AdminWindows 2012

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT
1-1
Module 1
Dploiement et gestion de Windows Server 2012
Table des matires :
Vue d'ensemble du module
1-1
Leon 1 : Vue d'ensemble de Windows Server 2012
1-2
Leon 2 : Vue d'ensemble de l'administration de Windows Server 2012
1-16
Leon 3 : Installation de Windows Server 2012
1-22
Leon 4 : Configuration post-installation de Windows Server 2012
1-28
Leon 5 : Prsentation de Windows PowerShell
1-38
Atelier pratique : Dploiement et gestion de Windows Server 2012
1-44
Contrle des acquis et lments retenir
1-53

Comprendre les capacits d'un nouveau systme d'exploitation Windows Server 2012 vous permet
de tirer profit efficacement de ce systme d'exploitation. Si vous ne comprenez pas les fonctions
de votre nouveau systme d'exploitation Windows Server 2012, vous risquez de l'utiliser au final
de la mme manire que le systme d'exploitation prcdent et de passer ct des avantages
de ce nouveau systme. En comprenant comment exploiter compltement votre nouveau systme
d'exploitation Windows Server 2012 et en comprenant le fonctionnement des outils disponibles
pour grer ces fonctionnalits, vous fournirez une valeur ajoute suprieure votre organisation.
Ce module prsente la nouvelle interface d'administration de Windows Server 2012. Dans ce module,
vous allez dcouvrir les diffrents rles et fonctionnalits que vous propose le systme d'exploitation
Windows Server 2012. Vous dcouvrirez galement les diffrentes options d'installation de
Windows Server 2012 que vous pouvez utiliser.
Ce module prsente les tapes de configuration que vous pouvez effectuer pendant l'installation et
aprs le dploiement pour vous assurer que les serveurs pourront commencer fonctionner dans
le rle qui leur a t attribu. Vous apprendrez galement utiliser Windows PowerShell pour
effectuer des tches d'administration courantes dans Windows Server 2012.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes :
x
x
x
x
dcrire Windows Server 2012 ;

dcrire les outils de gestion disponibles dans Windows Server 2012 ;
installer Windows Server 2012 ;
effectuer la configuration post-installation de Windows Server 2012 ;
excuter les tches d'administration de base l'aide de Windows PowerShell.
Leon 1
Vue d'ensemble de Windows Server 2012
1-2
Avant de dployer Windows Server 2012, vous devez comprendre comment chacune des ditions de
Windows Server 2012 peut bnficier aux serveurs de votre organisation. Vous devez galement savoir
si une configuration matrielle particulire est approprie pour Windows Server 2012, si un dploiement
virtuel peut tre plus appropri qu'un dploiement physique et quelle source d'installation permet de
dployer Windows Server 2012 de faon efficace. Si vous ne comprenez pas clairement ces problmes,
vous risquez de faire des choix que vous devrez corriger ultrieurement, ce qui cotera au final du temps
et de l'argent votre organisation.
Cette leon fournit une vue d'ensemble des divers ditions, options d'installation, rles et fonctionnalits
de Windows Server 2012. Ces informations vous permettront de dterminer l'dition et les options
d'installation de Windows Server 2012 les plus appropries pour votre organisation.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
x
x
x
dcrire le rle des serveurs locaux dans un rseau moderne ;

expliquer la diffrence entre les clouds privs et publics ;
rpertorier les diffrentes ditions de Windows Server 2012 ;
dcrire la diffrence entre l'installation minimale et standard de Windows Server 2012 ;
expliquer la fonction des rles de serveur disponibles sur les ordinateurs excutant
Windows Server 2012 ;
expliquer l'objet de diverses fonctionnalits de Windows Server 2012.
Serveurs locaux
En tant que professionnel de l'informatique,

vous avez trs probablement entendu parler du
cloud computing. Vous avez peut-tre entendu
que des logiciels et des services sont dplacs
vers un cloud public ou priv parce que les
prvisions indiquent que le cloud constituera un
aspect important de l'avenir de l'informatique
d'entreprise. Vous avez peut-tre galement
entendu que Windows Server 2012 est prt
pour le cloud. En tant que professionnel
de l'informatique ayant travaill avec des
serveurs dploys localement, vous pouvez
raisonnablement vous poser la question suivante: si tout volue vers le cloud computing, est-il ncessaire
d'apprendre dployer Windows Server 2012 localement ?
Installation et configuration de Windows Server 2012
1-3
En ralit, le fait est que tous les services et les applications qui sont utiliss quotidiennement ne doivent
pas tre hbergs via un cloud computing. Les serveurs dploys localement forment la colonne
vertbrale d'un rseau organisationnel et fournissent les ressources suivantes aux clients :
x
Services d'infrastructure. Les serveurs fournissent aux clients les ressources d'infrastructure, y compris
les services DNS (Domain Name System) et DHCP (Dynamic Host Configuration Protocol). Ces services
permettent aux clients de se connecter et de communiquer avec d'autres ressources. Sans ces
services, les clients ne pourraient pas se connecter entre eux ni des ressources distantes, telles
que les ressources hberges via un cloud computing.
Fichiers et imprimantes partags. Les serveurs fournissent un emplacement centralis qui permet
aux utilisateurs de stocker et de partager des documents. Les serveurs hbergent galement des
ressources telles que les imprimantes partages, qui permettent aux groupes d'utilisateurs de tirer
profit plus efficacement des ressources. Sans ces ressources centralises, dployes localement,
le partage et la sauvegarde de fichiers de manire centralise constitueraient un processus plus long
et plus complexe. Il serait possible d'hberger certaines de ces informations via un cloud computing,
mais il ne semble pas vraiment raisonnable d'envoyer un travail une imprimante situe dans une
pice voisine via un serveur hberg un emplacement distant.
Applications hberges. Les serveurs hbergent des applications telles que Microsoft Exchange
Server, Microsoft SQL Server, Microsoft Dynamics et Microsoft System Center. Les clients accdent
ces applications pour accomplir diffrentes tches, telles qu'accder leur courrier lectronique
ou dployer en libre-service des applications de bureau. Dans certains cas, ces ressources peuvent
tre dployes via un cloud computing. Dans de nombreux cas, ces ressources doivent tre hberges
localement pour des raisons lies aux performances, au cot et la rglementation. Le fait qu'il soit
plus judicieux d'hberger ces ressources localement ou via un cloud computing dpend des
spcificits de l'organisation elle-mme.
Accs au rseau. Les serveurs fournissent des ressources d'authentification et d'autorisation aux clients
dans le rseau. L'authentification au niveau d'un serveur permet un utilisateur et un client de
prouver leur identit. Mme lorsqu'un grand nombre de serveurs d'une organisation sont situs
dans un cloud public ou priv, les personnes doivent encore disposer d'une certaine forme
d'infrastructure locale d'authentification et d'autorisation.
Dploiement d'applications, de mises jour et de systmes d'exploitation. Les serveurs sont souvent
dploys localement pour faciliter le dploiement d'applications, de mises jour et de systmes
d'exploitation sur les clients dans le rseau organisationnel. En raison de l'utilisation intensive de la
bande passante, ces serveurs doivent tre proximit des clients auxquels ils fournissent ce service.
Chaque organisation possde ses propres exigences. Une organisation situe dans une zone dote d'une
connectivit Internet limite devra compter davantage sur les serveurs locaux qu'une organisation qui
dispose d'une connexion haut dbit. Dans une organisation, il est important que, mme dans l'ventualit
de problmes de connectivit Internet, le travail puisse continuer. La productivit sera affecte si la
dfaillance de la connexion Internet de l'organisation signifie que soudainement personne ne peut
accder ses fichiers et imprimantes partags.
Windows Server 2012 est prt pour l'intgration avec le cloud computing, mais il est encore parfaitement
adapt aux tches traditionnelles que les systmes d'exploitation Windows Server effectuaient
gnralement. Par consquent, vous pouvez encore configurer et dployer Windows Server 2012
pour effectuer les charges de travail identiques ou similaires que vous avez configures pour les serveurs
excutant Windows Server 2003, voire peut-tre mme pour Microsoft Windows NT Server 4.0.
Question : Quelle est la diffrence entre un systme d'exploitation serveur et client ?
Question : Comment le rle du serveur a-t-il volu au fil du temps depuis le systme
d'exploitation serveur Microsoft Windows NT 4.0 jusqu' Windows Server 2012 ?
Qu'est-ce que le cloud computing ?

Le cloud computing est une description gnrale
qui recouvre plusieurs technologies diffrentes.
Les formes les plus courantes de cloud computing
sont les suivantes :
x
1-4
Infrastructure en tant que service (IaaS).

Avec cette forme de cloud computing, vous
excutez un ordinateur virtuel complet dans
le cloud. Le fournisseur d'hbergement du
cloud gre la plateforme de l'hyperviseur et
vous grez l'ordinateur virtuel qui fonctionne
dans l'infrastructure du fournisseur du cloud.
Windows Azure Compute est un exemple
d'infrastructure IaaS. Vous pouvez excuter Windows Server 2012 en tant qu'ordinateur virtuel dans
un cloud IaaS, mais dans certains cas le systme d'exploitation hbergera les ordinateurs virtuels dans
un cloud IaaS.
Plateforme en tant que service (PaaS). Avec PaaS, le fournisseur d'hbergement du cloud vous fournit
une plateforme particulire. Par exemple, un fournisseur peut vous permettre d'hberger des bases
de donnes. Vous grez la base de donnes elle-mme et le fournisseur d'hbergement du cloud
hberge le serveur de base de donnes. SQL Azure est un exemple de plateforme en tant que
service.
Logiciel en tant que service (SaaS). Le fournisseur d'hbergement du cloud hberge votre application
et l'infrastructure entire qui prend en charge cette application. Vous achetez et excutez une
application logicielle partir d'un fournisseur d'hbergement de cloud. Windows InTune
et Microsoft Office 365 sont des exemples de SaaS.
Clouds publics et privs
Un cloud public est un service de cloud computing qui est hberg par un fournisseur de services de cloud
computing et mis disposition pour un usage public. Un cloud public peut hberger un locataire unique
ou il peut hberger des locataires issus de plusieurs organisations. En tant que tel, la scurit d'un cloud
public n'est pas aussi forte que celle d'un cloud priv, mais l'hbergement dans un cloud public est en
gnral moins coteux parce que les diffrents locataires absorbent le cot.
l'inverse, les clouds privs reprsentent une infrastructure de cloud computing ddie une
organisation unique. Les clouds privs peuvent tre hbergs par l'organisation elle-mme ou peuvent
tre hbergs par un fournisseur de services de cloud computing qui garantit que les services de cloud
computing ne sont partags avec aucune autre organisation.
Les clouds privs sont plus que des dploiements d'hyperviseur grande chelle. Ils peuvent utiliser la
suite de gestion Microsoft System Center 2012, qui permet d'assurer la remise en libre-service de services
et d'applications. Par exemple, dans une organisation disposant de son propre cloud priv, les utilisateurs
pourraient utiliser un portail en libre-service pour demander des applications multicouches comprenant
le serveur Web, le serveur de base de donnes et les composants de stockage. Windows Server 2012 et
les composants de la suite System Center 2012 sont configurs de telle manire que cette demande de
service puisse tre traite automatiquement, sans requrir le dploiement manuel d'ordinateurs virtuels
ni du logiciel serveur de base de donnes.
Question : Quel type de cloud utiliseriez-vous pour dployer un ordinateur virtuel
personnalis excutant Windows Server 2012 ?
ditions de Windows Server 2012

Il existe plusieurs ditions diffrentes de
Windows Server 2012 parmi lesquelles choisir.
Ces ditions permettent aux organisations de
slectionner une version de Windows Server 2012
qui rpond au mieux leurs besoins, plutt que
de payer pour des fonctionnalits dont elles n'ont
pas besoin.
Lors du dploiement d'un serveur pour un rle
spcifique, les administrateurs systme peuvent
faire des conomies substantielles en
slectionnant l'dition approprie.
Le tableau ci-dessous rpertorie les ditions
de Windows Server 2012.
dition
Description
1-5
Systme d'exploitation
Windows Server 2012
Standard
Fournit l'ensemble des rles et des fonctionnalits disponibles sur la

plateforme Windows Server 2012. Prend en charge jusqu' 64 sockets
et jusqu' 4 traoctets (To) de mmoire vive (RAM). Inclut deux licences
d'ordinateur virtuel.
Windows Server 2012
Datacenter
Fournit l'ensemble des rles et des fonctionnalits qui sont disponibles

sur la plateforme Windows Server 2012. Inclut des licences d'ordinateur
virtuel illimites pour les ordinateurs virtuels qui sont excuts sur le
mme matriel. Prend en charge 64 sockets, jusqu' 640 curs de
processeur et jusqu' 4 To de RAM.
Windows Server 2012
Foundation
Conu pour les grants de PME, prend en charge seulement

15 utilisateurs, ne peut pas tre joint un domaine et inclut des rles
serveur limits. Prend en charge un cur de processeur et jusqu'
32 gigaoctets (Go) de RAM.
Windows Server 2012
Essentials
dition suivante de Small Business Server. Doit tre le serveur racine

du domaine. Il ne peut pas fonctionner en tant que serveur Hyper-V,
de clustering avec basculement, avec installation minimale, ni de
services Bureau distance. Il prsente des limites pour 25 utilisateurs
et 50 priphriques. Prend en charge deux curs de processeur
et 64 Go de RAM.
Microsoft Hyper-V
Server 2012
Plateforme Hyper-V autonome pour ordinateurs virtuels sans interface

utilisateur. Aucun cot de licence (gratuit) pour le systme d'exploitation
hte, mais les ordinateurs virtuels font l'objet de licences standard. Prend
en charge 64 sockets et 4 To de RAM. Prend en charge la jonction de
domaine. Ne prend pas en charge d'autres rles Windows Server 2012
que les fonctionnalits de services de fichiers limites.
Windows Storage
Server2012 Workgroup
Priphrique de stockage unifi au niveau des entres. Limit

50 utilisateurs, un cur de processeur et 32 Go de RAM.
Prend en charge la jonction de domaine.
(suite)
dition
Description
Windows Storage
Server 2012 Standard
Prend en charge 64 sockets, mais fait l'objet d'une licence sur la base
d'une incrmentation deux sockets. Prend en charge 4 To de RAM.
Inclut deux licences d'ordinateur virtuel. Prend en charge la jonction
de domaine. Prend en charge certains rles, y compris les rles serveur
DNS et DHCP, mais n'en prend pas en charge d'autres, dont notamment
Services de domaine Active Directory (AD DS), Services de certificats
Active Directory (AD CS) et Services ADFS (Active Directory Federation
Services).
Windows MultiPoint
Server 2012 Standard
Prend en charge plusieurs utilisateurs accdant directement au mme

ordinateur hte en utilisant une souris, un clavier et des moniteurs
distincts. Limit un socket, 32 Go de RAM et un maximum de
12 sessions. Prend en charge certains rles, y compris les rles serveur
AD DS, AD CS et ADFS. Ne prend pas en charge la jonction de domaine.
Windows MultiPoint
Server 2012 Premium
Prend en charge plusieurs utilisateurs accdant directement au mme

ordinateur hte en utilisant une souris, un clavier et des moniteurs
distincts. Limit deux sockets, 4 To de RAM et un maximum de
22 sessions. Prend en charge certains rles, y compris les rles serveur
AD DS, AD CS et ADFS. Prend en charge la jonction de domaine.
Documentation supplmentaire : Pour plus d'informations sur les diffrences entre les
ditions de Windows Server 2012, consultez le catalogue Windows Server l'adresse suivante :
http://go.microsoft.com/fwlink/?LinkID=266736.
Qu'est-ce que l'installation minimale ?

