dns-1.ms.lan transmet la réponse au serveur dns-2.ms.lan.
10. Le serveur dns-2.ms.lan fait suivre la réponse au client qui peut ensuite joindre le
serveur HTTP et afficher le site du laboratoire Microsoft.

3.3 Configuration des indications de racine

82
Lorsque le serveur DNS n'est pas configuré pour utiliser des redirecteurs, il se sert des
indications de racine pour résoudre les noms d'hôtes ou les adresses IP appartenant à
des zones qu'il n'héberge pas. Les indications de racine sont un ensemble de serveurs
hébergeant la zone contenant les enregistrements du domaine racine ou domaine ".".

Les "serveurs DNS racines" sont au nombre de 13 à travers le monde. Ils appartiennent tous à
un même domaine nommé root-servers.net. Par défaut, le serveur DNS de Windows 2003
Server est configuré pour utiliser ces treize serveurs DNS. Cela signifie que si le serveur DNS
reçoit une requête DNS dont il ignore la réponse, il va contacter un de ces serveurs racine
pour l'obtenir.

Si l'on ne souhaite pas que les clients puissent résoudre les noms de domaines utilisés sur
Internet, il suffit de ne mettre aucun serveur DNS dans la liste des serveurs racine ou bien de
spécifier le nom d'hôte d'un serveur DNS local. On peut configurer les "serveurs DNS racine"
dans l'onglet Indication de racine (clic droit / propriétés sur le nom du serveur DNS dans la
console MMC).

3.4 Configuration des redirecteurs

Lorsque le serveur DNS n'est pas capable de résoudre un nom en adresse IP, il va essayer de
contacter un autre serveur DNS. On appelle ce serveur DNS redirecteur. Sous Windows 2003
Server il est possible de configurer un ou plusieurs redirecteurs pour un domaine précis
(attention, sous Windows 2000 server cette fonctionnalité n'est pas disponible !).

83
Par exemple, on peut spécifier que tous les enregistrements appartenant au domaine
labomicrosoft.lan seront résolus par les serveurs DNS ayant les adresses IP 172.16.16.1 et
172.16.16.2. Ainsi à chaque fois que le serveur DNS reçoit une requête de résolution de noms
concernant le domaine labomicrosoft.lan, il regarde dans sa mémoire cache, puis si l'entrée
n'y est pas, il contacte immédiatement le premier redirecteur spécifié (ici le serveur DNS
ayant l'adresse IP 172.16.16.1).

Il est possible de définir un redirecteur s'appliquant à tous les domaines sauf ceux qui ont
déjà des redirecteurs. Dans ce cas, le serveur DNS n'utilisera plus du tout les indications de
racine et n'enverra donc jamais de requête récursive. De manière générale, les redirecteurs
indiqués pour le domaine Tous les autres domaines DNS correspondent aux serveurs DNS
des fournisseurs d'accès Internet (FAI) de l'entreprise.

L'utilisation des redirecteurs permet d'utiliser des serveurs DNS locaux pour résoudre les
enregistrements de ressources des domaines locaux et des serveurs DNS extérieurs (ceux des
FAI ou bien les serveurs DNS racines via les indications de racine) pour résoudre les
enregistrements de ressources des domaines Internet, ce qui provoque une amélioration des
performances du processus de résolution de noms tout en conservant la possibilité de
résoudre la totalité des noms de domaines mondiaux.

4. Configuration des zones DNS primaires et secondaires

84
4.1 Introduction aux zones de recherche

La console de gestion du service DNS présente une


arborescence simple. Les deux premiers conteneurs listent les zones de recherches alors que le
troisième liste les évènements relatifs au service DNS (ex. : Le serveur DNS a démarré). Une
zone de recherche directe contient des mappages nom d'hôte / adresse IP alors qu'une zone
de recherche inversée contient des mappages adresse IP / nom d'hôte. Ainsi, une zone de
recherche directe permet de trouver l'adresse IP correspondant à un nom d'hôte alors qu'une
zone de recherche inversée permet de trouver un nom d'hôte à partir d'une adresse IP.

Dans le cas d'une recherche directe, le serveur DNS commence par analyser le suffixe DNS
pour trouver la zone dans laquelle est situé le nom d'hôte, puis recherche ensuite le mappage à
l'intérieur de cette zone.

Dans le cas d'une recherche indirecte, le serveur DNS ne connaît que l'adresse IP de l'hôte. Il
ne peut donc pas utiliser la hiérarchie de l'espace de noms pour retrouver le nom d'hôte. En
effet si le serveur devait interroger toutes les zones DNS pour trouver le nom d'hôte, la
recherche indirecte prendrait trop de temps et de ressources pour être réellement efficace.

C'est pourquoi un domaine spécifique, nommé in-addr.arpa a été réservé dans l'espace de
noms DNS. Ce domaine est subdivisé en sous-domaines correspondant chacun à un réseau
donné. Ainsi le domaine contenant tous les mappages adresse IP / nom d'hôte du réseau privé
de classe C (la page des adresses IP privées de classe C va de 192.168.0.1 à 192.168.255.254)
se nomme 168.192.in-addr.arpa. Par exemple, lorsqu'un serveur DNS recherche le nom
d'hôte correspondant à l'adresse IP 172.16.16.1, il s'adresse à la zone nommée 16.172.in-
addr.arpa.

Selon le plan d'adressage du réseau, il arrive que plusieurs zones de recherches inversées
doivent être crées afin de contenir tous les mappages adresse IP / nom d'hôte d'un domaine
donné. Par exemple si une entreprise utilise le domaine laboms.lan et que son plan
d'adressage fait intervenir des adresses IP privés de classes B et des adresses IP privées de
classe C alors elle devra créer une zone de recherche directe nommée laboms.lan et deux
zones de recherches inversées nommées 16.172.in-addr.arpa et 168.192.in-addr.arpa.

4.2 Les enregistrements de ressources

Dans un environnement Microsoft, les mappages nom d'hôte / adresse IP et adresse IP / nom
d'hôte sont appelés enregistrements de ressources. On distingue plusieurs types
d'enregistrements de ressources. Voici la liste des principaux types :

• A : Les enregistrements de ressources A (pour Adresse d'hôte) sont des mappages


entre un nom d'hôte et une adresse IPv4 (adresse IP d'une longueur de 32 bits). Ils
représentent généralement la majorité des enregistrements de ressources des zones de
recherches directes.

85
• AAAA : Les enregistrements de ressources de ce type sont des mappages entre un
nom d'hôte et une adresse IPv6 (adresse IP d'une longueur de 128 bits).
• CNAME : les enregistrements de ressources de type CNAME (Canonical NAME ou
nom canonique) sont des mappages entre un nom d'hôte et un autre nom d'hôte. Ils
permettent de créer des alias pour un nom d'hôte donné (c'est-à-dire d'associer
plusieurs noms d'hôte à une même machine).
• HINFO : Les enregistrements de ressources de type HINFO (Host INFO ou
informations sur l'hôte) spécifient le type de processeur (ex. : INTEL-386) et le
système d'exploitation (ex. : WIN32) correspondant à un nom d'hôte.
• MX : les enregistrements de ressources de type MX (Mail eXchanger) identifient les
serveurs de messageries. Chaque serveur de messagerie doit aussi disposer d'un
enregistrement de ressource A. Il est possible de donner une priorité différente à
chaque enregistrement MX.
• NS : les enregistrements de ressources de type NS (Name Server ou serveur de nom)
identifient les serveurs DNS de la zone DNS. Ils sont utilisés dans le cadre de la
délégation DNS.
• PTR : les enregistrements de ressources de type PTR (PoinTeR ou pointeur) sont des
mappages entre une adresse IP et un nom d'hôte. Ils représentent la majorité des
enregistrements des zones de recherches inversées.
• SOA : les enregistrements de ressources de type SOA (Start Of Authority) contiennent
le nom d'hôte et l'adresse IP du serveur DNS qui héberge actuellement la zone DNS
principale. Il y a un seul enregistrement SOA par zone DNS. C'est le premier
enregistrement crée dans une zone DNS.
• SRV : les enregistrements de type SRV (service) permettent de mapper un nom d'hôte
à un type de service donné. Ainsi les enregistrements SRV peuvent permettre de
retrouver la liste des serveurs HTTP ou bien encore des contrôleurs de domaines. Il est
possible de donner une priorité différente à chaque enregistrement SRV.
• WINS : les enregistrements de ressources de type WINS indiquent au serveur DNS
l'adresse IP d'un serveur WINS a contacter en cas d'échec lors de la résolution de nom
d'hôte. Les enregistrements WINS ne peuvent être crée que dans une zone de
recherche directe.
• WINS-R : les enregistrements de ressources de type WINS-R ne peuvent être crée que
dans une zone de recherche inversée.

4.3 Les différents types de zones DNS

Une zone de noms ou zone DNS est un ensemble d'enregistrements de ressources


appartenant à la même portion de l'espace de noms DNS. Par exemple une zone DNS peut
contenir l'ensemble des enregistrements de ressource de type A (c'est-à-dire des mappages
noms d'hôte / adresses IP) du domaine laboms.lan. Il existe trois types de zones DNS :

• les zones principales peuvent ajouter, modifier et supprimer des enregistrements de


ressource.
• les zones secondaires sont des copies en lecture seule d'une zone principale donnée.
Un serveur DNS qui héberge une zone secondaire ne peut pas ajouter ni modifier
d'enregistrements de ressource. Les zones secondaires ont donc pour seul intérêt de
garantir une tolérance aux pannes.

86
• les zones de stub sont des copies partielles d'une autre zone. Elles contiennent
uniquement les enregistrements de ressource de types SOA, NS et A.

Les enregistrements d'une zone DNS donnée sont stockés localement par le serveur DNS sous
la forme d'un fichier. Cependant si le serveur DNS joue aussi le rôle de contrôleur de
domaine, il est possible de stocker les zones principales et les zones de stub dans le service
d'annuaire Active Directory. On parlera alors de zones intégrées à Active Directory. Cette
seconde solution apporte des avantages en termes de performance et de sécurité.

4.4 Configuration d'une zone principale

a/ configurer une zone de recherche directe

Si votre réseau ne contient aucun serveur DNS, vous devez commencer par créer une zone de
recherche principale. Pour cela il faut faire un clic droit sur le conteneur zones de recherches
directes, puis sélectionner Nouvelle zone. Dans l'assistant cliquez sur Suivant, puis
sélectionnez Zone principale dans la fenêtre Type de zone. On remarque que la case
Enregistrer la zone dans Active Directory est grisée ce qui est normal étant donné que dans
notre exemple la machine n'est pas un contrôleur de domaine.

Dans la fenêtre Nom de la zone, entrez la partie de l'espace de nom que devra contenir la zone
de recherche directe principale, puis cliquez sur Suivant. Dans notre exemple, le nom de la
zone est : labomicrosoft.lan. Vous êtes ensuite amené à créer un nouveau fichier de zone et à
le nommer. Le nom proposé par défaut est labomicrosoft.lan.dns.

87
Dans la fenêtre Mise à niveau dynamique, vous devez donner ou non la permission aux
machines cliente de mettre à jour automatiquement leurs enregistrements de ressources. En
effet, si vous utilisez un plan d'adressage dynamique (avec le protocole DHCP par exemple)
les machines clientes peuvent changer d'adresse IP ce qui invalide les enregistrements de
ressources A et PTR correspondant. Cependant, les machines exécutant Windows
2000/XP/2003 peuvent mettre à jour automatiquement les enregistrements A et PTR les
concernant à chaque modification de leur configuration. Trois choix sont disponibles :

o N'autoriser que les mises à jour dynamiques sécurisées : seul, les ordinateurs
possédant un compte d'ordinateur dans Active Directory peuvent créer et mettre à jour
automatiquement leurs enregistrements de ressources. Cette option n'est disponible
que dans le cas d'une zone intégrée à Active Directory.
o Autoriser à la fois les mises à jour dynamiques sécurisées et non sécurisées : tous les
ordinateurs exécutant Windows 2000/XP/2003 peuvent créer et mettre à jour
automatiquement leurs enregistrements de ressources. Même une machine qui n'est
pas membre du domaine peut créer des enregistrements, ce qui peut poser des
problèmes de sécurité.
o Ne pas autoriser les mises à jour dynamiques : Dans ce cas, la seule façon de mettre à
jour les enregistrements de ressources est d'utiliser la commande ipconfig
/registerdns sur chaque machine cliente. Si cette solution est utilisable avec un petit
nombre de machine, elle s'avère trop contraignante dans un réseau d'envergure.

88
Une fois votre choix effectué, cliquez sur Suivant, puis sur Terminer pour quitter l'assistant.

b/ configurer une zone de recherche inversée

Vous pouvez ensuite créer une zone de recherche inversée principale. Pour cela, faites un clic
droit sur le conteneur zones de recherche inversée, puis sélectionner Nouvelle zone. Dans
l'assistant cliquez sur Suivant, sélectionnez Zone principale dans la fenêtre Type de zone puis
faites Suivant. Vous devez ensuite choisir le nom de la zone de recherche inversée. Pour cela
vous pouvez entrer l'adresse IP du réseau auquel appartiennent les machines considérées (dans
ce cas l'assistant génèrera automatiquement le nom de la zone) ou bien choisir le nom de la
zone manuellement. Une fois le nom de zone correctement entré, cliquez sur Suivant.

89
Dans la fenêtre Fichier zone, donnez un nom au fichier qui contiendra la zone DNS puis
cliquez sur Suivant. Vous devez ensuite autoriser ou non les mises à jour dynamique des
enregistrements de ressources.

Une fois ce choix effectué, cliquez sur Suivant puis sur Terminer pour quitter l'assistant.

90
4.5 Configuration d'une zone secondaire

a) Introduction

Pour alléger la charge du serveur DNS hébergeant une principale, vous pouvez créer une
copie de cette zone en lecture seule sur un second serveur DNS. Ce type de zone est appelé
zone secondaire. Pour créer une zone secondaire il faut donc que le réseau contienne déjà un
serveur DNS hébergeant une zone principale.

b) configurer une zone de recherche directe

Pour créer une zone secondaire, il faut faire un clic droit sur le conteneur Zones de recherche
directes, puis cliquer sur Nouvelle zone. Cliquez sur Suivant, sélectionnez Zone secondaire
puis faites Suivant. Vous devez ensuite donner le nom de la zone à dupliquer. Dans notre
exemple, il s'agit de labomicrosoft.lan.

Vous devez ensuite, entrer l'adresse IP du serveur hébergeant la zone principale.

91
Cliquez ensuite sur Suivant puis sur Terminer pour quitter l'assistant.

c) configurer une zone de recherche inversée

Pour créer une zone de recherche inversée secondaire, faites un clic droit sur le conteneur
Zones de recherche inversée, puis cliquez sur Nouvelle zone. Cliquez sur Suivant pour passer
la fenêtre de présentation de l'assistant. Dans la fenêtre Type de zone, sélectionnez Zone
secondaire puis Suivant.

92
Saisissez l'adresse IP du réseau dans la zone de texte ID réseau .Cliquez sur Suivant.

Vous devez ensuite, entrer l'adresse IP du serveur hébergeant la zone principale.

93
5. Les autres types de zones DNS
5.1 Intérêt des zones de stub
Sous Windows 2008 Server on peut paramétrer des redirecteurs pour un domaine donné.
Cependant les adresses IP des serveurs DNS qui jouent le rôle de redirecteurs doivent
être entrées manuellement ce qui peut s'avérer contraignant si les serveurs DNS sont
nombreux. De plus la liste de redirecteurs est statique. Ainsi, si l'un des serveurs DNS est
supprimé ou bien si son adresse IP change, l'entrée ne sera plus valide.

Dans l'exemple ci-dessous, on observe 2 domaines au sain d'une même forêt. Le domaine
labomicrosoft.lan contient 7 serveurs DNS et le domaine test.lan contient un seul serveur
DNS. Si l'on souhaite que le serveur DNS srv-1.test.lan puisse résoudre les noms d'hôtes du
domaine labomicrosoft.lan, il faudra configurer les sept serveurs DNS en tant que
redirecteurs.

94
Il existe une alternative à l'utilisation des redirecteurs. En effet, Windows 2008 Server offre la
possibilité de créer un type de zone spécifique nommé zone de stub, ne contenant que les
enregistrements de ressources de types NS et SOA d'une zone DNS. La zone de stub est
automatiquement mise à jour lorsque les paramètres d'un enregistrement NS ou SOA sont
modifiés. Dans notre exemple, il est recommandé d'utiliser une zone de stub plutôt que des
redirecteurs. En effet, la création de la zone de stub s'avère moins contraignante que celle des
redirecteurs et offre l'avantage de mettre à jour les enregistrements de ressources à chaque
modification.

95
5.2 Configurer une zone de stub

a) configurer une zone de recherche directe

Pour créer une zone de recherche directe de stub, faites un clic droit sur le conteneur Zones de
recherche inversée, puis cliquez sur Nouvelle zone. Cliquez sur Suivant pour passer la fenêtre
de présentation de l'assistant. Dans la fenêtre Type de zone, sélectionnez Zone de stub puis
Suivant.

96
Vous devez ensuite, entrer le nom de la zone DNS à partir de laquelle vous voulez copier les
enregistrements SOA et NS. Cliquez sur Suivant pour valider votre choix.

Dans la fenêtre Fichier de zone, donnez un nom au fichier qui contiendra les enregistrements
de la zone de stub, puis faites Suivant. Vous devez ensuite indiquer l'adresse IP du serveur
DNS à partir duquel vous voulez copier la zone. Cliquez sur Suivant, puis sur Terminer pour
lancer le processus de création de la zone.

97
Vous pouvez ensuite visualiser les enregistrements contenus dans la zone de stub. On
remarque qu'elle contient effectivement les enregistrements de ressources SOA, NS et A des
serveurs DNS de la zone d'origine.

une zone de stub ne contient que des enregistrements de ressources de type SOA, NS et A.

b) configurer une zone de recherche inversée

La configuration d'une zone de recherche inversée de stub est identique à celle d'une zone de
recherche directe de stub hormis le choix du nom de la zone à dupliquer :

98
5.3 Les avantages des zones DNS intégrées à Active Directory

Contrairement aux zones DNS classiques qui stockent les enregistrements de ressources dans
des fichiers, les zones DNS intégrées à Active Directory stockent les enregistrements de
ressources directement dans le service d'annuaire Active Directory. Seules les zones
primaires et les zones de stub peuvent être intégrées à Active Directory. De plus, seuls les
contrôleurs de domaine jouant aussi le rôle de serveur DNS peuvent héberger des zones
intégrées à Active Directory.

Les zones DNS intégrées à Active Directory sont intéressantes puisqu'elles permettent de
renforcer la sécurité du processus de résolution de noms de diverses manières :

o Les zones intégrées à Active Directory peuvent être dupliquées sur tous les contrôleurs
de domaine. Cela permet d'assurer la tolérance de panne, puisque si un contrôleur de
domaine connaît une défaillance, alors la résolution de noms sera toujours assurée.
o De plus l'intégration à Active Directory sécurise les transactions entres les serveurs
DNS. En effet, les zones DNS intégrées au service d'annuaire utilisent le mécanisme
de réplication Active Directory qui s'avère plus sécurisé que les échanges AXFR et
IXFR réalisés entre des serveurs DNS utilisant des zones standard.
o Enfin les zones intégrées à Active Directory permettent de sécuriser les mises à jour
automatiques des ordinateurs clients (seuls les ordinateurs clients équipés de
Windows 2000/XP/2003/2008 peuvent faire des mises à jour automatiques). En effet,
si les mises à jours automatiques sont activées, seuls les ordinateurs clients membres
du domaine peuvent mettre à jour automatiquement leurs enregistrements A et PTR.

99
5.4 Configurer une zone DNS intégrée à Active Directory

a) créer une zone DN intégrée à Active Directory

Pour créer une zone intégrée à Active Directory, il suffit de côcher la case nommé Enregistrer
la zone dans Active Directory lors de la création d'une zone.

Il faut ensuite choisir comment sera répliquée la zone DNS. Il est possible de répliquer la
zone DNS vers tous les serveurs DNS de la forêt, vers tous les serveurs DNS du domaine ou
bien vers tous les contrôleurs de domaines du domaine.

100
b) Modifier une zone DNS standard en zone DNS intégrée à Active
Directory

Il est également possible de convertir une zone DNS standard en zone DNS intégrée à
Active Directory. Pour cela, il suffit de faire clic droit / propriétés sur la zone DNS à
convertir dans la console MMC DNS. Cliquez ensuite sur le bouton Modifier pour changer le
type de la zone.

101
Côchez ensuite la case Enregistrer la zone dans Active Directory, puis cliquez sur OK pour
convertir la zone. Vous devrez ensuite sélectionner le type de réplication à mettre en œuvre
pour cette zone DNS.

