1. Microsoft Windows 2003 Server
Réalisé par
Laurent HOSTEN
Date : 6 mars 2008
Version : 1.0
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 1/75
06/03/08
2. Module « Microsoft Windows 2003 Server » (GMSI 2007.1)
Sommaire
1. Qu’est ce qu’un système d’exploitation ? ............................................ 4
2. Qu’est ce que le multitâche ? ........................................................... 5
3. Le multithreading et multiprocessing ................................................. 6
Présentation de Microsoft Windows 2003 Server ............................................ 7
1. Architecture ................................................................................... 7
2. Clients – Serveurs .......................................................................... 7
3. La gamme Windows 2003 Server ...................................................... 8
Installation de Windows 2003 Server ......................................................... 10
1. Configuration minimum ................................................................. 10
2. Installation manuelle..................................................................... 10
3. Installation contrôlée ou automatisée .............................................. 14
4. Installation par duplication de disque .............................................. 15
5. Intégration au domaine ................................................................. 16
6. Services d’installation à distance (RIS) ............................................ 16
Présentation d’Active Directory .................................................................. 22
1. Présentation ................................................................................ 22
2. Installation .................................................................................. 25
3. Désinstallation d’Active Directory .................................................... 28
4. Choix d’un mode d’un domaine ....................................................... 28
5. Rôle des contrôleurs de domaines ................................................... 29
Les outils d’administration ........................................................................ 32
1. Présentation ................................................................................ 32
2. Les outils d'administration courants ................................................ 32
3. Les outils d'administration spécifiques ............................................. 36
4. Les solutions d'administration à distance.......................................... 38
5. Personnalisation des consoles d'administration ................................. 41
Gestion des utilisateurs, des groupes et des ordinateurs ............................... 44
1. Gestion sur un ordinateur local ....................................................... 44
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 2/75
06/03/08
3. 2. Gestion dans un domaine .............................................................. 51
3. Gestion des comptes d'ordinateur dans un domaine .......................... 73
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 3/75
06/03/08
4. Notions de base
Afin de comprendre le fonctionnement d’un système d’exploitation
Microsoft, nous allons tout d’abord aborder quelques définitions et
descriptions de fonctionnement.
1. Qu’est ce qu’un système d’exploitation ?
Pour que l’on puisse utiliser une application (ou logiciel), l’ordinateur doit
exécuter différentes tâches. Il sera nécessaire de gérer les interactions
entre le processeur, la mémoire et les différents périphériques.
C’est le système d’exploitation qui va assurer la liaison entre l’utilisateur, le
matériel et l’application. Ainsi, lorsqu'un programme désire accéder à une
ressource matérielle, il ne lui est pas nécessaire d'envoyer des
informations spécifiques au périphérique, il lui suffit d'envoyer les
informations au système d'exploitation, qui se charge de les transmettre
au périphérique concerné via son pilote. En l'absence de pilotes il faudrait
que chaque programme reconnaisse et prenne en compte la
communication avec chaque type de périphérique.
Le système d’exploitation doit gérer différentes tâches :
Gestion du processeur : le système d'exploitation est chargé de
gérer l'allocation du processeur entre les différents programmes
grâce à un algorithme d'ordonnancement.
Gestion de la mémoire vive : le système d'exploitation est chargé
de gérer l'espace mémoire alloué à chaque application et, le cas
échéant, à chaque usager. En cas d'insuffisance de mémoire
physique, le système d'exploitation peut créer une zone mémoire sur
le disque dur, appelée mémoire virtuelle. La mémoire virtuelle permet
de faire fonctionner des applications nécessitant plus de mémoire
qu'il n'y a de mémoire vive disponible sur le système. En contrepartie
cette mémoire est beaucoup plus lente.
Gestion des entrées/sorties : le système d'exploitation permet
d'unifier et de contrôler l'accès des programmes aux ressources
matérielles par l'intermédiaire des pilotes (appelés également
gestionnaires de périphériques ou gestionnaires d'entrée/sortie).
Gestion de l'exécution des applications : le système
d'exploitation est chargé de la bonne exécution des applications en
leur affectant les ressources nécessaires à leur bon fonctionnement. Il
permet à ce titre de «tuer» une application ne répondant plus
correctement.
Gestion des droits : le système d'exploitation est chargé de la
sécurité liée à l'exécution des programmes en garantissant que les
ressources ne sont utilisées que par les programmes et utilisateurs
possédant les droits adéquats.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 4/75
06/03/08
5. Gestion des fichiers : le système d'exploitation gère la lecture et
l'écriture dans le système de fichiers et les droits d'accès aux fichiers
par les utilisateurs et les applications.
Gestion des informations : le système d'exploitation fournit un
certain nombre d'indicateurs permettant de diagnostiquer le bon
fonctionnement de la machine.
Afin de clôturer la définition concernant les systèmes d’exploitation, nous
finirons avec les trois composants principaux qui le définissent.
Nous avons en premier lieu le noyau (kernel). C’est la partie fondamentale
d'un système d'exploitation, il est le gestionnaire de ressources de la
machine, qui permet aux éléments matériels et logiciels de fonctionner
ensemble. Pour ces raisons, il est le premier logiciel chargé en mémoire
(hors gestionnaire de boot).
Nous trouvons ensuite l’interpréteur de commande. Un interpréteur de
commandes (le "shell", la coquille qui entoure le "noyau" du système) est
un programme qui sert d'intermédiaire entre l'utilisateur et le système
d'exploitation. Sa tâche essentielle est l'exécution de programmes.
Pour cela, il effectue:
La lecture d'une ligne
Sa compréhension comme une demande d'exécution d'un programme
avec d'éventuels paramètres.
Le lancement de ce programme avec passage des paramètres
D’éventuelles redirections d'entrées-sorties
Les exécutions de scripts (fichiers de commandes)
Et pour finir, nous avons le système de fichiers. Un système de fichiers
est la méthode utilisée pour stocker de l'information sur un disque dur
(arborescence). Des systèmes d'exploitation différents utiliseront des
systèmes de fichiers différents, rendant ainsi difficile le partage
d'information. Les principaux systèmes de fichiers utilisés sont FAT16 et
FAT32 pour Win98 et NTFS pour Win XP.
2. Qu’est ce que le multitâche ?
Le multitâche est la capacité pour un système d’exploitation à gérer
plusieurs programmes simultanément en leur attribuant tour à tour un
pourcentage de temps processeur pour que ces programmes puissent
s’exécuter. Nous distinguons deux types de multitâche :
Le multitâche coopératif
Le multitâche préemptif
2.1 Le multitâche coopératif
Dans cette configuration, chaque application qui s’exécute sur le système
d’exploitation dispose du processeur puis le libère, permettant aux
applications suivantes d’utiliser à leur tour le processeur. Le problème que
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 5/75
06/03/08
6. nous rencontrons avec ce type de système est la dépendance des
applications les unes par rapport aux autres. Si une application boucle sur
elle-même, plus aucune application ne peut s’exécuter et nous allons avoir
une défaillance du système d’exploitation. Nous trouvions ce genre
d’implémentation dans les systèmes Windows 16 bits tel que Windows 3.1x
ou Windows 95 avant l’OSR2.
2.2 Le multitâche préemptif
Dans cette configuration, chaque application dispose du processeur
pendant un laps de temps déterminé à l’avance ou jusqu’à ce qu’une autre
application ait une priorité supérieure à l’application en cours.
L’ordonnancement (attribution d’un temps processeur pour une
application) est fait par le système d’exploitation. Contrairement au
multitâche coopératif, si une application se bloque, le système
d’exploitation ne lui alloue plus de temps processeur et sera mise de côté.
Le système restera donc stable.
3. Le multithreading et multiprocessing
Un « thread » est une unité d’exécution et donc un bout du programme. Le
multithreading est le fait que dans une même application, nous pouvons
exécuter plusieurs tâches en même temps. Par exemple, dans un
traitement de texte, l’application affiche le texte que vous tapez tout en lui
appliquant la mise en page souhaitée.
En ce qui concerne le multiprocessing, c’est la capacité du système
d’exploitation à faire travailler différents processeurs à la gestion du
système et au bon fonctionnement des applications. Il existe deux types de
multiprocessing : Le multiprocessing asymétrique et le multiprocessing
symétrique. Dans le premier cas, l’utilisation des processeurs est dissociée.
Un processeur s’occupera uniquement du fonctionnement du système
d’exploitation alors que le second processeur sera réservé pour les
applications. Le multiprocessing symétrique, lui, met à disposition les
différents processeurs pour le système et pour les applications. Cependant,
le système d’exploitation a constamment un temps processeur alloué.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 6/75
06/03/08
7. Présentation de Microsoft Windows 2003 Server
1. Architecture
Windows 2003 est un système d’exploitation 32 bits, qui utilise le
multitâche préemptif et multithread ainsi que les architectures SMP.