L'installation minimale est une option
d'installation utilise pour Windows Server 2012,
qui peut contenir des variantes de l'interface
graphique utilisateur selon les exigences.
L'installation minimale peut tre gre localement
l'aide de Windows PowerShell ou d'une interface
de ligne de commande, plutt qu'en utilisant des
outils bass sur l'interface graphique utilisateur,
ou distance l'aide de l'une des options de
gestion distance que nous tudierons plus
tard dans le module. L'installation minimale est
l'option d'installation par dfaut utilise lors
de l'installation de Windows Server 2012.
1-6
L'installation minimale est l'option d'installation par dfaut utilise lors de l'installation de
Windows Server 2012. L'installation minimale prsente les avantages suivants par rapport
un dploiement traditionnel de Windows Server 2012 :
x
1-7
Rduction des exigences en matire de mise jour. Comme l'installation minimale installe moins de
composants, son dploiement exige que vous installiez moins de mises jour logicielles. Ceci rduit
le nombre de redmarrages mensuels et le temps de maintenance requis pour un administrateur.
Encombrement matriel rduit. Les ordinateurs avec installation minimale requirent moins de RAM
et moins d'espace disque. Une fois virtualis, ceci signifie que vous pouvez dployer plus de serveurs
sur le mme hte.
De plus en plus d'applications serveur Microsoft sont conues pour s'excuter sur des ordinateurs dots
de systmes d'exploitation avec installation minimale. Par exemple, vous pouvez installer SQL Server 2012
sur des ordinateurs qui excutent la version avec installation minimale de Windows Server 2008 R2.
Vous pouvez basculer d'une installation minimale la version graphique de Windows Server 2012 en
excutant l'applet de commande Windows PowerShell suivante, o c:\mount correspond au rpertoire
racine d'une image monte contenant la version complte des fichiers d'installation de Windows
Server 2012 :
Install-WindowsFeature -IncludeAllSubFeature User-Interfaces-Infra -Source c:\mount
Vous pouvez galement utiliser Windows Update ou le DVD d'installation comme source des
fichiers d'installation. L'installation des composants graphiques vous permet d'effectuer les tches
d'administration en utilisant les outils graphiques.
Une fois que vous avez effectu les tches d'administration ncessaires, vous pouvez rtablir l'ordinateur
dans sa configuration avec installation minimale d'origine. Vous pouvez basculer un ordinateur dot
de la version graphique de Windows Server 2012 en mode d'installation minimale en supprimant
les composants suivants dans la fonctionnalit Interfaces utilisateur et infrastructure :
x
x
Outils et infrastructure de gestion graphique. Ce composant contient une interface serveur minimale
qui fournit des outils d'interface utilisateur de gestion de serveur, tels qu'un gestionnaire de serveur
et des outils d'administration.)
Shell graphique du serveur. Ce composant contient l'interface utilisateur graphique complte
avec Internet Explorer, l'Explorateur de fichiers et d'autres composants d'interface utilisateur.
(Il est plus encombrant que l'option Outils et infrastructure de gestion graphique.)
Remarque : Soyez prudent lorsque vous supprimez les fonctionnalits graphiques, car
certains serveurs auront d'autres composants installs qui dpendent de ces fonctionnalits.
Lorsque vous tes connect localement, vous pouvez utiliser les outils rpertoris dans le tableau
ci-dessous pour grer les dploiements avec installation minimale de Windows Server 2012.
Outil
Fonction
Cmd.exe
Vous permet d'excuter des outils en ligne de commande traditionnels

tels que ping.exe, ipconfig.exe et netsh.exe.
PowerShell.exe
Lance une session Windows PowerShell sur le dploiement avec installation

minimale. Vous pouvez alors effectuer les tches Windows PowerShell
normalement.
Sconfig.cmd
Outil d'administration en ligne de commande pilot par menus qui permet

d'effectuer les tches d'administration de serveur les plus courantes.
Notepad.exe
Permet d'utiliser l'diteur de texte Notepad.exe dans l'environnement avec

installation minimale.
Regedt32.exe
Fournit l'accs au Registre dans l'environnement avec installation minimale.
Msinfo32.exe
Permet d'afficher les informations systme sur le dploiement avec installation

minimale.
Taskmgr.exe
Lance le Gestionnaire des tches.
SCregEdit.wsf
Permet d'activer le Bureau distance sur le dploiement avec installation

minimale.
Remarque : Si vous fermez par erreur la fentre de commande sur un ordinateur qui
excute l'installation minimale, vous pouvez rcuprer la fentre de commande en procdant
comme suit :
1.
Appuyez sur les touches Ctrl+Alt+Suppr, puis cliquez sur Ouvrir le Gestionnaire des tches.
2.
Dans le menu Fichier, cliquez sur Nouvelle tche (Excuter), puis tapez cmd.exe.
L'installation minimale prend en charge la plupart des rles et fonctionnalits de Windows Server 2012.
Toutefois, vous ne pouvez pas installer les rles suivants sur un ordinateur excutant l'installation
minimale :
x
1-8
ADFS
Serveur d'applications
Services de stratgie et d'accs rseau (NPAS)
Services de dploiement Windows (WDS)
Mme si un rle est disponible pour un ordinateur qui excute l'option d'installation minimale,
un service de rle spcifique associ ce rle peut ne pas tre disponible.
Remarque : Vous pouvez vrifier les rles disponibles ou non dans l'installation minimale
en excutant la requte Get-WindowsFeature | where-object {$_.InstallState -eq
Removed}.
Vous pouvez utiliser les outils suivants pour grer distance un ordinateur qui excute l'option
d'installation minimale :
x
x
x
Gestionnaire de serveur. Vous pouvez ajouter un serveur excutant l'installation minimale au

Gestionnaire de serveur sur un serveur qui excute une installation complte de Windows. Vous
pouvez alors grer les rles Serveur s'excutant sur l'ordinateur avec installation minimale dans le
Gestionnaire de serveur. Vous pouvez configurer le Bureau distance avec Sconfig.cmd.
Windows PowerShell distance. Windows PowerShell distance vous permet d'excuter des
commandes ou des scripts Windows PowerShell sur des serveurs distants correctement configurs
quand le script est hberg sur le serveur local. Windows PowerShell distance vous permet
galement de charger des modules Windows PowerShell, tels que le Gestionnaire de serveur,
localement et d'excuter les applets de commande disponibles dans ces modules sur des serveurs
distants convenablement configurs.
Bureau distance. Vous pouvez vous connecter un ordinateur qui excute l'option d'installation
minimale en utilisant le Bureau distance. Vous pouvez configurer le Bureau distance avec
Sconfig.cmd.
1-9
Consoles de gestion distance. Pour la plupart des rles serveur, vous pouvez ajouter un ordinateur
excutant l'installation minimale une console de gestion qui s'excute sur un autre ordinateur.
Rles de Windows Server 2012

Pour planifier correctement comment vous allez
utiliser Windows Server 2012 pour prendre
en charge les exigences de votre organisation,
vous devez tre pleinement conscient des rles
qui sont disponibles dans le cadre du systme
d'exploitation. Chaque version de Windows Server
prsente un ensemble diffrent de rles. Lorsque
de nouvelles versions de Windows Server sont
mises sur le march, certains rles sont amliors
et d'autres sont abandonns. Dans l'ensemble, les
rles disponibles dans Windows Server 2012 sont
bien connus des professionnels de l'informatique
ayant dj administr Windows Server 2008 et Windows Server 2003.
Windows Server 2012 prend en charge les rles serveur rpertoris dans le tableau ci-dessous.
Rle
Fonction
AD CS
Permet de dployer des autorits de certification et les services

de rle associs.
AD DS
Banque centralise d'informations sur les objets rseau, y compris les

comptes d'utilisateur et d'ordinateur. Utilis pour l'authentification
et l'autorisation.
ADFS
Fournit la prise en charge de l'authentification unique (SSO) via

le Web et de la fdration des identits scurise.
Active Directory Lightweight

Directory Services (AD LDS)
Prend en charge le stockage des donnes spcifiques aux applications

pour les applications orientes annuaire qui ne requirent pas
l'infrastructure complte des services de domaine Active Directory.
(suite)
Rle
Fonction
Active Directory Rights

Management Services
(AD RMS)
Permet d'appliquer des stratgies de gestion des droits pour

empcher tout accs non autoris des documents sensibles.
Serveur d'applications
Prend en charge la gestion et l'hbergement centraliss

d'applications mtier distribues hautes performances, telles
que celles cres l'aide de Microsoft .NET Framework 4.5.
Serveur DHCP
Configure les ordinateurs clients dans le rseau avec les adresses IP

temporaires.
Serveur DNS
Fournit la rsolution des noms pour les rseaux TCP/IP.
Serveur de tlcopie
Prend en charge l'envoi et la rception de tlcopies. Permet

galement de grer les ressources de tlcopie dans le rseau.
Services de fichiers
et de stockage
Prend en charge la gestion du stockage des dossiers partags,

du systme de fichiers distribus (DFS) et du stockage rseau.
Hyper-V
Permet d'hberger des ordinateurs virtuels sur des ordinateurs

qui excutent Windows Server 2012.
Stratgie rseau et services

d'accs
Infrastructure d'autorisation pour connexions distance, y compris

l'autorit HRA (Health Registration Authority) pour la protection
d'accs rseau (NAP).
Services document
et d'impression et
de numrisation
Prend en charge la gestion centralise des tches de document,

y compris les scanneurs rseau et les imprimantes en rseau.
Accs distance
Prend en charge une connectivit transparente, toujours active

et toujours gre, base sur la fonctionnalit DirectAccess de
Windows 7. Prend en charge galement l'accs distance via un
rseau priv virtuel (VPN) et de connexions d'accs distance.
Services Bureau distance

(RDS)
Prend en charge l'accs aux bureaux virtuels, aux bureaux bass

sur une session et aux programmes RemoteApp.
Services d'activation
en volume
Permet d'automatiser et de simplifier la gestion des cls de licence

en volume et de l'activation des cls de volume. Permet de grer un
hte du service de gestion de cls (KMS) ou de configurer l'activation
base sur AS DS pour les ordinateurs membres du domaine.
Serveur Web (IIS)
Composant de serveur Web de Windows Server 2012.
Services de dploiement
Windows
Permettent de dployer des systmes d'exploitation serveur sur

des clients via un rseau.
Windows Server Update

Services (WSUS)
Fournit une mthode de dploiement de mises jour des produits

Microsoft aux ordinateurs du rseau.
1-10 Dploiement et gestion de Windows Server 2012
Quand vous dployez un rle, Windows Server 2012 configure automatiquement les aspects de
la configuration du serveur (tels que les paramtres du pare-feu), pour prendre en charge le rle.
Windows Server 2012 dploie galement automatiquement et simultanment les dpendances des
rles. Par exemple, quand vous installez le rle WSUS, les composants du rle Serveur Web (IIS) qui
sont requis pour prendre en charge le rle WSUS sont galement installs automatiquement.
Vous ajoutez et supprimez des rles l'aide de l'Assistant Ajout de rles et de fonctionnalits, qui est
disponible partir de la console du Gestionnaire de serveur de Windows Server 2012. Si vous utilisez
l'installation minimale, vous pouvez galement ajouter et supprimer des rles l'aide des applets
de commande Windows PowerShell Install-WindowsFeature et Remove-WindowsFeature.
Question : Quels rles sont souvent colocaliss sur le mme serveur ?
Quelles sont les fonctionnalits de Windows Server 2012 ?

Les fonctionnalits Windows Server 2012 sont des
composants indpendants qui prennent souvent
en charge les services de rle ou prennent en
charge le serveur directement. Par exemple, la
Sauvegarde Windows Server est une fonctionnalit
car elle fournit uniquement la prise en charge de
la sauvegarde pour le serveur local ; ce n'est pas
une ressource que d'autres serveurs du rseau
peuvent utiliser.
Windows Server 2012 inclut les fonctionnalits
rpertories dans le tableau ci-dessous.
Fonctionnalit
Description
Fonctionnalits .NET Framework 3.5
Installe les technologies .NET Framework 3.5.
Fonctionnalits .NET Framework 4.5
Installe les technologies .NET Framework 4.5.

Cette fonctionnalit est installe par dfaut.
Service de transfert intelligent en

arrire-plan (BITS)
Permet le transfert asynchrone des fichiers pour garantir

que d'autres applications rseau ne sont pas affectes
dfavorablement.
Chiffrement de lecteur BitLocker

Windows
Prend en charge le chiffrement de disque complet et de

volume complet, ainsi que la protection d'environnement
de dmarrage.
Dverrouillage rseau BitLocker
Fournit un protecteur de cl bas sur le rseau qui peut

dverrouiller les systmes d'exploitation verrouills, joints
au domaine et protgs par BitLocker.
Windows BranchCache
Permet au serveur de fonctionner en tant que serveur de

cache hberg ou serveur de contenu BranchCache pour
les clients BranchCache.
Client pour NFS
Fournit un accs aux fichiers stocks sur les serveurs NFS

(Network File System).
1-11
(suite)
Fonctionnalit
Description
Data Center Bridging
Permet d'appliquer une allocation de bande passante

des cartes rseau convergentes.
Stockage tendu
Fournit une prise en charge pour les fonctionnalits

supplmentaires disponibles dans le priphrique d'accs
au stockage tendu (protocole IEEE 1667), y compris des
restrictions d'accs aux donnes.
Clustering avec basculement
Fonctionnalit haute disponibilit qui permet Windows

Server 2012 de participer au clustering avec basculement.
Gestion des stratgies de groupe
Outil de gestion administrative permettant d'administrer

une stratgie de groupe sur l'ensemble d'une entreprise.
Services d'encre et de reconnaissance

de l'criture manuscrite
Permet d'utiliser la prise en charge du mode d'entre

manuscrite et la reconnaissance de l'criture manuscrite.
Client d'impression Internet
Prend en charge l'utilisation du protocole IPP (Internet

Printing Protocol).
Serveur de gestion d'adresses

IP (IPAM)
Gestion centralise de l'infrastructure d'adresse IP et d'espace

de noms.
Fournisseur de stockage cible iSCSI

(Internet SCSI)
Fournit des services de gestion de disques et de cible iSCSI

Windows Server 2012.
Service Serveur iSNS

(Internet Storage Name Service)
Prend en charge les services de dcouverte des rseaux

SAN iSCSI.
Moniteur de port LPR

(Line Printer Remote)
Permet l'ordinateur d'envoyer les travaux d'impression

aux imprimantes qui sont partages l'aide du service
LPD (Line Printer Daemon).
Extension IIS de gestion OData