102
6. La délégation de zone DNS
6.1 Intérêt de la délégation de zones DNS
Considérons une arborescence de domaine, doté d'un domaine parent et de deux sous-
domaines. La solution la plus simple est de mettre en place un serveur DNS dans le domaine
parent avec une zone DNS primaire. Cependant, il peut être intéressant du point de vu des
performances de mettre en place 3 serveur DNS (un dans le domaine parents et un dans
chaque sous-domaine). Dans ce cas de figure (un serveur DNS dans chaque sous-domaine), il
faut créer des délégations de zones au niveau du serveur DNS appartenant au domaine
parent. Une délégation permet d'autoriser un autre serveur DNS à contrôler une partie des
enregistrements de la zone.

Dans l'exemple ci-dessous, le domaine supinfo.com est subdivisé en deux sous-domaines


nommés administration.supinfo.com et students.supinfo.com. Chaque domaine possède son
propre serveur DNS. Le serveur DNS du domaine parent héberge la zone DNS primaire
supinfo.com. On souhaite déléguer l'administration des enregistrements de ressources du
domaine administration.supinfo.com et du domaine students.supinfo.com aux serveurs DNS
respectivement nommés dns.administration.supinfo.com et dns.students.supinfo.com. Il va
donc falloir créer deux nouvelles délégations sur le serveur DNS du domaine parent.

103
schéma illustrant la délégation de zone DNS

Une fois que les délégations sont crées, les machines clientes situées dans le domaine
supinfo.com utilisent le serveur DNS situé dans le domaine parent pour résoudre les noms
d'hôtes du domaine supinfo.com et utilisent les serveurs DNS situés dans les sous-domaines
pour résoudre les noms d'hôtes des domaines administration.supinfo.com et
students.supinfo.com. En revanche les machines clientes situées dans les sous-domaines
peuvent uniquement résoudre les noms d'hôtes appartenant à leur sous-domaine. C'est
pourquoi il faut créer un redirecteur pointant vers le serveur DNS du domaine parent
sur les serveurs DNS des sous-domaines.

104
6.2 Créer et configurer une délégation de zone DNS

Le fonctionnement et la configuration des


redirecteurs a déjà été abordé
précédemment et nous ne montrerons pas
comment créer les redirections vers le
serveur parent. Nous allons maintenant
montrer comment créer les deux
délégations de zones sur le serveur DNS
du domaine supinfo.com.

Pour commencer, il faut développer le


conteneur Zones de recherche directes
puis faire un clic droit sur la zone DNS
primaire nommée supinfo.com et
sélectionner Nouvelle délégation.

Dans l'assistant Nouvelle délégation


cliquez sur Suivant.

Dans la fenêtre Nom du domaine délégué, vous devez entrez le nom d'hôte du sous-domaine
sur lequel vous souhaitez faire la délégation. Dans notre exemple, il faut taper administration
pour déléguer l'administration du domaine administration.supinfo.com.

105
Dans l'onglet Serveurs de noms, utilisez le bouton Ajouter pour choisir les serveurs DNS
auxquels vous allez déléguer l'administration du domaine administration.supinfo.com.

Cliquez ensuite sur Suivant puis sur Terminer pour quitter l'assistant. Procédez de la même
manière pour déléguer l'administration des enregistrements de ressources du sous-domaine
students.supinfo.com vers le serveur dns.students.supinfo.com.

Les
domaines
délégués
apparaissent
ensuite sous
la forme de
dossier
grisés dans
la zone
DNS
primaire
supinfo.com
.

7. Les outils d'administration en ligne de commande


7.1 Introduction

106
Il existe divers outils en ligne de commande permettant de vérifier le bon fonctionnement de
la résolution de noms. On peut citer nslookup, DNScmd ou bien encore DNSlint. Seul
nslookup est intégré au système d'exploitation. Les deux autres outils devront être installés
avec les outils de support Windows 2003 server.

7.2 Utiliser nslookup

nslookup permet de tester la


résolution des noms d'hôtes en
adresses IP et inversement.
Lorsque l'on tape nslookup en
mode texte, une invite de
commande apparaît. En outre le
nom d'hôte et l'adresse IP du
serveur DNS par défaut sont
affichées.
Lorsque l'on tape un nom d'hôte ou un FQDN,
nslookup renvoie l'adresse IP correspondante et
indique éventuellement si la réponse fait ou non
autorité sur le domaine. Dans l'exemple ci-
contre, lorsque l'on tape le nom d'hôte client-7, le
serveur DNS nommé dns-2.labomicrosoft.lan
renvoie l'adresse IP 172.16.16.16 et rappelle le
nom de domaine pleinement qualifié : client-
7.labomicrosoft.lan.
Lorsque l'on tape une adresse IP, nslookup
renvoie le nom de domaine pleinement qualifié
correspondant et indique éventuellement si la
réponse fait ou non autorité sur le domaine. Dans
l'exemple ci-à-droite, lorsque l'on l'adresse IP
172.16.16.15, le serveur DNS nommé dns-
2.labomicrosoft.lan renvoie le nom de domaine
pleinement qualifié client-6.labomicrosoft.lan.

7.3 Utiliser dnscmd


dnscmd est un utilitaire permettant d'administrer votre serveur DNS sans passer par la
console MMC. Vous pouvez ainsi réaliser diverses tâches allant de la création d'un
enregistrement à la suppression d'une zone. Cela peut s'avérer utile pour créer des scripts
automatisant certaines tâches (par exemple la création d'enregistrements A et PTR).

Vous pouvez par exemple utilisez dnscmd pour ajouter ou supprimer une zone DNS. Voici la
syntaxe à respecter pour l'ajout d'une zone DNS principale : dnscmd <serveur_DNS>
/ZoneAdd <nom_de_zone> /Primary /File <nom_du_fichier_de_zone>.

107
Ajout/Suppression d'une zone DNS avec l'outil en ligne de commande dnscmd.exe

L'utilitaire dnscmd.exe peut aussi être utilisé afin de rajouter des enregistrements de
ressources dans une zone DNS. Pour ajouter un enregistrement de ressource, il faut utiliser la
syntaxe suivante : dnscmd <serveur_dns> /RecordAdd <nom_zone_DNS> <nom_hôte>
<type_enregistrement> <adresse_IP>. L'exemple ci-dessous montre comment ajouter un
enregistrement de ressource A et un enregistrement de ressources PTR.

Ajout d'enregistrements de ressources à l'aide de l'outil en ligne de commande dnscmd.exe

Dnscmd.exe peut
aussi être utilisé
pour forcer la
réplication d'une
zone DNS.

7.4 Utiliser dnslint

Dnslint est un outil qui permet de diagnostiquer les problèmes liés à la résolution de noms
d'hôtes. Il permet par exemple de vérifier les enregistrements de ressources utilisés
spécifiquement pour la réplication Active Directory. Dnslint est disponible avec les outils de
support sur le CD-ROM de Windows 2003 Server.

L'avantage de dnslint.exe est qu'il permet de générer des rapports au format HTML sur
l'implémentation du système DNS à l'intérieur d'une forêt Active Directory. Le rapport crée
liste entre autre, l'ensemble de serveurs DNS de la forêt ainsi qu'un grand nombre
d'informations les concernant. La syntaxe à utiliser pour créer un rapport est : dnslint /ad
<adresse_IP_contrôleur_de_domaine> /s <adresse_IP_serveur_DNS>.

108
utilisation de l'outil en ligne de commande dnslint.exe

Voici un extrait du rapport généré par l'utilitaire dnslint.exe :

Si vous souhaitez obtenir des informations détaillées concernant ce produit, vous pouvez vous
référer à la base de connaissance Microsoft - 321045.

8. Conclusion
Nous avons montré le fonctionnement du système DNS ainsi que son intérêt par rapport au
vieillissant protocole NetBIOS. L'implémentation pratique du système DNS a également été
traitée du côté client avec Windows client comme du côté serveur avec Windows serveur.

Le fonctionnement de la résolution de noms d'hôte grâce aux indications de racine, aux


redirecteurs et à la délégation de zones DNS a ensuite été explicité. Nous avons aussi vu

109
comment les zones DNS intégrées à Active Directory et les zones de stub permettent
d'augmenter la sécurité et les performances du système DNS.

Enfin divers outils en ligne de commande permettant d'administrer le service DNS, de tester
le processus de résolution de noms ou bien encore de diagnostiquer les éventuels problèmes
liés au service DNS ont été présentés.

C. INSTALLATION ET CONFIGURATION
DU SERVEUR DHCP
1. Introduction
Cette partie détaille l'installation d'un serveur DHCP sous Windows Server 2008 à l'aide de
l'assistant mais également en ligne de commande avec le Shell de Powershell V2.0.

2. Adressage IP : rappel
2.1 Structure des adresses IP

Les adresses IP sont des nombres de 32 bits qui contiennent 2 champs :

• Un identificateur de réseau (NET-ID): tous les systèmes du même réseau physique


doivent posséder le même identificateur de réseau, lequel doit être unique sur
l'ensemble des réseaux gérés.
• Un identificateur d'hôte (HOST-ID): un nœud sur un réseau TCP/IP est appelé hôte,
il identifie une station de travail, un serveur, un routeur ou tout autre périphérique
TCP/IP au sein du réseau.

La concaténation de ces deux champs constitue une adresse IP unique sur le réseau.

Pour éviter d'avoir à manipuler des nombres binaires trop longs, les adresses 32 bits sont
divisées en 4 octets. Ce format est appelé la notation décimale pointée, cette notation
consiste à découper une adresse en quatre blocs de huit bits. Chaque bloc est ensuite converti
en un nombre décimal.

Chacun des octets peut être représenté par un nombre de 0 à 255.

Ex : 130.150.0.1

Exemple :

L'adresse IP 10010110110010000000101000000001 est d'abord découpée en quatre blocs :

10010110.11001000.00001010.00000001 puis, chaque bloc est converti en un nombre


décimal pour obtenir finalement 150.200.10.1

= >4 nombres entiers (entre 0 et 255) séparés par des points.

110
= >4 octets

L'écriture avec les points est une convention, le codage en machine est binaire.

2.2 Classes d'adresses

La communauté Internet a défini trois classes d'adresses appropriées à des réseaux de


différentes tailles. Il y a, a priori, peu de réseaux de grande taille (classe A), il y a plus de
réseaux de taille moyenne (classe B) et beaucoup de réseaux de petite taille (classe C). La
taille du réseau est exprimée en nombre d'hôtes potentiellement connectés.

Le premier octet d'une adresse IP permet de déterminer la classe de cette adresse.

Les adresses disponibles (de 0.0.0.0 à 255.255.255.255) ont donc été découpées en plages
réservées à plusieurs catégories de réseaux.

Pour éviter d'avoir recours aux organismes NIC à chaque connexion d'un nouveau poste,
chaque société se voit attribuer une plage d'adresse pour son réseau. Le nombre d'adresses
disponibles dans chaque plage dépend de la taille du réseau de la société. Les grands réseaux
sont dits de classe A (IBM, Xerox , DEC, Hewlett-Packard), les réseaux de taille moyenne
sont de classe B (Microsoft en fait partie !), et les autres sont de classe C.

Figure 2.1. Classes d'adresses

Par exemple, l'adresse d'un poste appartenant à un réseau de classe A est donc de la forme :

0AAAAAAA.xxxxxxxx.xxxxxxxx.xxxxxxxx, avec A fixé par le NIC et x quelconque.

Exemple

IBM a obtenu l'adresse 9 (en fait, on devrait dire 9.X.X.X, mais il est plus rapide de n'utiliser
que la valeur du premier octet). 9 est bien de classe A car 9d=00001001b

Cela signifie que chaque adresse IP du type 00001001.xxxxxxxx.xxxxxxxx.xxxxxxxx, avec x


prenant la valeur 0 ou 1, fait partie du réseau d'IBM.

Malgré ces possibilités d'adressage, la capacité initialement prévue est insuffisante et sera
mise à défaut d'ici quelques années. L'IPNG (Internet Protocol Next Generation) ou Ipv6

111
devrait permettre de résoudre ces difficultés en utilisant un adressage sur 16 octets noté en
héxadécimal.

2.3 Identification du réseau

L'adresse IP se décompose, comme vu précédemment, en un numéro de réseau et un numéro


de nœud au sein du réseau.

Afin de s'adapter aux différents besoins des utilisateurs, la taille de ces 2 champs peut varier.

On définit ainsi les 5 classes d'adresses notées A à E:

Figure 2.2. Classes d'adresses

ex. : Soit l'adresse IP suivante : 142.62.149.4

142 en décimal = 100011102 en binaire

Le mot binaire commence par les bits 102 donc il s'agit d'une adresse de classe B. Ou, plus
simple : 142 est compris entre 128 et 191.

S'agissant d'une adresse de classe B, les deux premiers octets (a et b) identifient le réseau. Le
numéro de réseau est donc : 142.62.0.0

Les deux derniers octets (c et d) identifient l'équipement hôte sur le réseau.

Finalement, cette adresse désigne l'équipement numéro 149.4 sur le réseau 142.62.

2.4 Adresses réservées

Les adresses réservées ne peuvent désigner une machine TCP/IP sur un réseau.

L'adresse d'acheminement par défaut (route par défaut.) est de type 0.X.X.X. Tous les
paquets destinés à un réseau non connu, seront dirigés vers l'interface désignée par 0.0.0.0.

NB : 0.0.0.0 est également l'adresse utilisée par une machine pour connaître son adresse IP
durant une procédure d'initialisation (DHCP).

112
L'adresse de bouclage (loopback): l'adresse de réseau 127 n'est pas attribuée à une société,
elle est utilisée comme adresse de bouclage dans tous les réseaux. Cette adresse sert à tester le
fonctionnement de votre carte réseau. Un ping 127.0.0.1 doit retourner un message correct. Le
paquet envoyé avec cette adresse revient à l'émetteur.

Toutes les adresses de type 127.X.X.X ne peuvent pas être utilisées pour des hôtes. La valeur
de 'x' est indifférente. On utilise généralement 127.0.0.1

L'adresse de réseau est une adresse dont tous les bits d'hôte sont positionnés à 0 (ex
128.10.0.0 adresse de réseau du réseau 128.10 de classe B). Elle est utilisée pour désigner
tous les postes du réseau. On utilise cette adresse dans les tables de routage.

Les noms de réseaux de type :

• X.Y.Z.0 (de 192.0.0.0 à 223.255.255.0) sont dits de classe C


• X.Y.0.0 (de 128.0.0.0 à 191.255.0.0) sont dits de classe B
• X.0.0.0. (de 1.0.0.0 à 126.255.255.254) sont dits de classe A

L'adresse de diffusion est une adresse dont tous les bits d'hôte sont positionnés à 1 (ex :
128.10.255.255 adresse de diffusion du réseau 128 de classe B).

Elle est utilisée pour envoyer un message à tous les postes du réseau.

Les adresses "privées"

Les adresses suivantes (RFC 1918) peuvent également être librement utilisées pour monter
un réseau privé :

A 10.0.0.0 255.0.0.0

B 172.16.0.0 à 172.31.255.255 255.240.0.0

C 192.168.0.0 à 192.168.255.255 255.255.0.0

Aucun paquet provenant de ces réseaux ou à destination de ces réseaux, ne sera routé sur
l'Internet (ces adresses sont néanmoins « routables » sur le réseau local).

Figure 2.3. Récapitulatif Classes d'adresses

113
Le rôle du masque de réseau (netmask) est d'identifier précisément les bits qui concernent le
N° de réseau d'une adresse (il "masque" la partie hôte de l'adresse).

Un bit à 1 dans le masque précise que le bit correspondant dans l'adresse IP fait partie du N°
de réseau ; à l'inverse, un bit à 0 spécifie un bit utilisé pour coder le N° d'hôte.

Ainsi, on a un masque dit "par défaut" qui correspond à la classe de ce réseau.

Exemple: dans un réseau de classe A sans sous-réseau, le premier octet correspond à l'adresse
du réseau donc le netmask commence par 11111111 suivi de zéros soit 255.0.0.0.

D'où le tableau suivant:

Classe Netmask
A 255.0.0.0
B 255.255.0.0
C 255.255.255.0

Ex : Si mon adresse IP est 149.127.1.110 alors je travaille avec une adresse de classe B. Mon
N° de réseau est 149.127.0.0 et mon masque 255.255.0.0.

2.5 Les sous-réseaux

Pourquoi créer des sous réseaux ?

Les avantages de la segmentation en sous-réseau sont les suivants :

1. Utilisation de plusieurs media (câbles, supports physiques). La connexion de tous les


nœuds à un seul support de réseau peut s'avérer impossible, difficile ou coûteuse
lorsque les nœuds sont trop éloignés les uns des autres ou qu'ils sont déjà connectés à
un autre media.
2. Réduction de l'encombrement. Le trafic entre les nœuds répartis sur un réseau
unique utilise la largeur de bande du réseau. Par conséquent, plus les nœuds sont

114
nombreux, plus la largeur de bande requise est importante. La répartition des nœuds
sur des réseaux séparés permet de réduire le nombre de nœuds par réseau. Si les
nœuds d'un réseau de petite taille communiquent principalement avec d'autres nœuds
du même réseau, l'encombrement global est réduit.
3. Economise les temps de calcul. Les diffusions (paquet adressé à tous) sur un réseau
obligent chacun des nœuds du réseau à réagir avant de l'accepter ou de la rejeter.
4. Isolation d'un réseau. La division d'un grand réseau en plusieurs réseaux de taille
inférieure permet de limiter l'impact d'éventuelles défaillances sur le réseau concerné.
Il peut s'agir d'une erreur matérielle du réseau (une connexion.
5. Renforcement de la sécurité. Sur un support de diffusion du réseau comme Ethernet,
tous les nœuds ont accès aux paquets envoyés sur ce réseau. Si le trafic sensible n'est
autorisé que sur un réseau, les autres hôtes du réseau n'y ont pas accès.
6. Optimisation de l'espace réservé à une adresse IP. Si un numéro de réseau de classe
A ou B vous est assigné et que vous disposez de plusieurs petits réseaux physiques,
vous pouvez répartir l'espace de l'adresse IP en multiples sous-réseaux IP et les
assigner à des réseaux physiques spécifiques. Cette méthode permet d'éviter
l'utilisation de numéros de réseau IP supplémentaires pour chaque réseau physique.

a) Masque de sous-réseau

Les masques de sous-réseaux (subnet mask) permettent de segmenter un réseau en plusieurs


sous-réseaux. On utilise alors une partie des bits de l'adresse d'hôte pour identifier des sous-
réseaux.

L'adressage de sous-réseau permet de définir des organisations internes de réseaux qui ne sont
pas visibles à l'extérieur de l'organisation. Cet adressage permet par exemple l'utilisation d'un
routeur externe qui fournit alors une seule connexion Internet.

Toutes les machines appartenant à un sous-réseau possèdent le même numéro de réseau.

On utilise le même principe que pour le masque par défaut sur l'octet de la partie hôte auquel
on va prendre des bits. Ainsi, le masque de sous-réseau d'une adresse de classe B commencera
toujours par 255.255.xx.xx

Pour connaître l'adresse du sous-réseau auquel une machine appartient, on effectue en réalité
un ET logique entre l'adresse de la machine et le masque.

Adresse : 200.100.40.33 11001000.01100100.00101000.00100001

Masque : 255.255.255.224 11111111.11111111.11111111.11100000

Opération ET 11001000.01100100.00101000.00100000

=> La machine appartient au sous-réseau : 200.100.40.32

Nous voyons dans ce deuxième exemple que nous avons pris 2 bits sur le dernier octet de
notre adresse. Ces 2 bits vont nous permettre de construire plusieurs sous-réseaux:

Ex : adresse : 192.0.0.131

115
Masque : 255.255.255.192

Conversion de l'adresse en binaire : 11000000 00000000 00000000 10000011

Conversion du masque en binaire : 11111111 11111111 11111111 11000000

Décomposition de l'adresse (R,H) : 11000000 00000000 00000000 10000011

La machine appartient au sous-réseau 192.0.0.128 et a l'adresse 3(11 en binaire)

Pour des raisons de commodité, on préférera réserver un octet entier pour coder le numéro
de sous réseau. De même la théorie ne nous oblige pas à prendre les bits contigus d'un
masque, même si c'est ce que nous utiliserons en pratique.

Important : pour parer à d'éventuels problèmes de routage et d'adressage, tous les ordinateurs
d'un réseau logique doivent utiliser le même masque de sous-réseau et le même identificateur
de réseau.

b) Sous-réseaux

Nombre de sous-réseaux

Le nombre théorique de sous-réseaux est égal à 2^n, n étant le nombre de bits à 1 du masque,
utilisés pour coder les sous-réseaux.

Exemple :

Adresse de réseau : 200.100.40.0

Masque : 255.255.255.224

224 = 11100000 donc 3 bits pour le N° de sous-réseau et 5 bits pour l'hôte.

Le nombre de sous-réseaux est donc de : 2^3 =8.