Windows 2003 est un composé de système d’exploitation en couches et de
systèmes client/serveur à base de micronoyaux. Le regroupement de ces
deux technologies permis de distinguer deux parties dans Windows 2003,
appelées mode exécutif (ou mode noyau) et mode utilisateur (ou mode
applicatif). Au sein du noyau, on retrouve la couche d’abstraction
matérielle (Hardware Abstraction Layer) chargée des échanges avec le
matériel. Les applications 16 bits sont supportées dans un sous système
NTVDM
Comme pour Windows XP, Windows Server 2003 existe également avec un
noyau 64 bits, réservé aux machines disposant disposant de ce type
d’architecture, telles que l’Itanium d’Intel.
Windows 2003 prend en charge l’architecture EMA (Entreprise Memory
Architecture) qui permet aux applications de bénéficier d’un maximum de
32 Go de mémoire. Cela s’avère fortement intéressant pour les serveurs de
base de données manipulant énormément de données. En effet, la
manipulation des données s’effectue plus rapidement en RAM que sur
disque.
Pour bénéficier de cette architecture, il faut que votre matériel la prenne
en charge. De plus, les applications doivent être développées de manière
spécifique. SQL Server peur par exemple utiliser ce fonctionnement.
Le mode noyau est doté d’un module Plug and Play permettant de
diminuer le temps de configuration du matériel. Notons aussi la présence,
dans ce mode noyau, d’un module de gestion d’énergie fonctionnant sur la
technologie OnNow/ACPI qui permet de diminuer l’énergie utilisée par les
ordinateurs.
Les fonctionnalités de Windows 2003 autorisant le logiciel à fonctionner en
cluster sont dues à l’amélioration du noyau.
En ce qui concerne le mode noyau, il a été développe en UNICODE qui va
permettre de supporter toute application, quelle que soit la langue utilisée.
2. Clients – Serveurs
Sur les systèmes d’exploitation réseau, les échanges s’effectuent entre
plusieurs machines qui dialoguent entre elles grâces à des protocoles de
communications communs.
Lorsqu’ils sont utilisés pour désigner une machine, les termes « Client » et
« Serveur » définissent le rôle principal de celle-ci.
En réalité, chaque machine Windows offre des services de type réseau,
auxquels se connectent des clients.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 7/75
06/03/08
8. En effet, si une machine A souhaite visualiser des fichiers de la machine B,
la machine B offrira un service de fichier à la machine A. La machine B
propose donc un service « serveur » alors que la machine A fera office de
client.
3. La gamme Windows 2003 Server
Il existe différentes versions du système d’exploitation Windows 2003
Server : 32 bits et 64 bits, ainsi que des versions incorporées :
Windows Server 2003, Web Edition
Windows Server 2003, Standard Edition
Windows Server 2003, Enterprise Edition
Windows Server 2003, Datacenter Edition
3.1 Windows Server 2003, Web Edition
Pour positionner Windows Server 2003 sur le marché des serveurs web,
Microsoft a publié cette version simplifiée du système d’exploitation,
conçue pour assurer les services web.
Cette édition prend en charge 2 Go de RAM et les multiprocesseurs
symétriques jusqu’à deux processeurs. Il autorise un nombre illimité de
connexions web anonymes, mais se limite à 10 connexions SMB (Server
Message Block), qui sont des connexions qui servent à publier du contenu.
Le serveur ne peut pas fait office de passerelle, ne peut pas faire serveur
DHCP et ne peut être serveur de fax. Bien qu’il soit possible d’utiliser les
services d’administration à distance, il ne peut être serveur TSE. Il peut
appartenir à un domaine mais ne peut en aucun cas être le contrôleur de
domaine.
La version du moteur de base de données Microsoft SQL Server qu’il
embarque peut prendre en charge 25 connexions concurrentes.
3.2 Windows Server 2003, Standard Edition
Cette édition est un serveur capable de fournir les services suivants :
Services d’annuaire
Serveur de fichiers
Serveur d’impression
Serveur d’application…
Comparé à Windows 2000, il comporte des fonctionnalités étendues avec
MSDE (Microsoft Desktop Engine), le moteur de base de données Microsoft
SQL Server), une version de SQL Server qui prend en charge cinq
connexion concurrentes à des bases de données pouvant atteindre chacun
2 Go. Il offre également un serveur POP3 (Post Office Protocol version 3)
gratuit et prêt à l’emploi qui, combiné au service SMTP (Simple Mail
Transfer Protocol), permet au serveur de fonctionner comme serveur de
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 8/75
06/03/08
9. messagerie autonome : et enfin un gestionnaire d’équilibrage de la charge
réseau (NLB, Network Load Balancing), outil intéressant qui n’était
précédemment inclus que dans la version Advanced Server de Windows
2000.
Windows Server 2003 Standard Edition prend en charge 4 Go de ram et les
multiprocesseurs symétriques jusqu’à quatre processeurs.
3.3 Windows Server 2003, Enterprise Edition
Cette édition est conçue pour les entreprises moyennes à grandes. Ses
fonctionnalités lui permettent de prendre en charge huit processeurs, 32
Go de ram et d’assurer un service de cluster. Il est préparé pour la montée
en charge vers les ordinateurs Intel 64 bits Itanium, pour lesquels il peut
être configuré en 64 Go de RAM et prendre en charge les multiprocesseurs
symétriques jusqu’à huit processeurs.
Voici quelques fonctionnalités qui permettent d’établir la distinction entre
les éditions « standard » et « Enterprise » :
La prise en charge de MMS, qui autorise l’intégration de plusieurs
annuaires, banques de données et fichiers via Active Directory
L’ajout de mémoire à chaud, qui permet d’ajouter de la mémoire sur
les matériels pris en charge, sans temps d’interruption ni
redémarrage.
Le gestionnaire de ressources système Windows (WSRM), qui prend
en charge l’affectation de ressources processeur et mémoire en
fonction des applications.
3.4 Windows Server 2003, Datacenter Edition
Datacenter Edition n’est disponible qu’en OEM dans le cadre d’un ensemble
incluant un serveur haut de gamme. Il apporte une évolution pratiquement
sans limite, avec la prise en charge, sur les plateformes 32 bits, des
multiprocesseurs symétriques à quatre processeurs avec 64 Go de RAM, et
sur les plateformes 64 bits, des multiprocesseurs symétriques à 64
processeurs avec 512 Go de RAM. Il existe également une version à 128
processeurs qui prend en charge deux partitions SMP (symétrique
multiprocessor) pour 64 processeurs.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 9/75
06/03/08
10. Installation de Windows 2003 Server
1. Configuration minimum
L’installation de Microsoft Windows 2003 Server peut être effectuée de
plusieurs façons. Quelle que soit la méthode choisie, il est nécessaire de
procéder à une série de tâches dites de pré-installation.
Il est tout d’abord nécessaire de vérifier la compatibilité matérielle avec
Windows 2003 Server. Nous nous servirons pour cela de la HCL que nous
pouvons trouver sur le site de Microsoft.
Si vous êtes sur un ordinateur qui exécute déjà un système d’exploitation,
vous pourrez utiliser la commande « I386winnt32 /checkupgradeonly » à
partir du cd de Windows 2003.
La configuration minimale requise pour l’installation de Microsoft Windows
Server 2003 est mentionnée dans le tableau suivant :
Edition Windows Matériel Minimum Conseillé
Server 2003
Web Server Edition Processeur (x86) 133 MHz 550 MHz
Mémoire vive 128 Mo 256 Mo
Espace Disque 2 Go
Standard Edition Processeur (x86) 133 MHz 550 MHz
Mémoire vive 128 Mo 256 Mo
Espace Disque 2 Go
Entreprise Edition Processeur (x86) 233 MHz 733 MHz
Mémoire vive 128 Mo 256 Mo
Espace disque 2 Go
Datacenter Edition Processeur (x86) 400 MHz 733 MHz
Mémoire vive 512 Mo 1 Go
Espace Disque 2 Go
2. Installation manuelle
Pendant la phase d’installation, il est possible de modifier l’organisation de
vos partitions de disque et d’effectuer certaines opérations telles que la
suppression ou création de partitions. Il est fortement conseillé d’installer
le système sur une partition d’au moins 2 Go.
2.1 Partitionnement des disques
Il est possible d’installer le préchargeur (secteur de démarrage 2003) et le
chargeur, NTLDR, sur une première partition, la partition système, puis
d’installer le reste des fichiers sur une partition distincte, la partition
d’amorçage.
Sur un système Windows NT, la partition système est la partition principale
(active). La partition d’amorçage, celle qui contient tous les fichiers dont le
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 10/75
06/03/08
11. noyau Windows 2003 (NTOSKRNL.EXE) peut être installée sur une seconde
partition principale ou un lecteur logique d’une partition étendue.
La partition système ne nécessite pas une taille très importante. 10 Mo
suffisent amplement dans la plupart des cas. Elle pourra rester en FAT, afin
de supporter un amorçage multiple, ce qui permet de simplifier le
dépannage lors d’un problème de démarrage.