(Open Data Protocol)
Permet d'exposer les applets de commande Windows

PowerShell via un service Web bas sur OData qui s'excute
sur la plateforme des services Internet (IIS).
Media Foundation
Prend en charge l'infrastructure des fichiers multimdia.
Message Queuing
Prend en charge la remise de messages entre les

applications.
MPIO (Multipath Input/Output)
Prend en charge plusieurs chemins de donnes jusqu'aux

dispositifs de stockage.
quilibrage de la charge rseau
Permet la distribution du trafic avec quilibrage de la charge

entre plusieurs serveurs qui hbergent la mme application
sans tat.
Protocole PNRP (Peer Name

Resolution Protocol)
Protocole de rsolution de noms qui permet aux applications

de rsoudre les noms sur l'ordinateur.
Exprience audio-vido haute

qualit Windows (qWave)
Prend en charge les applications de flux audio et vido

sur les rseaux domestiques IP.
(suite)
Fonctionnalit
Description
1-13
Kit d'administration du Gestionnaire

des connexions Microsoft de serveur
d'accs distance
Permet de crer des profils de gestionnaire de connexions

qui simplifient le dploiement d'une configuration d'accs
distance sur les ordinateurs client.
Assistance distance
Autorise un support technique distance via d'invitations.
Compression diffrentielle distance

(RDC)
Transfre les diffrences entre les fichiers sur un rseau,

rduisant au maximum l'utilisation de la bande passante.
Outils d'administration de serveur

distant
Collection de consoles et d'outils pour grer distance

les rles et les fonctionnalits sur d'autres serveurs.
Proxy RPC sur HTTP
Transmet le trafic RPC via HTTP comme alternative aux

connexions VPN.
Services TCP/IP simples
Prend en charge les services TCP/IP de base, y compris

Citation du jour.
Serveur SMTP (Simple Mail Transfer

Protocol)
Prend en charge le transfert des messages lectroniques.
Service SNMP (Simple Network

Management Protocol)
Inclut des agents SNMP qui sont utiliss avec les services
de gestion de rseau.
Sous-systme pour les applications

UNIX
Prend en charge les applications UNIX compatibles POSIX

(Portable Operating System Interface for UNIX).
Client Telnet
Autorise les connexions sortantes aux serveurs Telnet et

d'autres services TCP (Transmission Control Protocol).
Serveur Telnet
Permet aux clients de se connecter au serveur l'aide

du protocole Telnet.
Client TFTP (Trivial File Transfer

Protocol)
Permet d'accder aux serveurs TFTP.
Interfaces utilisateur et infrastructure
Contient les composants ncessaires pour prendre en

charge l'option d'installation d'interface graphique sur
Windows Server 2012. Sur les installations graphiques,
cette fonctionnalit est installe par dfaut.
Windows Biometric Framework

(WBF)
Permet l'utilisation de lecteurs d'empreintes digitales

pour l'authentification.
Transfert de commentaires sur

Windows
Prend en charge l'envoi de commentaires Microsoft

lors de l'adhsion un programme d'amlioration de
l'exprience utilisateur.
Windows Identity Foundation 3.5
Ensemble de classes .NET Framework qui prennent en charge

l'implmentation d'une identit base sur des demandes
pour les applications .NET.
(suite)
Fonctionnalit
Description
Base de donnes interne Windows
Banque de donnes relationnelles qui peut tre utilise

uniquement par les rles et les fonctionnalits de Windows,
tels que WSUS.
Windows PowerShell
Langage de script et interprteur de ligne de commande

bas sur les tches, utilis pour administrer les ordinateurs
excutant des systmes d'exploitation Windows. Cette
fonctionnalit est installe par dfaut.
Accs Web Windows PowerShell
Permet la gestion distance d'ordinateurs via l'excution

de sessions Windows PowerShell dans un navigateur Web.
Service d'activation des processus

Windows (WAS)
Permet aux applications hbergeant les services WCF

(Windows Communication Foundation) qui n'utilisent
pas les protocoles HTTP d'utiliser les fonctionnalits IIS.
Service de recherche Windows
Permet une recherche rapide des fichiers hbergs sur

un serveur pour les clients compatibles avec le service
de recherche Windows.
Sauvegarde Windows Server
Logiciel de sauvegarde et de restauration pour

Outils de migration de
Windows Server
Collection d'applets de commande Windows PowerShell

qui favorisent la migration des rles serveur, des paramtres
du systme d'exploitation, des fichiers et des partages
partir d'ordinateurs excutant des versions antrieures
des systmes d'exploitation Windows Server vers
Gestion du stockage Windows

bas sur des normes
Ensemble d'interfaces de programmation d'applications (API)

qui permettent la dcouverte, la gestion et la surveillance des
dispositifs de stockage qui utilisent des standards, tels que la
norme SMI-S (Storage Management Initiative Specification).
Gestionnaire de ressources systme

Windows (WSRM)
Permet de contrler l'allocation des ressources processeur

et mmoire.
Windows TIFF IFilter
Prend en charge la reconnaissance optique des caractres

dans les fichiers compatibles TIFF 6.0.
Extension WinRM IIS
Gestion distance de Windows pour IIS.
Serveur WINS (Windows Internet

Naming Service)
Prend en charge la rsolution des noms pour les noms

NetBIOS.
Service WLAN (Wireless Local Area

Network)
Permet au serveur d'utiliser une interface de rseau sans fil.
(suite)
Fonctionnalit
Description
Prise en charge WoW

(Windows on Windows) 64
Prend en charge l'excution des applications 32 bits sur les

installations minimales. Cette fonctionnalit est installe
par dfaut.
Visionneuse XPS
Prend en charge l'affichage et la signature de documents

dans des formats XPS.
Fonctionnalits la demande
1-15
Les fonctionnalits la demande permettent d'ajouter et de supprimer des fichiers de rle et

de fonctionnalits, galement appels charge utile de fonctionnalit, du systme d'exploitation
Windows Server 2012 pour conomiser de l'espace. Vous pouvez installer des rles et des fonctionnalits
lorsque la charge utile de fonctionnalit n'est pas prsente l'aide d'une source distante, telle qu'une
image monte du systme d'exploitation complet. Si une source d'installation n'est pas prsente mais
qu'une connexion Internet l'est, les fichiers sources seront tlchargs de Windows Update. L'avantage
d'une installation de type Fonctionnalits la demande tient au fait qu'elle requiert moins d'espace
disque qu'une installation traditionnelle. L'inconvnient est que si vous souhaitez ajouter un rle ou
une fonctionnalit, vous devez avoir accs une source d'installation monte. Ceci n'est pas ncessaire
si vous effectuez une installation de Windows Server 2012 avec les fonctionnalits graphiques actives.
Question : Quelle fonctionnalit devez-vous installer pour prendre en charge la rsolution
de noms NetBIOS pour les ordinateurs clients excutant le systme d'exploitation de type
station de travail Microsoft Windows NT 4.0 ?
Leon 2
Vue d'ensemble de l'administration

de Windows Server 2012
La configuration correcte d'un serveur peut vous permettre d'viter des problmes ultrieurs substantiels.
Windows Server 2012 fournit plusieurs outils permettant d'effectuer des tches d'administration
spcifiques, dont chacune est approprie un ensemble spcifique de circonstances. L'interface
de gestion de Windows Server 2012 amliore galement votre capacit effectuer les tches
d'administration sur plusieurs serveurs simultanment.
Dans cette leon, vous allez dcouvrir les diffrents outils de gestion que vous pouvez utiliser
pour effectuer les tches d'administration sur les ordinateurs dots du systme d'exploitation
x
x
dcrire le Gestionnaire de serveur ;
expliquer comment utiliser les outils d'administration et les outils d'administration de serveur distant ;
expliquer comment utiliser le Gestionnaire de serveur pour effectuer diverses tches ;
expliquer comment configurer les services ;
expliquer comment configurer la gestion distance de Windows.
Qu'est-ce que le Gestionnaire de serveur ?

Le Gestionnaire de serveur est le principal outil
graphique que vous utilisez pour grer les
ordinateurs excutant Windows Server 2012.
Vous pouvez utiliser la console du Gestionnaire
de serveur pour grer le serveur local et les
serveurs distants. Vous pouvez galement grer
les serveurs sous forme de groupes. En grant
les serveurs sous forme de groupes, vous
pouvez effectuer rapidement les mmes tches
d'administration sur plusieurs serveurs excutant
le mme rle ou membres du mme groupe.
Vous pouvez utiliser la console du Gestionnaire de
serveur pour effectuer les tches suivantes sur des serveurs locaux et des serveurs distants :
x
ajouter des rles et des fonctionnalits ;

lancer des sessions Windows PowerShell ;
afficher des vnements ;
effectuer des tches de configuration de serveur.
Best Practices Analyzer
1-17
Le Gestionnaire de serveur inclut l'outil Best Practices Analyzer pour tous les rles de
Windows Server 2012. Best Practices Analyzer vous permet de dterminer si les rles sur votre
rseau fonctionnent efficacement ou si des problmes se posent, qu'il convient de rsoudre. Best Practices
Analyzer examine comment un rle fonctionne (notamment en interrogeant les journaux d'vnements
associs pour obtenir les vnements d'erreur et d'avertissement). Vous pouvez ainsi vous rendre compte
des problmes d'intgrit associs des rles spcifiques, avant que ces derniers ne provoquent une
dfaillance pouvant affecter la fonctionnalit du serveur.
Outils d'administration et outils d'administration de serveur distant

Lorsque vous utilisez le Gestionnaire de serveur
pour effectuer une tche d'administration associe
un rle ou une fonctionnalit spcifique, la
console lance l'outil d'administration appropri.
Quand vous installez un rle ou une fonctionnalit
l'aide du Gestionnaire de serveur localement
ou distance, vous tes invit installer l'outil
d'administration appropri. Par exemple, si vous
utilisez le Gestionnaire de serveur pour installer le
rle DHCP sur un autre serveur, vous serez invit
installer la console DHCP sur le serveur local.
Outils d'administration de serveur distant
Vous pouvez installer l'ensemble complet d'outils d'administration pour Windows Server 2012 en
installant la fonctionnalit Outils d'administration de serveur distant (RSAT). Lorsque vous installez RSAT,
vous pouvez choisir d'installer tous les outils ou seulement ceux permettant de grer des rles et des
fonctionnalits spcifiques. Vous pouvez galement installer RSAT sur les ordinateurs dots du systme
d'exploitation Windows 8. Ceci permet aux administrateurs de grer les serveurs distance sans avoir
se connecter directement chaque serveur.
La meilleure pratique gnrale consiste excuter les serveurs Windows Server 2012 avec une installation
minimale gre distance via RSAT pour Windows 8 ou l'une des nombreuses autres mthodes de
gestion distance.
Outre Windows PowerShell, voici quelques-uns des outils que les administrateurs utilisent le plus
gnralement :
x
x
x
Centre d'administration Active Directory. Cette console vous permet d'effectuer des tches
d'administration d'Active Directory, telles que l'augmentation des niveaux fonctionnels de domaine
et de fort et l'activation de la Corbeille Active Directory. Vous utilisez galement cette console
pour grer le contrle d'accs dynamique.
Utilisateurs et ordinateurs Active Directory. Cet outil vous permet de crer et grer des utilisateurs,
des ordinateurs et des groupes Active Directory. Vous pouvez galement utiliser cet outil pour crer
des units d'organisation (OU).
Console DNS. La console DNS vous permet de configurer et de grer le rle serveur DNS. Ceci inclut
la cration de zones de recherche directe et inverse, ainsi que la gestion des enregistrements DNS.
Observateur d'vnements. Vous pouvez utiliser l'Observateur d'vnements pour afficher les
vnements enregistrs dans les journaux d'vnements de Windows Server 2012.
x
x
x
x
Console de gestion des stratgies de groupe. Cet outil vous permet de modifier les objets de stratgie
de groupe (GPO) et de grer leur application dans AD DS.
Outil Gestionnaire des services Internet. Vous pouvez utiliser cet outil pour grer des sites Web.
Analyseur de performances. Vous pouvez utiliser cette console pour afficher les donnes de
performance des enregistrements en slectionnant les compteurs associs aux ressources spcifiques
que vous souhaitez surveiller.
Moniteur de ressources. Vous pouvez utiliser cette console pour afficher des informations en temps
rel sur le processeur, la mmoire et l'utilisation du disque et du rseau.
Planificateur de tches. Vous pouvez utiliser cette console pour grer l'excution des tches planifies.
Vous pouvez accder chacun de ces outils dans le Gestionnaire de serveur en accdant au menu Outils.
Remarque : Vous pouvez galement pingler les outils frquemment utiliss la barre des
tches de Windows Server 2012 ou l'cran d'accueil.
Dmonstration : Utilisation du Gestionnaire de serveur

Dans cette dmonstration, vous allez apprendre utiliser le Gestionnaire de serveur pour effectuer
les tches suivantes :
x
x
x
x
se connecter Windows Server 2012 et afficher le Bureau de Windows Server 2012 ;

ajouter une fonctionnalit en utilisant l'Assistant Ajout de rles et de fonctionnalits ;
afficher les vnements associs un rle ;
excuter Best Practice Analyzer pour un rle ;
rpertorier les outils disponibles partir du Gestionnaire de serveur ;
redmarrer Windows Server 2012.
Procdure de dmonstration
Se connecter Windows Server 2012 et afficher le Bureau de Windows Server 2012
x
Connectez-vous LON-DC1 avec le compte ADATUM\Administrateur et le mot de passe

Pa$$w0rd, puis fermez la console du Gestionnaire de serveur.
Ajouter une fonctionnalit en utilisant l'Assistant Ajout de rles et de fonctionnalits

1.
Dans la barre des tches, ouvrez le Gestionnaire de serveur.
2.
Dmarrez l'Assistant Ajout de rles et de fonctionnalits.
3.
Activez la case cocher Installation base sur un rle ou une fonctionnalit.
4.
Cliquez sur Slectionner un serveur du pool de serveurs, vrifiez que LON-DC1.Adatum.com

est slectionn, puis cliquez sur Suivant.
5.
Dans la page Slectionner des rles de serveurs, slectionnez Serveur de tlcopie.
6.
Dans la bote de dialogue Assistant Ajout de rles et de fonctionnalits, cliquez sur Ajouter
des fonctionnalits.
7.
Dans la page Slectionner des fonctionnalits, cliquez sur BranchCache.
8.
Dans la page Serveur de tlcopie, cliquez sur Suivant.
9.
Dans la page Services document et d'impression et de numrisation, cliquez sur Suivant

deux reprises.
10. Dans la page Confirmation, activez la case cocher Redmarrer automatiquement le serveur
de destination, si ncessaire, cliquez sur Oui, cliquez sur Installer, puis cliquez sur Fermer.
1-19
11. Cliquez sur l'icne en forme de drapeau en regard de Tableau de bord du Gestionnaire de serveur
et passez en revue les messages.
Remarque : Vous pouvez fermer cette console sans terminer la tche.
Afficher les vnements associs un rle

1.
Cliquez sur le nud Tableau de bord.
2.
Dans le volet Rles et groupes de serveurs, sous DNS, cliquez sur vnements.
3.
Dans la bote de dialogue DNS - vnements Affichage des dtails, remplacez la priode
par 48 heures et Source de l'vnement par Tous.
Excuter Best Practice Analyzer pour un rle

1.
Sous DNS, cliquez sur Rsultats BPA.
2.
Slectionnez Tous dans le menu droulant Niveaux de gravit, puis cliquez sur OK.
Rpertorier les outils disponibles partir du Gestionnaire de serveur

x
Cliquez sur le menu Outils et examinez les outils qui sont installs sur LON-DC1.
Dconnecter l'utilisateur actuellement connect

1.
Dconnectez-vous de LON-DC1.
2.
Reconnectez-vous LON-DC1 l'aide du compte ADATUM\Administrateur et du mot de passe

Pa$$w0rd.
Redmarrer Windows Server 2012

x
Dans une fentre Windows PowerShell, tapez la commande suivante et appuyez sur Entre :
Shutdown /r /t 15
Configuration de services
Les services sont des programmes qui s'excutent
en arrire-plan et fournissent des services aux
clients et au serveur hte. Vous pouvez grer
les services via la console Services, qui est
disponible dans le Gestionnaire de serveur,
dans le menu Outils. Lorsque vous scurisez
un ordinateur, vous devriez dsactiver tous les
services l'exception de ceux qui sont requis par
les rles, les fonctionnalits et les applications
qui sont installs sur le serveur.
Types de dmarrage
Les services utilisent l'un des types de dmarrage suivants :
x
Automatique. Le service dmarre automatiquement au dmarrage du serveur.