Remarque : la RFC 1860 (remplacée par la RFC 1878) stipulait qu'un numéro de sous réseau
ne peut être composé de bits tous positionnés à zéro ou tous positionnés à un.

Autrement dit, dans notre exemple, on ne pouvait pas utiliser le sous-réseau 0 et le sous-
réseau 224. Le premier nous donnant une adresse de sous-réseau équivalente à l'adresse du
réseau soit 200.100.40.0. Le deuxième nous donnant une adresse de sous-réseau dont l'adresse
de diffusion se confondrait avec l'adresse de diffusion du réseau. Le nombre de sous-réseaux
aurait alors été de seulement : 2^3-2 =6.

Il est donc important de savoir quelle RFC est utilisée par votre matériel pour savoir si les
adresses de sous-réseau composées de bits tous positionnés à zéro ou tous positionnés à un
sont prises en compte ou non.

Adresse des sous-réseaux

116
Il faut donc maintenant trouver les adresses des sous-réseaux valides en utilisant les bits à 1
du masque.

Pour l'exemple précédent, il faut utiliser les 3 premiers bits:

000 00000 = 0

001 00000 = 32

010 00000 = 64

011 00000 = 96

100 00000 = 128

101 00000 = 160

110 00000 = 192

111 00000 = 224

On constate que le pas entre 2 adresses de sous-réseau est de 32 = 25 correspondant au


nombre théorique d'hôtes par sous-réseau.

Adresse de diffusion d'un sous-réseau

Il faut mettre tous les bits de la partie hôte à 1.

Cherchons l'adresse de diffusion des sous réseaux précédents.

• Avec le masque 255.255.255.224

Pour le sous-réseau 200.100.40.32

32 = 001 00000 donc l'adresse de diffusion est 001 11111 = 63.

L'adresse de diffusion complète est donc 200.100.40.63

Pour le sous-réseau 200.100.40.64 l'adresse de diffusion est 200.100.40.95

...ETC ...

Avec le masque 255.255.255.129

Pour le sous-réseau 200.100.40.1 l'adresse de diffusion est 200.100.40.127

Pour le sous-réseau 200.100.40.128 l'adresse de diffusion est 200.100.40.254

Pourquoi 254 et pas 255 car avec 255 le dernier bit serait à 1 donc on serait dans le sous-
réseau 10000001, en décimal 129.

117
Nombre de postes d'un sous-réseau

Le nombre de postes est égal à 2n, n étant le nombre de bits à 0 du masque permettant de
coder l'hôte. A ce chiffre il faut enlever 2 numéros réservés :

• tous les bits à zéro qui identifient le sous-réseau lui-même.


• tous les bits à 1 qui est l'adresse de diffusion pour le sous-réseau.

Exemples :

Soit le masque 255.255.255.224

224 = 11100000 donc 3 bits pour le N° de sous-réseau et 5 bits pour l'hôte

le nombre de poste est donc de : 2^5 -2 =30 postes.

De même, avec le masque non contigu 255.255.255.129 le nombre de postes sera de 2^6-2 =
62 postes

Adressage de sur-réseaux

En 1992 la moitié des classes B étaient allouées, et si le rythme avait continué, au début de
1994 il n'y aurait plus eu de classe B disponible et l'Internet aurait bien pu mourir par
asphyxie ! Pour éviter la diminution des identificateurs de réseau, et la saturation des routeurs
(nombre de routes trop important) les autorités d'internet ont conçu un schéma appelé
adressage de sur-réseaux ( ou super-réseaux).

L'adressage de sur-réseaux par opposition à la segmentation en sous-réseaux, emprunte des


bits de l'identificateur de réseau pour les attribuer aux identificateurs d'hôtes afin d'optimiser
le routage.

Par exemple, au lieu d'allouer un identificateur de réseau de classe B, dans une entreprise
comportant 2000 hôtes, InterNic alloue une plage séquentielle de 8 identificateurs de réseau
de classe C. Chaque identificateur de réseau de classe C gère 254 hôtes pour un total de 2 032
identificateurs d'hôte.

Alors que cette technique permet de conserver des identificateurs de réseau de classe B, elle
crée un nouveau problème.

En utilisant des techniques de routage conventionnelles, les routeurs d'internet doivent


désormais comporter huit entrées (en RAM) dans leurs tables de routage pour acheminer les
paquets IP vers l'entreprise. La technique appelée CIDR (Classless Inter-Domain Routing)
permet de réduire les huit entrées utilisées dans l'exemple précédent à une seule entrée
correspondant à tous les identificateurs de réseau de classe C utilisés par cette entreprise.

Soit les huit identificateurs de réseau de classe C commençant par l'identificateur de réseau
220.78.168.0 et se terminant par l'identificateur de réseau 220.78.175.0, l'entrée de la table de
routage des routeurs d'lnternet devient :

118
Identificateur Masque de Masque de sous réseau

de réseau sous réseau (en binaire)


220.78.168.0 255.255.248.0 11111111 11111111 11111000 00000000

En effet 168 en binaire donne : 10101000

et 175 donne : 10101111

la partie commune porte bien sur les 5 premiers bits

d'où le masque : 11111000

Dans l'adressage de sur-réseaux, la destination d'un paquet est déterminée en faisant un ET


logique entre l'adresse IP de destination et le masque de sous-réseau de l'entrée de routage. En
cas de correspondance avec l'identificateur de réseau, la route est utilisée. Cette procédure est
identique à celle définie pour l'adressage de sous-réseaux.

La notation CIDR définit une convention d'écriture qui spécifie le nombre de bits utilisés
pour identifier la partie réseau (les bits à 1 du masque).

Les adresses IP sont alors données sous la forme :

142.12.42.145 / 24 <=> 142.12.42.145 255.255.255.0

153.121.219.14 / 20<=> 153.121.219.14 255.255.240.0

Dans cette écriture les nombres 24 et 20 représentent le nombre de bits consacrés à la


codification du réseau (et sous réseau).

Remarque : Les RFC 1518 et 1519 définissent le CIDR (Classless Inter-Domain Routing).

3. Fonctionnement du DHCP
DHCP pour Dynamic Host Configuration Protocol permet la configuration réseau
automatique d'une machine. Le serveur fournit donc la configuration TCP/IP tel que :
- Adresse IP
- Masque de sous-réseau
- Passerelle
- Le nom du domaine
- Le type de noeud Netbios
- Et bien d'autres...

Ces adresses sont allouées suivants des baux. Le bail est à réglé suivant le type de machine
dans votre réseau ainsi que le nombre d'adresses disponibles. Si vous possédez une plage
d'adresses réduites il faudra utiliser des baux courts (1 à 2 jours). De même pour l'utilisation
de stations de type nomades (WI-FI) les baux ne devront pas dépasser 1 jour. Dans le cas de
stations fixes Microsoft recommande des baux de 8 jours. Suivant la topologie de votre réseau
cette valeur peut être modifiée.

119
Le serveur DHCP garde les Logs des adresses allouées sur le réseau aux clients. Il est ainsi
facile de retrouver une machine source d'ennuis (Scan du réseau, accès non autorisé sur
l'internet...)
Par défaut la base de données et les Logs sous Windows Server 2008 sont stockées dans
C:\Windows\System32\dhcp
Les sauvegardes des Logs se trouvent quand à eux dans dans
C:\Windows\System32\dhcp\backup

4. Installation du service avec l'assistant

Pour nos tests le serveur DHCP aura l'adresse 172.16.1.40 et un masque 255.255.255.0

Avant d'installer le serveur DHCP assurez-vous que votre serveur possède une adresse IP fixe.

Ajouter ensuite le rôle serveur DHCP depuis la mmc gestionnaire de serveur

120
Puis il faut indiquer sur quelle carte réseau le serveur écoute les demandes des clients DHCP
(plusieurs cartes peuvent être indiquées)

Il convient ensuite d'indiquer le domaine DNS (laisser vide si inexistant) ainsi que le serveur
DNS primaire et éventuellement secondaire). A noter que par défaut le serveur DNS principal
est l'adresse locahost du serveur (127.0.0.1). Les clients ne pourrait communiquer avec le
serveur il faut notre l'adresse IP du serveur (172.X, 192.X, 10.X)

Puis si WINS est utilisé sur votre réseau indiquer l'adresse IP du serveur WINS

121
Il faut ensuite configurer l'étendue DHCP. C'est à dire la plage d'adresse IP et les options
DHCP données aux clients.

122
Ensuite on indique si on active la distribution d'adresse IPV6. Ici nous ne détaillerons pas
cette partie.
Si le serveur DHCP n'a pas les autorisations pour servir les clients DHCP il faut l'indiquer sur
le serveur Contrôleur de Domaine. Sinon on laisse les informations d'identification par défaut.

Il convient d'activer l'étendue si cela n'est pas déjà fait.

123
Enfin si vous avez ou vous prévoyez d'installer un serveur WDS il vous est conseillé d'activer
Bootp. Clique droit et propriété de l'étendue puis onglet Avancé.

124
Si vous souhaitez changer l'emplacement de la base DHCP des baux il faut aller dans les
propriétés du serveur DHCP puis indiquer le nouvel emplacement. Il faudra redémarrer les
services pour les changements soient pris en compte.

5. Installation et configuration du serveur DHCP en ligne de commande


avec Powershell
Dans cette partie on va vous expliquez comment réaliser les étapes précédentes en ligne de
commande avec Powershell

Pour installer le rôle nous allons utiliser un module introduit avec Powershell V2. Ce module
est présent nativement sous Windows Server 2008 R2 mais pas sous 2008. Il faut installer
Powershell V2 pour pouvoir l'utiliser.

Vous obtiendrais la liste des services installés et disponibles en tapant Get-WindowsFeature.


On peut installer donc le service DHCP.

Pour configurer le serveur il faut automatiser le lancement du service au démarrage de la


machine est activer le service :

Set-Service -name DHCPServer -StartupType automatic


Set-Service -name DHCPServer -status running

Pour configurer le serveur nous utiliserons la commande Netsh qui se situe dans le dossier
system32.

On ajoute notre serveur dans la liste des serveurs autorisés. Il faut utiliser le nom FQDN du
serveur du type TST-SRV-01.corp.test.local ainsi que son adresse IP.

netsh dhcp add server TST-SRV-01.corp.test.local 172.16.1.40

On ajoute ensuite une étendue 172.16.1.0 avec le masque 255.255.255.0 du nom


Monetendue et de description DescriptionEtendue.

netsh dhcp server 172.16.1.40 add scope 172.16.1.0 255.255.255.0 Monetendue


DescriptionEtendue

125
On ajoute la plage d'adresse 172.16.1.100 à 172.16.1.199 à notre étendue précédemment créée

netsh dhcp server 172.16.1.40 scope 172.16.1.0 add iprange 172.16.1.100 172.16.1.199

On ajoute une plage d'exclusion 172.16.1.110 à 172.16.1.120 à notre étendue.

netsh dhcp server 172.16.1.40 scope 172.16.1.0 add excluderange 172.16.1.110


172.16.1.120

On ajoute à l'étendue 172.16.1.0 la passerelle par défaut du sous-réseau 172.16.1.254

netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 003 IPADDRESS
172.16.1.254

On ajoute deux serveurs DNS à notre étendue 172.16.1.40 et 172.16.1.254

netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 006 IPADDRESS
172.16.1.40 172.16.1.254

On ajoute l'option correspondant aux paramètres de neouds WINS de type 0x8

netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 046 BYTE 0x8

On ajoute les options WINS à notre étendue

netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 044 IPADDRESS
172.16.1.40

Enfin nous ajoutons le domaine par défaut de notre étendue distribué aux clients

netsh dhcp server 172.16.1.40 scope 172.16.1.0 set optionvalue 015 STRING
corp.test.local

6. Les baux

Pour des raisons d'optimisation des ressources réseau, les adresses IP sont délivrées avec une
date de début et une date de fin de validité. C'est ce qu'on appelle un "bail". Un client qui voit
son bail arriver à terme peut demander au serveur une prolongation du bail par un
DHCPREQUEST. De même, lorsque le serveur verra un bail arriver à terme, il émettra un
paquet DHCPNAK pour demander au client s'il veut prolonger son bail. Si le serveur ne reçoit
pas de réponse valide, il rend disponible l'adresse IP.

126
C'est toute la subtilité du DHCP : on peut optimiser l'attribution des adresses IP en jouant sur
la durée des baux. Le problème est là : si aucune adresse n'est libérée au bout d'un certain
temps, plus aucune requête DHCP ne pourra être satisfaite, faute d'adresses à distribuer.
Sur un réseau où beaucoup d'ordinateurs se branchent et se débranchent souvent (réseau
d'école ou de locaux commerciaux par exemple), il est intéressant de proposer des baux de
courte durée. A l'inverse, sur un réseau constitué en majorité de machines fixes, très peu
souvent rebootées, des baux de longues durées suffisent. N'oubliez pas que le DHCP marche
principalement par broadcast, et que cela peut bloquer de la bande passante sur des petits
réseaux fortement sollicités.

7. Conclusion
Nous venons de voir l'installation d'un serveur DHCP sous Windows Server 2008 et plus
intéressant son installation et sa configuration via le Shell de Powershell. Il est possible via un
script d'automatiser ce processus.

Un serveur DHCP reste un élément intéressant pour la configuration automatique des postes
de travail et pour faciliter le plan d'adressage IP de l'administrateur réseau. En revanche un
problème de sécurité se pose
(Network Policy Server) afin de sécuriser les accès réseau. Nous verrons sa configuration
dans un prochain article :)

127
D. Gestion DES UTILISATEURS

1. Création de domaine
Pour se faire, nous allons utiliser l'Active Directory. Il est possible qu’il soit installé de base.

Manipulation : "Outils d'administration", "Gestionnaire de serveur", se placer sur "Rôles" et


faire "Ajouter des rôles". Cochez "Services de domaine Active Directory".
Lancer dcpromo.exe (il peut l’être via la console)
Il suffit ensuite de suivre l’assistant.
Sélectionnez "créer un domaine dans une nouvelle forêt" si vous n’avez rien de base.
Entrez le nom de votre future domaine, choisissez de préférence le niveau fonctionnel le plus
élevé. Vérifiez aussi que l’option serveur DNS soit bien cochée. Continuez.
Pour le mot de passe, il est préférable de prendre le même que celui de l’administrateur, cela
évite de se mélanger.
Sinon les règles par défaut pour les mots de passe sont :
Les mots de passe doivent comporter au moins 7 caractères
Chaque mot de passe doit utiliser au moins trois catégories de caractères parmi les 4
catégories suivantes.
Les lettres majuscules
Les lettres minuscules
Les chiffres
Les caractères spéciaux (@!$*-&...).
Redémarrez votre serveur. Le domaine est installé.

2. Création d’utilisateurs et de groupes


Apres avoir installé Active Directory, « Utilisateurs et ordinateurs Active Directory » a du
être ajouté dans les outils d’administration. Ouvrez-le.
Vous devriez voir votre serveur, placez-vous sur « user » ouvrez le menu contextuel (clic
droit de la souris), « nouveau », « utilisateur »
Entrez nom, prénom… Puis suivant.
Si vous souhaitez ajouter des groupes, ou autres objets mettez vous sur l’objet
correspondant et faite de même que pour les utilisateurs.
Configurer ensuite le mot de passe utilisateur. Il est toujours aussi restrictif.
Si vous voulez le rendre plus simple je vous invite à regarder : Réduire les exigences de
mots de passe. L’utilisateur est ajouté

3. Intégrer un ordinateur au domaine


Ouvrir le menu contextuel du poste de travail. Ouvrez « propriétés ». Allez dans l’onglet «
Nom de l’ordinateur ». Cliquez sur « Modifier… »
Modifiez le nom de votre ordinateur si vous le souhaitez. Choisissez « Domaine : », entrez
son nom (celui donné pendant la configuration du domaine), puis validez.

Il suffira de redémarrer votre ordinateur pour que le changement soit pris en compte.

128
Apres le redémarrage, ouvrez votre session serveur, en choisissant votre domaine, pas le
poste « ordinateur ».
Vous avez intégré le domaine.

4. Partage de fichiers/dossiers
Le plus simple est de créer directement les fichiers à partager sur le serveur.
Pour Partitionner un disc dur ou une partition « Ordinateur », « D : » (le disc dur de votre
choix, hors « RECOVERY » et « OS »).
Soit vous partagez directement une partition et dans ce cas :
Menu contextuel de la partition, « partage », « partage avancé », cochez « partagez ce
dossier ».
Dans les « autorisations » vous pouvez définir qui aura accès à la partition.
Soit vous créez un ou plusieurs dossiers dans le disc dur, puis vous les partagez :
Créez votre dossier. Menu contextuel du dossier, « propriétés», onglet « partage », «
partage avancé », cochez « partagez ce dossier ».
Dans les « autorisations » vous pouvez définir qui aura accès à la partition.
Choisissez les utilisateurs, groupes, objets… avec lesquels vous voulez partagez le dossier
: « ajouter », soit vous connaissez les noms, groupe et vous les entrer directement, soit
vous cliquez sur « avancé », puis « rechercher » (à droite).
Les niveaux d’autorisations : Copropriétaire : L’utilisateur/groupe/… a le droit d’écriture,
lecture, modification.
Collaborateur : L’utilisateur/groupe/… a le droit d’écriture, lecture, mais pas de
modification.
Lecteur : L’utilisateur/groupe/… a le droit de lecture uniquement.

5. Récupération du réseau coté utilisateur


Cliquez sur « poste de travail », dans la barre de gauche : menu contextuel du « favori
réseau », cliquez sur « explorer ». Puis « tout le réseau » (toujours dans la barre de
gauche), et finalement sur le nom de votre serveur.
Les nôtres sont ensuite dans un dossier « administrateur ».
Visibilité des dossiers partagés : tous les dossiers partagés sont visible dans ce dossier.
Pour éviter cela (ceci devient vite illisible) il est conseillé de ne pas partager les sous
dossiers (qui ne doivent pas forcement être vus par tous les utilisateurs du dossier partagé)
mais plutôt de leur attribuer des sécurités.
Allez sur le dossier, dans ses « propriétés », dans l’onglet « Sécurité », configurez de la
même manière que pour le partage. Attention vous avez plus d’option de contrôle.
Ainsi les sous dossiers seront uniquement dans les dossiers partagés et pourront avoir des
droits d’accès différents du dossier partagé parent.
Pour n’afficher que les dossiers autorisés vous invite à regarder : Enlever la visibilité des
dossiers auxquels les utilisateurs n’ont pas les autorisations.

6. Manipulations diverses
a) Stratégies de mot de passe

129
Si vous avez un domaine Active Directory sous Windows Server 2003, vous avez surement
déjà essayé de définir plusieurs stratégies de mot de passe pour vos différents types
d’utilisateurs.
Pour cela, vous avez créé plusieurs stratégies de groupe et vous les avez liés aux unités
d’organisation de votre domaine. Cependant, cette solution donne toujours le même résultat :
seule la stratégie de mot de passe spécifiée au niveau du domaine s’applique, la Default
Domain Policy.
Sous Windows Server 2003, il est impossible de définir plusieurs stratégies de mot de passe
pour le domaine.
Heureusement, Windows Server 2008 autorise désormais la création de plusieurs stratégies
de mot de passe, dites granulaires. Néanmoins, elles ne pourront s’appliquer que sur des
comptes utilisateurs ou de groupes de sécurité et non sur des unités d’organisation.

Pourquoi

On peut se poser la question de pourquoi a-t-on besoin d’avoir des mots de passe différents
pour le domaine.
La réponse est simple : vous avez dans votre entreprise, différents types d’utilisateurs et tous
n’ont pas la même importance.
Pour des questions de sécurité, vous aimeriez que vos administrateurs changent leur mot de
passe tous les 30 jours, que la longueur soit d’au moins 12 caractères…
Cependant, il est très difficile d’imposer à un utilisateur lambda la même complexité, ceux-ci
seraient alors tentés d’inscrire le mot de passe sur leur bureau.

Configuration

L’ajout de stratégies granulaire s’effectue en 3 étapes :

1. Vérification des prés requis.


2. Création de la stratégie.
3. Attribution à un groupe

Pré Requis
La stratégie de mots de passes granulaire est une chose qui n’existait pas sous Windows
Server 2003, il faudra donc élever le niveau fonctionnel de votre domaine sous Server 2008.
Si vous souhaitez utiliser ces stratégies, il faudra migrer tous vos contrôleurs de domaine sous
Windows Server 2008.
Pour augmenter le niveau fonctionnel d’un domaine, rendez-vous dans Active Directory
Domains and Trusts. Il suffit ensuite de cliquer avec le bouton droit sur votre nom de
domaine et de sélectionner Augmenter le niveau fonctionnel de domaine.
Dans la liste, sélectionnez Windows Server 2008 et cliquez sur Augmenter.