Les fichiers vitaux contenus sur cette partition pourront être dupliqués sur
une disquette de démarrage. Ceci permet de disposer d’une disquette de
secours en cas de problème simple d’amorçage du système, ainsi que
d’une copie de ces fichiers.
Dans les cas les plus critiques, la console de récupération permettra
d’accéder au système Windows 2003 pour effecteur notamment une
réparation.
La partition « démarrer », qui contient les fichiers systèmes dont le noyau
de Windows 2003, devra faire un minimum de 2 Go. Celle-ci tiendra
compte de l’évolution du système dont l’ajout des nombreuses DLL
volumineuses dans le sous répertoire système32 du répertoire
d’installation. N’oubliez pas non plus un espace pour le fichier d’échange et
l’éventuel répertoire de spoule d’impression.
Cette partition pourra être convertie en NTFS pour d’évidentes raisons de
sécurité.
2.2 Choix du système de fichiers
Windows Server 2003 supporte les systèmes de fichiers FAT, FAT32 et
NTFS
a. Système de fichiers FAT/ FAT32
Si l’on souhaite conserver la possibilité de démarrer sous l’ancien système
d’exploitation tel que MS-DOS, Windows 95 ou Windows 98, il faut
conserver un système de fichiers qui soit connu des systèmes composant
le multiboot. FAT et FAT32 ne permettent pas d’obtenir un niveau de
sécurité sur les fichiers et répertoires. Le système de fichiers FAT ne
supporte pas les partitions supérieures à 2 GO. FAT 32 est une évolution
de FAT qui permet de dépasser cette limite.
Il sera possible de convertir ces partitions au format NTFS sans perte de
données.
b. Système de fichier NTFS
C’est le système recommandé pour Windows 2003 Server. Il accroit la
sécurité en permettant de la contrôler au niveau des répertoires et des
fichiers, gère la compression de disques ou de fichiers, permet de contrôler
l’emploi des disques par les utilisateurs en appliquant des quotas ainsi que
d’encrypter les données.
Si vous prévoyez de configurer votre serveur en tant que contrôleur de
domaine, il est impératif d’avoir au moins une partition formatée en NTFS
pour stocker le volume système partagé.
On optera pour NTFS sous Windows 2000/2003 dans les cas suivants :
Windows 2003 est le seul système installé
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 11/75
06/03/08
12. Utilisation des services de fichiers ou d’impression ou Macintosh
Vous souhaitez disposer d’une sécurité locale
Gestion des partitions de grande taille
Un audit du système de fichiers est requis
Gestion de la compression des fichiers
Conservation des équivalences de permissions lors de la migration
des fichiers Novell vers Windows
Gestion des quotas de disques
Cryptage des données (EFS)
Installation d’Active Directory
2.3 Mode de licence
Pendant la phase d’installation, il vous sera demandé de choisir le mode de
licence. Vous pourrez choisir entre le mode de licence par serveur ou par
siège.
a. Licences par serveur
Le nombre de licences par serveur nécessaire pour un serveur particulier
correspond donc au nombre maximal de clients différents qui pourront se
connecter en même temps sur ce serveur.
Lorsque le nombre maximal de connexions est atteint, un message
d’erreur s’affiche et la nouvelle connexion est refusée. Un message est
alors consigné dans l’observateur d’évènements.
Il est possible de faire évoluer le nombre de licences par serveur, à partir
du Panneau de configuration – Licences
b. Licences par poste ou utilisateur (par siège)
Dans ce mode de licence, le siège ou client spécifique est sujet à licence.
Cette licence correspond à un droit de connexion, elle ne constitue pas un
apport de logiciels spécifiques pour permettre l’interconnexion des
systèmes. Dans ce cas, les serveurs ne disposent d’aucune restriction
particulière en termes de connexions maximales concomitantes, à
condition que chaque client dispose d’un siège reconnu.
Il est possible de passer à tout moment du mode de licences par serveur
en mode par poste ou utilisateur. Cette action est irréversible.
2.4 Planification du domaine
Durant l’installation, vous devrez choisir si votre serveur Windows 2003
intégrera un domaine ou un groupe de travail.
Pour intégrer un groupe de travail, vous devez simplement entrer le nom
du groupe de travail.
Si vous désirez intégrer un domaine lors de l’installation, vous devez
connaître certains paramètres :
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 12/75
06/03/08
13. Le nom du domaine (DNS) que vous intégrez
Pour qu’un ordinateur puisse joindre un domaine, il faut que ce
dernier possède un compte d’ordinateur unique dans le domaine. Si
ce compte machine n’a pas été créé avant l’installation, vous pouvez
le créer lors de l’installation. Pour cela, il vous faut employer un
compte utilisateur ayant suffisamment de droits pour intégrer un
ordinateur dans un domaine.
Un serveur jouant le rôle de contrôleur de domaine ainsi qu’un
serveur sur lequel le service DNS est installé et configuré.
Si vous intégrez votre serveur dans un domaine, il deviendra alors serveur
membre. S’il est dans un groupe de travail, nous parlerons de serveur
autonome.
Vous pouvez lors de l’installation de Windows 2003 Server faire de votre
ordinateur un serveur membre ou autonome. Si vous souhaitez qu’il joue
le rôle de contrôleur de domaine, il faudra alors installer Active Directory
après l’installation, via l’assistant DCPROMO.
2.5 Installation à partir d’un CD-ROM
Vous pouvez exécuter l’installation de Windows 2003 server à partir du
CD-ROM. Pour cela :
Soit vous posséder un OS : il suffit d’insérer le CD et exécuter le
setup.exe (si pas d’autorun).
Soit configuré le BIOS de votre machine pour démarrer sur le CD. Le
programme d’installation de Windows 2003 se lance
automatiquement après chargement des pilotes de périphériques.
Soit vous disposez des disquettes d’installation afin d’initialiser la
séquence d’amorçage et vous démarrez l’ordinateur à partir de ces
disquettes, le reste de l’installation se poursuivra ensuite à partir du
CD.
a. En mode texte
Les différentes étapes sont les suivantes :
Le programme setup charge un système 32 bits minimal de Windows
2003 Server en mémoire
Si vous disposez de périphériques SCSI ou RAID particuliers, pressez
F6 pour charger les pilotes
Acceptation du contrat de licence avec la touche F8
Choix du partitionnement et du système de fichiers
Vous ne disposerez du formatage rapide que sur une partition existante.
Après formatage puis copie des fichiers, l’ordinateur redémarre.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 13/75
06/03/08
14. b. En mode graphique
Lors de la partie en mode graphique, nous devrons fournir un certain
nombre d’indications :
Paramètres régionaux et divers
Nom et organisation
Mode de licence
Nom de l’ordinateur et mot de passe pour le compte admin local.
Composants que vous voulez installer (voir annexe)
Vous noterez que par souci de sécurité et de performance, Windows 2003
installe très peu de composants par défaut.
b1 : Installation de la gestion du réseau :
Windows 2003 va initialement détecter les cartes réseaux. Une fois cela
réalisé, il vous demande si vous souhaitez installer les composants réseau
de façon automatique ou personnalisée. Si vous choisissez les réglages par
défaut, les composants suivants seront installés :
Clients pour les réseaux Microsoft : cela permet à votre ordinateur
d’accéder aux ressources réseau.
Partage de fichiers et d’imprimantes pour les réseaux Microsoft.
Protocole TCP/IP standard configuré en obtention d’adresse
automatique.
Dans ce mode, Windows 2003 essaie e trouver un serveur DHCP sur votre
réseau pour obtenir automatiquement une adresse IP.
En choisissant une installation personnalisée, vous pourrez modifier ces
composants et spécifier entre autre une configuration d’adressage IP
statique.
L’étape suivante sera de choisir entre intégrer un groupe de travail ou un
domaine. Le nom du groupe de travail par défaut est : WORKGROUP
3. Installation contrôlée ou automatisée
Cette méthode a un intérêt si vous souhaitez installer Windows 2003
Server sur plusieurs ordinateurs ou vous affranchir du CD-ROM. Pour cela,
copiez-le contenu du répertoire i386 du CD-Rom dans un partage réseau.
Dès lors, il suffit de mettre en place une gestion de réseau minimum sur la
machine à installer (par exemple un client réseau 3.0 sous DOS) afin de se
connecter à cette ressource et lancer l’installation par la commande
WINNT.EXE. Vous pouvez aussi utiliser la commande WINNT32.EXE si vous
souhaitez procédez à l’installation à partir d’un système d’exploitation 32
bits (démarrage à partir des disquettes d’installation).
3.1 Commutateurs du programme d’installation
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 14/75
06/03/08
15. Lorsqu’ils sont exécutés manuellement, les programmes WINNT et
WINNT32 supportent des paramètres en ligne de commande qui
permettent de personnaliser l’installation de Windows 2003.