Automatique (dbut diffr). Le service dmarre automatiquement aprs le dmarrage du serveur.
Manuel. Le service doit tre dmarr manuellement, soit par un programme, soit par un
administrateur.
Dsactiv. Le service est dsactiv et ne peut pas tre dmarr.
Remarque : Si un serveur se comporte de faon problmatique, ouvrez la console Services,

triez par type de dmarrage, puis localisez les services qui sont configurs pour dmarrer
automatiquement et ceux qui ne sont pas en tat d'excution.
Rcupration des services
Les options de rcupration dterminent ce qu'un service doit faire en cas de dfaillance. Vous accdez
l'onglet Rcupration partir de la fentre des proprits des serveurs DNS. Dans l'onglet Rcupration,
vous avez les options de rcupration suivantes :
x
Ne rien faire. Le service demeure dans un tat dfaillant jusqu' ce qu'un administrateur s'en occupe.
Redmarrer le service. Le service redmarre automatiquement.
Excuter un programme. Permet d'excuter un programme ou un script.
Redmarrer l'ordinateur. L'ordinateur redmarre aprs un nombre prconfigur de minutes.
Vous pouvez configurer diffrentes options de rcupration pour la premire dfaillance, la deuxime
dfaillance et les dfaillances suivantes. Vous pouvez galement configurer un laps de temps aprs
lequel l'horloge de dfaillance de service est rinitialise.
Comptes de service administrs

Les comptes de service administrs sont des comptes spciaux bass sur un domaine que vous pouvez
utiliser avec des services. L'avantage d'un compte de service administr est que le mot de passe du
compte fait l'objet d'une rotation automatique en fonction d'une planification. Ces changements du
mot de passe sont automatiques et ne requirent pas l'intervention de l'administrateur. Ceci rduit au
maximum la probabilit que le mot de passe du compte de service soit compromis, chose qui se produit
car des administrateurs attribuent gnralement des mots de passe simples des comptes de service
avec le mme service sur un grand nombre de serveurs et ne prennent jamais la peine de mettre jour
ces mots de passe. Les comptes virtuels sont des comptes spcifiques aux services, qui sont locaux plutt
que bass sur un domaine. Windows Server 2012 applique une rotation au mot de passe des comptes
virtuels et le gre.
Question : Quel est l'avantage d'un compte de service administr par rapport un compte
de service traditionnel, bas sur un domaine ?
Configuration de la gestion distance de Windows

La plupart des administrateurs n'effectuent
plus les tches d'administration des systmes
uniquement dans la salle des serveurs.
Presque toutes les tches qu'ils effectuent
quotidiennement sont prsent effectues
l'aide des technologies de gestion distance.
Avec la gestion distance de Windows (WinRM),
vous pouvez utiliser l'interprteur de commandes
distant, Windows PowerShell distant et d'autres
outils d'administration distance pour grer
distance un ordinateur.
Vous pouvez activer WinRM partir du
Gestionnaire de serveur en procdant comme suit :
1-21
1.
Dans la console du Gestionnaire de serveur, cliquez sur le nud Serveur local.
2.
Dans la bote de dialogue Proprits pour le serveur local, ct de Gestion distance, cliquez
sur Dsactiv. Ceci ouvre la bote de dialogue Configurer l'administration distance.
3.
Dans la bote de dialogue Configurer l'administration distance, activez la case cocher

Autoriser la gestion distance de ce serveur depuis d'autres ordinateurs, puis cliquez sur OK.
Vous pouvez galement activer WinRM partir d'une ligne de commande en excutant
la commande WinRM -qc. Vous dsactivez WinRM l'aide de la mme mthode qui permet
de l'activer. Vous pouvez dsactiver WinRM sur un ordinateur excutant l'option d'installation
minimale l'aide de l'outil sconfig.cmd.
Bureau distance
Le Bureau distance est la mthode traditionnelle utilise par les administrateurs de systmes pour se
connecter distance aux serveurs qu'ils administrent. Vous pouvez configurer le Bureau distance sur
un ordinateur qui excute la version complte de Windows Server 2012 en procdant comme suit :
1.
Dans la console du Gestionnaire de serveur, cliquez sur le nud Serveur local.
2.
ct de Bureau distance, cliquez sur Dsactiv.
3.
Dans la bote de dialogue Proprits systme, dans l'onglet Utilisation distance, slectionnez
l'une des options suivantes :
o
Ne pas autoriser les connexions cet ordinateur. L'tat par dfaut du Bureau distance
est dsactiv.
Autoriser la connexion des ordinateurs excutant n'importe quelle version du Bureau

distance. Autorise la connexion des clients Bureau distance qui ne prennent pas en charge
l'authentification au niveau du rseau.
Autoriser les connexions uniquement pour les ordinateurs excutant les services Bureau
distance avec authentification au niveau du rseau. Autorise la connexion scurise des
ordinateurs excutant des clients Bureau distance qui prennent en charge l'authentification
au niveau du rseau.
Vous pouvez activer et dsactiver le Bureau distance sur les ordinateurs qui excutent l'option
d'installation minimale l'aide de l'outil en ligne de commande sconfig.cmd.
Leon 3
Installation de Windows Server 2012
Lorsque vous prparez l'installation de Windows Server 2012, vous devez comprendre si une
configuration matrielle particulire est approprie. Vous devez galement savoir si un dploiement avec
installation minimale peut tre plus appropri qu'un dploiement de l'interface utilisateur graphique
complte, et quelle source d'installation vous permet de dployer Windows Server 2012 de faon efficace.
Dans cette leon, vous allez dcouvrir le processus d'installation de Windows Server 2012, notamment
les mthodes permettant d'installer le systme d'exploitation, les diffrentes options d'installation,
la configuration requise minimale et les dcisions que vous devez prendre lors de l'utilisation
de l'Assistant Installation.
x
x
x
x
dcrire les diffrentes mthodes que vous pouvez utiliser pour installer Windows Server 2012 ;
identifier les diffrents types d'installation que vous pouvez choisir en installant
dterminer si un ordinateur ou un ordinateur virtuel rpond la configuration matrielle
minimale requise pour l'installation de Windows Server 2012 ;
dcrire les dcisions que vous devez prendre lorsque vous effectuez une installation
Mthodes d'installation
Microsoft distribue Windows Server 2012 sur
des mdias optiques et dans un format d'image
ISO (.iso). Le format ISO devient plus courant
que l'obtention d'un mdia amovible physique,
du fait que les organisations acquirent des
logiciels via Internet.
1-23
Une fois que vous avez obtenu le systme d'exploitation Windows Server 2012 auprs de Microsoft, vous
pouvez utiliser votre propre mthode pour dployer le systme d'exploitation. Vous pouvez installer
Windows Server 2012 en utilisant diverses mthodes, y compris les mthodes suivantes :
Supports optiques
o
Avantages :
Inconvnients :
Gnralement plus lent qu'un mdia USB.

Vous ne pouvez pas mettre jour l'image d'installation sans remplacer le mdia.
Vous pouvez effectuer une seule installation par DVD-ROM la fois.
Avantages :
Tous les ordinateurs avec des lecteurs USB permettent un dmarrage partir du mdia USB.
L'image peut tre mise jour lorsque de nouvelles mises jour logicielles et de nouveaux
pilotes sont disponibles.
Le fichier de rponse peut tre stock sur un lecteur USB, rduisant ainsi au maximum la part
d'interaction requise de l'administrateur.
Inconvnients :
Requiert que l'administrateur effectue des oprations spciales pour prparer le mdia USB
partir d'un fichier ISO.
Image ISO monte

o
Avantages :
o
x
Exige que l'ordinateur ait accs un lecteur de DVD-ROM.
Support USB
o
Mthode traditionnelle de dploiement.
Un logiciel de virtualisation vous permet de monter l'image ISO directement et d'installer

Windows Server 2012 sur l'ordinateur virtuel.
Inconvnients :
Aucun.
Partage rseau
o
Avantages :
Il est possible de dmarrer un serveur partir d'un priphrique de dmarrage

(DVD ou lecteur USB) et de l'installer partir des fichiers d'installation qui sont
hbergs sur un partage rseau.
Inconvnients :
Cette mthode est beaucoup plus lente que l'utilisation des services de dploiement
Windows. Si vous avez dj accs un DVD ou un mdia USB, il est plus simple
d'utiliser ces outils pour le dploiement du systme d'exploitation.
Services de dploiement Windows

o
Avantages :
Vous pouvez utiliser le Kit d'installation automatise (AIK) pour configurer un dploiement
de type Lite Touch.
Les clients excutent un dmarrage PXE (Preboot eXecution Environment) pour contacter
le serveur Windows DS et l'image du systme d'exploitation est transmise au serveur via
le rseau.
Les services de dploiement Windows permettent plusieurs installations simultanes
de Windows Server 2012 en utilisant des transmissions de rseau de multidiffusion.
System Center Configuration Manager

o
Avantages :
Vous pouvez dployer Windows Server 2012 partir de fichiers image .wim ou de fichiers
VHD spcialement prpars.
Le Gestionnaire de configuration vous permet d'automatiser entirement le dploiement

de Windows Server 2012 sur de nouveaux serveurs qui ne sont pas dots d'un systme
d'exploitation. Ce processus est appel Dploiement Zero Touch.
Modles Virtual Machine Manager

o
Avantages :
Windows Server 2012 est gnralement dploy dans des scnarios de cloud priv
partir de modles prconfigurs d'ordinateur virtuel. Vous pouvez configurer plusieurs
composants de la suite System Center pour permettre le dploiement en libre-service
des ordinateurs virtuels Windows Server 2012.
Question : Quelle autre mthode est-il possible d'utiliser pour dployer

Windows Server 2012 ?
Types d'installation
La manire dont vous dployez Windows
Server 2012 sur un serveur spcifique dpend des
circonstances de cette installation. L'installation
sur un serveur qui excute Windows
Server 2008 R2 requiert des actions diffrentes par
rapport l'installation sur un serveur excutant
une dition x86 de Windows Server 2003.
Lorsque vous effectuez une installation du systme d'exploitation Windows Server 2012, vous pouvez
choisir l'une des options rpertories dans le tableau ci-dessous.
Option
d'installation
Description
1-25
Nouvelle
installation
Vous permet d'effectuer une nouvelle installation sur un nouveau disque ou

volume. Les nouvelles installations sont celles qui sont le plus souvent utilises
et qui prennent le moins de temps. Vous pouvez galement utiliser cette option
pour configurer Windows Server 2012 afin d'effectuer un double dmarrage si
vous souhaitez conserver le systme d'exploitation existant.
Mise niveau
Une mise niveau conserve les fichiers, les paramtres et les applications qui sont
dj installs sur le serveur d'origine. Vous pouvez effectuer une mise niveau
lorsque vous souhaitez conserver tous ces lments et souhaitez continuer utiliser
le mme matriel de serveur. Vous pouvez effectuer une mise niveau vers une
dition quivalente ou plus rcente de Windows Server 2012 uniquement partir
des versions x64 de Windows Server 2008 ou Windows Server 2008 R2. Vous lancez
une mise niveau en excutant setup.exe au sein du systme d'exploitation
Windows Server d'origine.
Migration
Utilisez la migration pour migrer des versions x86 et x64 de Windows Server 2003,
Windows Server 2003 R2 ou Windows Server 2008 vers Windows Server 2012.
Vous pouvez utiliser les fonctionnalits des Outils de migration de Windows Server
dans Windows Server 2012 pour transfrer des fichiers et des paramtres.
Quand vous effectuez une nouvelle installation, vous pouvez dployer Windows Server 2012 sur un disque
non partitionn ou sur un volume existant. Vous pouvez aussi installer Windows Server 2012 dans un
fichier de disque dur virtuel prpar cet effet dans un scnario Dmarrage depuis un disque dur
virtuel ou Dmarrage natif depuis un disque dur virtuel (ces deux termes sont utiliss tels quels ou
avec des variantes pour dsigner ce scnario). Le dmarrage partir d'un VHD requiert une prparation
spciale et n'est pas une option possible lorsque vous effectuez une installation par dfaut l'aide de
l'Assistant Installation de Windows.
Configuration matrielle requise pour Windows Server 2012

La configuration matrielle requise dfinit le
matriel minimal qui est requis pour excuter le
serveur Windows Server 2012. Votre configuration
matrielle requise peut tre plus importante selon
les services que le serveur hberge, la charge sur
le serveur et la ractivit de votre serveur.
Chaque service de rle et fonctionnalit place
une charge unique sur le rseau, les E/S de
disque, le processeur et les ressources mmoire.
Par exemple, le rle de serveur de fichiers place
sur le matriel de serveur des contraintes
diffrentes de celles du rle DHCP.
Lorsque vous prenez en compte la configuration matrielle requise, souvenez-vous que Windows
Server 2012 peut tre dploy virtuellement. Windows Server 2012 est pris en charge sur Hyper-V
et sur certaines autres plateformes de virtualisation non-Microsoft. Les dploiements virtualiss de
Windows Server 2012 doivent correspondre aux mmes spcifications matrielles que les dploiements
physiques. Par exemple, lorsque vous crez un ordinateur virtuel pour hberger Windows Server 2012,
vous devez vous assurer de configurer l'ordinateur virtuel avec suffisamment de mmoire et d'espace
disque.
Windows Server 2012 prsente la configuration matrielle minimale requise suivante :
x
x
Architecture du processeur : x64