130
Création
Afin de créer et d’appliquer nos stratégies granulaires, nous allons utiliser ADSI Edit car il
n’y a pas réellement d’outil dédié pour cela.
Une fois que vous avez connecté la console ADSI à votre serveur, vous obtenez un arbre qui
décrit les caractéristiques du domaine.
Pour Windows Server 2008, les stratégies de mots de passe granulaires (Fine-grained
Password en anglais) ne sont pas considérées comme des GPO mais comme des objets
particuliers.
Ces objets sont appelés : Password Settings Objects (PSO) et ont différents attributs qui
détermineront les mots de passe.
Les PSO se situent dans l’emplacement System -> Password Settings Container. Ou si vous
préférez le chemin LDAP: « CN=Password Settings
Container,CN=System,DC=votre_domaine »

131
Avant de créer votre premier Password Setting Object, il est important de se souvenir que ce
type d’objet ne peut s’appliquer qu’à des comptes utilisateurs ou à des groupes globaux.
Pour ajouter une stratégie, cliquez droit sur le conteneur CN=Password Settings Container et
de sélectionner New et Object
L’assistant ne vous propose qu’un seul type d’objet possible : le msDS-PasswordSettings.

Cliquez sur Next et renseignez les informations demandées pour tous les attributs de l’objet.

132
Voici les explications des attributs du PSO :
cn: Common Name. Le nom de votre objet PSO. Exemple: Password Admin Labo IT
msDS-PasswordSettingsPrecedence: Un PSO peut-être lié à plusieurs utilisateurs ou
groupes globaux, et un utilisateur ou un groupe peut se voir appliqué plusieurs PSOs. Pour
déterminer quels sont les paramètres à utiliser, chaque PSO possède une précédence. Celle-ci
permet de définir des priorités entre les PSO. C’est un nombre commence à 1. Plus la valeur
est petite, plus elle est prioritaire.
msDS-PasswordReversibleEncryptionEnabled: Activer le chiffrement réversible des mots de
passe. C’est une valeur booléenne (TRUE ou FALSE). Cette fonction est fortement
déconseillée.
msDS-PasswordHistoryLength: Taille de l’historique des mots de passe. Nombre entier.
msDS-PasswordComplexityEnabled: Paramètre permettant d’activer la complexité des mots
de passe. Un mot de passe est considéré comme complexe lorsqu’il combine 3 des 4 critères
suivant: lettres minuscules, lettres majuscules, chiffres et caractères spéciaux. La valeur
attendue est un booléen.
msDS-MinimumPasswordLength: Taille minimale du mot de passe. La valeur attendue doit
un nombre entier supérieur ou égal à 0.
msDS-MinimumPasswordAge: Durée de vie minimum d’un mot de passe. La valeur attendue
est une durée exprimée sous le format j:hh:mm:ss. Exemple pour 1 jour et 8 heures,
1:08:00:00.
msDS-MaximumPasswordAge: Durée de vie maximale du mot de passe. Force l’utilisateur a
changé de mot de passe une fois la durée de vie maximale atteinte. La valeur attendue est une
durée au format j:hh:mm:ss.
msDS-LockoutTreshold: Seuil de verrouillage pour la stratégie de verrouillage des comptes.
Cela permet de définir le nombre de tentatives possibles. La valeur attendue est un nombre
entier supérieur ou égal à 0.
msDS-LockoutObservationWindow: Durée pendant laquelle un utilisateur ne peut plus
tenter d’ouvrir sa session. La valeur attendue est une durée au format j:hh:mm:ss comprise
entre 00:00:00:01 et la valeur du paramètre msDS-LockoutDuration.
msDS-LockoutDuration: Durée pendant laquelle un compte utilisateur reste verrouillé s’il
n’y a pas eu l’intervention d’un administrateur. La valeur attendue est une durée au format
j:hh:mm:ss.
Une fois la configuration terminée, l’objet PSO doit apparaitre dans la liste de droite.

Attribution
La dernière étape consiste à attribuer notre PSO à un compte utilisateur ou un groupe
global.
Pour avoir une meilleure gestion des stratégies, il est conseillé d’appliquer les PSO aux
groupes et non à un compte utilisateur.
Pour appliquer une stratégie, cliquez droit dessus puis Propriétés. Cherchez ensuite l’attribut
msDS-PSOAppliedTo, sélectionnez-le puis cliquez sur le bouton Modifier.
Dans la fenêtre qui apparaît cliquez sur Ajouter un Compte Windows et sélectionnez le
groupe voulu.

133
Notre objet de mot de passe est désormais créé et appliqué sur un groupe.
b) Réduire les exigences de mot de passe

Rappelons les règles par défaut pour les mots de passe :

Les mots de passe doivent comporter au moins 7 caractères


Chaque mot de passe doit utiliser au moins trois catégories de caractères parmi les
4 catégories suivantes :
o Les lettres majuscules◊
o Les lettres minuscules
o Les chiffres
o Les caractères spéciaux (@!$*-&...)
Pour réduire les exigences, allez dans « Outils d'administration » et « Gestion des
stratégie de groupe ».
Ouvrez les nœuds suivants :
o « Forêt : votre domaine »◊
o « Domaine »
o « Domaine…. »
o « Objets de stratégie de groupe »
o « Default domaine Policy » (ne confondez pas avec "Default Domain
Controllers Policy").

Sur ce dernier, ouvrez le menu contextuel et cliquez sur « Modifier »


Dans cette nouvelle fenêtre, ouvrez les nœuds suivant :
« Configuration ordinateur »
« Stratégies »
« Paramètres Windows »
« Paramètres de sécurité »

134
« Stratégies de comptes »
« Stratégie de mots de passe », cliquez
Désactivez « Le mot de passe doit respecter des exigences de complexité » et réduisez la
longueur minimale du mot de passe. Vous pouvez aussi changer les autres paramètres.
La modification de la stratégie n'est pas effective immédiatement. Il faut attendre quelques
minutes.
Si vous ne voulez pas attendre, vous pouvez exécuter GPUPDATE (console).

c) Enlever la visibilité des dossiers auxquels les utilisateurs n’ont


pas les autorisations

Pour enlever cette visibilité, il faut définir une propriété du dossier partagé ‘source ‘.
La visibilité des dossiers ce fait suivant la sécurité. Si vous voulez qu’une personne autorisée
au niveau du dossier de partage, ne puisse pas voir un dossier, enlevez-lui tout ses droits (au
niveau sécurité).
Allez dans « Outils d'administration » et « gestion du partage de stockage».
Sélectionner le dossier/volume voulu, ouvrez le menu contextuel, propriétés.
Dans l'onglet partage choisir avancé.
Cocher la case "Activer l'énumération basée sur l'accès"

E. GESTION DES RESSOURCES


DISQUES

1. Partitionner un disque dur ou une partition


Allez dans « outils d’administration », puis « gestion de l’ordinateur ».
Dans la fenêtre de gauche, déroulez « Stockage », cliquez sur « Gestion des disques ».
Créer un espace vide : choisir un espace à réduire, clique droit sur ce volume, « Réduire »
choisissez la taille de la réduction et valider.
Créer une nouvelle partition à partir d’un espace vide : clique droit sur l’espace vide «
nouveau volume simple », choisissez la taille de la nouvelle partition, lui attribuer une lettre,
puis formater le volume (conseiller) et lui attribuer un nouveau nom. Validez.
Agrandir une partition existante a partir d’un espace vide : sélectionnez l’espace à agrandir,
clique droit « Etendre le volume », validez.

2. Gestion des quotas d'espace disque sous Windows Server


2003R2/2008
Il existe deux manières d’implémenter la gestion de quota disque sous Windows Server 2003
R2/2008.

La première méthode est l’utilisation des quotas NTFS. Ils peuvent être assignés par
utilisateur ou par volume. L’activation de ces quotas peut être réalisée sur l’ensemble des
disques contenus au sein d’une stratégie de groupe dans l’Active Directory. Lorsque que
l’espace limite est atteint, une notification est générée dans les journaux d’évènements.

135
La deuxième méthode consiste à utiliser le Gestionnaire de ressources du serveur
de fichiers, outil de gestion centralisée des ressources de stockage inclus dans Windows
Server depuis la version 2003 R2. Il permet la création et la mise en place de modèle de quota
s’appliquant par volume ou arborescence (répertoire). Les limites d’espace de stockage
peuvent être inconditionnelles (non bloquante) ou conditionnelles. Lorsque le stockage atteint
des niveaux prédéfinis, il est possible d’envoyer un message électronique à une liste de
distribution, enregistrer un événement dans le journal, exécuter une commande ou un script,
ou générer des rapports.
L’Utilisation des quotas NTFS et celle du Gestionnaire de ressources du serveur de fichiers
peuvent être simultanées et complémentaires.
L’inconvénient de ces deux méthodes réside dans le fait qu’elles sont incapables de gérer des
quotas par groupes d’utilisateurs. Cependant il est possible d’ajouter cette fonctionnalité en
utilisant des scripts faits maison ou en utilisant des logiciels tiers.
Voici un tableau récapitulatif de ces deux méthodes :

Fonctionnalités de
quotas Gestionnaire de ressources du serveur de fichiers Quotas de disque NTFS

Suivi des quotas Par dossier ou par volume Par utilisateur sur un
volume

Calcul de l’utilisation Espace disque réel Taille de fichier logique


d’un disque

Mécanismes de Messages électroniques, journaux d’événements, exécution Journaux d’événements


notification de commandes, rapports prédéfinis uniquement

3. RAID (Redundant Array of Independant Disk).


En informatique, le mot RAID désigne les techniques permettant de répartir des données sur
plusieurs disques durs afin d'améliorer soit la tolérance aux pannes, soit la sécurité, soit les
performances de l'ensemble, ou une répartition de tout cela.

L'acronyme RAID a été défini en 1987 par l'Université de Berkeley, dans un article nommé A
Case for Redundant Arrays of Inexpensive Disks (RAID)1, soit « regroupement redondant de
disques peu onéreux ». Aujourd'hui, le mot est devenu l'acronyme de Redundant Array of
Independent (or inexpensive) Disks, ce qui signifie « regroupement redondant de disques
indépendants ». Le coût au mégaoctet des disques durs ayant diminué d'un facteur 1 300 000
en 29 ans, aujourd'hui le RAID est choisi pour d'autres raisons que le coût de l'espace de
stockage2.

3.1 Historique
En 1978, un employé d'IBM, Norman Ken Ouchi, déposa un brevet concernant un « Système
de récupération de données stockées dans une unité de stockage défectueuse », et dont la
description était ce que deviendrait plus tard le RAID 5. Ce brevet fait également mention du

136
miroitage (mirroring) de disque (qui sera appelé plus tard RAID 1), ainsi que de la protection
avec une parité dédiée (qui sera appelé plus tard RAID 3 et 4).

La technologie RAID a été élaborée par un groupe de chercheurs de l'Université de Berkeley


(Californie) en 1987. Ces derniers étudièrent la possibilité de faire reconnaître deux disques
durs ou plus comme une seule entité par le système. Ils obtinrent pour résultat un système de
stockage aux performances bien meilleures que celles des systèmes à disque dur unique, mais
doté d'une très mauvaise fiabilité. Les chercheurs s'orientèrent alors vers des architectures
redondantes, afin d'améliorer la tolérance aux pannes du système de stockage.

En 1988, les différents RAID, de type 1 à 5, étaient formellement définis par David Patterson,
Garth Gibson et Randy Katz dans la publication intitulée « A Case for Redundant Arrays of
Inexpensive Disks (RAID)4 ». Cet article introduisait le terme « RAID », dont l'industrie du
disque s'est immédiatement emparée, dont elle proposait cinq niveaux différents, en les
comparant au « SLED », chacun d'eux ayant ses avantages et ses inconvénients.

3.2 Description et concepts

a) Comparaison RAID/SLED

Depuis sa création, la particularité principale de l'architecture RAID est sa capacité à


combiner de nombreux périphériques de stockage bon marché et une technologie courante
dans une matrice unique, de sorte que ce groupement offre une capacité, une fiabilité et/ou des
performances accrues, ce pour un coût largement inférieur à un périphérique de stockage
unique équivalent exploitant des technologies de pointe. L'architecture RAID s'oppose donc à
l'architecture SLED (Single Large Expensive Disk), qui est fondée sur l'utilisation d'un seul et
même disque dur de grande capacité, donc d'un prix élevé, car celui-ci doit non seulement
pouvoir stocker beaucoup d'informations, mais il doit de plus être d'excellente qualité pour
garantir au mieux la pérennité et l'accessibilité de son contenu.

En effet, dans une architecture de type SLED, la bonne conservation des données est
dépendante de la moindre défaillance du disque dur. Lorsqu'une panne survient, non
seulement le système est inexploitable le temps du remplacement du matériel défectueux,
mais la seule manière de récupérer les données est de procéder à une restauration de la
dernière sauvegarde, ce qui peut prendre plusieurs heures durant lesquelles le système est
toujours inutilisable.

Si un tel temps d'inactivité est acceptable pour l'ordinateur d'un particulier, il est en revanche
rédhibitoire pour le système informatique d'une entreprise, pour qui une telle panne peut avoir
des conséquences non négligeables sur sa santé financière. L'utilisation d'une architecture
RAID, du moins dans la plupart de ses niveaux fonctionnels, permet justement d'apporter une
réponse à ces besoins car non seulement la défaillance d'un des disques de la grappe ne gêne
pas le fonctionnement des autres disques, ce qui permet au système de continuer de
fonctionner, mais de surcroît, une fois le disque en panne échangé, son contenu est reconstruit
à partir des autres disques pendant le fonctionnement normal du système. Ainsi, l'activité de
l'entreprise continue de façon ininterrompue et transparente pendant toute la durée de
l'incident.

Le RAID, suivant ses niveaux fonctionnels, s'il donne des temps de réponse identiques à ceux
des disques s'ils étaient utilisés individuellement, offre des débits particulièrement soutenus,

137
même en utilisant des disques durs bons marchés et de performances moyennes, tout en
garantissant une bien meilleure fiabilité (sauf pour le RAID 0 qui lui la réduit d'autant que le
nombre de disques). Dans de telles situations, les architectures RAID se révèlent donc idéales,
tant du point de vue de leurs performances que de leur fiabilité. Dans tous les cas, le RAID
reste complètement transparent à l'utilisateur qui, quel que soit le nombre de disques
physiques utilisés pour construire le RAID, ne verra jamais qu'un seul grand volume logique,
auquel il accédera de façon tout à fait habituelle.

b) Parité et redondance

Le miroitage s'avère être une solution onéreuse, puisqu'il est nécessaire d'acquérir les
périphériques de stockage en plusieurs exemplaires. Aussi, partant du principe que plusieurs
unités de stockage ont une faible probabilité de tomber en panne simultanément, d'autres
systèmes ont été imaginés, dont ceux permettant de régénérer les données manquantes à partir
des données restant accessibles et d'une ou plusieurs données supplémentaires, dites de
redondance.

Le système de redondance le plus simple et le plus largement utilisé est le calcul de parité. Ce
système repose sur l'opération logique XOR (OU exclusif) et consiste à déterminer si sur n
bits de données considérés, le nombre de bits à l'état 1 est pair ou impair. Si le nombre de 1
est pair, alors le bit de parité vaut 0. Si le nombre de 1 est impair, alors le bit de parité vaut 1.
Lorsque l'un des n + 1 bits de données ainsi formés devient indisponible, il est alors possible
de régénérer le bit manquant en appliquant à nouveau la même méthode sur les n éléments
restants. Cette technique est utilisée dans les systèmes RAID 5.

Il existe des systèmes de redondance plus complexes et capables de générer plusieurs


éléments de redondance afin de supporter l'absence de plusieurs éléments. Le RAID 6 utilise
par exemple une technique de calcul de parité fondée sur des polynômes.

c) Les différents types de systèmes RAID

Le système RAID est :

• soit un système de redondance qui donne au stockage des données une certaine
tolérance aux pannes matérielles (ex : RAID1).
• soit un système de répartition qui améliore ses performances (ex : RAID0).
• soit les deux à la fois mais avec une moins bonne efficacité (ex : RAID5).

Le système RAID est donc capable de gérer d'une manière ou d'une autre la répartition et la
cohérence de ces données. Ce système de contrôle peut être purement logiciel ou utiliser un
matériel dédié.

Le RAID logiciel

En RAID logiciel, le contrôle du RAID est intégralement assuré par une couche logicielle du
système d'exploitation. Cette couche s'intercale entre la couche d'abstraction matérielle
(pilote) et la couche du système de fichiers.

Avantages

138
• C'est la méthode la moins onéreuse puisqu'elle ne demande aucun matériel
supplémentaire.
• Cette méthode possède une grande souplesse d'administration (logicielle).
• Cette méthode présente l'avantage de la compatibilité entre toutes les machines
équipées du même logiciel de RAID (c’est-à-dire du même système d'exploitation)

Inconvénients

• L'inconvénient majeur réside dans le fait que cette méthode repose sur la couche
d'abstraction matérielle des périphériques qui composent le volume RAID. Pour
diverses raisons, cette couche peut être imparfaite et manquer de certaines fonctions
importantes comme, par exemple, la détection et le diagnostic des défauts matériels
et/ou la prise en charge du remplacement à chaud (Plug And Play) des unités de
stockage.
• La gestion du RAID monopolise des ressources systèmes (légèrement le processeur et
surtout le bus système) qui pourraient être employées à d'autres fins. La baisse de
performances due à la gestion logicielle du raid est particulièrement sensible dans des
configurations où le système doit transférer plusieurs fois les mêmes données comme,
par exemple, en RAID1, et, assez faible, dans des configurations sans redondance :
exemple, le RAID 0.
• L'utilisation du RAID sur le disque système n'est pas toujours possible.

Diverses implémentations

La plupart des systèmes d'exploitation grand public permettent déjà de mettre en œuvre le
RAID logiciel, qu'il s'agisse de Microsoft Windows, d'une distribution Linux quelconque ou
de Mac OS X.

• Microsoft Windows XP gère logiciellement le RAID 0, 1 et peut gérer le RAID 5


moyennant une petite adaptation (Patrick Schmid, Achim Roos, « Monter un système
RAID 5 avec Windows XP » sur ère numérique, 4 janvier 2005)
• Microsoft Windows 2003 Server gère logiciellement le RAID 0, 1, et 5.
• Mac OS X gère logiciellement le RAID 0, 1 et la concaténation.
• Le noyau Linux (>=2.6) gère logiciellement le RAID 0, 1, 4, 5, 6, et 10 ainsi que les
combinaisons de ces modes.

Les RAIDs logiciels de Microsoft Windows et de Linux sont incompatibles entre eux.

Le RAID pseudo-matériel

L'extrême majorité des contrôleurs RAID bon marché intégrés à de nombreuses cartes mères
récentes en 2004/2005 gèrent souvent le RAID 0 et 1 sur des disques IDE ou SATA. Malgré
le discours marketing qui tend systématiquement à induire en erreur sur ce point, il ne s'agit
pas de RAID matériel à proprement parler mais plutôt d'un contrôleur de disque doté de
quelques fonctions avancées.

D'un point de vue strictement matériel, cette solution hybride n'est pas différente d'un RAID
logiciel. Elle diffère cependant sur l'emplacement des routines logicielles de gestion du RAID.

Avantages

139
• L'intérêt principal de ce type de RAID est d'apporter une solution au troisième
problème du RAID logiciel, à savoir qu'il ne peut pas toujours servir à héberger les
fichiers du système d'exploitation puisque c'est justement ce dernier qui permet d'y
accéder.
• Dans ce type de RAID, la présence d'un BIOS intégrant les routines logicielles
basiques de gestion du RAID permet de charger en mémoire les fichiers essentiels du
système d'exploitation (le noyau et les pilotes essentiels).
• Puis, le pilote du contrôleur intègre les mêmes routines logicielles de gestion du RAID
et fournit alors aux couches supérieures de l'OS non pas un accès aux périphériques
mais un accès au volume RAID qu'il émule.

Inconvénients

En dehors de cet avantage important, ce type de RAID cumule les défauts des deux autres
approches :

• Les limitations de performances sont les mêmes que pour le raid logiciel car il s'agit
effectivement d'un RAID logiciel camouflé.
• Un problème important posé par ces contrôleurs hybrides est leur piètre gestion des
défauts matériels et leurs fonctionnalités BIOS généralement limitées.
• L'interopérabilité est très mauvaise surtout si l'on considère qu'il s'agit généralement
de matériel intégré aux cartes mères des ordinateurs. Pire, le changement de carte-
mère (voire simplement de version de bios), si la nouvelle utilise des jeux de puces
différents, peut imposer de reconstruire le RAID entièrement. De manière générale,
une reconstruction est possible si l'on reste dans des contrôleurs RAID de même
marque mais de modèles différents, mais il n'existe pas de règle définie de
compatibilité.
• La fiabilité annoncée de ces dispositifs est assez controversée.