3.2 Création d’un fichier de réponse
L’installation de Windows 2003 peut être automatisée, pour ne pas avoir à
répondre à toutes les étapes de la partie d’installation en mode texte et de
la partie d’installation en mode graphique. Pour cela on créera un fichier de
réponse. Afin de ne pas décliner ce fichier de réponse pour chaque variante
d’installation, il est possible d’associer un fichier .UDF qui contiendra les
spécificités de chaque installation.
En cas de conflit, les valeurs mentionnées dans le fichier UDF sont
prioritaires vis-à-vis du fichier de réponse. Lorsque la valeur n’est trouvée
dans aucun des fichiers, le programme d’installation affiche un écran pour
la saisie du paramètre.
L’utilitaire « Setup Manager » est un utilitaire graphique qui permet de
créer les fichiers de réponse ainsi que les fichiers UDF. Cet utilitaire fait
partie du fichier DEPLOY.CAB que l’on trouve sur le CD de Windows 2003.
4. Installation par duplication de disque
Pour déployer Windows 2003 sur un grand nombre de postes, la méthode
paraissant la plus efficace est la duplication de disque. Toutefois, cette
technique, couramment appelée clonage, est particulièrement adaptée aux
postes de travail tels que Windows 2000 ou XP, mais peu recommandée
pour un serveur. Cette méthode de déploiement consiste à créer une
image du disque d’un ordinateur sur lequel Windows 2003 est installé et
configuré (ordinateur de référence), puis à restaurer cette image physique
sur un autre ordinateur. Bien que l’on gagne du temps au niveau de
l’installation, nous pouvons par la suite rencontrer des problèmes. Ainsi les
identifiants de sécurité uniques ne sont pas régénérés et peuvent
engendrer des dysfonctionnements aléatoires. Il est donc impératif de
respecter cette unicité en utilisant un programme spécifique (fourni avec
le produit de duplication de disque) ou un produit tiers tel que NEWSID de
« Sysinternals ».
Avec le package DEPLOY.CAB, Microsoft fournit SYSPREP.EXE afin de
respecter la génération des identifiants uniques et certaines opérations du
processus d’installation, tout en conservant le bénéfice de la duplication de
disque.
Le cycle à entreprendre est le suivant :
Installation de Windows 2003 sur un ordinateur de référence
Installation des applications sur cet ordinateur
Exécution de l’utilitaire SYSPREP.EXE afin de supprimer tous les
paramètres de configuration propres à un ordinateur.
L’exécution de SYSPREP s’arrête et redémarrer l’ordinateur de
référence. Avant de redémarrer le système, vous devrez procéder au
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 15/75
06/03/08
16. clonage proprement dit, en exécutant votre outil qui va générer
l’image du disque.
La restauration de l’image sur les ordinateurs cible s’effectue à l’aide
de votre outil de duplication de disque
5. Intégration au domaine
Les installations manuelles ou automatisées de Windows Server 2003
permettent de joindre l’ordinateur à un domaine pendant la phase
d’installation. Afin de dissocier d’éventuelles difficultés liées à cette
opération, il est souhaitable de procéder à une première installation dans
un groupe de travail quelconque ou WORKGROUP par défaut. Une fois
l’installation réalisée et la configuration réseau vérifier, vous pouvez à tout
moment intégrer votre serveur autonome vers un domaine afin qu’il
devienne serveur membre.
Vous pourrez réaliser cette opération sous l’onglet « nom de l’ordinateur »
et en cliquant sur le bouton « Modifier ».
S’il s’agit d’un domaine NetBIOS (contrôleur de domaine antérieur à
Windows 2000), entre le nom simple du domaine tel que CESI.
S’il s’agit d’un domaine Active Directory (contrôleur principal sous
Windows 2000 ou Windows 2003), entre le nom DNS complet du
domaine tel que cesi.fr. Vérifiez également que l’option « Modifier le
suffixe DNS principal lorsque les adhésions au domaine sont
modifiées » est cochée afin que le nom complet du poste soit modifié
en conséquence.
Pour joindre un serveur autonome à un domaine, il est nécessaire de créer
un compte d’ordinateur dans le domaine en question. Deux voies sont
alors possibles :
A partir du serveur, un compte d’utilisateur du domaine autorisé à
ajouter un ordinateur dans le domaine, c'est-à-dire à créer un compte
d’ordinateur dans le domaine
A partir d’un contrôleur de domaine, en créant manuellement le
compte d’ordinateur via la console appropriée (Utilisateurs et
Ordinateurs Active Directory).
A la prochaine ouverture de session, vous aurez le choix entre utiliser un
compte d’utilisateur déclaré sur le domaine ou utiliser un compte local de
votre ordinateur.
6. Services d’installation à distance (RIS)
6.1 Présentation
Les services d’installation à distance RIS (Remote Installation Service)
permettent de déployer un système d’exploitation sur tout ou partie des
postes de l’entreprise sans qu’il soit nécessaire d’intervenir physiquement
sur chaque ordinateur. Cette technique de déploiement sur un ensemble
de services réseau et serveurs requiert des postes clients compatibles PXE
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 16/75
06/03/08
17. (Preboot eXtension Environnement). Les images nécessaires à l’installation
des postes clients sont stockées sur un ou plusieurs serveurs spécialisés
(Serveur RIS) membres ou contrôleurs d’un domaine : à savoir, les
installations automatisées via un fichier de réponse et/ou les images de
duplication de disque.
Le serveur RIS stocke les images en volume NTFS et propose un écran
d’accueil aux clients qui le sollicitent. Il est ainsi possible de choisir l’image
d’une nouvelle installation et/ou d’effectuer certaines tâches de pré
installation via des outils spécifiques tels qu’une mise à jour du BIOS. Vous
pouvez déployer des images pour Windows 2000 et XP Professionnel.
Notez que vous pouvez recourir aux stratégies de groupe pour compléter
l’installation des applications et le paramétrage des postes.
6.2 Installation du serveur RIS
Avant de procéder à l’installation du serveur RIS, vous devez effectuer
certaines vérifications :
Le serveur envisagé pour cette fonction doit être membre ou
contrôleur d’un domaine Active Directory. Du fait de la présence
d’Active Directory, un service DNS est nécessairement fonctionnel sur
le réseau.
Un service d’allocation dynamique d’adresses (DHCP) doit être
présent sur le réseau de déploiement des postes. (Les serveurs DHCP
sur Windows 2000/2003 doivent être autorisés dans Active Directory
via la console DHCP. Le serveur RIS doit également être autorisé de
la même manière bien qu’il n’assure pas nécessairement de service
DHCP).
Pour installer les services RIS, utilisez la fonction « Ajout/suppression
des programmes » du panneau de configuration, puis « Ajouter ou
supprimer des composants Windows ». Cochez ensuite la case
« Services d’installation à distance » puis cliquez sur le bouton
« Suivant ».
A partir du menu « Démarrer » - Exécuter ou d’une invite de
commande, exécutez le programme RISetup.exe (situé dans
%Windir%system32) afin de configurer le serveur.
Cliquez sur le bouton « suivant » pour passer l’écran d’accueil puis
entrez le chemin d’accès destiné au stockage des images
d’installation des postes. Ce dossier est partagé sous le nom
REMINST et doit impérativement respecter les contraintes suivantes :
Etre sur un volume ou une partition NTFS
Ne pas être celui du système ni celui de la partition d’amorçage
L’espace minimum disponible sur ce volume doit être de 2 Go
Le nom du dossier par défaut est « RemoteInstall ». Cliquez sur le bouton
« Suivant » une fois le nom de dossier saisi.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 17/75
06/03/08
18. Par défaut, le service RIS ne répondra pas aux requêtes des clients
afin que vous puissiez vérifier les paramètres après ces opérations,
puis activer cette fonctionnalité a posteriori. Ne cochez donc aucune
case « Prise en charge des clients » puis cliquez sur le bouton
« Suivant ».
Le serveur RIS doit disposer d’au moins une image de CD-Rom et
vous devez, à ce stade, indiquer une lettre d’unité contenant une
distribution de Windows Serer 2003, XP ou 2000 professionnel, puis
cliquer sur le bout « Suivant » pour poursuivre l’installation
Entrez ensuite un sous-dossier (du dossier précédent) pour le
stockage de cette distribution, cliquez sur le bouton « Suivant » puis
précisez une description plus claire identifiant cette copie (vous
pouvez également ajouter un texte d’aide complémentaire). Ces
informations seront visibles à partir de l’écran d’installation des
postes.
Cliquez sur le bouton « Suivant », vérifiez vos paramètres puis
cliquez sur le bouton « Terminer » pour démarrer la copie et achever
l’installation des services RIS.
Suite à l’installation des services d’installation à distance, plusieurs
services ont été automatiquement ajoutés et activés :
La couche de négociation des informations de démarrage ou Boot
Information Négociation Layer (BINL)
Il s’agit du service chargé de répondre aux requêtes des clients et
d’interroger Active Directory pour savoir si l’ordinateur dispose de droits
suffisants. Il permet également d’attribuer les paramètres adaptés aux
clients pendant leur phase d’installation.