Cadence du processeur : 1,4 gigahertz (GHz)
Mmoire vive (RAM) : 512 mgaoctets (Mo)
Espace disponible sur le disque dur : 32 Go, plus si le serveur a plus de 16 Go de RAM.
L'dition Datacenter de Windows Server 2012 prend en charge la configuration matrielle maximale
suivante :
x
x
x
640 processeurs logiques

4 To de RAM
63 nuds de cluster de basculement
Documentation supplmentaire : Pour plus d'informations sur

le programme Windows Server Virtualization Validation Program, voir
Question : Pourquoi un serveur a-t-il besoin de plus d'espace disponible sur le disque dur s'il
possde plus de 16 Go de RAM ?
Installation de Windows Server 2012

Le processus de dploiement du systme
d'exploitation Windows Server est plus simple
aujourd'hui qu'il tait auparavant. L'administrateur
charg du dploiement a moins de dcisions
prendre, bien que ces dcisions soient essentielles
au succs du dploiement. Une installation par
dfaut de Windows Server 2012 (si vous n'avez
pas encore de fichier de rponse) implique
l'excution des oprations suivantes :
1.
Connectez-vous la source d'installation. Les

options correspondantes sont les suivantes :
o
Insrez un DVD-ROM contenant les

fichiers d'installation de Windows Server 2012 et dmarrez partir du DVD-ROM.
Connectez un lecteur USB spcialement prpar qui hberge les fichiers d'installation
Excutez un dmarrage PXE et connectez-vous un serveur Windows DS.
2.
Dans la premire page de l'Assistant Installation de Windows, slectionnez les lments suivants :
o
langue installer,
format horaire et montaire,
clavier ou mthode d'entre.
3.
Dans la deuxime page de l'Assistant Installation de Windows, cliquez sur Installer maintenant.
Vous pouvez galement utiliser cette page pour slectionner Rparer l'ordinateur. Vous pouvez
utiliser cette option au cas o une installation aurait t endommage et que vous ne seriez plus
mme de dmarrer Windows Server 2012.
4.
Dans l'Assistant Installation de Windows, dans la page Slectionner le systme d'exploitation

installer, choisissez une option d'installation du systme d'exploitation parmi les options
disponibles. L'option Installation minimale est l'option par dfaut.
5.
Dans la page Termes du contrat de licence, examinez les termes de la licence du systme
d'exploitation. Vous devez accepter les termes du contrat de licence avant de pouvoir procder
l'installation.
6.
Dans la page Quel type d'installation voulez-vous effectuer ?, les options suivantes s'offrent
vous :
o
Mise niveau. Slectionnez cette option si vous disposez d'une installation existante
de Windows Server que vous souhaitez mettre niveau vers Windows Server 2012. Vous
devez lancer les mises niveau au sein de la version prcdente de Windows Server plutt
que dmarrer partir de la source d'installation.
Personnalis. Slectionnez cette option pour effectuer une nouvelle installation.
7.
Dans la page O souhaitez-vous installer Windows ?, choisissez un disque disponible sur lequel
installer Windows Server 2012. Vous pouvez galement choisir de partitionner et de formater
nouveau les disques dans cette page. Lorsque vous cliquez sur Suivant, le processus d'installation
copie les fichiers et redmarre l'ordinateur plusieurs fois.
8.
Dans la page Paramtres, fournissez un mot de passe pour le compte d'administrateur local.
1-27
Leon 4
Configuration post-installation de Windows Server 2012

Le processus d'installation de Windows Server 2012 implique de rpondre un nombre minimal
de questions. Une fois que vous avez termin l'installation, vous devez effectuer plusieurs tapes de
configuration post-installation avant de pouvoir la dployer dans un environnement de production.
Ces tapes vous permettent de prparer le serveur pour le rle qu'il excutera dans le rseau de votre
organisation.
Cette leon explique notamment comment effectuer diverses tches de configuration post-installation,
y compris la configuration des informations d'adressage rseau, la dfinition d'un nom de serveur
et sa jonction au domaine, ainsi que la comprhension des options d'activation de produit.
x
x
expliquer comment utiliser le Gestionnaire de serveur pour effectuer les tches de configuration
post-installation ;
expliquer comment configurer les paramtres rseau du serveur ;
expliquer comment joindre un domaine Active Directory ;
expliquer comment effectuer une jonction de domaine hors connexion ;
expliquer comment activer Windows Server 2012 ;
expliquer comment configurer une installation minimale.
Vue d'ensemble de la configuration post-installation

Le processus d'installation de Windows
Server 2012 rduit au maximum le nombre
de questions auxquelles vous devez rpondre
pendant l'installation. Les seules informations
que vous fournissez au cours du processus
d'installation correspondent au mot de passe
du compte d'administrateur local par dfaut.
La procdure post installation implique la
configuration de tous les autres paramtres dont
le serveur a besoin pour pouvoir tre dploy
dans un environnement de production.
1-29
Vous utilisez le nud Serveur local dans la console du Gestionnaire de serveur pour effectuer les tches
suivantes :
x
x
x
x
x
configurer l'adresse IP ;
dfinir le nom de l'ordinateur ;
joindre un domaine Active Directory ;
configurer le fuseau horaire ;
activer les mises jour automatiques ;
ajouter des rles et des fonctionnalits ;
activer le Bureau distance ;
configurer les paramtres du Pare-feu Windows.
Configuration des paramtres rseau du serveur

Pour communiquer sur le rseau, un serveur
a besoin d'informations correctes d'adresse IP.
Une fois que vous avez termin l'installation,
vous devez dfinir ou vrifier la configuration
des adresses IP du serveur. Par dfaut, un
serveur nouvellement dploy tente d'obtenir
les informations d'adresse IP auprs d'un serveur
DHCP. Vous pouvez afficher la configuration des
adresses IP d'un serveur en cliquant sur le nud
Serveur local dans le Gestionnaire de serveur.
Si le serveur a une adresse IPv4 comprise dans
la plage d'adressage IP priv automatique de
169.254.0.1 169.254.255.254, le serveur n'a pas encore t configur avec une adresse IP provenant
d'un serveur DHCP. Peut-tre qu'un serveur DHCP n'a pas encore t configur dans le rseau, ou,
si un serveur DHCP est prsent, il peut y avoir un problme avec l'infrastructure rseau qui empche
l'adaptateur de recevoir une adresse.
Remarque : Si vous utilisez uniquement un rseau IPv6, une adresse IPv4 comprise dans
cette plage n'est pas problmatique, et les informations d'adresse IPv6 sont encore configures
automatiquement.
Configuration l'aide du Gestionnaire de serveur

Vous pouvez configurer manuellement les informations d'adresse IP pour un serveur en procdant
comme suit :
1.
Dans la console du Gestionnaire de serveur, cliquez sur l'adresse ct de la carte rseau que vous
souhaitez configurer.
2.
Dans la fentre Connexions rseau, cliquez avec le bouton droit sur la carte rseau pour laquelle
vous souhaitez configurer une adresse, puis cliquez sur Proprits.
3.
Dans la bote de dialogue Proprits de la carte, cliquez sur Protocole Internet version 4
(TCP/IPv4), puis sur Proprits.
4.
Dans la bote de dialogue Proprits de Protocole : Internet version 4 (TCP/IPv4),

entrez les informations d'adresse IPv4 qui suivent, puis cliquez sur OK deux reprises :
o
Adresse IP
Masque de sous-rseau
Passerelle par dfaut
Serveur DNS prfr
Serveur DNS auxiliaire
Configuration des adresses IPv4 par l'intermdiaire de la ligne de commande
Vous pouvez dfinir manuellement les informations d'adresse IPv4 partir d'une invite de commandes
avec lvation de privilges en utilisant la commande netsh.exe issue du contexte IPv4 (Internet Protocol
version 4) ou Windows PowerShell.
Par exemple, pour configurer la carte nomme Connexion au rseau local avec l'adresse IPv4 10.10.10.10
et le masque de sous-rseau 255.255.255.0, tapez les commandes suivantes :
Netsh interface ipv4 set address Connexion au rseau local static 10.10.10.10
255.255.255.0
New-NetIPAddress InterfaceIndex 12 IPAddress 10.10.10.10 PrefixLength 24
Vous pouvez utiliser le mme contexte de la commande netsh.exe pour configurer la configuration DNS.
Par exemple, pour configurer la carte nomme Connexion au rseau local pour qu'elle utilise le serveur
DNS l'adresse IP 10.10.10.5 en tant que serveur DNS principal, tapez la commande suivante :
Netsh interface ipv4 set dnsservers Connexion au rseau local static 10.10.10.5 primary
Set-DNSClientServerAddress InterfaceIndex 12 ServerAddresses 10.10.10.5
Dans les commandes Windows PowerShell, la valeur InterfaceIndex identifie la carte que vous configurez.
Pour obtenir la liste complte des cartes avec les valeurs InterfaceIndex correspondantes, excutez
l'applet de commande Get-NetIPInterface.
Association de cartes rseau

L' association de cartes rseau vous permet d'augmenter la disponibilit d'une ressource rseau. Lorsque
vous configurez la fonctionnalit d'association de cartes rseau, un ordinateur utilise une adresse rseau
pour plusieurs cartes. En cas de dfaillance d'une des cartes, l'ordinateur est en mesure de maintenir
la communication avec les autres htes sur le rseau qui utilisent cette adresse partage. L'association
de cartes rseau n'exige pas que les cartes rseau soient du mme modle ou utilisent le mme pilote.
Pour associer des cartes rseau, procdez comme suit :
1.
Assurez-vous que le serveur possde plus d'une carte rseau.
2.
Dans le Gestionnaire de serveur, cliquez sur le nud Serveur local.
3.
En regard de la fonction Association de cartes rseau, cliquez sur Dsactiv. Ceci lancera la bote
de dialogue Association de cartes rseau.
4.
Dans la bote de dialogue Association de cartes rseau, maintenez enfonce la touche Ctrl,
puis cliquez sur chaque carte rseau que vous souhaitez ajouter l'association.
5.
Cliquez avec le bouton droit sur les cartes rseau slectionnes, puis cliquez sur Ajouter une
nouvelle quipe.
6.
Dans la bote de dialogue Nouvelle quipe, spcifiez un nom pour l'quipe, puis cliquez sur OK.
Procdure de jonction d'un domaine

Quand vous installez Windows Server 2012, un
nom alatoire est attribu l'ordinateur. Avant
de joindre un domaine, vous devriez configurer le
serveur avec le nom que vous souhaitez qu'il ait
dans le domaine. Il est recommand d'utiliser un
schma de noms cohrent lors de la conception
d'un nom d'ordinateur. Les ordinateurs doivent
recevoir des noms qui refltent leur fonction
et emplacement, et non pas des noms avec des
liens personnels, tels que des noms d'animaux
domestiques ou de personnages fictifs ou
historiques. Il est globalement plus ais de
dterminer qu'un serveur nomm MEL-DNS1 est un serveur DNS situ Melbourne, que de
dterminer qu'un serveur nomm Copernic dtient le rle DNS dans le bureau de Melbourne.
Vous pouvez modifier ce nom l'aide de la console du Gestionnaire de serveur en procdant
comme suit :
1-31
1.
2.
Dans la fentre Proprits, cliquez sur le texte actif ct de Nom de l'ordinateur. Ceci lancera
la bote de dialogue Proprits systme.
3.
Dans la bote de dialogue Proprits systme, dans l'onglet Nom d'ordinateur, cliquez sur
Modifier.
4.
Dans la bote de dialogue Modification du nom ou du domaine de l'ordinateur, entrez le nouveau

nom que vous souhaitez attribuer l'ordinateur.
5.
Redmarrez l'ordinateur pour implmenter le changement de nom.
Avant de joindre le domaine, veillez terminer la procdure suivante pour vrifier que le nouveau serveur
est prt tre joint un domaine :
x
Assurez-vous que vous pouvez rsoudre l'adresse IP du contrleur de domaine et que vous
pouvez contacter ce contrleur de domaine. Utilisez le protocole PING pour effectuer un test
ping du contrleur de domaine par nom d'hte afin d'accomplir ces deux objectifs.
Terminez l'une des tches suivantes :
o
Crez un compte d'ordinateur dans le domaine qui correspond au nom de l'ordinateur que
vous souhaitez joindre au domaine. Ceci a souvent lieu lorsqu'un grand nombre d'ordinateurs
doivent tre joints automatiquement au domaine.
Joignez l'ordinateur au domaine en utilisant un compte de scurit qui a le droit d'excuter

des oprations de jonction de domaine.
Vrifiez que le compte de scurit qui est utilis pour l'opration de domaine existe dj dans
le domaine.
Maintenant que vous avez renomm votre serveur Windows Server 2012 et que vous avez vrifi qu'il
est prt tre joint un domaine, vous pouvez joindre le serveur au domaine.
Pour joindre le domaine l'aide du Gestionnaire de serveur, procdez comme suit :
1.
2.
Dans la fentre Proprits, ct de Groupe de travail, cliquez sur WORKGROUP.
3.
Dans la bote de dialogue Proprits systme, dans l'onglet Nom d'ordinateur, cliquez sur
Modifier.
4.
Dans la bote de dialogue Modification du nom ou du domaine de l'ordinateur, dans la zone

Membre de, cliquez sur l'option Domaine. Entrez le nouveau nom du domaine, puis cliquez sur O.
5.
Dans la bote de dialogue Scurit de Windows, entrez les informations d'identification du domaine
qui vous permettent de joindre l'ordinateur au domaine.
6.
Redmarrez l'ordinateur.
Excution d'une jonction de domaine hors connexion

La jonction de domaine hors connexion est une
fonctionnalit que vous pouvez utiliser pour
joindre un ordinateur au domaine quand cet
ordinateur n'a pas de connexion rseau active.
Cette fonctionnalit peut tre utile dans les
situations o la connectivit est intermittente,
par exemple lorsque vous dployez un serveur
sur un site distant qui est connect via une
liaison montante satellite.
Utilisez l'outil en ligne de commande djoin.exe
pour effectuer une jonction de domaine hors
connexion. Vous pouvez effectuer une jonction de
domaine hors connexion en procdant comme suit :
1.
Connectez-vous au contrleur de domaine avec un compte d'utilisateur dot des droits appropris
pour joindre d'autres ordinateurs au domaine.
2.
Ouvrez une invite de commandes avec lvation de privilges et utilisez la commande djoin.exe
avec l'option /provision. Vous devez galement spcifier le domaine auquel vous souhaitez joindre
l'ordinateur, le nom de l'ordinateur joindre au domaine et le nom du fichier savefile que vous allez
transfrer la cible de la jonction de domaine hors connexion.
Par exemple, pour joindre l'ordinateur Canberra au domaine adatum.com en utilisant le fichier
savefile Canberra-join.txt, tapez la commande suivante :
djoin.exe /provision /domain adatum.com /machine canberra /savefile c:\canberrajoin.txt
3.
1-33
Transfrez le fichier savefile gnr sur le nouvel ordinateur, puis excutez la commande djoin.exe
avec l'option /requestODJ.
Par exemple, pour effectuer la jonction de domaine hors connexion, aprs le transfert du fichier
savefile Canberra-join.txt sur l'ordinateur Canberra, vous pouvez excuter la commande suivante
partir d'une invite de commandes avec lvation de privilges sur Canberra :
djoin.exe /requestODJ /loadfile canberra-join.txt /windowspath %systemroot% /localos
4.
Redmarrez l'ordinateur pour terminer l'opration de jonction de domaine.