Le RAID matériel

Dans le cas du RAID matériel, une carte ou un composant est dédié à la gestion des
opérations. Le contrôleur RAID peut être interne à l'unité centrale (carte d'extension) ou
déporté dans une baie de stockage.

Un contrôleur raid est en général doté d'un processeur spécifique, de mémoire, éventuellement
d'une batterie de secours, et est capable de gérer tous les aspects du système de stockage
RAID grâce au microcode embarqué (firmware).

Du point de vue du système d'exploitation, le contrôleur RAID matériel offre une


virtualisation complète du système de stockage. Le système d'exploitation considère chaque
volume RAID comme un disque et n'a pas connaissance de ses constituants physiques.

Avantages

• Les contrôleurs RAID matériels permettent la détection des défauts, le remplacement à


chaud des unités défectueuses et offrent la possibilité de reconstruire de manière
transparente les disques défaillants. Mais les systèmes d'exploitation évolués
permettent également cela si le matériel le permet.

140
• La charge système (principalement l'occupation du bus) est allégée. (surtout dans des
configurations avec beaucoup de disques et une forte redondance)
• Les vérifications de cohérence, les diagnostics et les maintenances sont effectués en
arrière plan par le contrôleur sans solliciter de ressources système.

Inconvénients

• Les contrôleurs RAID matériels utilisent chacun leur propre système pour gérer les
unités de stockage. En conséquence, au contraire d'un RAID logiciel, des disques
transférés d'un système à un autre ne pourront pas être récupérés si le contrôleur RAID
n'est pas exactement le même (firmware compris). Il est donc conseillé de posséder
une deuxième carte en cas de panne de la première.
• Les cartes d'entrée de gamme possèdent des processeurs de puissance bien inférieure à
celle des ordinateurs actuels. On peut donc avoir de bien moins bonnes performances
pour le même prix qu'un RAID logiciel.
• Le coût : l'entrée de gamme se situe aux alentours de 150 000 FCFA mais les cartes
plus performantes peuvent souvent dépasser les 655 000 FCFA.
• Le contrôleur RAID est lui-même un composant matériel, qui peut tomber en panne.
Son logiciel (firmware) peut contenir des erreurs, ce qui constitue un autre risque de
panne (un nouveau single-point-of-failure). Il est peu probable qu'un RAID actuel
contienne des erreurs de programmation (bugs) car il est garanti en moyenne une
dizaine d'années.
• Les différents fabricants de contrôleurs RAID fournissent des outils de gestion
logicielle très différents les uns des autres (et de qualité parfois inégale). À l'opposé,
les outils de gestion du RAID logiciel fournis avec un système d'exploitation sont
généralement bien intégrés dans ce système.
• La durée du support d'un contrôleur RAID par son constructeur (correction de bugs
dans le firmware, par exemple), parfois liée à l'arrivée de nouveaux produits rendant
les anciens obsolètes, peut être moins longue ou plus volatile que le support du RAID
logiciel par le fournisseur du système d'exploitation. Le constructeur peut même
disparaitre (ce qui est assez rare parmi les fabricants de systèmes d'exploitation).
• Une moindre souplesse par rapport au RAID logiciel, qui dispose d'une couche
d'abstraction permettant de gérer du RAID au-dessus de tout types de périphériques
blocs supportés par le système d'exploitation, locaux ou distants (ATA, SCSI, ATA
over Ethernet, iSCSI... et toutes les combinaisons possibles entre eux). Les contrôleurs
RAID sont spécialisés pour un seul type de périphérique bloc.

3.3 Les différents niveaux de RAID

a) Les niveaux standard

Les différents types d'architecture RAID sont numérotés à partir de 0 et peuvent se combiner
entre eux (on parlera alors de RAID 0+1, 1+0, etc.).

RAID 0 : volume agrégé par bandes

141
RAID 0

Le RAID 0, également connu sous le nom d'« entrelacement de disques » ou de « volume


agrégé par bandes » (striping en anglais) est une configuration RAID permettant d'augmenter
significativement les performances de la grappe en faisant travailler n disques durs en
parallèle (avec ).

• Capacité :
La capacité totale est égale à celle du plus petit élément de la grappe multiplié par le
nombre d'éléments présent dans la grappe, car le système d'agrégation par bandes se
retrouvera bloqué une fois que le plus petit disque sera rempli (voir schéma). L'espace
excédentaire des autres éléments de la grappe restera inutilisé. Il est donc conseillé
d'utiliser des disques de même capacité.
• Fiabilité :
Le défaut de cette solution est que la perte d'un seul disque entraîne la perte de toutes
ses données.
• Coût :
Dans un RAID 0, qui n'apporte aucune redondance, tout l'espace disque disponible est
utilisé (tant que tous les disques ont la même capacité).

Dans cette configuration, les données sont réparties par bandes (stripes en anglais) d'une taille
fixe. Cette taille est appelée granularité (voir plus loin la section granularité).

Exemple : avec un RAID 0 ayant une bande de 64 Kio et composé de deux disques
(disque Disk 0 et disque Disk 1), si l'on veut écrire un fichier A de 500 Kio, le fichier

sera découpé en 8 bandes (car ), appelons-les 1, 2, 3, 4, 5, 6, 7 et 8,


qui seront réparties sur l'ensemble des disques de la façon suivante :
Disk 0 : 1, 3, 5, 7
Disk 1 : 2, 4, 6, 8
Ainsi l'écriture du fichier pourra être effectuée simultanément sur chacun des disques
en un temps équivalent à l'écriture de 256 kio.

142
Ainsi, sur un RAID 0 de n disques (avec ), chaque disque ne doit lire et écrire que
des données, ce qui a pour effet de diminuer les temps d'accès (lecture et écriture) aux
données; les disques se partageant le travail, les traitements se trouvent accélérés.

Ce type de RAID est parfait pour des applications requérant un traitement rapide d'une grande
quantité de données. Mais cette architecture n'assure en rien la sécurité des données ; en effet,
si l'un des disques tombe en panne, la totalité des données du RAID est perdue.

b) RAID 1 : Disques en miroir

RAID 1

Le RAID 1 consiste en l'utilisation de n disques redondants (avec ), chaque disque de


la grappe contenant à tout moment exactement les mêmes données, d'où l'utilisation du mot
« miroir » (mirroring en anglais).

• Capacité :
La capacité totale est égale à celle du plus petit élément de la grappe. L'espace
excédentaire des autres éléments de la grappe restera inutilisé. Il est donc conseillé
d'utiliser des éléments identiques.
• Fiabilité :
Cette solution offre un excellent niveau de protection des données. Elle accepte une
défaillance de n − 1 éléments.
• Coût :
Les coûts de stockage sont élevés et directement proportionnels au nombre de miroirs
utilisés alors que la capacité totale reste inchangée. Plus le nombre de miroirs est
élevé, et plus la sécurité augmente, mais plus son coût devient prohibitif.

Les accès en lecture du système d'exploitation se font sur le disque le plus facilement
accessible à ce moment-là. Les écritures sur la grappe se font de manière simultanée sur tous
les disques, de façon à ce que n'importe quel disque soit interchangeable à tout moment.

Lors de la défaillance de l'un des disques, le contrôleur RAID désactive, de manière


transparente pour l'accès aux données, le disque incriminé. Une fois le disque défectueux
remplacé, le contrôleur RAID reconstitue, soit automatiquement, soit sur intervention

143
manuelle, le miroir. Une fois la synchronisation effectuée, le RAID retrouve son niveau initial
de redondance.

c) RAID 5 : volume agrégé par bandes à parité répartie

RAID 5

Le RAID 5 combine la méthode du volume agrégé par bandes (striping) à une parité répartie.
Il s'agit là d'un ensemble à redondance N + 1. La parité, qui est incluse avec chaque écriture
se retrouve répartie circulairement sur les différents disques. Chaque bande est donc
constituée de N blocs de données et d'un bloc de parité. Ainsi, en cas de défaillance de l'un
des disques de la grappe, pour chaque bande il manquera soit un bloc de données soit le bloc
de parité. Si c'est le bloc de parité, ce n'est pas grave, car aucune donnée ne manque. Si c'est
un bloc de données, on peut calculer son contenu à partir des N − 1 autres blocs de données
et du bloc de parité. L'intégrité des données de chaque bande est préservée. Donc non
seulement la grappe est toujours en état de fonctionner, mais il est de plus possible de
reconstruire le disque une fois échangé à partir des données et des informations de parité
contenues sur les autres disques.

On voit donc que le RAID 5 ne supporte la perte que d'un seul disque à la fois. Ce qui devient
un problème depuis que les disques qui composent une grappe sont de plus en plus gros (1 To
et plus). Le temps de reconstruction de la parité en cas de disque défaillant est allongé. Il est
généralement de 2 h pour des disques de 300 Go contre une dizaine d'heures pour 1 To. Pour
limiter le risque il est courant de dédier un disque dit de spare. En régime normal il est
inutilisé. En cas de panne d'un disque il prendra automatiquement la place du disque
défaillant. Cela nécessite une phase communément appelée "recalcul de parité". Elle consiste
pour chaque bande à recréer sur le nouveau disque le bloc manquant (données ou parité).

Bien sûr pendant tout le temps du recalcul de la parité le disque est disponible normalement
pour l'ordinateur qui se trouve juste un peu ralenti.

Exemple pratique : Considérons quatre disques durs A, B, C et D, de tailles identiques.


Le système va enregistrer les premiers blocs en les répartissant sur les disques A, B et
C comme en mode RAID 0 (striping) et, sur le disque D, le résultat de l'opération OU
exclusif entre les autres disques (ici A xor B xor C). Ensuite le système va enregistrer
les blocs suivants en les répartissant sur les disques D, A et B, puis la parité (soit D
xor A xor B) sur le disque C, et ainsi de suite en faisant permuter circulairement les
disques, à chaque bloc. La parité se trouve alors répartie sur tous les disques.

144
En cas de défaillance d'un disque, les données qui s'y trouvaient pourront être
reconstituées par l'opération xor. En effet, l'opération XOR ( ) a la propriété
suivante : si on considère N blocs de taille identique et si
alors , et de façon générale, .
C'est-à-dire que n'importe quel bloc de données Ak perdu à cause d'un disque
défaillant sur un RAID 5 de N + 1 disques peut-être récupéré grâce au bloc X de
données de contrôle.
On voit donc que si on veut écrire dans un bloc, il faut lire le bloc à modifier. Lire le
bloc de parité de la bande. Écrire le bloc de données et le bloc de parité. L'opération
xor permet heureusement de calculer la nouvelle parité sans avoir besoin de lire les N
blocs de données de la bande. Augmenter le nombre de disque d'une grappe RAID 5
n'allonge donc pas le temps de lecture ou d'écriture. Cependant si plusieurs processus
veulent écrire simultanément dans un ou plusieurs blocs de données d'une même
bande la mise à jour du bloc de parité devient un point de blocage. Les processus
concurrents sont suspendus à la libération du bloc de parité et de fait cela limite le
débit d'écriture. Plus le nombre de disque d'une grappe RAID 5 augmente plus le
temps de reconstruction d'un disque défaillant augmente. Puisque pour reconstituer le
bloc manquant d'une bande il faut lire tous les autres blocs de la bande et donc tous les
autres disques.

Ce système nécessite impérativement un minimum de trois disques durs. Ceux-ci doivent


généralement être de même taille, mais un grand nombre de cartes RAID modernes autorisent
des disques de tailles différentes.

La capacité de stockage utile réelle, pour un système de X disques de capacité c identiques est
de . En cas d'utilisation de disques de capacités différentes, le système utilisera
dans la formule précédente la capacité minimale.

Ainsi par exemple, trois disques de 100 Go en RAID 5 offrent 200 Go utiles ; dix disques,
900 Go utiles.

Ce système allie sécurité (grâce à la parité) et bonne disponibilité (grâce à la répartition de la


parité), même en cas de défaillance d'un des périphériques de stockage.

Il existe une variante : le « RAID 5 orthogonal » où chaque disque a son propre contrôleur.
Toutes les autres fonctionnalités sont identiques.

On a souvent tendance à croire qu'un système RAID 5 est totalement fiable. Il est en effet
généralement admis que la probabilité de défaillance simultanée de plusieurs disques est
extrêmement faible — on parle évidemment d'une défaillance entraînant la perte de données
définitive sur plusieurs disques et non d'une simple indisponibilité de plusieurs disques. Cela
est vrai pour une défaillance générale d'une unité de disque. Cependant, cela est faux si l'on
considère comme "défaillance" un seul secteur devenu illisible.

En effet, dans la pratique, il est très rare que toutes les données d'un volume soient lues
régulièrement. Et quand bien même ce serait le cas, la cohérence de la parité n'est que très
rarement vérifiée pour des raisons de performances. Il est donc probable que des défauts tels
que des secteurs de parité illisibles ne soient pas détectés pendant une très longue période.
Lorsque l'un des disques devient réellement défectueux, la reconstruction nécessite de

145
parcourir l'intégralité des disques restants. On peut alors découvrir des défauts qui étaient
restés invisibles jusque-là.

Tout ceci pourrait ne pas être bien grave et occasionner la perte d'une quantité de données
minime (un secteur de disque), cependant, l'extrême majorité des contrôleurs RAID est
incapable de gérer les défaillances partielles : ils considèrent généralement qu'un disque
contenant un secteur illisible est totalement défaillant. À ce moment-là, 2 disques sont
considérés défaillants simultanément et le volume RAID 5 devient inutilisable. Il devient
extrêmement difficile de récupérer les données, et extrêmement coûteux.

Un système RAID 5 doit donc être vérifié et sauvegardé très périodiquement pour s'assurer
que l'on ne risque pas de tomber sur ce genre de cas. D'autre part, en cas de défaillance, il est
nécessaire de disposer de matériel très coûteux pour espérer récupérer les données, ce qui rend
le RAID 5 très peu recommandable aux particuliers et aux petites entreprises.

• Avantages :

performances en lecture aussi élevées qu'en RAID 0 et sécurité accrue


surcoût minimal (capacité totale de n − 1 disques sur un total de n disques)

• Inconvénients :

pénalité en écriture du fait du calcul de la parité


minimum de 3 disques

d) Les niveaux de RAID peu courants

NRAID (ou JBOD - Just a Bunch Of Disks) : concaténation de disques[modifier]

3 disques en JBOD

NRAID : Near/Non Redundant Array of Inexpensive/Independent Disk

La concaténation de disques consiste à additionner les capacités de plusieurs disques durs en


un volume logique d'une taille équivalente à la somme des tailles des disques durs. Cette
méthode utilise une méthode d'écriture séquentielle : les données ne sont écrites sur le disque
dur suivant que lorsqu'il ne reste plus de place sur le précédent.

146
Le NRAID n'est pas à proprement parler un RAID, et il ne permet d'ailleurs aucune
redondance de données, mais il offre cependant une tolérance aux pannes supérieure au RAID
0. On le rencontre souvent sous le nom de JBOD (Just a Bunch Of Disks).

Le NRAID est aussi représenté comme "Volume Simple" sous Windows 2000, XP, 2003,
Vista, 2008 et 75.

e) RAID 2 : volume agrégé par bandes à parité

Le RAID 2 est aujourd'hui obsolète. Il combine la méthode du volume agrégé par bande
(striping en anglais) à l'écriture d'un code de contrôle d'erreur par code de Hamming (code
ECC) sur un disque dur distinct. Cette technologie offre un bon niveau de sécurité, mais de
mauvaises performances.

f) RAID3 et RAID4

RAID 3

Le RAID3 et le RAID4 sont sensiblement semblables sauf que le premier travaille par octets
et le second par blocs. Le RAID4 ne nécessite pas autant de synchronisme entre les disques.
Le RAID3 tend donc à disparaître au profit du RAID4 qui offre des performances nettement
supérieures.

Ces niveaux de RAID nécessitent une matrice de n disques (avec ). Les n − 1


premiers disques contiennent les données tandis que le dernier disque stocke la parité (Voir
section parité).

• Si le disque de parité tombe en panne, il est possible de reconstruire l'information de


parité avec le contenu des autres disques de données.
• Si l'un des disques de données tombe en panne, il est possible de reconstruire
l'information avec le contenu des disques de données restants et celui du disque de
parité.

Il est important que le disque de parité soit de bonne qualité car il est à tout instant sollicité à
l'écriture. Ce dernier point est une des limitations du RAID 3.

De même, si plus d'un disque vient à défaillir, il est impossible de remédier à la perte de
données.

g) RAID 5

147
RAID 5 est similaire au RAID 4, sauf que la parité est distribué sur l'ensemble des
disques, supprimant ainsi la perte de performante liée à l'écriture continuelle sur un même
disque dur. Ce mode est équivalent à l'agrégat par bandes avec parité sous Windows 2000 ou
2003 Server. Lors d'un échange à chaud (hot plug) ou d'une panne d'un disque dur, les
données sont recréées à partir des autres disques durs.

Avantages: Inconvénients:

o 3 disques au minimum
o Bonne tolérance aux erreurs
o En cas de problème, remise en ordre assez
o Enormément d'implantations commerciales
lente
o Hot-spare
o En cas de panne d'un disque dur, on revient en
o Hot-plug
mode 0.

Applications:

• Les applications qui utilisent des données aléatoirement sur de petits disques, les bases de données par

exemple

Le RAID 5, la solution idéale? Oui et non. D'abord, si un disque dur tombe en panne, le
système va reconstruire les données mais ce n'est pas immédiat. Il va commencer par les
parties demandées via le réseau ou l'ordinateur. Ceci va fortement réduire les performances du
serveur pour les utilisateurs puis le serveur va durant son "temps libre" reconstruire le reste
des données. Ca peut prendre suivant les capacités de disques durs et les performances du
processeur des heures. De toute façon, la perte d'un disque dur entraîne automatiquement le
système en MODE 0. Pensez à changer le disque défectueux le plus tôt possible.

Orthogonal RAID 5

L'Orthogonal RAID 5, développé par IBM, est similaire au précédant mais utilise un
contrôleur par disque. Il est généralement assimilé au RAID 5.

h) RAID 6

148
RAID 6

Le RAID 6 est une évolution du RAID 5 qui accroît la sécurité en utilisant n informations
redondantes au lieu d'une. Il peut donc résister à la défaillance de n disques. Les fondements
mathématiques utilisés pour les informations de redondance du RAID 6 sont beaucoup plus
complexes que pour le RAID 5 ; les implémentations de l'algorithme se limitent souvent à n
= 2 (soit la perte de 2 disques) de ce fait.
Des explications intéressantes mais un peu ardues sont disponibles dans la version anglaise de
cet article6 ainsi que dans Les mathématiques du RAID 6 7.

Si la sécurité est plus grande, le coût en matériel est plus élevé et la vitesse est moindre. La
puissance CPU nécessaire pour calculer les redondances et surtout pour reconstruire un
volume défectueux est également nettement plus importante.

Les défauts majeurs sont :

• Les temps d'écriture sont longs à cause des calculs de redondance complexes.
• Le temps de reconstruction en cas de défaillance simultanée de 2 disques est
extrêmement long.

Le RAID 6 était peu utilisé du fait de son surcoût. La récente envolée des capacités des
disques ainsi que la vulgarisation de solution professionnelle à base de disque SATA a montré
un intérêt nouveau dans l'utilisation du RAID 6, que ce soit par le biais de contrôleur Raid
Hardware ou via du raid logiciel (Linux-2.6 intègre le RAID 6).

La capacité utile totale (CUt), pour un système avec k disques dont n réservés pour la
redondance est de . (c = capacité du plus petit des disques dur)

i) RAIDn

Un système de stockage grevé de brevets appelé RAIDn8 prétend permettre de dépasser


largement les capacités du RAID 6.

RAID DP

RAID DP (Dual Parity) ressemble au RAID6 à ceci près qu'en RAID DP les disques de parité
sont fixes. Ce type de RAID est adopté en général sur les baies de stockage NAS.

Les niveaux de RAID combinés

149
Fondamentalement, un niveau de RAID combiné est l'utilisation d'un concept de RAID
classique sur des éléments constitutifs qui sont eux-mêmes le résultat d'un concept RAID
classique. Le concept utilisé peut être le même ou différent.

La syntaxe est encore un peu floue mais on peut généralement considérer que le premier
chiffre indique le niveau de raid des "grappes" et que le second indique le niveau de raid
global. Dans l'absolu rien n'empêche d'imaginer des RAID combinés à 3 étages ou plus mais
cela reste pour l'instant plus du domaine de la théorie et de l'expérimentation.

Le nombre important (et croissant) de permutations possibles fait qu'il existe une multitude de
raid combinés et nous n'en ferons pas l'inventaire. Nous pouvons cependant présenter les
avantages et les faiblesses des plus courants.