Le service Trivial File Transfer Protocole ou TFTPD (daemon)
Ce servie en mode non connecté (rapide) permet aux clients de
télécharger des fichiers spécifiques. Il leur offre notamment la possibilité
de rapatrier l’assistant d’installation du client (Client Installation Wizard ou
CIW) ainsi que toutes les boites de dialogue contenus dans l’assistant.
Stockage d’Instance simple ou Single Instance Store (SIS)
Il s’agit du service chargé de réduire la quantité d’espace disque sur les
volumes utilisés par les images d’installation RIS. Lorsque vous installez
RIS en tant que composant optionnel, vous devez mentionner un lecteur
ainsi qu’un répertoire d’installation : il s’agit du volume RIS. Les services
SIS se lient automatiquement au volume RIS, et effectuent un suivi pour
savoir si des fichiers dupliqués ont été placés sur ce volume. En cas de
doublon, SIS crée un lien vers le fichier, économisant ainsi de l’espace
disque.
6.3 Mise en œuvre
A ce stade, le serveur RIS est pratiquement opérationnel ; vous devez
cependant effectuer les étapes suivantes afin qu’il puisse prendre en
charge les postes clients et que les installateurs puissent joindre
correctement le domaine :
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 18/75
06/03/08
19. a. Autoriser le serveur
Bien que le serveur RIS n’assure pas nécessairement une fonction de
serveur DHCP, vous devez l’autoriser au sein de la console DHCP. Pour
cela, lancez la console DHCP à partir des outils d’administration,
sélectionnez la racine de la console DHCP puis utilisez le menu « Action –
Gérer les serveurs autorisés. Cliquez sur le bouton « Autoriser », saisissez
le nom ou l’adresse IP du serveur RIS puis cliquez sur le bouton OK.
b. Répondre aux postes clients
Pendant la phase d’installation du serveur RIS et afin de pouvoir définir ou
vérifier sereinement les paramètres, l’option « Répondre aux clients… » a
été désactivée. De ce fait, aucun client n’est pris en charge et vous devrez
activer cette option pour que le serveur RIS puisse proposer les écrans
d’installation et images qu’il héberge.
Pour cela, utilisez la console « Utilisateur et ordinateurs Active
Directory », sélectionnez le conteneur dans lequel est situé le compte
du serveur RIS puis sélectionnez ce dernier.
Utilisez le menu « Action – Propriétés » ou le menu contextuel, puis
activez l’onglet « Installation à distance ».
Cochez la case « Répondre aux ordinateurs clients à la demande d’un
service » puis cliquez sur le bouton « OK ». Vous pouvez également
cocher la case « Ne pas répondre aux ordinateurs clients inconnus »
mais dans ce cas, les comptes d’ordinateurs devront être
préalablement créés dans Active Directory. Cette technique, appelée
Pre-Staging, est plus contraignante sur le plan de l’administration
mais permet de ne pas déléguer d’autorisation et d’équilibrer la
charge lorsque plusieurs serveurs RIS sont disponibles sur le réseau.
c. Création des comptes d’ordinateurs
Par défaut, lorsqu’un ordinateur devient membre d’un domaine Active
Directory, son compte d’ordinateur est généré dans le conteneur
« Computers ». Les services d’installation à distance peuvent cependant
créer ces comptes d’ordinateurs directement dans un autre emplacement
et utiliser des règles de format de nom.
Pour modifier l’emplacement et/ou le format des noms de compte
d’ordinateur, utilisez la console « Utilisateurs et ordinateurs Active
Directory », sélectionnez le conteneur dans lequel est situé le compte
du serveur RIS puis sélectionnez ce dernier.
Utilisez le menu « Action – Propriétés » ou le menu contextuel,
activez l’ongle « Installation à distance » puis cliquez sur le bouton
« Paramètres avancés ».
Par défaut, le nom de compte d’ordinateur est égal au nom
d’utilisateur qui effectue l’installation à distance (un incrément est
automatiquement ajouté en cas de doublon). Vous pouvez
sélectionner d’autres formats dans la liste déroulante ou utiliser le
bouton « Personnaliser » pour définir vos propres formats de noms.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 19/75
06/03/08
20. Choisissez ensuite l’emplacement dans lequel le compte d’ordinateur
sera créé :
Emplacement par défaut du service d’annuaire « Computers ».
Même emplacement que celui du compte d’utilisateur qui effectue
l’installation
Emplacement spécifique dans la structure d’Active Directory.
L’utilisateur d’un conteneur spécifique aux installations à distance
est plus pratique à administrer.
d. Délégation d’autorisation
A l’instar d’une installation classique, lorsqu’un poste est déployé via les
services d’installation à distance, la personne qui effectue cette opération
doit disposer des privilèges nécessaires à la création du compte
d’ordinateur dans la structure Active Directory (jonction d’un ordinateur à
un domaine). Si l’installateur n’est pas administrateur du domaine, vous
devez définir un groupe ou un utilisateur auquel vous allez déléguer cette
autorisation.
Pour cela, utilisez le menu « Action – Délégation de contrôle » ou le
menu contextuel, puis cliquez sur le bouton « Suivant ». Cliquez sur
le bouton « Ajouter » pour sélectionner le groupe ou l’utilisateur
auquel vous souhaitez octroyer ce privilège puis cliquez sur le bouton
« Suivant ».
Cochez l’option « Joindre un ordinateur au domaine ». Cliquez ensuite
sur les boutons « suivants » puis « Terminer »
Si l’affichage des fonctionnalités avancées est activé, vous pouvez
également utiliser le menu « Action – Propriétés » ou le menu contextuel
disponible après avoir sélectionné le conteneur. Après avoir sélectionné
l’onglet « Sécurité », utilisez le bouton « Paramètres avancés » pour
octroyer ces autorisations spéciales aux groupes ou utilisateurs de votre
choix.
6.4 Les images de poste
Si vous avez respecté les procédures précédentes, le serveur RIS ne
dispose que d’une seule image de CD-ROM ajoutée pendant la phase
d’installation, à laquelle est associé un fichier de réponse standard
« ristndrd.sif ». Vous pouvez donc utiliser le gestionnaire d’installation
(setupmgr) pour modifier les paramètres de ce fichier ou associer un
nouveau fichier de réponse.
a. Les images de type CD-Rom
Comme évoqué précédemment dans ce chapitre, l’association d’un fichier
de réponse permet d’automatiser l’installation. Les services RIS utilisent
cette même technique lors de l’ajout d’une nouvelle image CD-Rom. Vous
pouvez, si vous le désirez, associer plusieurs fichiers de réponse à une
même distribution afin de décliner plusieurs configurations de poste.
Pour ajouter une nouvelle distribution ou associer un nouveau fichier
de réponse sur une distribution existante, utilisez la console
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 20/75
06/03/08
21. « Utilisateurs et Ordinateurs Active Directory », sélectionnez le
conteneur dans lequel est situé le compte du serveur RIS puis
sélectionnez ce dernier.
Utilisez le menu « Action – Propriétés » ou le menu contextuel,
activez l’onglet installation à distance » puis activez l’onglet
« images ». L’ensemble des images présentes sur le serveur est alors
affiché afin d’ajouter, supprimer ou modifier ces distributions.
Cliquez ensuite sur le bouton « Ajouter » pour démarrer l’assistant.
b. Les images de type Riprep
Cette solution permet de définir non seulement l’installation du système
d’exploitation mais également des applications ainsi que l’environnement
du poste. Les services d’installation à distance proposent en standard, une
technique dérivée offrant un résultat et des avantages identiques à ces
produits.
Ainsi, à l’instar de la duplication de disque, ces images sont générées à
partir d’un poste de référence sur lequel vous installez et configurez les
applications et paramètres désirés. Une fois cette opération achevée et
vérifiée, vous devez « banaliser » le poste de référence vis-à-vis de ces
identifiants de sécurité (SID).
Contrairement aux techniques de duplication de disque, vous n’utiliserez
pas SYSPREP. L’outil spécialisé RIPREP se chargera de cette opération de
retrait des identifiants de sécurité et réalisera la duplication de disque vers
le serveur RIS.
Pour créer une image de type Riprep, exécutez la commande suivante
à partir du poste de référence, une fois la configuration de celui-ci
terminée :
ServeurRISReminstadmini386riprep.exe
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 21/75
06/03/08
22. Présentation d’Active Directory
1. Présentation
Le système d’annuaire de Windows 2003 n’a pas subi de modification
majeure. Il s’agit donc d’une introduction aux services d’annuaire Active
Directory nécessaires à une première mise en œuvre de Windows Server
2003 dans ce type d’architecture.