Question : Dans quelle situation prfreriez-vous effectuer une jonction de domaine hors
connexion une jonction de domaine standard ?
Activation de Windows Server 2012

Pour vous assurer que votre organisation
bnficie de licences correctes et pour recevoir
des informations pralables sur les mises jour
du produit, vous devez activer chaque copie
de Windows Server 2012 que vous installez.
Windows Server 2012 requiert une activation
aprs installation. la diffrence des versions
prcdentes du systme d'exploitation
Windows Server, il n'y a plus de priode de grce
d'activation. Si vous n'effectuez pas l'activation,
vous ne pouvez pas effectuer la personnalisation
du systme d'exploitation.
Pour activer Windows Server 2012, vous pouvez utiliser deux stratgies gnrales au choix :
Activation manuelle. Approprie quand vous dployez un nombre rduit de serveurs.

Activation automatique. Approprie quand vous dployez un nombre lev de serveurs.
Activation manuelle
Avec l'activation manuelle, vous entrez la cl de produit et le serveur contacte Microsoft. Alternativement,
un administrateur peut effectuer l'activation par tlphone ou via un site Web Clearinghouse spcial.
Vous pouvez effectuer l'activation manuelle partir de la console du Gestionnaire de serveur en
procdant comme suit :
1.
Cliquez sur le nud Serveur local.
2.
Dans la fentre Proprits, ct de l'ID de produit, cliquez sur Non activ.
3.
Dans la bote de dialogue Activation de Windows, entrez la cl de produit, puis cliquez sur Activer.
4.
Si une connexion directe ne peut pas tre tablie avec les serveurs d'activation Microsoft, des
dtails s'afficheront concernant la manire d'effectuer l'activation l'aide d'un site Web partir
d'un priphrique dot d'une connexion Internet ou l'aide d'un numro de tlphone local.
Puisque les ordinateurs qui excutent l'option d'installation minimale ne possdent pas la console du
Gestionnaire de serveur, vous pouvez galement effectuer l'activation manuelle l'aide de la commande
slmgr.vbs. Utilisez la commande slmgr.vbs /ipk pour entrer la cl de produit et slmgr.vbs /ato pour
effectuer l'activation une fois que la cl de produit a t installe.
Vous pouvez effectuer l'activation manuelle l'aide de la cl de produit commercialise ou de la cl

d'activation multiple. Vous pouvez utiliser une cl de produit commercialise uniquement pour activer
un seul ordinateur. Cependant, une cl d'activation multiple possde un nombre donn d'activations
que vous pouvez utiliser. Une cl d'activation multiple vous permet d'activer plusieurs ordinateurs jusqu'
la limite d'activation dfinie.
Les cls OEM reprsentent un type particulier de cl d'activation. Elles sont fournies un fabricant et
permettent l'activation automatique lors de la premire mise sous tension d'un ordinateur. Ce type de
cl d'activation est gnralement utilis avec des ordinateurs qui excutent des systmes d'exploitation
clients tels que Windows 7 et Windows 8. Les cls OEM sont rarement utilises avec des ordinateurs qui
excutent des systmes d'exploitation serveurs.
La ralisation manuelle de l'activation dans des dploiements de serveurs grande chelle peut
tre lourde. Microsoft fournit une mthode permettant d'activer un grand nombre d'ordinateurs
automatiquement sans avoir entrer manuellement de cl de produit sur chaque systme.
Activation automatique
Dans les versions prcdentes du systme d'exploitation Windows Server, vous pouviez utiliser KMS pour
effectuer une activation centralise de plusieurs clients. Le rle serveur Services d'activation en volume
dans Windows Server 2012 vous permet de grer un serveur KMS via une nouvelle interface. Ceci simplifie
le processus d'installation d'une cl KMS sur le serveur KMS. Quand vous installez les services d'activation
en volume, vous pouvez galement configurer une activation base sur Active Directory. L'activation
base sur Active Directory permet l'activation automatique des ordinateurs joints un domaine. Quand
vous utilisez les services d'activation en volume, chaque ordinateur activ doit rgulirement contacter
le serveur KMS pour renouveler son statut d'activation.
Vous utilisez l'outil Volume Activation Management Tool (VAMT) 3.0 en association avec les services
d'activation en volume pour effectuer l'activation de plusieurs ordinateurs sur des rseaux qui ne sont
pas connects directement Internet. Vous pouvez utiliser VAMT pour gnrer des rapports de licence
et grer l'activation des clients et des serveurs dans des rseaux d'entreprise.
Configuration d'une installation minimale

La procdure post-installation sur un ordinateur
excutant l'option d'installation minimale du
systme d'exploitation peut tre intimidante pour
les administrateurs qui n'ont encore jamais
effectu cette tche. Au lieu de disposer d'outils
bass sur l'interface graphique utilisateur qui
simplifient la procdure de configuration postinstallation, les professionnels de l'informatique
sont tenus d'effectuer des tches de configuration
complexes via une interface de ligne de
commande.
Fort heureusement, vous pouvez effectuer la
majorit des tches de configuration post-installation l'aide de l'outil en ligne de commande
sconfig.cmd. Cet outil rduit au maximum le risque d'effectuer des erreurs de syntaxe lors de
l'utilisation d'outils en ligne de commande plus compliqus.
Vous pouvez utiliser sconfig.cmd pour effectuer les tches suivantes :
configurer les informations de domaine et de groupe de travail ;
configurer le nom de l'ordinateur ;
ajouter des comptes d'administrateur local ;
configurer WinRM ;
activer Windows Update ;
tlcharger et installer des mises jour ;
activer le Bureau distance ;
configurer les informations d'adresse rseau ;
rgler la date et l'heure ;
effectuer l'activation de Windows ;
activer l'interface graphique utilisateur de Windows Server ;
se dconnecter ;
redmarrer le serveur ;
arrter le serveur.
Configurer les informations d'adresse IP
1-35
Vous pouvez configurer les informations d'adresse IP et DNS l'aide de sconfig.cmd ou de netsh.exe.
Pour configurer les informations d'adresse IP l'aide de sconfig.cmd, procdez comme suit :
1.
partir d'une ligne de commande, excutez la commande sconfig.cmd.
2.
Choisissez l'option 8 pour configurer les paramtres rseau.
3.
Choisissez le numro d'index de la carte rseau laquelle vous souhaitez attribuer une adresse IP.
4.
Dans la zone Paramtres de carte rseau, choisissez l'une des options suivantes :
o
Dfinir l'adresse de la carte rseau
Dfinir les serveurs DNS
Effacer les paramtres du serveur DNS
Retourner au menu principal
Modifier le nom du serveur

Vous pouvez modifier le nom d'un serveur en utilisant la commande netdom avec l'option
renamecomputer.
Par exemple, pour renommer un ordinateur Melbourne, tapez la commande suivante :
Netdom renamecomputer %nom_ordinateur% /newname:Melbourne
Vous pouvez modifier le nom d'un serveur l'aide de sconfig.cmd en procdant comme suit :
1.
2.
Choisissez l'option 2 pour configurer le nouveau nom de l'ordinateur.
3.
Tapez le nouveau nom de l'ordinateur et appuyez sur Entre.
Vous devez redmarrer le serveur pour que la modification prenne effet.
Jonction un domaine
Vous pouvez joindre un ordinateur avec installation minimale un domaine l'aide de la commande
netdom avec l'option join.
Par exemple, pour joindre le domaine adatum.com en utilisant le compte Administrateur et tre invit
entrer un mot de passe, tapez la commande suivante :
Netdom join %nom_ordinateur% /domain:adatum.com /UserD:Administrateur /PasswordD:*
Remarque : Avant de joindre le domaine, vrifiez que vous tes en mesure d'effectuer
un test ping du serveur DNS l'aide du nom d'hte.
Pour joindre un ordinateur avec installation minimale au domaine l'aide de sconfig.cmd,
procdez comme suit :
1.
2.
Choisissez l'option 1 pour configurer le domaine/groupe de travail.
3.
Pour choisir l'option Domaine, tapez D et appuyez sur Entre.
4.
Tapez le nom du domaine auquel vous voulez joindre l'ordinateur.
5.
Fournissez les dtails au format domaine\nom d'utilisateur d'un compte autoris joindre le domaine.
6.
Tapez le mot de passe associ ce compte.
Pour terminer l'opration de jonction de domaine, il convient de redmarrer l'ordinateur.
Ajout de rles et de fonctionnalits

Vous pouvez ajouter et supprimer des rles et des fonctionnalits sur un ordinateur qui excute l'option
d'installation minimale l'aide des applets de commande Windows PowerShell Get-WindowsFeature,
Install-WindowsFeature et Remove-WindowsFeature. Ces applets de commande sont disponibles
une fois que vous avez charg le module Windows PowerShell ServerManager.
Par exemple, vous pouvez afficher la liste des rles et fonctionnalits qui sont installs en tapant
la commande suivante :
Get-WindowsFeature | Where-Object {$_.InstallState -eq Installed}
Vous pouvez galement installer un rle ou une fonctionnalit Windows en utilisant l'applet de
commande Install-WindowsFeature. Par exemple, pour installer la fonctionnalit d'quilibrage
de la charge rseau, excutez la commande :
Install-WindowsFeature NLB
Toutes les fonctionnalits ne sont pas disponibles directement pour l'installation sur un ordinateur
excutant l'installation minimale du systme d'exploitation. Vous pouvez dterminer quelles
fonctionnalits ne sont pas directement disponibles pour l'installation en excutant la commande
suivante :
Get-WindowsFeature | Where-Object {$_.InstallState -eq Removed}
1-37
Vous pouvez ajouter un rle ou une fonctionnalit qui n'est pas directement disponible pour l'installation
en utilisant le paramtre -Source de l'applet de commande Install-WindowsFeature. Vous devez
spcifier un emplacement source qui hberge une image d'installation monte incluant la version
complte de Windows Server 2012. Vous pouvez monter une image d'installation l'aide de l'outil
en ligne de commande DISM.exe. Si vous ne spcifiez pas de chemin source lors de l'installation
d'un composant qui n'est pas disponible et que le serveur dispose d'une connexion Internet, l'applet de
commande Install-WindowsFeature tente de rcuprer les fichiers sources partir de Windows Update.
Ajouter l'interface graphique utilisateur

Vous pouvez configurer un ordinateur avec installation minimale avec l'interface graphique utilisateur
en utilisant l'outil en ligne de commande sconfig.cmd. Pour cela, choisissez l'option 12 dans le menu
Configuration du serveur de sconfig.cmd.
Remarque : Vous pouvez ajouter ou supprimer le composant graphique du systme

d'exploitation Windows Server 2012 l'aide de l'applet de commande Install-WindowsFeature.
Vous pouvez galement utiliser l'outil en ligne de commande dism.exe pour ajouter et supprimer des
rles et des fonctionnalits Windows d'un dploiement avec installation minimale, mme si cet outil
est utilis principalement pour la gestion des fichiers image.
Leon 5
Prsentation de Windows PowerShell
Windows PowerShell est une technologie d'interface de ligne de commande et de script bas sur les
tches, intgre dans le systme d'exploitation Windows Server 2012. Windows PowerShell simplifie
l'automatisation des tches courantes d'administration de systmes. Windows PowerShell vous permet
d'automatiser les tches, ce qui vous laisse plus de temps pour les tches plus complexes d'administration
de systmes.
Dans cette leon, vous allez dcouvrir Windows PowerShell et pourquoi Windows PowerShell reprsente
un composant essentiel du kit de ressources d'un administrateur de serveur.
Cette leon explique comment utiliser les fonctionnalits de dcouverte intgres de Windows PowerShell
pour apprendre utiliser des applets de commande spcifiques et rechercher les applets de commande
associes. Cette leon prsente galement comment tirer profit de l'environnement d'criture de scripts
intgr de Windows PowerShell (Windows PowerShell ISE) pour qu'il vous aide crer des scripts
Windows PowerShell efficaces.
x
x
x
x
x
x
dcrire la fonction de Windows PowerShell ;
dcrire la syntaxe des applets de commande Windows PowerShell et expliquer comment dterminer
les commandes associes une applet de commande particulire ;
dcrire les applets de commande Windows PowerShell courantes permettant de grer les services,
les processus, les rles et les fonctionnalits ;
dcrire les fonctionnalits de Windows PowerShell ISE ;
expliquer comment utiliser Windows PowerShell ;
expliquer comment utiliser Windows PowerShell ISE.
Qu'est-ce que Windows PowerShell ?

Windows PowerShell est un langage de script
et une interface de ligne de commande qui
est conue pour vous aider effectuer des
tches d'administration quotidiennes.
Windows PowerShell se compose d'applets de
commande que vous excutez une invite de
commandes Windows PowerShell ou que vous
associez en scripts Windows PowerShell. la
diffrence d'autres langages de script qui ont t
conus initialement dans un autre but et ont t
adapts pour des tches d'administration systme,
Windows PowerShell a t conu avec les tches
d'administration systme l'esprit.
1-39
Un nombre croissant de produits Microsoft (tels qu'Exchange Server 2010) ont des interfaces graphiques
qui tablissent les commandes Windows PowerShell. Ces produits vous permettent de visualiser le script
Windows PowerShell gnr pour que vous puissiez excuter la tche ultrieurement sans avoir
terminer toutes les tapes dans l'interface graphique utilisateur. La capacit automatiser les tches
complexes simplifie le travail d'un administrateur de serveur et lui permet d'conomiser du temps.
Vous pouvez tendre les fonctionnalits de Windows PowerShell en ajoutant des modules. Par exemple,
le module Active Directory inclut des applets de commande Windows PowerShell spcifiquement utiles
pour effectuer des tches de gestion lies Active Directory. Le module Serveur DNS inclut des applets
de commande Windows PowerShell spcifiquement utiles pour effectuer des tches de gestion lies au
serveur DNS. Windows PowerShell inclut des fonctionnalits telles que la saisie semi-automatique via la
touche Tab, qui permet aux administrateurs de complter des commandes en appuyant sur la touche
Tab au lieu de taper la commande complte. Vous pouvez dcouvrir les fonctionnalits de toute applet
de commande Windows PowerShell l'aide de l'applet de commande Get-Help.
Syntaxe des applets de commande Windows PowerShell

Les applets de commande Windows PowerShell
utilisent une syntaxe verbe-nom. Chaque nom
possde une collection de verbes associs. Les
verbes disponibles diffrent avec chaque nom
d'applet de commande.
Exemples de verbes courants d'applets
de commande Windows PowerShell :
x
x
Get
New
Set
Restart
Resume
Stop
Suspend
Clear
Limit
Remove
Add
Show
Write
Vous pouvez connatre les verbes disponibles pour un nom Windows PowerShell en excutant
Get-Command -Noun NounName
Vous pouvez connatre les noms Windows PowerShell disponibles pour un verbe spcifique en excutant
Get-Command -Verb VerbName
Les paramtres Windows PowerShell commencent par un tiret. Chaque applet de commande
Windows PowerShell possde son propre jeu de paramtres associ. Vous pouvez connatre
les paramtres correspondant une applet de commande Windows PowerShell particulire
en excutant la commande suivante :
Get-Command CmdletName
Vous pouvez dterminer les applets de commande Windows PowerShell disponibles en excutant
l'applet de commande Get-Command. Les applets de commande Windows PowerShell disponibles
dpendent des modules chargs.
Applets de commande courantes pour l'administration de serveur

En tant qu'administrateur de serveur, il existe
certaines applets de commande que vous
tes plus susceptibles d'utiliser. Ces applets
de commande se rapportent principalement
aux services, aux journaux d'vnements,
aux processus et au module ServerManager
qui s'excutent sur le serveur.
Applets de commande de service

Vous pouvez utiliser les applets de commande
Windows PowerShell suivantes pour grer
des services sur un ordinateur qui excute
Windows Server 2012 :
x
x
x
x
Get-Service. Affiche les proprits d'un service.