Pour les calculs suivants, on utilise les variables suivantes :

• G : nombre de grappes ;
• N : nombre de disques ;
• C : capacité d'un disque (tous les disques sont supposés identiques) ;
• V : vitesse d'un disque.
Les seuils de mise en défaut indiqués ci-dessous indiquent le nombre minimal de disques en
panne pouvant entraîner une mise en défaut de l'ensemble du RAID (ie. en dessous de ce
nombre de disques en panne le RAID ne peut pas être en défaut). En pratique il est possible
qu'un RAID ayant plus que ce nombre de disques en panne fonctionne toujours mais il est
recommandé de changer les disques défectueux le plus rapidement possible.

le RAID 01 (ou RAID 0+1)

RAID 0+1

Il permet d'obtenir du mirroring rapide puisqu'il est basé sur des grappes en striping. Chaque
grappe contenant au minimum 2 éléments, et un minimum de 2 grappes étant nécessaire, il
faut au minimum 4 unités de stockage pour créer un volume RAID0+1.

La fiabilité est moyenne car un disque défectueux entraîne le défaut de toute la grappe qui le
contient. Par ailleurs, cela allonge beaucoup le temps de reconstruction et dégrade les
performances pendant la reconstruction. L'intérêt principal est que dans le cas d'un miroir à 3

150
grappes ou plus, le retrait volontaire d'une grappe entière permet d'avoir une sauvegarde
"instantanée" sans perdre la redondance.

Capacité totale :
Vitesse maximale :
Seuil de mise en défaut : N disques

RAID 10 (ou RAID 1+0)

RAID 10
Il permet d'obtenir un volume agrégé par bande fiable (puisqu'il est basé sur des grappes
répliquées). Chaque grappe contenant au minimum 2 éléments et un minimum de 2 grappes
étant nécessaire, il faut au minimum 4 unités de stockage pour créer un volume RAID10.
Sa fiabilité est assez grande puisqu'il faut que tous les éléments d'une grappe soient
défectueux pour entraîner un défaut global. La reconstruction est assez performante
puisqu'elle ne mobilise que les disques d'une seule grappe et non la totalité.
Capacité totale :
Vitesse maximale :
Seuil de mise en défaut : G disques

RAID 15

Il permet d'obtenir un volume agrégé par bandes avec redondance répartie très fiable
(puisqu'il est basé sur des grappes répliquées en miroir). Chaque grappe contenant au
minimum 2 disques, et un minimum de 3 grappes étant nécessaire, il faut au minimum 6
unités de stockage pour créer un volume RAID15. Ce mode est très fiable puisqu'il faut que
tous les disques de 2 grappes différentes cessent de fonctionner pour le mettre en défaut. Ce
mode est cependant coûteux par rapport à la capacité obtenue.

RAID 50

Il permet d'obtenir un volume agrégé par bandes basé sur du RAID 5 + 0. Chaque grappe
contenant au minimum 3 disques, et un minimum de 2 grappes étant nécessaire, il faut au
minimum 6 unités de stockage pour créer un volume RAID 50. Un des meilleurs compromis
lorsque l'on cherche la rapidité sans pour autant vouloir trop dégrader la fiabilité. En effet,
l'agrégat par bande (fragile) repose sur des grappes redondantes. Il suffit cependant que 2
disques d'une même grappe tombent en panne pour le mettre en défaut.

151
Capacité totale :
Vitesse maximale : (cette formule néglige les temps de
calcul de parité)
Seuil de mise en défaut : 2 disques

RAID 51

RAID 51

Il permet d'obtenir un volume répliqué basé sur des grappes en RAID5. Chaque grappe
contenant au minimum 3 disques, et un minimum de 2 grappes étant nécessaire, il faut au
minimum 6 unités de stockage pour créer un volume RAID51. C'est un mode coûteux (faible
capacité au regard du nombre de disques).

Capacité totale :
Vitesse maximale en écriture : (cette formule néglige les
temps de calcul de parité)
Vitesse maximale en lecture : (cette formule théorique
suppose une optimisation maximale qui n'est jamais atteinte)
Seuil de mise en défaut : disques

Les niveaux de RAID spéciaux

RAID 5E

Le RAID 5E (E pour Enhanced, "amélioré") est une variante du RAID 5 dans laquelle des
bandes de rechange sont réservées. Ces bandes sont réparties sur les disques de manière
circulaire, comme pour la parité.

RAID 5EE

Le RAID 5EE (E pour Enhanced, "amélioré") est une variante du RAID 5E qui offre de
meilleurs temps de reconstruction. Contrairement au RAID 5E, l'espace de rechange réservé
au sein de la grappe est distribué à travers tous les disques physiques.

RAID 5DP

RAID DP (Dual Parity) ressemble au RAID 6 à ceci près qu'en RAID DP les disques de
parité sont fixes. Ce type de RAID est adopté en général sur les baies de stockage NAS.

152
RAID TP

Le RAID TP pour Triple Parity RAID technology a la même organisation que le RAID 6 mais
utilise 3 codes de redondance. Ceci permet de continuer de fonctionner après la panne
simultanée de 3 disques.

Double parité

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue !

RAID 1.5

Le RAID 1.5 est une évolution du RAID 1. Les accès en lecture ne se font non plus depuis un
seul disque, mais en parallèle depuis tous les disques à la manière d'un RAID 0 ce qui apporte
un gain sensible en performances, sans rien changer à la fiabilité.

RAID 7, RAID ADG

L'évolution du RAID 3 permettant de faire fonctionner le tout de manière asynchrone. Il a été


annoncé comme plus performant de 1,5x à 6x que n'importe quel autre RAID. Tout comme le
RAID 3, un seul disque contient les parités de tous. Chaque disque a un contrôleur
SCSI/SATA/Fibre Channel/... et le système est régi par une carte calculant la parité, gérant le
cache et contrôlant les disques.

Cette version, développée par Storage Computer Corporation, est propriétaire et s'avère très
coûteuse à mettre en place.

RAID S

Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue !

Le RAID S est un RAID 5 estampillé EMC² employé dans la gamme Symmetrix que l'on ne
retrouve donc pas chez les autres constructeurs.

Matrix RAID

L'Intel Matrix Storage Technology est disponible depuis les chipsets ICH6R et ICH6RW. Il
s'agit d'une solution RAID basée sur 4 ports Serial-ATA qui va permettre de mettre des
disques durs en RAID de façon moins contraignante que les solutions actuelles. En effet les
contrôleurs RAID actuels ne permettent avec deux disques identiques que de faire soit du
RAID 0, soit du RAID 1. Bref, c'est l'un ou l'autre. Avec le Matrix RAID, Intel permet de
combiner sur deux disques à la fois du RAID 0 et du RAID 1. Par exemple avec deux disques
durs 250 Go, il est possible de créer un RAID 0 (striping) de 100 Go (les 50 premiers Go de
chaque disque) et un RAID1 (mirroring) de 200 Go avec les 400 Go restant. Avec les RAID
traditionnels, un RAID 0 et un RAID 1 dans une même configuration nécessite l'usage de
quatre disques. Même si c'est évident, ajoutons que l'ICH6R ne permet pas de faire du RAID
0+1 avec deux disques durs.

Aujourd'hui jusqu'à l'ICH8R/DO il est possible de faire un RAID-5 maximum avec 4 disques,
depuis l'ICH9R/DO il est possible de faire un RAID-5 de 6 disques pour un maximum de

153
capacité. En plus avec l'ICH 9/10 DO il est possible de rajouter un disque à une grappe
existante.

IBM ServeRAID 1E

Le Raid 1E est un système de mirroring par bandes permettant d'utiliser un nombre de disques
supérieur à 2 pair ou impair. Les données sont découpées par bandes qui sont mirrorrées
(dupliquées) sur un des autres disques de la grappe. La capacité totale du volume logique est
égal a la moitié de celle du volume physique.

Sun RAID-Z]

Le système ZFS de Sun intègre un schéma de redondance similaire au RAID 5 qui se nomme
le RAID-Z. Le RAID-Z évite le « trou d'écriture » (write hole) du RAID 5 par une règle de
copie-sur-écriture : plutôt que d'écrire par dessus des anciennes données avec de nouvelles, il
écrit les nouvelles données dans un nouvel emplacement puis réécrit le pointeur vers les
nouvelles données. Cela évite les opérations de lire-modifier-écrire pour des petits
enregistrements en ne faisant que des écritures full-strip. Des petits blocs sont écrits en miroir
au lieu d'être protégés en parité, ce qui est possible car le système de fichiers est conscient de
la sous-structure de stockage et peut allouer de l'espace supplémentaire si nécessaire. Il existe
également un RAID-Z2 et un RAID-Z3 qui utilisent des parités double et triple. Ils permettent
de perdre respectivement jusqu’à deux et trois disques sans perdre de données.

Le système RAID-Z est plus performant que le RAID 5.

X-RAID (NetGear)

Le système X-RAID est une technologie développée par Netgear sur sa suite de produit
ReadyNAS. Cette technologie permet suivant le nombre de disque de choisir entre les
différents types de RAID et de passer de l'un à l'autre sans perte de données ou d'arrêt du
service. X-RAID utilise principalement les RAID 1 et 4.

3.4 RAID hardware et software.


Les systèmes d'exploitation "professionnels" de Microsoft gèrent le RAID logiciel:
Windows NT, 2000, 2003 et 2008 en version serveur gèrent le RAID 0, 1, 5

• Netware gère en mode natif le RAID 1

• Linux gère les RAID 0, 1, 4 et 5

• Les séries "amateurs" (DOS, WIN95/98/Me et XP Home) ne gèrent pas le RAID.

Cette méthode permet au système d'exploitation de gérer le RAID sans contrôleur


dédié, mais la partition d'installation de OS est d'office seule (pas couplée), ce qui fait perdre
de l'espace mais oblige en plus à travailler avec des partitions.

a) Solutions RAID hardware.

154
Diverses cartes sont proposées sur le marché de solutions RAID pour disques durs SCSI
et SAS (notamment ADAPTEC). Actuellement les cartes mères standards incluent
directement des solutions RAID en IDE ou S-ATA. Cette dernière possibilité permet
d'installer les RAID 0 et RAID 1, éventuellement du 5.

b) Procédure de configuration de disques pour RAID

1. Mettez le système sous tension.


2. Durant l'autotest d'allumage, appuyez sur Ctrl+C à l'invite, pour lancer l'utilitaire de
configuration LSI.
3. Dans l'écran Adapter List (Liste des adaptateurs), sélectionnez votre adaptateur à l'aide
des touches fléchées, puis appuyez sur Entrée.

L'écran de propriétés des adaptateurs s'affiche.

4. Sélectionnez les propriétés RAID.


5. Sélectionnez un type de volume, IM (Integrated Mirror—RAID 1) ou IMe (Integrated
Mirror Enhanced—RAID 1E).
6. Sélectionnez les volumes que vous souhaitez ajouter à la baie RAID.

F. GESTION DES IMPRESSIONS

Deux outils principaux peuvent être utilisés pour administrer un serveur d’impression
Windows dans Windows Server® 2008 : Gestionnaire de serveur et Gestion de l’impression.
Vous pouvez utiliser le Gestionnaire de serveur pour installer le rôle serveur Services
d’impression, des services de rôle facultatifs et des fonctionnalités. Le Gestionnaire de
serveur affiche également les événements liés à l’impression à partir de l’Observateur
d’événements et inclut une instance du composant logiciel enfichable Gestion de l’impression
qui peut uniquement administrer le serveur local.

La gestion de l’impression, qui constitue l’objet principal du présent document, offre une
interface unique que les administrateurs peuvent utiliser pour administrer efficacement
plusieurs imprimantes et serveurs d’impression. Vous pouvez utiliser la gestion de
l’impression pour gérer des imprimantes sur des ordinateurs exécutant Microsoft®
Windows® 2000, Windows XP, Windows Server® 2003, Windows Vista® ou Windows
Server 2008.

1. Qu’est-ce que la gestion de l’impression ?


Le composant logiciel enfichable Gestion de l’impression est disponible dans le dossier Outils
d’administration sur les ordinateurs qui exécutent Windows Vista Professionnel,
Windows Vista Entreprise, Windows Vista Édition Intégrale ou Windows Server 2008. Il
vous permet d’installer, de visualiser et de gérer l’ensemble des imprimantes et des serveurs
d’impression Windows présents dans votre organisation.

155
Le composant Gestion de l’impression fournit des informations détaillées en temps réel sur
l’état des imprimantes et des serveurs d’impression connectés au réseau. Il permet d’installer
des connexions à des imprimantes sur un groupe d’ordinateurs clients de manière simultanée
et de surveiller à distance les files d’attente d’impression. Le composant Gestion de
l’impression peut vous aider à détecter des imprimantes présentant une condition d’erreur à
l’aide de filtres. Il peut également envoyer des notifications par courrier électronique ou
exécuter des scripts lorsqu’une imprimante ou un serveur d’impression nécessite une attention
particulière. Sur les imprimantes qui fournissent une interface de gestion Web, le composant
Gestion de l’impression peut afficher davantage de données, telles que les niveaux de toner et
de papier.

Remarque
Pour gérer un serveur distant, vous devez être membre du groupe Opérateurs d’impression ou
Opérateurs de serveur, ou du groupe local Administrateurs sur le serveur d’impression
distant. Vous n’avez pas besoin de ces informations d’identification pour surveiller des
serveurs d’impression distants, bien que certaines fonctionnalités soient désactivées.

2. Avantages de la gestion de l’impression


La gestion de l’impression permet à l’administrateur d’impression d’économiser une quantité
de temps significative à installer des imprimantes sur les ordinateurs clients et à gérer et
surveiller les imprimantes. Les tâches qui peuvent requérir jusqu’à 10 étapes sur des
ordinateurs individuels peuvent à présent être accomplies en 2 ou 3 étapes sur plusieurs
ordinateurs simultanément et à distance.

Le composant Gestion de l’impression avec la stratégie de groupe vous permet de mettre


automatiquement les connexions aux imprimantes à la disposition des utilisateurs et des
ordinateurs de votre organisation. De plus, le composant Gestion de l’impression peut
rechercher et installer automatiquement des imprimantes réseau sur le sous-réseau local de
vos serveurs d’impression locaux.

3. Conditions requises pour la gestion de l’impression


Pour utiliser la gestion de l’impression sur Windows Server 2008, vous devez installer le rôle
de serveur d’impression sur l’ordinateur où vous voulez utiliser le composant Gestion de
l’impression. Sur les ordinateurs exécutant Windows Vista, le composant logiciel enfichable
Gestion de l’impression est installé automatiquement et disponible via la console MMC
(Microsoft Management Console).

Pour déployer des connexions à des imprimantes à l’aide d’une stratégie de groupe, votre
environnement doit respecter les conditions requises suivantes :

• Le schéma des services de domaine Active Directory (AD DS) doit utiliser une
version de schéma Windows Server 2003 R2 ou Windows Server 2008.

• Les ordinateurs clients qui exécutent Windows 2000, Windows XP ou Windows


Server 2003 doivent utiliser l’outil PushPrinterConnections.exe dans un script de
démarrage (pour des connexions ordinateur par ordinateur) ou dans un script
d’ouverture de session (pour des connexions utilisateur par utilisateur).

156
Remarque
Le composant Gestion de l’impression peut ne pas afficher précisément l’état des ordinateurs
distants lorsqu’il surveille plus de 10 serveurs d’impression sur un ordinateur qui exécute
Windows Vista. Cela est dû au fait que les ordinateurs qui exécutent Windows Vista prennent
en charge un maximum de 10 connexions réseau simultanées. Pour surveiller à distance un
grand nombre de serveurs d’impression, utilisez le Bureau à distance pour ouvrir une session
sur un ordinateur sur lequel le composant Gestion de l’impression est installé et qui exécute
Windows Server 2008.

4. Impératifs de sécurité
Pour gérer un serveur distant, vous devez être membre du groupe Opérateurs d’impression ou
Opérateurs de serveur, ou du groupe local Administrateurs sur le serveur d’impression distant.
Vous n’avez pas besoin de ces informations d’identification pour surveiller des serveurs
d’impression distants, même si certaines fonctionnalités seront désactivées.

Pour utiliser le composant Gestion de l’impression (Printmanagement.msc) avec la stratégie


de groupe, vous devez être membre du groupe local Administrateurs et disposer de l’accès en
écriture aux objets de stratégie de groupe (objets GPO) dans le domaine AD DS ou l’unité
d’organisation où vous voulez déployer les connexions aux imprimantes.

Il est recommandé que les administrateurs utilisent un compte muni d’autorisations


restrictives pour effectuer les tâches non administratives et utilisent un compte avec des
autorisations plus larges seulement lors de l’exécution de tâches administratives spécifiques.

5. Déploiement d’imprimantes et de serveurs d’impression


Les sections ci-dessous fournissent des informations sur la manière de déployer des
imprimantes et des serveurs d’impression :

1. Installer et ouvrir le composant Gestion de l’impression

2. Ajouter et supprimer des serveurs d’impression

3. Migrer des serveurs d’impression

4. Ajouter automatiquement des imprimantes réseau

5. Déployer des imprimantes à l’aide de la stratégie de groupe

6. Répertorier et supprimer des imprimantes dans les services de domaine Active


Directory

Étape 1 : installer et ouvrir le composant Gestion de l’impression


Le composant Gestion de l’impression est installé par défaut sur les ordinateurs qui exécutent
Windows Vista Professionnel, Windows Vista Entreprise ou Windows Vista Édition
Intégrale, mais il n’est pas installé sur les ordinateurs exécutant Windows Server 2008.
Utilisez l’une des méthodes répertoriées ci-dessous pour installer le composant logiciel
enfichable Gestion de l’impression sur un ordinateur exécutant Windows Server 2008 :

157
• Dans le Gestionnaire de serveur, utilisez l’Assistant Ajout de rôles pour installer le
rôle Services d’impression. Cela permet d’installer le composant logiciel enfichable
Gestion de l’impression et de configurer le serveur comme serveur d’impression.

• Dans le Gestionnaire de serveur, utilisez l’Assistant Ajout de fonctionnalités pour


installer l’option Outils des services d’impression de la fonctionnalité Outils
d’administration de serveur distant. L’option Outils des services d’impression
permet d’installer le composant logiciel enfichable Gestion de l’impression, mais ne
configure pas le serveur comme serveur d’impression.

Pour ouvrir le composant Gestion de l’impression sur un ordinateur exécutant Windows Vista
ou Windows Server 2008, dans le dossier Outils d’administration, double-cliquez sur Gestion
de l’impression.

Remarque
Si vous utilisez un pare-feu avec le composant Gestion de l’impression, une partie ou
l’ensemble des imprimantes sur un serveur d’impression réseau peuvent ne pas être affichées.
Pour résoudre ce problème, ajoutez-le composant Gestion de l’impression à la liste des
exceptions dans la configuration du pare-feu.

Étape 2 : ajouter et supprimer des serveurs d’impression

Le composant Gestion de l’impression (Printmanagement.msc) vous permet de gérer les


imprimantes qui s’exécutent sur les serveurs d’impression qui exécutent Windows 2000 ou
version ultérieure.

Remarque
Le rôle de serveur d’impression doit être installé et vous devez être un membre du groupe
Administrateurs pour effectuer ces procédures.
Pour ajouter des serveurs d’impression à la gestion de l’impression

1. Ouvrez le dossier Outils d’administration, puis double-cliquez sur Gestion de


l’impression.

2. Dans l’arborescence Gestion de l’impression, cliquez avec le bouton droit sur Gestion
de l’impression, puis cliquez sur Ajouter/Supprimer des serveurs.

3. Dans la boîte de dialogue Ajouter/Supprimer des serveurs, sous Spécifier le


serveur d’impression, dans Ajouter un serveur, effectuez l’une des actions
suivantes :

• Tapez le nom.

• Cliquez sur Parcourir pour localiser et sélectionner le serveur d’impression.

158
4. Cliquez sur Ajouter à la liste.

5. Ajoutez autant de serveurs d’impression que vous le souhaitez, puis cliquez sur OK.

Remarque
Vous pouvez ajouter le serveur local sur lequel vous travaillez en cliquant sur Ajouter le
serveur local.

Pour supprimer des serveurs d’impression dans le composant Gestion de l’impression

1. Ouvrez le dossier Outils d’administration, puis double-cliquez sur Gestion de


l’impression.

2. Dans l’arborescence Gestion de l’impression, cliquez avec le bouton droit sur Gestion
de l’impression, puis cliquez sur Ajouter/Supprimer des serveurs.

3. Dans la boîte de dialogue Ajouter/Supprimer des serveurs, sous Serveurs


d’impression, sélectionnez un ou plusieurs serveurs, puis cliquez sur Supprimer.

Étape 3 : migrer des serveurs d’impression

Vous pouvez utiliser l’Assistant Migration d’imprimantes ou l’outil en ligne de commande


Printbrm.exe pour exporter des files d’attente d’impression, des paramètres d’imprimante,
des ports d’imprimante et des moniteurs de langage, puis les importer sur un autre serveur
d’impression exécutant un système d’exploitation Windows. Ceci constitue un moyen
efficace de consolider plusieurs serveurs d’impression ou de remplacer un serveur
d’impression plus ancien.