1.1 Précisions sur les domaines NetBIOS
En premier lieu, il convient de rappeler que la notion de domaine apparue
avec Windows NT utilisait les mécanismes de résolution de nom NetBIOS,
au même titre que les groupes de travail Microsoft. Dans ce type de
réseau, les machines comme le nom du domaine, sont identifiés par un
nom de 15 caractères au maximum, sans espace. Le 16e caractère du nom
NetBIOS est utilisé pour identifier le type de service qui est offert par la
machine. Ainsi, le mécanisme de résolution NetBIOS permet d’identifier un
contrôleur de domaine par le biais d’une diffusion générale (broadcast),
d’un service WINS, ou encore du fichier LMHOSTS.
Ce type de domaine contient uniquement des objets de type utilisateur,
groupe ou ordinateur et ne comprend qu’un seul niveau. Le domaine est
maintenu par la présence d’un contrôleur principal (Primary Domain
Controller) et d’éventuels contrôleurs de domaine principal (Backup
Domain Controller). La base de données pour ces domaines est de type
SAM (Security Account Manager) et elle est « limitée » à 40 000 objets. Le
mécanisme d’authentification utilise le protocole NTLM.
La notion de relation d’approbation est une possibilité de communication
interdomaine unidirectionnelle et qui s’appuie sur un compte déclaré au
niveau du domaine d’origine (approuvé) et sur le domaine de destination
(approuvant). Les utilisateurs d’un domaine A peuvent accéder ainsi aux
ressources situées dans un domaine B. Pour que les utilisateurs du
domaine B puissent accéder aux ressources du domaine A, une autre
relation d’approbation (dans l’autre sens) doit être déclarée. On pourrait
évoquer la bidirectionnalité, qui en fait, met en œuvre deux relations
d’approbation.
1.2 Définition et concepts de base sur Active Directory
Active Directory n’est plus dépendant du protocole NetBIOS et utilise le
standard TCP/IP. Sa structure est définie au sein d’un schéma composé
d’objets et d’attributs évolutifs. La base d’annuaire Active Directory peut
contenir plusieurs millions d’objets.
a. La forêt
La forêt représente un ensemble de domaines liés entre eux par des
relations d’approbations bidirectionnelles et transitives. Elle est
caractérisée par la présence d’un domaine dit « Racine » équivalent au
premier domaine installé dans la forêt. Il s’agit d’un point de référence
pour tous les autres domaines de la forêt.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 22/75
06/03/08
23. b. Les arborescences
Les arborescences de domaine dépendent de leur nom. Lorsqu’un domaine
ne partage pas le même espace de nom qu’un domaine parent, il est
considéré comme une nouvelle arborescence ; sinon il s’agit d’un domaine
enfant.
c. Les domaines
Le domaine est une entité de sécurité proche du concept de domaine NT4,
mais il supporte une structure hiérarchisée et peut contenir toutes sortes
d’objets.
Les noms de domaine utilisés dans Active Directory s’appuient sur une
architecture DNS (Domain Name Service). Précisons quelques détails
fondamentaux :
Pour les clients Windows 2000 ou supérieurs, la résolution des noms
de domaine est assuré par les services DNS. Il est donc impératif de
renseigner un serveur DNS (connaissant le domaine Active Directory)
dans la configuration du protocole TCP/IP du poste.
Les services DNS nécessaires à Active Directory doivent supporter les
enregistrements SRV afin de localiser les ressources. Bien que cela
soit facultatif, il est fortement conseillé d’autoriser les mises à jour
dynamiques au niveau de la zone DNS du domaine. Ainsi, lors du
démarrage du service NETLOGON, les contrôleurs de domaine
peuvent vérifier et créer, le cas échéant, les enregistrements SRV
idoines.
Durant la phase d’installation d’Active Directory, le processus tente
de localiser un serveur DNS afin d’héberger la zone correspondant au
domaine. Si aucun serveur DNS valide n’est détecté, le processus
d’installation d’Active Directory vous propose d’installer les services
DNS sur le contrôleur de domaine, afin qu’il héberge sa propre zone.
Afin d’assurer la compatibilité avec les clients (membres d’un domaine)
antérieurs à Windows 2000, Active Directory supporte également un nom
NetBIOS de domaine. Voici quelques exemples dans le tableau ci-dessous :
Domaine DNS Domaine NetBIOS
cesi.fr CESI
commercial.cesi.fr COMMERCIAL
aix.cesi.com AIX
d. Les unités organisationnelles
Les Unités Organisationnelles permettent de structurer hiérarchiquement
un domaine dans le but de l’organiser pour :
Organiser les différents objets
Déléguer le contrôle d’une partie du domaine
Appliquer des stratégies communes (stratégies de groupe)
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 23/75
06/03/08
24. Ne confondez pas les conteneurs de type système avec les Unités
Organisationnelles proches par leur représentation. Les caractéristiques et
le comportement des conteneurs système sont particuliers, ils ne peuvent
pas être manipulés avec les interfaces standards.
Contrairement aux conteneurs système, les Unités Organisationnelles sont
à disposition des administrateurs et peuvent être imbriquées entre elles.
Cela signifie qu’il est possible de créer des Unités Organisationnelles tous
les niveaux d’un domaine (sauf dans un conteneur système).
Les stratégies de groupe et la délégation de contrôle ne sont pas
disponibles au niveau des conteneurs système.
Afin de définir et lier les stratégies de groupe au niveau du domaine ou des
unités organisationnelles (onglet stratégie de groupe) , vous utiliserez la
console « Utilisateurs et ordinateurs Active Directory ».
Conseils et objectifs
Etudiez votre organisation d’entreprise afin de définir les
configurations et les besoins communs (utilisateurs, postes, serveurs,
applications).
Evitez une structure hiérarchique comprenant plus de trois niveaux
Créer des stratégies de groupe simples et cohérentes dans un
premier temps
Liez les stratégies de groupe uniquement aux niveaux souhaités et
testez les effets avant de généraliser.
Déléguez le contrôle au niveau d’une Unité Organisationnelle.
Dans tous les cas, documentez vos actions, afin qu’une autre
personne puisse comprendre facilement le fonctionnement de
l’architecture.
e. Les sites
Les concepts évoqués précédemment décrivent la structure logique
d’Active Directory. Hébergé par un ensemble de contrôleurs de domaine,
chacun d’entre eux échange et réplique les modifications dans leur base de
données respective (%windir%NTDSNTDS.DIT)
Afin de contrôler ce trafic, Active Directory utilise une structure physique.
Cette fonctionnalité permet de maîtriser les échanges entre les contrôleurs
de domaines, selon leur implantation physique, et introduit la notion de
site.
On peut donc distinguer la réplication « intrasite » pour qualifier les
échanges entre les contrôleurs de domaine d’un même site et la réplication
« intersite » (plusieurs sites) contrôlée par les liens de sites.
Les liaisons de sites servent à définir le coût du lien, une fréquence de
réplication et éventuellement des créneaux horaires, ceci pour chacune des
connexions possibles avec un site.
Les sites s’appuient sur le plan d’adressage TCP/IP et sont composés d’un
ou plusieurs sous-réseaux IP. Un site contient toujours un contrôleur de
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 24/75
06/03/08
25. domaine au minimum, quel que soit le nombre de sous-réseaux qui
composent le site.
L’appartenance d’une machine à un site est déterminée par son adresse IP.
En revanche, les contrôleurs de domaine doivent être positionnés
(déplacés manuellement) en fonction des modifications d’adressage
TCP/IP.
Une architecture Active Directory contient toujours au moins un site
(Premier_site_par_défaut) indépendamment du nombre de domaines.
Ainsi, on peut combiner librement :
Plusieurs domaines sur un ou plusieurs site(s)
Un seul domaine sur un ou plusieurs site(s)
Pour mettre en place une architecture de ce type, utilisez la console « Sites
et services d’Active Directory ».
1.3 Comportement selon le type de domaine
Plusieurs cas de figure peuvent se présenter :
Un serveur Windows Server 2003 peut être membre d’un domaine
NT4 et utilisera donc les mécanismes de résolution de nom NetBIOS
pour trouver les contrôleurs de domaine.
Un serveur Windows Server 2003 peut être membre d’un domaine
Active Directory et utilisera les mécanismes de résolution de nom
DNS (enregistrements SRV) pour trouver les contrôleurs de domaine.
Un serveur Windows Server 2003 peut être contrôleur de domaine
lui-même. Il supporte alors les clients NetBIOS et les clients DNS.
Cela signifie qu’il existe deux noms pour un même domaine. Les
postes antérieurs à Windows 2000 joignent le domaine au nom
NetBIOS (nom court comme par exemple « CESI ») alors que les
postes Windows 2000 ou supérieur, doivent utiliser le nom DNS du
domaine (cesi.fr)
2. Installation
L’installation d’Active Directory s’effectue à partir d’un serveur Windows
2003 membre ou autonome. Une fois la base d’annuaire installée, votre
serveur deviendra un contrôleur de domaine.
Active Directory sera un fichier de base de données appelé NTDS.DIT situé
sous l’emplacement par défaut %systemroot%ntds. Il est possible de
modifier ce chemin lors de l’installation d’Active Directory.