New-Service. Cre un nouveau service.
Restart-Service. Redmarre un service existant.
Resume-Service. Reprend l'excution d'un service interrompu.
Set-Service. Configure les proprits d'un service.
Start-Service. Dmarre un service arrt.
Stop-Service. Arrte un service en cours d'excution.
Suspend-Service. Interrompt un service.
Applets de commande des journaux d'vnements

Vous pouvez utiliser les applets de commande Windows PowerShell suivantes pour grer les journaux
d'vnements sur un ordinateur qui excute Windows Server 2012 :
x
x
x
x
x
Get-EventLog. Affiche les vnements dans le journal d'vnements spcifi.

Clear-EventLog. Supprime toutes les entres du journal d'vnements spcifi.
Limit-EventLog. Dfinit les limites d'ge et de taille des journaux d'vnements.
New-EventLog. Cre un nouveau journal d'vnements et une nouvelle source d'vnements sur
un ordinateur excutant Windows Server 2012.
1-41
Remove-EventLog. Supprime un journal d'vnements personnalis et annule l'inscription de toutes

les sources d'vnements du journal.
Show-EventLog. Montre les journaux d'vnements d'un ordinateur.
Write-EventLog. Vous permet d'crire des vnements dans un journal d'vnements.
Applets de commande de processus
Vous pouvez utiliser les applets de commande Windows PowerShell suivantes pour grer des processus
sur un ordinateur qui excute Windows Server 2012 :
x
Get-Process. Fournit des informations sur un processus.

Start-Process. Dmarre un processus.
Stop-Process. Arrte un processus.
Wait-Process. Attend l'arrt du processus avant d'accepter l'entre.
Debug-Process. Joint un dbogueur un ou plusieurs processus en cours d'excution.
Module ServerManager
Le module ServerManager vous permet d'ajouter trois applets de commande au choix, qui sont utiles
pour grer les fonctionnalits et les rles. Ces applets de commande sont :
x
x
x
Get-WindowsFeature. Affiche la liste des rles et des fonctionnalits disponibles. Affiche galement
si la fonctionnalit est installe et si elle est disponible. Vous pouvez installer une fonctionnalit non
disponible uniquement si vous avez accs une source d'installation.
Install-WindowsFeature. Installe un rle particulier ou une fonctionnalit particulire de
Windows Server. L'applet de commande Add-WindowsFeature est associe par des alias cette
commande et est disponible dans les versions antrieures des systmes d'exploitation Windows.
Remove-WindowsFeature. Supprime un rle particulier ou une fonctionnalit particulire
de Windows Server.
Qu'est-ce que Windows PowerShell ISE ?

Windows PowerShell ISE est un environnement
de script intgr qui vous fournit une assistance
lorsque vous utilisez Windows PowerShell.
Il fournit des fonctionnalits pour complter
les commandes et vous permet de voir toutes
les commandes disponibles et les paramtres
que vous pouvez utiliser avec ces commandes.
Windows PowerShell ISE simplifie le processus
d'utilisation de Windows PowerShell car vous
pouvez excuter les applets de commande partir
de l'environnement d'criture de scripts. Vous
pouvez galement utiliser une fentre de script
dans Windows PowerShell ISE pour construire et enregistrer des scripts Windows PowerShell. La capacit
afficher les paramtres des applets de commande vous garantit d'tre conscient des fonctionnalits
compltes de chaque applet de commande et de pouvoir crer des commandes Windows PowerShell
syntaxiquement correctes.
Windows PowerShell ISE fournit des applets de commande avec des codes de couleurs pour faciliter la
rsolution des problmes. L'environnement d'criture de scripts vous fournit galement des outils de
dbogage que vous pouvez utiliser pour dboguer des scripts Windows PowerShell simples et complexes.
Vous pouvez utiliser l'environnement Windows PowerShell ISE pour afficher les applets de commande
disponibles par module. Vous pouvez alors dterminer quel module Windows PowerShell vous devez
charger pour accder une applet de commande particulire.
Dmonstration : Utilisation de Windows PowerShell

Dans cette dmonstration, vous allez apprendre utiliser Windows PowerShell pour afficher les services
et les processus en cours d'excution sur un serveur.
Utiliser Windows PowerShell pour afficher les services et les processus en cours
d'excution sur un serveur
1.
Sur LON-DC1, ouvrez une session Windows PowerShell.
2.
Excutez les commandes suivantes et appuyez sur Entre :

Get-Service | where-object {$_.status -eq Running}
Get-Command -Noun Service
Get-Process
Get-Help Process
Get-Help Full Start-Process
3.
Dans la barre des tches, cliquez avec le bouton droit sur l'icne Windows PowerShell, puis cliquez
sur Excuter comme administrateur.
Dmonstration : Utilisation de Windows PowerShell ISE

Dans cette dmonstration, vous allez apprendre terminer les tches suivantes :
x
utiliser Windows PowerShell ISE pour importer le module ServerManager ;

afficher les applets de commande proposes dans le module ServerManager ;
utiliser l'applet de commande Get-WindowsFeature partir de Windows PowerShell ISE.
Utiliser Windows PowerShell ISE pour importer le module ServerManager
1.
Assurez-vous d'tre connect LON-DC1 en tant qu'Administrateur.
2.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Windows PowerShell ISE.
3.
l'invite de commandes, tapez Import-Module ServerManager.
Afficher les applets de commande proposes dans le module ServerManager

x
Dans le volet Commandes, utilisez le menu droulant Modules pour slectionner le module
ServerManager.
Utiliser l'applet de commande Get-WindowsFeature partir

de Windows PowerShell ISE
1.
Cliquez sur Get-WindowsFeature, puis cliquez sur Afficher les dtails.
2.
Dans le champ ComputerName, tapez LON-DC1, puis cliquez sur Excuter.
1-43

2-1
Module 2
Prsentation des services de domaine Active Directory
Table des matires :
2-1
Leon 1 : Vue d'ensemble d'AD DS
2-2
Leon 2 : Vue d'ensemble des contrleurs de domaine
2-9
Leon 3 : Installation d'un contrleur de domaine
2-16
Atelier pratique : Installation de contrleurs de domaine
2-22
2-26
Les services de domaine Active Directory (AD DS) et les services associs constituent une base pour les
rseaux d'entreprise qui excutent des systmes d'exploitation Windows. La base de donnes AD DS
est le magasin central de tous les objets de domaine, tels que les comptes d'utilisateur, les comptes
d'ordinateur et les groupes. AD DS fournit un rpertoire hirarchis interrogeable et une mthode
pour l'application de la configuration et des paramtres de scurit aux objets de l'entreprise. Ce module
traite de la structure d'AD DS et de ses divers composants, tels qu'une fort, un domaine et des units
d'organisation (OU).
Le processus d'installation d'AD DS sur un serveur est affin et amlior avec Windows Server 2012.
Ce module examine certains des choix proposs avec Windows Server 2012 pour l'installation d'AD DS
sur un serveur.
Objectifs
x
x
x
dcrire la structure d'AD DS ;

dcrire la fonction des contrleurs de domaine ;
expliquer comment installer un contrleur de domaine.
Leon 1
Vue d'ensemble d'AD DS
2-2
La base de donnes AD DS stocke des informations sur l'identit de l'utilisateur, les ordinateurs, les
groupes, les services et les ressources. Les contrleurs de domaine AD DS hbergent galement le service
qui authentifie les comptes d'utilisateur et d'ordinateur quand ils se connectent au domaine. Comme
AD DS stocke des informations sur tous les objets inclus dans le domaine et que tous les utilisateurs et
ordinateurs doivent se connecter aux contrleurs de domaine AD DS lorsqu'ils se connectent au rseau,
AD DS constitue le principal moyen vous permettant de configurer et grer les comptes d'utilisateur
et d'ordinateur dans votre rseau.
Cette leon couvre les composants logiques de base qui composent un dploiement d'AD DS.
x
x
x
x
x
dcrire les composants AD DS ;

dcrire les domaines AD DS ;
dcrire les units d'organisation et leur fonction ;
dcrire les forts et arborescences AD DS et expliquer comment vous pouvez les dployer
dans un rseau ;
expliquer comment un schma AD DS fournit un ensemble de rgles qui grent les objets
et les attributs qui sont stocks dans la base de donnes AD DS.
Vue d'ensemble d'AD DS

AD DS se compose la fois de composants
physiques et logiques. Vous devez comprendre
la manire dont les composants d'AD DS
fonctionnent ensemble de faon pouvoir grer
efficacement votre rseau et contrler quelles
ressources vos utilisateurs peuvent accder.
En outre, vous pouvez utiliser de nombreuses
autres options AD DS, y compris l'installation et
la configuration du logiciel et des mises jour, la
gestion de l'infrastructure de scurit, l'activation
de l'accs distance et de DirectAccess, ainsi que
la gestion des certificats.
Une des fonctionnalits d'AD DS est la fonctionnalit Stratgie de groupe qui permet de configurer
des stratgies centralises que vous pouvez utiliser pour grer la plupart des objets dans AD DS.
La comprhension des divers composants AD DS est importante pour pouvoir utiliser correctement
la fonctionnalit Stratgie de groupe.
Composants physiques
Les informations relatives AD DS sont stockes dans un fichier unique sur le disque dur de chaque
contrleur de domaine. Le tableau suivant rpertorie quelques composants physiques et o ils sont
stocks.
Composant physique
Description
Contrleurs
de domaine
Contiennent des copies de la base de donnes AD DS.
Magasin de donnes
Fichier sur chaque contrleur de domaine qui stocke les informations

AD DS.
Serveurs de
catalogue global
Hbergent le catalogue global, lequel est une copie partielle, en lecture

seule, de tous les objets dans la fort. Un catalogue global acclre les
recherches d'objets susceptibles d'tre stocks sur des contrleurs de
domaine d'un domaine diffrent de la fort.
Contrleurs de
domaine en lecture
seule (RODC)
Installation spciale d'AD DS dans une forme en lecture seule. Elle est
souvent utilise dans les filiales o la scurit et l'assistance informatique
sont souvent moins avances que dans les centres d'affaires principaux.
Composants logiques
Les composants logiques AD DS sont des structures utilises pour l'implmentation d'une conception
Active Directory approprie une organisation. Le tableau suivant dcrit certains types de structures
logiques qu'une base de donnes Active Directory peut contenir.
Composant logique
Description
Partition
Une section de la base de donnes AD DS. Bien que la base de donnes

soit un seul fichier nomm NTDS.DIT, elle est affiche, gre et rplique
comme si elle tait compose de sections ou d'instances distinctes.
Celles-ci sont appeles partitions ou encore contextes d'appellation.
Schma
Dfinit la liste des types d'objets et d'attributs que tous les objets dans
AD DS peuvent avoir.
Domaine
Limite d'administration logique pour les utilisateurs et les ordinateurs.
Arborescence de
domaine
Collection des domaines qui partagent un domaine racine commun

et un espace de noms DNS (Domain Name System).
Fort
Collection des domaines qui partagent un service AD DS commun.
Site
Collection d'utilisateurs, de groupes et d'ordinateurs, tels qu'ils sont

dfinis par leurs emplacements physiques. Les sites sont utiles dans
des tches d'administration de la planification telles que la rplication
des modifications apportes la base de donnes AD DS.
Unit d'organisation
Les units d'organisation (OU) sont des conteneurs dans AD DS qui

fournissent une infrastructure pour dlguer des droits d'administration
et pour lier des objets de stratgie de groupe (GPO).
Documentation supplmentaire : Pour plus d'informations sur les domaines et les forts,
voir Domains and Forests Technical Reference (Guide de rfrence technique Domaines et forts)
l'adresse http://go.microsoft.com/fwlink/?LinkId=104447.
2-3
Que sont les domaines AD DS ?

Un domaine AD DS est un regroupement logique
d'objets utilisateur, ordinateur et groupe, effectu
pour des raisons de gestion et de scurit.
Tous ces objets sont enregistrs dans la base
de donnes AD DS et une copie de cette base
de donne est enregistre sur chaque contrleur
de domaine dans le domaine AD DS.
Plusieurs types d'objets peuvent tre stocks dans
la base de donnes AD DS, y compris des comptes
d'utilisateur. Les comptes d'utilisateur fournissent
un mcanisme que vous pouvez utiliser pour
authentifier puis autoriser des utilisateurs
accder des ressources sur le rseau. Chaque ordinateur joint un domaine doit avoir un compte
dans AD DS. Ceci permet aux administrateurs de domaine d'utiliser les stratgies qui sont dfinies dans
le domaine pour grer les ordinateurs. Le domaine stocke galement des groupes, qui reprsentent le
mcanisme de regroupement d'objets pour des raisons administratives ou de scurit (par exemple,
des comptes d'utilisateur et des comptes d'ordinateur).
Le domaine AD DS est galement une limite de rplication. Quand des changements sont apports
n'importe quel objet du domaine, ces changements sont rpliqus automatiquement sur tous les
autres contrleurs de domaine du domaine.
Un domaine AD DS est un centre d'administration. Il contient un compte Administrateur et un groupe
Administrateurs du domaine ; chacun a le contrle total sur chaque objet du domaine. moins qu'ils
ne soient dans le domaine racine de la fort, leur plage de contrle est toutefois limite au domaine.
Des rgles de mot de passe et de compte sont gres au niveau du domaine par dfaut. Le domaine
AD DS fournit un centre d'authentification. Tous les comptes d'utilisateur et comptes d'ordinateur
dans le domaine sont stocks dans la base de donnes du domaine, et les utilisateurs et les
ordinateurs doivent se connecter un contrleur de domaine pour s'authentifier.
Un domaine individuel peut contenir plus de 1 million d'objets, si bien que la plupart des organisations
ont besoin de dployer un seul domaine. Les organisations qui ont des structures administratives
dcentralises, ou qui sont distribues entre plusieurs emplacements, peuvent implmenter plusieurs
domaines dans la mme fort.
2-4
Que sont les units d'organisation ?