Remarque
L’Assistant Migration d’imprimantes et l’outil en ligne de commande Printbrm.exe sont des
nouveautés de Windows Vista. Ils remplacent Print Migrator 3.1.

Migration de serveurs d’impression

• Migrer des serveurs d’impression à l’aide du composant Gestion de l’impression

• Migrer des serveurs d’impression à l’aide d’une invite de commandes

Pour migrer des serveurs d’impression à l’aide du composant Gestion de l’impression

1. Ouvrez le dossier Outils d’administration, puis cliquez sur Gestion de l’impression.

2. Dans l’arborescence Gestion de l’impression, cliquez avec le bouton droit sur


l’ordinateur contenant les files d’attente d’impression que vous voulez exporter, puis

159
cliquez sur Exporter les imprimantes vers un fichier. Cette action démarre
l’Assistant Migration d’imprimantes.

3. Dans la page Sélectionner l’emplacement du fichier, spécifiez l’emplacement où


enregistrer les paramètres d’imprimante, puis cliquez sur Suivant pour enregistrer les
imprimantes.

4. Cliquez avec le bouton droit sur l’ordinateur de destination sur lequel vous voulez
importer les imprimantes, puis cliquez sur Importer les imprimantes depuis un
fichier. Cette action démarre l’Assistant Migration d’imprimantes.

5. Dans la page Sélectionner l’emplacement du fichier, spécifiez l’emplacement du


fichier de paramètres d’imprimante, puis cliquez sur Suivant.

6. Dans la page Sélectionner les options d’importation, spécifiez les options


d’importation suivantes :

• Mode d’importation. Spécifie ce qu’il faut faire si une file d’attente


d’impression spécifique existe déjà sur l’ordinateur de destination.

• Lister dans l’annuaire. Spécifie s’il faut publier les files d’attente
d’impression importées dans les services de domaine Active Directory.

• Convertir les ports LPR en moniteurs de port standard. Spécifie s’il faut
convertir les ports d’impression LPR (Line Printer Remote) du fichier de
paramètres d’imprimante en moniteurs de port standard (plus rapides) lors de
l’importation des imprimantes.

7. Cliquez sur Suivant pour importer les imprimantes.

Pour migrer des serveurs d’impression à l’aide de l’invite de commandes

1. Pour ouvrir une fenêtre d’invite de commandes, cliquez sur Démarrer, sur Tous les
programmes et sur Accessoires, puis cliquez avec le bouton droit sur Invite de
commandes et cliquez sur Exécuter en tant qu’administrateur.

2. Tapez la commande :

Copier le code

160
CD %WINDIR%\System32\Spool\Tools Printbrm -s \\<nom_ordinateur_source> -b -f
<nom_fichier>.printerExport
3. Tapez la commande :

Copier le code
Printbrm -s \\<nom_ordinateur_destination> -r -f <nom_fichier>.printerExport

Valeur Description

<sourcecomputername> Nom UNC (Universal Naming Convention) de l’ordinateur


source ou de destination.

<destinationcomputername> Nom UNC (Universal Naming Convention) de l’ordinateur


de destination.

<filename> Nom de fichier pour le fichier de paramètres d’imprimante.


Utilisez les extensions .printerExport ou .cab.

Remarque

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez :


Printbrm /?

Considérations supplémentaires

• L’Assistant Migration d’imprimantes et Printbrm.exe peuvent importer des


formulaires et des profils de couleurs personnalisés sur l’ordinateur local uniquement
et ne prennent pas en charge les paramètres d’imprimante exportés à l’aide de l’outil
Print Migrator.

• L’Assistant Migration d’imprimantes et Printbrm.exe peuvent importer et exporter des


imprimantes sur des ordinateurs exécutant Windows 2000, Windows XP, Windows
Server 2003, Windows Vista ou Windows Server 2008. Toutefois, certains pilotes
peuvent ne pas être importés correctement sur certains systèmes d’exploitation. Par
exemple, les ordinateurs qui exécutent Windows 2000 ne prennent pas en charge les
pilotes d’imprimante x64.

• Vous pouvez utiliser la fonctionnalité Planificateur de tâches de Windows pour


planifier l’exportation ou l’importation régulière d’imprimantes à l’aide de l’outil

161
Printbrm.exe. Vous pouvez utiliser cette fonctionnalité en complément des
sauvegardes système.

Étape 4 : ajouter automatiquement des imprimantes réseau

Le composant Gestion de l’impression (Printmanagement.msc) peut détecter


automatiquement toutes les imprimantes situées sur le même sous-réseau que l’ordinateur sur
lequel vous exécutez le composant Gestion de l’impression, installer les pilotes d’imprimante
appropriés, configurer les files d’attente et partager les imprimantes.

Pour ajouter automatiquement des imprimantes réseau à un serveur d’impression

1. Ouvrez le dossier Outils d’administration, puis double-cliquez sur Gestion de


l’impression.

2. Dans l’arborescence Gestion de l’impression, cliquez avec le bouton droit sur le


serveur approprié, puis cliquez sur Ajouter une imprimante.

3. Dans la page Installation de l’imprimante de l’Assistant Installation d’imprimante


réseau, cliquez sur Rechercher les imprimantes du réseau, puis sur Suivant. Si
vous y êtes invité, spécifiez le pilote à installer pour l’imprimante.

Remarque
Pour détecter les imprimantes réseau sur le même sous-réseau qu’un serveur distant, utilisez
le Bureau à distance pour ouvrir une session sur le serveur d’impression, ouvrez Gestion de
l’impression et ajoutez l’imprimante réseau.

Étape 5 : déployer des imprimantes à l’aide de la stratégie de groupe

Vous pouvez utiliser le composant Gestion de l’impression (Printmanagement.msc) avec la


stratégie de groupe pour déployer automatiquement des connexions à des imprimantes auprès
d’utilisateurs ou d’ordinateurs et pour installer les pilotes d’imprimante appropriés. Cette
méthode d’installation d’une imprimante est utile dans le cadre d’un laboratoire, d’une salle
de classe ou d’une succursale, où la plupart des ordinateurs ou des utilisateurs doivent accéder
aux mêmes imprimantes. Il s’agit également d’une méthode utile pour le déploiement de
pilotes d’imprimante pour des utilisateurs qui ne sont pas membres du groupe local
Administrateurs et qui exécutent Windows Vista.

Pour déployer des connexions à des imprimantes à l’aide d’une stratégie de groupe, votre
environnement doit respecter les conditions requises suivantes :

• Le schéma des services de domaine Active Directory (AD DS) doit utiliser une
version de schéma Windows Server 2003 R2 ou Windows Server 2008.

• Les ordinateurs clients qui exécutent Windows 2000, Windows XP ou Windows


Server 2003 doivent utiliser l’outil PushPrinterConnections.exe dans un script de

162
démarrage (pour des connexions ordinateur par ordinateur) ou dans un script
d’ouverture de session (pour des connexions utilisateur par utilisateur).

Pour déployer des connexions à des imprimantes à l’aide d’une stratégie de groupe, utilisez
les sections suivantes :

• Déployer des connexions à des imprimantes

• Déployer l’utilitaire PushPrinterConnections.exe

• Modifier la sécurité de l’installation des pilotes pour les imprimantes déployées à


l’aide d’une stratégie de groupe

Déployer des connexions à des imprimantes

Pour déployer des connexions à des imprimantes pour des utilisateurs ou des ordinateurs à
l’aide d’une stratégie de groupe, utilisez la boîte de dialogue Déployer avec la stratégie de
groupe dans le composant Gestion de l’impression. Cela ajoute les connexions aux
imprimantes dans un objet de stratégie de groupe (objet GPO).

Pour déployer des imprimantes pour des utilisateurs ou des ordinateurs à l’aide d’une
stratégie de groupe

1. Ouvrez le dossier Outils d’administration, puis double-cliquez sur Gestion de


l’impression.

2. Dans l’arborescence Gestion de l’impression, sous le serveur d’impression approprié,


cliquez sur Imprimantes.

3. Dans le volet Résultats, cliquez avec le bouton droit sur l’ordinateur à déployer, puis
cliquez sur Déployer avec la stratégie de groupe.

4. Dans la boîte de dialogue Déployer avec la stratégie de groupe, cliquez sur


Parcourir, puis sélectionnez ou créez un nouvel objet GPO pour stocker les
connexions aux imprimantes.

5. Cliquez sur OK.

6. Spécifiez s’il convient de déployer les connexions aux imprimantes pour des
utilisateurs ou des ordinateurs :

• Pour un déploiement pour des groupes d’ordinateurs, afin que tous les
utilisateurs des ordinateurs puissent accéder aux imprimantes, activez la case à

163
cocher Ordinateurs auxquels s’applique cet objet de stratégie de groupe
(par ordinateur).

• Pour un déploiement pour des groupes d’utilisateurs, afin que les utilisateurs
puissent accéder aux imprimantes à partir de tout ordinateur sur lequel ils
ouvrent une session, activez la case à cocher Utilisateurs auxquels s’applique
cet objet de stratégie de groupe (par utilisateur).

Remarque
Les ordinateurs clients qui exécutent Windows 2000 ne prennent pas en charge les
connexions par ordinateur.

7. Cliquez sur Ajouter.

8. Répétez les étapes 3 à 6 pour ajouter le paramètre de connexion d’imprimante à un


autre objet de stratégie de groupe, si nécessaire.

9. Cliquez sur OK.

Remarque
Pour les connexions par ordinateur, Windows ajoute les connexions aux imprimantes lorsque
l’utilisateur ouvre une session (ou lorsque l’ordinateur redémarre, si vous utilisez l’utilitaire
PushPrinterConnections.exe). Pour les connexions par utilisateur, Windows ajoute les
connexions aux imprimantes au cours de l’actualisation de la stratégie en arrière-plan (ou
lorsque l’utilisateur ouvre une session, si vous utilisez l’utilitaire
PushPrinterConnections.exe). Si vous supprimez les paramètres de connexion d’imprimante
de l’objet de stratégie de groupe, Windows supprime les imprimantes correspondantes de
l’ordinateur client lors de la prochaine actualisation de la stratégie en arrière-plan ou de la
prochaine ouverture de session de l’utilisateur (ou lors du prochain redémarrage ou de la
prochaine ouverture de session de l’utilisateur, si vous utilisez l’utilitaire
PushPrinterConnections.exe).

Déployer l’utilitaire PushPrinterConnections.exe

Pour déployer des connexions à des imprimantes à l’aide d’une stratégie de groupe sur des
ordinateurs qui exécutent des versions de Windows antérieures à Windows Vista, vous devez
ajouter l’utilitaire PushPrinterConnections.exe à un script de démarrage de l’ordinateur ou à
un script d’ouverture de session. L’utilitaire PushPrinterConnections.exe lit les paramètres de
connexion d’imprimante à partir de la stratégie de groupe et ajoute les connexions aux
imprimantes appropriées au compte d’ordinateur ou d’utilisateur (ou met à jour les
connexions existantes).

Le fichier PushPrinterConnections.exe est détecté et fermé automatiquement sur les


ordinateurs exécutant Windows Vista ou Windows Server 2008. Ces ordinateurs intègrent la
prise en charge des connexions aux imprimantes déployées à l’aide d’une stratégie de groupe,
afin que vous puissiez déployer en toute sécurité ce fichier sur tous les ordinateurs clients de
votre organisation.

164
Remarque
La procédure ci-dessous suppose que vous utilisez la version de la Console de gestion des
stratégies de groupe (GPMC) qui est incluse avec Windows Server 2008. Pour installer
GPMC dans Windows Server 2008, utilisez l’Assistant Ajout de fonctionnalités dans le
Gestionnaire de serveur. Si vous utilisez une autre version de GPMC, la procédure peut varier
quelque peu.

Pour ajouter le fichier PushPrinterConnections.exe dans des scripts de démarrage ou


d’ouverture de session

1. Ouvrez la console de gestion des stratégies de groupe.

2. Dans l’arborescence de la console GPMC, accédez au domaine ou à l’unité


d’organisation (OU) qui stocke les comptes d’ordinateurs ou d’utilisateurs pour
lesquels vous souhaitez déployer l’utilitaire PushPrinterConnections.exe.

3. Cliquez avec le bouton droit sur l’objet GPO qui contient les connexions aux
imprimantes que vous voulez déployer à l’aide d’une stratégie de groupe, puis cliquez
sur Modifier.

4. Accédez à l’un des emplacements suivants :

• Si les connexions aux imprimantes sont déployées par ordinateur, accédez à


Configuration de l’ordinateur, Stratégies, Paramètres Windows, Scripts
(démarrage/arrêt).

• Si les connexions aux imprimantes sont déployées par utilisateur, accédez à


Configuration utilisateur, Stratégies, Paramètres Windows, Scripts
(ouverture/fermeture de session).

Remarque
Les ordinateurs clients qui exécutent Windows 2000 ne prennent pas en charge les
connexions par ordinateur.

5. Cliquez avec le bouton droit sur Démarrage ou sur Ouverture de session, puis
cliquez sur Propriétés.

6. Dans la boîte de dialogue Propriétés de Démarrage ou Propriétés de Ouverture de


session, cliquez sur Afficher les fichiers. La fenêtre Démarrage ou Ouverture de
session s’affiche.

7. Copiez le fichier PushPrinterConnections.exe à partir du dossier


%WINDIR%\System32 dans la fenêtre Démarrage ou Ouverture de session. Cela

165
permet d’ajouter l’utilitaire dans l’objet GPO, où il effectuera la réplication vers les
autres contrôleurs de domaine avec les paramètres de stratégie de groupe.

8. Dans la boîte de dialogue Propriétés de Démarrage ou Propriétés de Ouverture de


session, cliquez sur Ajouter. La boîte de dialogue Ajout d’un script s’affiche.

9. Dans la zone Nom du script, tapez : PushPrinterConnections.exe

10. Pour activer la journalisation sur les ordinateurs clients qui exécutent Windows
Server 2003, Windows XP ou Windows 2000, dans la zone Paramètres de scripts,
tapez : –log

Les fichiers journaux sont écrits dans %WINDIR%\temp\ppcMachine.log (pour les


connexions par ordinateur) et dans %temp%\ppcUser.log (pour les connexions par
utilisateur) sur l’ordinateur auquel la stratégie s’applique.

11. Dans la boîte de dialogue Ajout d’un script, cliquez sur OK.

12. Dans la boîte de dialogue Propriétés de Démarrage ou Propriétés de Ouverture de


session, cliquez sur OK.

13. Utilisez la console GPMC pour lier l’objet GPO à d’autres unités d’organisation ou
domaines dans lesquels vous voulez déployer l’utilitaire PushPrinterConnections.exe.

Modifier les paramètres de sécurité de l’installation des pilotes pour les imprimantes
déployées à l’aide d’une stratégie de groupe

Les paramètres de sécurité par défaut de Windows Vista et de Windows Server 2008
permettent à un utilisateur qui n’est pas membre du groupe local Administrateurs d’installer
uniquement des pilotes d’imprimante approuvés, tels que ceux fournis avec les systèmes
d’exploitation Windows ou dans des packages de pilotes d’imprimante signés
numériquement.

Pour autoriser des utilisateurs qui ne sont pas membres du groupe local Administrateurs à
installer des connexions à des imprimantes déployées à l’aide d’une stratégie de groupe et à
inclure des pilotes d’imprimante qui ne sont pas signés numériquement, vous devez
configurer les paramètres de la stratégie de groupe Restrictions Pointer et imprimer. Si vous
ne configurez pas ces paramètres de stratégie de groupe, les utilisateurs peuvent être tenus de
fournir les informations d’identification d’une personne appartenant au groupe local
Administrateurs.

Remarque
La procédure ci-dessous suppose que vous utilisez la version de la Console de gestion des
stratégies de groupe (GPMC) qui est incluse avec Windows Server 2008. Pour installer
GPMC dans Windows Server 2008, utilisez l’Assistant Ajout de fonctionnalités dans le

166
Gestionnaire de serveur. Si vous utilisez une autre version de GPMC, la procédure peut varier
quelque peu.

Pour modifier les paramètres de sécurité de l’installation des pilotes pour les
imprimantes déployées à l’aide d’une stratégie de groupe

1. Ouvrez la Console de gestion des stratégies de groupe.

2. Ouvrez l’objet de stratégie de groupe dans lequel les connexions d’imprimante sont
déployées et accédez à Configuration utilisateur, Stratégies, Modèles
d’administration, Panneau de configuration, puis Imprimantes.

3. Cliquez avec le bouton droit sur Restrictions Pointer et imprimer, puis cliquez sur
Propriétés.

4. Cliquez sur Activées.

5. Désactivez les cases à cocher suivantes :

• Les utilisateurs ne peuvent pointer et imprimer que sur ces serveurs

• Les utilisateurs ne peuvent pointer et imprimer que sur des imprimantes


situées dans leur forêt

6. Dans la zone Lors de l’installation des pilotes pour une nouvelle connexion,
sélectionnez Ne pas afficher l’avertissement ou l’invite d’élévation.

7. Faites défiler la page, puis, dans la zone Lors de la mise à jour des pilotes pour une
connexion existante, sélectionnez Afficher l’avertissement uniquement.

8. Cliquez sur OK.

Après avoir configuré ces paramètres, tous les utilisateurs sont en mesure de recevoir des
connexions aux imprimantes et des pilotes sur leurs comptes d’utilisateurs en utilisant la
stratégie de groupe, sans invite ni avertissement. Les utilisateurs reçoivent un avertissement
avant l’installation de pilotes mis à jour à partir du serveur d’impression, mais ils n’ont pas
besoin d’appartenir au groupe local Administrateurs pour installer les pilotes mis à jour.

Étape 6 Répertorier et supprimer des imprimantes dans les services de domaine Active
Directory
Le fait de répertorier les imprimantes dans les services de domaine Active Directory (AD DS)
permet aux utilisateurs de les localiser et de les installer plus facilement. Après avoir installé
des imprimantes sur un serveur d’impression, vous pouvez utiliser le composant Gestion de
l’impression pour les répertorier dans AD DS.

167
Vous pouvez répertorier plusieurs imprimantes à la fois. Vous pouvez définir un filtre pour
afficher toutes les imprimantes que vous voulez répertorier ou supprimer, ce qui vous permet
de sélectionner toutes les imprimantes en même temps.

Pour répertorier ou supprimer des imprimantes dans AD DS

1. Ouvrez le dossier Outils d’administration, puis double-cliquez sur Gestion de


l’impression.

2. Dans l’arborescence Gestion de l’impression, sous le serveur d’impression approprié,


cliquez sur Imprimantes.

3. Dans le volet Résultats, cliquez avec le bouton droit sur l’imprimante que vous voulez
répertorier ou supprimer, puis cliquez sur Répertorier dans l’annuaire ou sur
Supprimer de l’annuaire.

Gestion des imprimantes et des serveurs d’impression


Les sections ci-dessous fournissent des informations sur la manière de gérer des imprimantes
et des serveurs d’impression à l’aide du composant Gestion de l’impression :

• Mettre à jour et gérer des pilotes d’imprimante

• Contrôler la sécurité de l’installation des pilotes d’imprimante

• Créer un nouveau filtre d’imprimante

• Afficher les fonctionnalités étendues de votre imprimante

Vous pouvez exécuter des opérations en bloc sur toutes les imprimantes d’un serveur
spécifique ou sur toutes les imprimantes répondant aux conditions d’un filtre spécifique. Vous
pouvez exécuter les opérations suivantes sur plusieurs imprimantes à la fois :

• Suspendre ou reprendre l’impression

• Annuler tous les travaux d’impression

• Répertorier ou supprimer des imprimantes dans AD DS

• Supprimer les imprimantes

Vous pouvez également exporter une liste de pilotes, de formulaires, de ports ou


d’imprimantes en cliquant sur Autres actions dans le volet Actions, puis en cliquant sur
Exporter la liste.

Mettre à jour et gérer des pilotes d’imprimante

168
Les sections suivantes fournissent des informations sur la manière d’effectuer différentes
tâches lorsque vous mettez à jour ou gérez les pilotes d’imprimante sur un serveur
d’impression :

• Ajouter des pilotes pour des ordinateurs clients qui exécutent des versions 32 bits ou
64 bits de Windows

• Mettre à jour ou changer des pilotes d’imprimante

• Supprimer des pilotes

Ajouter des pilotes pour des ordinateurs clients qui exécutent des versions 32 bits ou
64 bits de Windows

Pour prendre en charge des ordinateurs clients qui utilisent des architectures de processeur
différentes du serveur d’impression, vous devez installer des pilotes supplémentaires. Par
exemple, si votre serveur d’impression exécute une version 64 bits de Windows et que vous
voulez prendre en charge des ordinateurs clients qui exécutent des versions 32 bits de
Windows, vous devez ajouter des pilotes x86 pour chaque imprimante.