L’installation d’Active Directory nécessite une partition NTFS pour stocker
le répertoire système partagé (SYSVOL) car le suivi des modifications
dupliquées de la base d’annuaire s’effectue par des numéros de version
séquentiels pris en charge par le système NTFS.
Pour installer Active Directory, vous devez exécuter la commande
DCPROMO.EXE. La base de comptes (base SAM) de votre serveur sera
copiée dans la base d’annuaire avant d’être détruite de votre serveur. Vous
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 25/75
06/03/08
26. ne perdrez donc pas les informations de comptes lors de la migration de
vos contrôleurs de domaine NT vers Windows 2003. Si vous exécutez la
commande « dcpromo » sur un contrôleur de domaine Windows 2003,
vous rétrogradez alors votre contrôleur au titre de serveur membre ou
autonome. Vous obtiendrez une base SAM vierge.
Pour installer Active Directory, vous devez posséder un ordinateur
fonctionnant sur l’une des versions de Windows 2003 permettant de le
faire, une partition formatée en NTFS, le protocole TCP/IP ainsi qu’un
service DNS installé et configuré.
2.1 Création d’un nouveau domaine ou domaine racine
La première fois que vous installez AD, vous allez créer un nouveau
domaine dans une nouvelle forêt. Après avoir exécuter « dcpromo »,
suivez les étapes suivantes :
Sélectionnez contrôleur de domaine pour un nouveau domaine
Sélectionnez Créer une nouvelle arborescence de domaine
Sélectionnez Créer une nouvelle forêt d’arborescence de domaine
Entrez le nom DNS
Entrez le nom NetBIOS
Indiquez le chemin pour stocker les informations concernant AD. Par
défaut, il vous est proposé %systemroot%NTDS pour le stockage de
la base de données ainsi que pour les journaux de log.
Pour optimiser les performances de votre serveur, vous pouvez placer
sur des disques différents la base de données et les journaux de log.
Entrez le chemin pour le dossier « volume système » (sysvol). Ce
dossier doit obligatoirement se situer sur une partition NTFS. Il
contient la définition des stratégies de groupes, les scripts et des
informations de réplication.
Windows 2003 essaye de détecter un serveur DNS gérant la zone
portant le nom de domaine que vous venez d’indiquer. Ce DNS doit
supporter les enregistrements dynamiques. Si aucun serveur DNS
gérant votre zone n’est configuré, le processus d’installation d’AD
vous propose d’installer le service DNS et de le configurer.
Sélectionnez « Autorisations compatibles uniquement avec les
systèmes d’exploitation serveurs Windows 2000 ou Windows Server
2003 ».
Si vous sélectionnez l’option Autorisations compatibles avec les
systèmes d’exploitation serveurs antérieurs à Windows 2000, le
groupe «Tout le monde » aura alors la permission de lire tous les
attributs de tous les objets Active Directory.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 26/75
06/03/08
27. Spécifiez ensuite un mode de passe pour le mode de restauration de
la base d’annuaire. Ce mot de passe peut être modifié avec l’utilitaire
NTDSUTIL.exe
2.2 Ajout d’un contrôleur de domaine à un domaine existant
Une fois le domaine créé, vous pouvez ajouter de nouveaux contrôleurs de
domaine dans ce dernier. Il est fortement recommandé de disposer de
deux contrôleurs de domaine au minimum pour assurer la tolérance de
pannes ainsi que l’équilibrage de charge.
Vérifiez la configuration TCP/IP et particulièrement le client DNS qui doit
référencer un serveur connaissant la zone DNS correspondant au domaine
Active Directory :
Exécutez dcpromo.exe
Sélectionnez « contrôleur de domaine supplémentaire pour un
domaine déjà existant ».
Indiquez le domaine, le nom et le mot de passe d’un compte ayant
suffisamment de droits pour ajouter un contrôleur au domaine.
Indiquez ensuite le nom DNS du domaine pour lequel votre serveur
sera contrôleur.
Entrez le chemin pour la base de données d’annuaire
Entrez le chemin pour le volume système partagé
Indiquez le mot de passe de restauration.
La duplication de la base d’annuaire Active Directory commence.
2.3 Ajout d’un domaine enfant
La création d’un domaine enfant s’effectue après avoir créé un domaine
racine ou un domaine parent.
Par exemple, nous allons créer un domaine gestion.cesi.fr, enfant du
domaine cesi.fr :
Exécutez dcpromo.exe
Sélectionnez « Contrôleur de domaine pour un nouveau domaine »
Sélectionnez « Créer un nouveau domaine enfant dans une
arborescence de domaine existante ».
Indiquez le nom, le mot de passe ainsi que le domaine d’un compte
faisant partie du groupe Administrateurs de l’entreprise.
Indiquez le nom DNS du domaine parent
Indiquez le nom NetBIOS pour votre nouveau domaine
Précisez le chemin pour la base de données d’annuaire
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 27/75
06/03/08
28. Entrez le chemin pour le volume système partagé
Spécifiez si vous utilisez ou non des services fonctionnant sur de
systèmes NT 4.0.
2.4 Ajout d’une arborescence dans une forêt existante
L’ajout d’une arborescence dans une forêt existante va servir à créer un
nouvel espace de nom contigu. Par exemple, vous venez de fusionner avec
une société qui possède un nom de domaine DNS enregistré sur Internet.
Votre société souhaite garder son espace de nom qui, lui aussi, est
enregistré. Dans ce cas, il sera intéressant de créer une nouvelle
arborescence dans la forêt.
Les trois paramètres qui changeront sont les suivants :
Sélectionnez « Contrôleur de domaine pour un nouveau domaine »
Sélectionnez « Créer une nouvelle arborescence de domaine »
Sélectionnez « Placer cette nouvelle arborescence de domaine dans
une forêt existante ».
3. Désinstallation d’Active Directory
Pour désinstaller Active Directory de votre serveur, exécutez de nouveau la
commande « dcpromo.exe ». Si vous désinstallez AD sur un contrôler de
domaine jouant le rôle catalogue global, assurez-vous de disposer d’une
autre serveur jouant ce rôle dans la forêt ou sur le site, sauf si vous
souhaitez supprimer complètement Active Directory.
4. Choix d’un mode d’un domaine
Lors de l’installation d’un domaine, il est, par défaut, configuré en tant que
mode mixte Windows 2000. Un tel mode permet la cohabitation dans un
domaine Windows 2003 de contrôleurs de domaine fonctionnant sous
Windows 2000, 20003 et Windows NT.
Ceci est très intéressant lors de la migration de vos serveurs vers Windows
2003. Une fois la migration effectué et réussie, vous pouvez passer votre
domaine en mode natif Windows 2000 ou Windows 2003. Ces modes
permettent d’utiliser des fonctionnalités d’Active Directory qui ne sont pas
valables en mode mixte ou intérim (imbrication de groupes globaux dans
d’autres groupes globaux, groupes de sécurité universels, nouveau nom
pour un contrôleur de domaine…).
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 28/75
06/03/08
29. Ci-dessous un récapitulatif des modes d’un domaine :
Mode de domaine Contrôleurs supportés
Windows NT 4.0
Windows 2000 Mixte Windows 2000
Windows 2003
Windows 2000
Windows 2000 Natif
Windows 2003
Windows NT 4.0
Windows 2003 Intérim
Windows 2003
Windows 2003 Windows 2003
4.1 Mode fonctionnel d’un domaine
Pour visualiser ou modifier le mode fonctionnel d’un domaine, vous pouvez
utiliser la console « Utilisateurs et ordinateurs AD » ou la console
« Domaine et approbations AD ».
Sélectionnez le nom du domaine, puis utilisez le menu « Action –
Augmenter le niveau fonctionnel du domaine » ou le menu
contextuel.
Sélectionnez le mode désiré dans la liste déroulante puis cliquez sur
le bouton « changer de mode ». Un message vous rappelle que
l’opération est irréversible.
4.2 Mode fonctionnel de la forêt
Pour visualiser ou modifier le mode fonctionnel de la forêt, vous devez
utiliser la console « Domaine et approbations Active Directory ».
Sélectionnez la racine de la console, puis utilisez le menu « Action –
Augmenter le niveau fonctionnel de la forêt » ou le menu contextuel.
5. Rôle des contrôleurs de domaines
5.1 Maîtres d’opération
Dans un domaine Windows 2003, tous les contrôleurs de domaine sont
identiques. La base d’annuaire est dupliquée et distribuée sur chaque
contrôleur de domaine. Il s’agit donc d’une réplication multimaître.
Cependant, certaines actions ne peuvent pas être effectuées en
multimaître. Pour cette raison, certains contrôleurs de domaine jouent des
rôles bien spécifiques. On appelle ces contrôleurs de domaine des maîtres
d’opération (ou FSMO pour Flexible Single Master Operation).
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 29/75
06/03/08
30. On distingue cinq rôles :
Maître de schéma
Maître d’infrastructure
Emulateur de contrôleur principal de domaine
Maître de nommage de domaine
Maître d’identificateur relatif (RID pour Relative Identifier)
Certains de ces rôles doivent être uniques dans la forêt. C’est le cas du
maître de schéma et du maître de nommage de domaine.
Dans chaque domaine d’une forêt, il ne doit y avoir qu’un seul et unique
maître d’identificateur relatif ainsi qu’un seul émulateur de contrôleur
principal de domaine.
Chaque domaine doit disposer aussi d’un maître d’infrastructure.
Le maître de schéma maintient les mises à jour et modifications
apportées au schéma.
Le maître de nommage contrôle l’ajout et la suppression de domaine
dans la forêt
Ces deux rôles sont joués par le premier contrôler de domaine installé
dans la forêt.
Le maître d’identificateur relatif permet de distribuer des pools
d’identificateurs relatifs aux contrôleurs qui en font la demande (c'est-à-
dire une fois qu’ils ont épuisé leur stock). Lors de la création d’objets, les
contrôleurs de domaine affectent un numéro unique de sécurité à ces
objets. Ce SID est composé d’un identificateur de sécurité unique par
domaine, suivi d’un identificateur relatif unique pour chaque objet du
domaine.
Le maître émulateur de contrôleur principal de domaine est unique
par domaine et joue le rôle de PDC pour les clients Windows NT. Ce maître
d’opération procède donc aux changements de mot de passe et duplique
les mies à jour vers les contrôleurs secondaires de domaine dans le cas où
le domaine Windows 2003 est en mode mixte avec une cohabitation entre
des contrôleurs de domaine Windows 2003 et des contrôleurs secondaires
de domaine Windows NT.
En mode natif, lorsqu’un contrôleur de domaine effectue un changement
de mot de passe, il envoie immédiatement l’information au contrôleur
jouant le rôle d’émulateur de contrôleur principal de domaine. Lors d’un
échec de tentative d’ouverture de session dû à un mot de passe erroné, le
contrôleur ayant essayé de valider l’ouverture de session va envoyer la
requête au maître émulateur de contrôleur principal de domaine avant de
refuser la connexion.
Le maître d’infrastructure est responsable de la cohérence des
informations sur le nom des objets Active Directory en fonction de leur
SID. En effet, lors d’un changement de nom de compte, il peut se produire
un certains temps avant que, dans tous les domaines de la forêt,
l’information soit mise à jour. Le maître d’infrastructure maintient donc une
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 30/75
06/03/08
31. référence entre les noms d’utilisateur ou de groupe et l’adhésion aux
groupes auxquels ils appartiennent.
Vous pouvez connaître quels rôles jouent les contrôleurs de domaine.
Pour cela, ouvrez la console « Domaines et approbations AD » puis
effectuez un clic droit sur « Domaines et approbation AD ». Cliquez ensuite
sur « Maître d’opération »
5.2 Serveur de catalogue global
Un serveur de catalogue global est un contrôleur de domaine possédant un
catalogue dans lequel sont référencés les attributs les plus utilisés de tous
les objets d’Active Directory.
La base de données AD est divisée en trois parties qui sont la partition de
schéma, la partition de configuration et la partition de domaine. Seules les
informations du schéma et les informations de configuration sont
dupliquées entre domaines. Comme les informations des objets d’un
domaine ne sont pas dupliquées vers les autres domaines, le serveur de
catalogue global va être utilisé pour effectuer des recherches à l’échelle de
la forêt. Si vous recherchez un objet dans la forêt, vous allez interroger un
serveur de catalogue global qui sera à même de vous renvoyer le résultat
de votre requête.
Entre domaines, les seules informations sur les objets qui sont dupliquées
sont celles contenues dans le catalogue global. Il est donc intéressant de
disposer d’au moins un serveur de catalogue global par domaine. Les
serveurs de catalogue global possèdent un répliqua de catalogue de
chacun des autres domaines. Par défaut, un seul serveur de catalogue
global est créé sur le premier serveur de la forêt sur lequel AD a été
installé. Vous pouvez ajouter de nouveaux serveurs de catalogue global.
Pour cela :
Ouvrez la console « Sites et services AD »
Développez « Sites »
Développez le dossier « Serveurs », puis le serveur en question.
Effectuez ensuite un clic droit sur le connecteur NTDS Settings et
cliquez sur propriétés.
Cochez la case « Catalogue Global ».
Les serveurs de catalogue global servent non seulement à effectuer des
recherches au sein d’une forêt, mais ils sont aussi utiles dans le processus
d’ouverture de session. En effet, lors de l’ouverture de session, le
contrôleur ayant reçu la requête va consulter un serveur de catalogue
global pour obtenir des informations sur l’appartenance à des groupes
universels afin de créer le jeton d’accès.
Il est fortement conseillé de disposer d’un serveur de catalogue global de
chaque côté de « liaisons lentes ».
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 31/75
06/03/08
32. Les outils d’administration
1. Présentation
Les outils d'administration sont utilisés dans le but de gérer un ordinateur
local ou distant, et les services qu'il peut proposer. Ils sont principalement
disponibles dans le Panneau de configuration ou directement dans le menu
Démarrer.
Nombre de ces outils sont basés sur des consoles personnalisées de type
MMC (Microsoft Management Console). Certains de ces outils sont installés
en standard, alors que d'autres apparaissent en fonction des composants
installés et du rôle de l'ordinateur (DNS, DHCP, etc.).
II est également possible d'ajouter ses propres outils grâce aux facultés
des consoles MMC.
Nous pouvons constater que le nombre et le type des outils
d'administration disponibles peuvent varier considérablement selon les
services installés sur un serveur. Une description exhaustive serait trop
fastidieuse et nous porterons donc l’attention sur les outils les plus
courants.
2. Les outils d'administration courants
2.1 Les assistants
Avant de présenter les consoles, évoquons les assistants présents dans la
rubrique des outils d'administration.
a. Assistant Configurer votre serveur
Cet assistant est destiné à vous guider étape par étape dans le processus
d’installation d'un serveur. Après détection et installation des périphériques
réseau, l'assistant vous proposera d'installer une configuration standard ou
personnalisée, en fonction des rôles prévus sur le serveur.
b. Assistant Gérer votre serveur
Cet assistant s'appuie en fait sur le centre d'aide et de support. Ainsi, vous
accédez aux explications et informations sur un sujet du serveur, tout en
pouvant exécuter l’outil ou lancer les tâches appropriées via une liaison
d'hypertexte.
c. Assistants Microsoft .NET Framework 1.1
Cet assistant permet d'accéder aux outils de configuration de la plate-
forme de développement .NET (Microsoft .NET Framework). Cette plate-
forme est désormais intégrée dans Windows Server 2003 afin de supporter
nativement l'architecture applicative utilisant cette technologie.
2.2 Gestion de l'ordinateur
II s'agit sans nul doute de l'outil le plus usité puisqu'il regroupe un
ensemble de fonctionnalités très pratiques que nous allons décrire.
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 32/75
06/03/08
33. La console de gestion de l’ordinateur est disponible dans les outils
d'administration ou dans le menu contextuel Gérer de l'icône du Poste de
travail. Elle est basée sur le composant logiciel enfichable
compmgmt.msc.
Vous devez disposer des privilèges d'administrateur local pour pleinement
utiliser cet outil.
Nous pouvons constater la richesse de cette console organisée en trois
rubriques :
a. Outils système
Observateur d'événements
Permet d'accéder à l'ensemble des journaux d'événements (liste
d'avertissements et erreurs) de l'ordinateur. Cet élément est également
accessible au niveau des outils d'administration.
Dossiers partagés
Permet de visualiser, créer ou supprimer des répertoires partagés ainsi
que les sessions en cours et les fichiers ouverts.
Utilisateurs et groupes locaux
Permet de gérer les comptes d'utilisateurs et groupes locaux de la
machine. Si l’ordinateur est un contrôleur de domaine, cet élément est
masqué car la console est remplacée par Utilisateurs et ordinateurs
d'Active Directory.
Journaux et alertes de performance
Permet de définir des alertes sur des objets afin de consigner les
événements dans des journaux. Cet élément est également accessible au
niveau des outils d'administration.
Gestionnaire de périphériques
Permet de contrôler l'ensemble des périphériques et pilotes de matériel sur
la machine.
b. Stockage
Stockage amovible
Permet de gérer les médias et bibliothèques de médias amovibles tels que
les CD-Rom ou bandes magnétiques, afin de les intégrer dans un système
de sauvegarde (cf. NTBACKUP).
Défragmenteur de disque
Permet de réorganiser physiquement les segments de fichiers clairsemés
sur une partition.
Gestion des disques
Permet de visualiser et modifier la structure des partitions et volumes des
disques de l'ordinateur.
c. Services et applications
Téléphonie
Permet de gérer les fournisseurs de services de téléphonie (TAPI, H323,
etc.). Ces fournisseurs sont accessibles lors de l'installation ou la
GMSI 2007.1 / Module « Windows 2003 Server » / Ver 1.0 / LHN/ Page 33/75
06/03/08