Pour ajouter des pilotes d’imprimante client sur le serveur d’impression

1. Cliquez avec le bouton droit sur l’imprimant à laquelle vous voulez ajouter des pilotes
d’imprimante supplémentaires, puis cliquez sur Gérer le partage.

2. Cliquez sur Pilotes supplémentaires. La boîte de dialogue Pilotes supplémentaires


s’affiche.

3. Activez la case à cocher de l’architecture de processeur pour laquelle vous voulez


ajouter des pilotes.

Par exemple, si le serveur d’impression exécute une version x64 de Windows, activez
la case à cocher x86 pour installer des pilotes d’imprimante de version 32 bits pour les
ordinateurs clients qui exécutent des versions 32 bits de Windows.

4. Si le serveur d’impression ne dispose pas encore des pilotes d’imprimante appropriés


dans son magasin de pilotes, Windows vous invite à choisir un emplacement pour les
fichiers des pilotes. Téléchargez et extrayez les fichiers de pilote appropriés, puis,
dans la boîte de dialogue qui s’affiche, spécifiez le chemin d’accès au fichier .inf du
pilote.

Remarque
Vous ne serez peut-être pas en mesure d’extraire certains pilotes d’imprimante sans les
installer. Si tel est le cas, ouvrez une session sur un ordinateur client qui utilise la même

169
architecture de processeur que les pilotes d’imprimante que vous voulez ajouter sur le serveur
d’impression et installez ces pilotes d’imprimante. Ensuite, utilisez le composant Gestion de
l’impression sur l’ordinateur client pour vous connecter au serveur d’impression et ajoutez les
pilotes supplémentaires à partir de la boîte de dialogue Pilotes supplémentaires. Windows
télécharge automatiquement les pilotes de l’ordinateur client jusqu’au serveur d’impression.

Mettre à jour ou changer des pilotes d’imprimante

Pour mettre à jour ou changer les pilotes d’imprimante d’une imprimante, utilisez la
procédure ci-dessous. Les ordinateurs clients téléchargent et installent automatiquement les
pilotes d’imprimante mis à jour la prochaine fois qu’ils tentent d’imprimer sur l’imprimante.

Remarque
Lorsque vous installez des pilotes d’imprimante fournis par le fabricant du périphérique,
suivez les instructions fournies avec ces pilotes d’imprimante au lieu d’utiliser cette
procédure.

Pour mettre à jour ou changer les pilotes d’imprimante d’une imprimante

1. Cliquez avec le bouton droit sur l’imprimante dont vous voulez changer ou mettre à
jour le pilote, puis cliquez sur Propriétés.

2. Cliquez sur l’onglet Avancé.

3. Sélectionnez un nouveau pilote dans la zone Pilote ou cliquez sur Nouveau pilote
pour installer un nouveau pilote d’imprimante.

Supprimer les pilotes d’imprimante

Lorsque vous installez un pilote d’imprimante sur un ordinateur qui exécute Windows Vista
ou Windows Server 2008, Windows commence par installer le pilote d’imprimante dans le
magasin de pilotes local, puis l’installe à partir du magasin de pilotes.

Lorsque vous supprimez un pilote d’imprimante, vous avez la possibilité de supprimer


uniquement le pilote d’imprimante ou bien le package du pilote d’imprimante tout entier. Si
vous supprimez le pilote d’imprimante, Windows désinstalle le pilote d’imprimante, mais
conserve le package du pilote d’imprimante dans le magasin de pilotes pour vous permettre de
réinstaller le pilote ultérieurement. Si vous supprimez le package du pilote d’imprimante,
Windows supprime le package du magasin de pilotes, ce qui supprime complètement le pilote
d’imprimante de l’ordinateur.

Pour supprimer des pilotes d’imprimante d’un serveur, utilisez la procédure suivante :

Pour supprimer des pilotes d’imprimante

1. Supprimez sur le serveur d’impression toutes les imprimantes qui utilisent le pilote
que vous voulez supprimer ou remplacez par un autre pilote le pilote utilisé par chaque
imprimante.

170
2. Dans l’arborescence Gestion de l’impression, cliquez sur Pilotes.

3. Supprimez seulement le pilote (ce qui conserve le fichier .inf du pilote et les fichiers
associés sur le serveur) ou supprimez le package du pilote d’imprimante :

• Pour supprimer uniquement les fichiers de pilote installés, cliquez avec le


bouton droit sur le pilote et cliquez sur Supprimer.

• Pour supprimer le package du pilote du magasin de pilotes, supprimant ainsi


complètement le pilote de l’ordinateur, cliquez avec le bouton droit sur le
pilote et cliquez sur Supprimer le package du pilote.

Contrôler la sécurité de l’installation des pilotes d’imprimante

Les paramètres de sécurité par défaut de Windows Vista et de Windows Server 2008
permettent aux utilisateurs qui ne sont pas membres du groupe Administrateurs local
d’installer uniquement des pilotes d’imprimantes approuvés, tels que ceux fournis avec
Windows ou dans des packages de pilotes d’imprimantes signés numériquement. Cela permet
de garantir que les utilisateurs n’installent pas de pilotes d’imprimante non testés ou non
fiables, ou des pilotes qui ont été modifiés pour inclure du code malveillant (programme
malveillant). Toutefois, cela signifie que les utilisateurs ne peuvent parfois pas installer le
pilote approprié pour une imprimante partagée, même si le pilote a été testé et approuvé dans
votre environnement.

Les sections ci-dessous fournissent des informations sur la manière d’autoriser des utilisateurs
qui ne sont pas membres du groupe local Administrateurs à se connecter à un serveur
d’impression et à installer les pilotes d’imprimante hébergés par le serveur :

• Installation de packages de pilotes d’imprimante sur le serveur d’impression

• Utilisation d’une stratégie de groupe pour déployer des connexions à des imprimantes
auprès d’utilisateurs ou d’ordinateurs

• Utilisation d’une stratégie de groupe pour modifier les paramètres de sécurité des
pilotes d’imprimante

Installation de packages de pilotes d’imprimante sur le serveur d’impression

Un package de pilote d’imprimante correspond à un pilote d’imprimante signé


numériquement qui installe tous les composants du pilote dans le magasin de pilotes sur les
ordinateurs clients (si les ordinateurs serveurs et clients exécutent Windows Vista ou
Windows Server 2008). En outre, l’utilisation de packages de pilotes d’imprimantes sur un
serveur d’impression exécutant Windows Vista ou Windows Server 2008 permet aux
utilisateurs qui ne sont pas membres du groupe Administrateurs local de se connecter au
serveur d’impression et d’installer ou de recevoir des pilotes d’imprimante mis à jour.

171
Pour utiliser des packages de pilotes d’imprimante sur un serveur d’impression qui exécute
Windows Server 2008 ou Windows Vista, téléchargez et installez les packages de pilotes
d’imprimante appropriés, fournis par le fabricant d’imprimante.

Remarque
Vous pouvez également télécharger et installer des packages de pilotes d’imprimante à partir
d’un serveur d’impression sur des ordinateurs clients qui exécutent Windows Server 2003,
Windows XP ou Windows 2000. Toutefois, les ordinateurs clients ne pourront ni vérifier la
signature numérique du pilote, ni installer tous les composants du pilote dans le magasin de
pilotes, car le système d’exploitation client ne prend pas en charge ces fonctionnalités.

Utilisation d’une stratégie de groupe pour déployer des connexions à des imprimantes
auprès d’utilisateurs ou d’ordinateurs

Le composant Gestion de l’impression peut être utilisé avec une stratégie de groupe pour
ajouter automatiquement des connexions à des imprimantes dans le dossier Imprimantes, sans
que l’utilisateur ait besoin de privilèges d’administrateur local.

Utilisation d’une stratégie de groupe pour modifier les paramètres de sécurité des pilotes
d’imprimante

Vous pouvez utiliser le paramètre de stratégie de groupe Restrictions Pointer et imprimer pour
contrôler la manière dont les utilisateurs peuvent installer les pilotes d’imprimante à partir de
serveurs d’impression. Vous pouvez utiliser ce paramètre pour autoriser les utilisateurs à se
connecter uniquement aux serveurs d’impression spécifiques que vous approuvez. Comme
cela empêche les utilisateurs de se connecter à d’autres serveurs d’impression susceptibles
d’héberger des pilotes d’imprimante malveillants ou non testés, vous pouvez désactiver les
messages d’avertissement d’installation des pilotes d’imprimante sans compromettre la
sécurité.

Évaluez avec soins les besoins d’impression de vos utilisateurs avant de restreindre les
serveurs d’impression auxquels ils peuvent se connecter. Si les utilisateurs ont parfois besoin
de se connecter à des imprimantes partagées dans une succursale ou un autre service, veillez à
inclure ces serveurs d’impression dans la liste (si vous approuvez les pilotes d’imprimante qui
sont installés sur les serveurs).

Vous pouvez également utiliser le paramètre Restrictions Pointer et imprimer pour désactiver
complètement les messages d’avertissement, bien que cela désactive la sécurité avancée de
l’installation des pilotes d’imprimante de Windows Vista et de Windows Server 2008 pour
ces utilisateurs.

Remarque
La procédure ci-dessous suppose que vous utilisez la version de la Console de gestion des
stratégies de groupe (GPMC) qui est incluse avec Windows Server 2008. Pour installer
GPMC dans Windows Server 2008, utilisez l’Assistant Ajout de fonctionnalités du
Gestionnaire de serveur. Si vous utilisez une autre version de GPMC, la procédure peut varier
quelque peu.

Pour modifier le paramètre Restrictions Pointer et imprimer

172
1. Ouvrez la Console de gestion des stratégies de groupe (GPMC, Group Policy
Management Console).

2. Dans l’arborescence de la console GPMC, accédez au domaine ou à l’unité


d’organisation (OU) qui stocke les comptes d’utilisateurs pour lesquels vous souhaitez
modifier les paramètres de sécurité des pilotes d’imprimante.

3. Cliquez avec le bouton droit sur le domaine ou l’unité d’organisation approprié(e),


cliquez sur Créer un objet GPO dans ce domaine, et le lier ici, tapez le nom du
nouvel objet GPO, puis cliquez sur OK.

4. Cliquez avec le bouton droit sur l’objet GPO que vous avez créé, puis cliquez sur
Modifier.

5. Dans l’arborescence de l’Éditeur de gestion des stratégies de groupe, cliquez sur


Configuration utilisateur, sur Stratégies, sur Modèles d’administration, sur
Panneau de configuration, puis sur Imprimantes.

6. Cliquez avec le bouton droit sur Restrictions Pointer et imprimer, puis cliquez sur
Propriétés.

Pour autoriser les utilisateurs à se connecter uniquement aux serveurs d’impression


spécifiques que vous approuvez :

1. Dans la boîte de dialogue Restrictions Pointer et imprimer, cliquez sur Activées.

2. Activez la case à cocher Les utilisateurs ne peuvent pointer et imprimer que sur
ces serveurs si elle n’est pas déjà activée.

3. Dans la zone de texte, tapez les noms de serveurs complets auxquels vous voulez
autoriser les utilisateurs à se connecter. Séparez chaque nom par un point-virgule.

4. Dans la zone Lors de l’installation des pilotes pour une nouvelle connexion,
sélectionnez Ne pas afficher l’avertissement ou l’invite d’élévation.

5. Dans la zone Lors de la mise à jour des pilotes pour une connexion existante,
sélectionnez Afficher l’avertissement uniquement.

6. Cliquez sur OK.

Remarque

173
Pour désactiver les messages d’avertissement et les invites d’élévation d’installation de pilote
sur des ordinateurs qui exécutent Windows Vista et Windows Server 2008, dans la boîte de
dialogue Restrictions Pointer et imprimer, cliquez sur Désactivées, puis cliquez sur OK.
Cela désactive la sécurité améliorée de l’installation des pilotes d’imprimante de
Windows Vista et de Windows Server 2008.

Créer un nouveau filtre d’imprimante

Les filtres n’affichent que les imprimantes qui répondent à certains critères. Par exemple, il
peut être intéressant de filtrer les imprimantes présentant certaines conditions d’erreur ou
celles qui se trouvent dans un groupe de bâtiments spécifique, indépendamment du serveur
d’impression qu’elles utilisent. Les filtres sont stockés dans le dossier Filtres personnalisés
dans l’arborescence Gestion de l’impression et sont dynamiques, si bien que les données sont
toujours à jour.

Quatre filtres par défaut sont fournis avec le composant Gestion de l’impression
(Printmanagement.msc). Pour chaque filtre que vous créez, vous avez la possibilité de
configurer une notification par courrier électronique ou d’exécuter un script lorsque les
conditions du filtre sont remplies. Ceci est utile lorsque vous voulez être averti en cas de
problèmes d’imprimante, notamment dans une organisation comptant plusieurs bâtiments et
administrateurs.

Par exemple, vous pouvez définir un filtre de toutes les imprimantes gérées par un serveur
d’impression particulier où l’état n’est pas égal à Prêt. Ensuite, si une imprimante passe de
l’état Prêt à un autre état, l’administrateur peut recevoir un courrier électronique de
notification du composant Gestion de l’impression.

Remarque
Le rôle de serveur d’impression doit être installé et vous devez être un membre du groupe
Administrateurs pour effectuer ces procédures.

Pour configurer et enregistrer une vue filtrée

1. Ouvrez le dossier Outils d’administration, puis double-cliquez sur Gestion de


l’impression.

2. Dans l’arborescence Gestion de l’impression, cliquez avec le bouton droit sur le


dossier Filtres d’imprimante personnalisés, puis cliquez sur Ajouter un nouveau
filtre d’imprimante. Cela démarrera l’Assistant Nouveau filtre d’imprimante.

3. Dans la page Nom et description du filtre d’imprimante de l’Assistant, tapez un


nom pour le filtre d’imprimante. Le nom apparaîtra dans le dossier Filtres
d’imprimante personnalisés dans l’arborescence Gestion de l’impression.

4. Dans Description, tapez une description facultative.

174
5. Pour afficher le nombre d’imprimantes qui satisfont les conditions d’un filtre, activez
la case à cocher Afficher le nombre total d’imprimantes à côté du nom du filtre
d’imprimante

6. Cliquez sur Suivant.

7. Dans la page Définir un filtre d’imprimante de l’Assistant, procédez comme suit :

a. Dans la liste Champ, cliquez sur la caractéristique d’état d’imprimante ou de


file d’attente à l’impression.

b. Dans la liste Condition, cliquez sur la condition.

c. Dans la zone Valeur, tapez une valeur.

d. Continuez à ajouter des critères tant que votre filtre n’est pas complet, puis
cliquez sur Suivant.

8. Dans la page Définir des notifications (facultatif) de l’Assistant, effectuez l’une


et/ou l’autre des actions suivantes :

• Pour définir une notification par courrier électronique, activez la case à cocher
Envoyer une notification par courrier électronique et tapez une ou plusieurs
adresses de messagerie de destinataire et d’expéditeur. Un serveur SMTP doit
être spécifié pour acheminer le message. Utilisez le format compte@domaine
et des points-virgules pour séparer plusieurs comptes.

• Pour définir un script à exécuter, activez la case à cocher Exécuter le script,


puis tapez le chemin d’accès du fichier de script. Pour ajouter des arguments,
tapez-les dans Arguments supplémentaires.

9. Cliquez sur Terminer.

Remarque
Pour définir des notifications sur les filtres d’imprimantes existants, cliquez avec le bouton
droit sur une vue filtrée, puis cliquez sur Définir des notifications.

Définition de notifications facultatives

Lorsque vous créez ou modifiez un filtre, vous avez la possibilité d’envoyer une notification
par courrier électronique automatique à quelqu’un ou d’exécuter un script lorsque les
conditions du filtre sont satisfaites. Cela est utile pour résoudre des problèmes d’imprimante,
notamment dans une organisation comptant plusieurs bâtiments et administrateurs.

175
Par exemple, vous pouvez définir une vue de toutes les imprimantes gérées par un serveur
d’impression particulier où l’état n’est pas égal à Prêt. Ensuite, si une imprimante passe de
l’état Prêt à un autre état, l’administrateur peut recevoir un courrier électronique de
notification du composant Gestion de l’impression.

Outre la définition de notifications sur un ensemble personnalisé d’imprimantes, vous pouvez


définir des notifications sur des objets de serveur d’impression. Par exemple, si le serveur est
hors connexion ou si le spouleur est en panne, une notification par courrier électronique peut
être envoyée.

Utilisation de scripts
Lorsque vous créez un filtre pour des critères d’imprimante spécifiques, vous avez la
possibilité d’exécuter un script lorsque les conditions du filtre sont satisfaites. Les
notifications de script sont définies dans la boîte de dialogue Notifications. La définition de
notifications de script est utile pour la résolution de problèmes d’imprimante et pour le
dépannage.

Les arguments transmis au script pour les notifications de filtre sont les suivants :
ArgumentsSpécifiésParUtilisateur NomImprimante \\NomServeur NomFiltre. Lorsque
votre script n’accepte aucun paramètre défini par le composant Gestion de l’impression, vous
pouvez utiliser le bouton Test pour vérifier que le script fonctionne comme prévu. Les
ArgumentsSpécifiésParUtilisateur doivent être séparés par un espace. Les paramètres
définis par le composant Gestion de l’impression et par l’utilisateur ne doivent pas dépasser
2 048 caractères.

Pour les notifications de serveur, les arguments sont les suivants :


ArgumentsSpécifiésParUtilisateur ÉtatServeur NomServeur. Par exemple, vous pouvez
exécuter automatiquement un script pour redémarrer un spouleur distant lorsque le service est
mis hors connexion.

Des scripts peuvent être écrits dans Visual Basic Script (.vbs) ou dans tout langage de script
disponible sur l’ordinateur. Le script doit être sur l’ordinateur doté du composant Gestion de
l’impression. Le script doit s’exécuter avec vos informations d’identification et vous devez
disposer des autorisations de faire tout ce que vous voulez que le script fasse.

Un exemple de commande que vous pouvez utiliser dans un script consiste à démarrer un
spouleur d’impression distant : sc \\%2 start spooler

Définition de notifications de serveur

Outre la définition de notifications sur un ensemble personnalisé d’imprimantes, vous pouvez


définir des notifications sur des objets de serveur d’impression. Par exemple, si le serveur est
hors connexion ou si le spouleur est en panne, une notification par courrier électronique peut
être envoyée. Pour cela, cliquez avec le bouton droit sur un objet de serveur d’impression,
cliquez sur Notification, puis suivez les étapes 2 et 3 de la procédure « Pour définir des
notifications par courrier électronique ».

Afficher les fonctionnalités étendues de votre imprimante

176
Dans Gestion de l’impression (Printmanagement.msc), la vue étendue s’affiche sous les
colonnes du volet droit, délimitée par une barre de séparation. La vue étendue est utile lorsque
vous voulez plus d’informations sur le statut d’un travail d’impression, son propriétaire, le
nombre de pages, la taille du travail, la date et l’heure de sa soumission, le port, la priorité et
d’autres propriétés avancées des travaux d’impression.

De plus, quand l’imprimante utilise un port TCP/IP standard, la vue étendue affiche un onglet
Page Web de l’imprimante. Lorsque l’imprimante prend en charge une page Web, la page
de la vue étendue fournit des détails sur les propriétés physiques de l’imprimante et sur ses
caractéristiques, et elle permet parfois une administration à distance.

Pour afficher la vue étendue

1. Ouvrez le dossier Outils d’administration, puis double-cliquez sur Gestion de


l’impression.

2. Dans l’arborescence Gestion de l’impression, sous un serveur d’impression


quelconque, cliquez avec le bouton droit sur Imprimantes, puis cliquez sur Affichage
étendu.

Remarque
Pour afficher ou masquer des colonnes dans la vue étendue, sélectionnez une imprimante.
Sous l’onglet Travaux, cliquez avec le bouton droit sur la ligne d’en-tête des colonnes, puis
cliquez sur le nom de la colonne que vous voulez afficher ou masquer.

Remarque

Certaines imprimantes sont équipées de pages Web qui fournissent un accès à des
caractéristiques et des fonctionnalités supplémentaires. Des messages d’avertissement
intermittents peuvent apparaître à partir d’Internet Explorer suite à une communication avec
ces pages Web. Il existe deux façons d’éliminer ces messages. Une méthode consiste à
ajouter le site Web de chaque imprimante dans la liste des sites Web approuvés dans Internet
Explorer. La seconde méthode consiste à désactiver l’option Configuration de sécurité
renforcée dans Internet Explorer en utilisant Ajouter ou supprimer des composants Windows.
Pour plus d’informations sur la manière dont la désactivation de cette option affecte la
sécurité de votre serveur, voir Gestion de la configuration de sécurité renforcée d’Internet
Explorer sur le site Web de Microsoft (http://go.microsoft.com/fwlink?LinkId=28735)
(éventuellement en anglais).

177

Оценить