Une unit d'organisation (OU) est un objet
conteneur dans un domaine, que vous pouvez
utiliser pour consolider des utilisateurs, des
groupes, des ordinateurs et d'autres objets.
Vous pouvez crer des units d'organisation
pour deux raisons :
x
2-5
Pour configurer des objets contenus dans

l'unit d'organisation. Vous pouvez attribuer
des objets GPO l'unit d'organisation, et les
paramtres s'appliquent tous les objets dans
l'unit d'organisation. Les objets GPO sont des
stratgies que les administrateurs crent pour
grer et configurer les comptes d'ordinateur et d'utilisateur. La manire la plus courante de dployer
ces stratgies est de les lier aux units d'organisation.
Pour dlguer le contrle administratif d'objets prsents dans l'unit d'organisation. Vous pouvez
attribuer des autorisations de gestion sur une unit d'organisation, dlguant de ce fait le contrle
de cette unit d'organisation un utilisateur ou un groupe dans AD DS autre que l'administrateur.
Vous pouvez utiliser des units d'organisation pour reprsenter les structures hirarchiques et logiques
au sein de votre organisation. Par exemple, vous pouvez crer des units d'organisation qui reprsentent
les diffrents services de votre organisation, les rgions gographiques de votre organisation ou une
combinaison des services et des rgions gographiques. Vous pouvez utiliser des units d'organisation
pour grer la configuration et l'utilisation des comptes d'utilisateur, de groupe et d'ordinateur en fonction
de votre modle d'organisation.
Chaque domaine AD DS contient un ensemble standard de conteneurs et d'units d'organisation
qui sont crs quand vous installez AD DS, dont notamment :
x
x
x
Conteneur du domaine. Sert de conteneur racine la hirarchie.

Conteneur Builtin. Stocke plusieurs groupes par dfaut.
Conteneur Utilisateurs. Emplacement par dfaut pour les nouveaux comptes d'utilisateur et groupes
que vous crez dans le domaine. Le conteneur Utilisateurs contient galement les comptes
d'administrateur et d'invit du domaine, et quelques groupes par dfaut.
Conteneur Ordinateurs. Emplacement par dfaut pour les nouveaux comptes d'ordinateur que vous
crez dans le domaine.
Unit d'organisation Contrleurs de domaine. Emplacement par dfaut des comptes d'ordinateur
pour les comptes d'ordinateur du contrleur de domaine. Il s'agit de la seule unit d'organisation
prsente dans une nouvelle installation d'AD DS.
Remarque : Aucun des conteneurs par dfaut dans le domaine AD DS ne peut avoir
d'objets GPO lis lui, l'exception de l'unit d'organisation Contrleurs de domaine par dfaut
et du domaine lui-mme. Tous les autres conteneurs sont de simples dossiers. Pour lier des objets
GPO afin d'appliquer des configurations et des restrictions, crez une hirarchie des units
d'organisation, puis liez-leur les objets GPO.
Conception d'une hirarchie
2-6
La conception d'une hirarchie d'units d'organisation est dicte par les besoins administratifs de
l'organisation. Cette conception peut reposer sur des classifications gographiques, fonctionnelles, de
ressources ou d'utilisateurs. Quel que soit l'ordre, la hirarchie doit permettre d'administrer les ressources
AD DS d'une faon aussi souple et efficace que possible. Par exemple, si tous les ordinateurs utiliss par
les administrateurs informatiques doivent tre configurs d'une certaine faon, vous pouvez regrouper
tous les ordinateurs dans une unit d'organisation, puis attribuer un objet GPO pour les grer. Pour
simplifier l'administration, vous pouvez galement crer des units d'organisation dans d'autres units
d'organisation.
Par exemple, votre organisation peut disposer de plusieurs bureaux, et chaque bureau peut avoir un
ensemble d'administrateurs chargs de grer les comptes d'utilisateur et d'ordinateur du bureau. De
plus, chaque bureau peut avoir des services diffrents avec des exigences diffrentes de configuration
des ordinateurs. Dans ce cas, vous pouvez crer une unit d'organisation pour ce bureau permettant
de dlguer l'administration, puis crer une unit d'organisation de service dans l'unit d'organisation
Bureau pour attribuer les configurations des postes de travail.
Bien qu'il n'y ait aucune limite technique au nombre de niveaux dans votre structure d'unit
d'organisation, afin de faciliter la gestion, limitez votre structure d'unit d'organisation une profondeur
maximale de 10 niveaux. La plupart des organisations utilisent cinq niveaux ou moins pour simplifier
l'administration. Notez que les applications prenant en charge Active Directory peuvent avoir des
restrictions quant la profondeur des units d'organisation dans la hirarchie. Ces applications peuvent
galement avoir des restrictions sur le nombre de caractres pouvant tre utiliss dans le nom unique,
qui constitue le chemin d'accs LDAP (Lightweight Directory Access Protocol) complet de l'objet dans
le rpertoire.
Qu'est-ce qu'une fort AD DS ?

Une fort est une collection d'une ou plusieurs
arborescences de domaines. Une fort est une
collection d'un ou de plusieurs domaines.
Le premier domaine qui est cr dans la fort est
appel le domaine racine de la fort. Le domaine
racine de la fort contient quelques objets qui
n'existent pas dans d'autres domaines de la fort.
Par exemple, le domaine racine de la fort
contient deux rles de contrleur de domaine
spciaux, le contrleur de schma et le matre
d'oprations des noms de domaine. En outre,
le groupe Administrateurs de l'entreprise et le
groupe Administrateurs du schma existent seulement dans le domaine racine de la fort. Le groupe
Administrateurs de l'entreprise a le contrle total sur chaque domaine de la fort.
La fort AD DS est une limite de scurit. Ceci signifie que, par dfaut, aucun utilisateur provenant
de l'extrieur de la fort ne peut accder une ressource situe l'intrieur de la fort. Cela signifie
galement que des administrateurs provenant de l'extrieur de la fort n'ont aucun accs d'administration
l'intrieur de la fort. Une des raisons principales pour lesquelles une organisation peut dployer
plusieurs forts est qu'elle doit isoler les autorisations administratives entre ses diffrentes parties.
2-7
La fort AD DS est galement la limite de rplication pour les partitions de configuration et de schma
dans la base de donnes AD DS. Ceci signifie que tous les contrleurs de domaine de la fort doivent
partager le mme schma. Une deuxime raison pour laquelle une organisation peut dployer plusieurs
forts est qu'elle doit dployer des schmas incompatibles dans deux de ses parties.
La fort AD DS est galement la limite de rplication du catalogue global. Ceci facilite la plupart
des formulaires de collaboration entre les utilisateurs de diffrents domaines. Par exemple, tous les
destinataires Microsoft Exchange Server 2010 sont rpertoris dans le catalogue global, ce qui facilite
l'envoi de courrier lectronique aux utilisateurs de la fort, mme aux utilisateurs figurant dans des
domaines diffrents.
Par dfaut, tous les domaines d'une fort approuvent automatiquement les autres domaines de la
fort. Ceci facilite l'activation de l'accs des ressources telles que des partages de fichiers et des sites
Web pour tous les utilisateurs dans une fort, indpendamment du domaine dans lequel le compte
d'utilisateur est situ.
Qu'est-ce que le schma AD DS ?

Le schma AD DS est le composant AD DS
qui dfinit tous les types d'objet et attributs
qu'AD DS utilise pour stocker des donnes. Il est
parfois dsign en tant que modle pour AD DS.
AD DS stocke et rcupre les informations d'une
grande varit d'applications et de services.
Le service AD DS normalise la manire dont les
donnes sont stockes dans l'annuaire AD DS
afin qu'il puisse stocker et rpliquer des donnes
partir de ces diverses sources. En normalisant la
manire dont les donnes sont stockes, AD DS
peut rcuprer, mettre jour et rpliquer des
donnes, tout en vrifiant que l'intgrit des donnes est maintenue.
AD DS utilise des objets comme units de stockage. Tous les types d'objet sont dfinis dans le schma.
Chaque fois que l'annuaire traite des donnes, il interroge le schma pour obtenir une dfinition d'objet
approprie. Selon la dfinition de l'objet dans le schma, l'annuaire cre l'objet et stocke les donnes.
Les dfinitions d'objet contrlent les types de donnes que les objets peuvent stocker et la syntaxe des
donnes. En utilisant ces informations, le schma garantit que tous les objets sont conformes leurs
dfinitions standard. En consquence, le service AD DS peut stocker, rcuprer et valider les donnes
qu'il gre, indpendamment de l'application constituant la source originale des donnes. Seules des
donnes ayant une dfinition d'objet existante dans le schma peuvent tre stockes dans l'annuaire.
Si un nouveau type de donnes doit tre stock, une nouvelle dfinition d'objet pour ces donnes
doit d'abord tre cre dans le schma.
Dans AD DS, le schma dfinit les lments suivants :
x
les objets qui sont utiliss pour stocker des donnes dans l'annuaire ;
les rgles qui dfinissent quels types d'objet vous pouvez crer, quels attributs doivent
tre dfinis (obligatoire) quand vous crez l'objet et quels attributs sont facultatifs ;
la structure et le contenu de l'annuaire lui-mme.
2-8
Vous pouvez utiliser un compte qui est un membre des administrateurs de schma pour modifier les
composants de schma sous forme de graphique. Les exemples des objets qui sont dfinis dans le schma
comprennent l'utilisateur, l'ordinateur, le groupe et le site. Parmi les nombreux attributs sont compris
les suivants : location, accountExpires, buildingName, company, manager et displayName.
Le contrleur de schma est l'un des contrleurs de domaine des oprations matre unique dans AD DS.
Puisque c'est un matre unique, vous devez apporter des modifications au schma en ciblant le contrleur
de domaine qui dtient le rle des oprations du contrleur de schma.
Le schma est rpliqu sur tous les contrleurs de domaine de la fort. Tout changement qui est apport
au schma est rpliqu sur chaque contrleur de domaine de la fort partir du titulaire du rle
du matre d'oprations de schma, en gnral le premier contrleur de domaine de la fort.
Puisque le schma dicte la manire dont les informations sont stockes et puisque toute modification
apporte au schma affecte chaque contrleur de domaine, les modifications apportes au schma
doivent tre ralises seulement si cela est ncessaire. Avant d'apporter des modifications, vous devez
examiner les modifications via un processus bien contrl, puis les implmenter seulement aprs avoir
ralis l'essai pour vrifier que les modifications ne compromettront pas le reste de la fort ni aucune
application qui utilise AD DS.
Bien que vous ne puissiez pas apporter de modification au schma directement, quelques applications
apportent des modifications au schma pour prendre en charge des fonctionnalits supplmentaires. Par
exemple, quand vous installez Exchange Server 2010 dans votre fort AD DS, le programme d'installation
tend le schma pour prendre en charge de nouveaux types d'objet et attributs.
Leon 2
Vue d'ensemble des contrleurs de domaine

Puisque les contrleurs de domaine authentifient tous les utilisateurs et ordinateurs dans le domaine,
le dploiement des contrleurs de domaine est essentiel au fonctionnement correct du rseau.
2-9
Cette leon porte sur les contrleurs de domaine, le processus de connexion et l'importance du serveur
DNS dans ce processus. En outre, cette leon prsente la fonction du catalogue global.
Tous les contrleurs de domaine sont essentiellement les mmes, deux exceptions prs. Les contrleurs
de domaine en lecture seule contiennent une copie en lecture seule de la base de donnes AD DS, alors
que les autres contrleurs de domaine ont une copie en lecture-criture. Il existe galement certaines
oprations qui peuvent tre excutes uniquement sur des contrleurs de domaine spcifiques appels
matres d'oprations, lesquels sont prsents la fin de cette leon.
x
x
x
x
dcrire la fonction des contrleurs de domaine ;

dfinir la fonction du catalogue global ;
dcrire le processus d'ouverture de session AD DS et l'importance des enregistrements
DNS et SRV dans le processus d'ouverture de session ;
dcrire les fonctionnalits des enregistrements SRV ;
expliquer les fonctions des matres d'oprations.
Qu'est-ce qu'un contrleur de domaine ?

Un contrleur de domaine est un serveur configur
pour stocker une copie de la base de donnes
d'annuaire AD DS (NTDS.DIT) et une copie
du dossier SYSVOL. Tous les contrleurs de
domaine, l'exception des contrleurs de
domaine en lecture seule, stockent une copie
en lecture/criture de NTDS.DIT et du dossier
SYSVOL. NTDS.DIT est la base de donnes
elle-mme et le dossier SYSVOL contient tous
les paramtres de modle des objets GPO.
Il est possible d'initier des modifications de la base
de donnes AD DS sur n'importe quel contrleur
de domaine d'un domaine, l'exception des contrleurs de domaine en lecture seule. Le service de
rplication AD DS synchronise alors les modifications et les mises jour de la base de donnes AD DS
sur tous les autres contrleurs de domaine du domaine. Les dossiers SYSVOL sont rpliqus par le
service de rplication de fichiers (FRS) ou par la rplication DFS (Distributed File System) plus rcente.
Les contrleurs de domaine hbergent plusieurs autres services lis Active Directory, y compris le
service d'authentification Kerberos, qui est utilis par les comptes d'utilisateur et d'ordinateur pour
l'authentification des connexions, et le centre de distribution de cls (KDC). Le centre de distribution
de cls est le service qui met le ticket TGT (Ticket-Granting Ticket) pour un compte qui se connecte
au domaine AD DS. Vous pouvez ventuellement configurer des contrleurs de domaine pour qu'ils
hbergent une copie du catalogue global Active Directory.
Un domaine AD DS doit toujours avoir un minimum de deux contrleurs de domaine. De cette faon,
si l'un des contrleurs de domaine connat une dfaillance, une instance de secours permet de garantir
la continuit des services de domaine AD DS. Quand vous dcidez d'ajouter plus de deux contrleurs
de domaine, considrez la taille de votre organisation et les exigences en matire de performances.
Remarque : Deux contrleurs de domaine doivent tre considrs comme un minimum

absolu.
Lorsque vous dployez un contrleur de domaine dans une filiale o la scurit physique n'est pas
optimale, certaines mesures supplmentaires peuvent tre utilises pour rduire l'impact d'une
brche de scurit. Une option consiste dployer un contrleur de domaine en lecture seule.
2-10 Prsentation des services de domaine Active Directory
Le contrleur de domaine en lecture seule contient une copie en lecture seule de la base de donnes
AD DS et, par dfaut, il ne met en cache aucun mot de passe d'utilisateur. Vous pouvez configurer le
contrleur de domaine en lecture seule pour mettre en cache les mots de passe pour les utilisateurs dans
la filiale. Si un contrleur de domaine en lecture seule est compromis, la perte d'informations potentielle
est nettement infrieure ce qu'elle serait avec un contrleur de domaine en lecture-criture complet.
Une autre option consiste utiliser le chiffrement de lecteur Windows BitLocker pour chiffrer le disque
dur du contrleur de domaine. Si le disque dur est vol, le chiffrement BitLocker garantit une trs faible
ventualit qu'un utilisateur malveillant parvienne obtenir des informations utiles du disque dur.
Remarque : BitLocker est un systme de chiffrement de lecteur disponible pour les

systmes d'exploitation Windows Server, ainsi que pour certaines versions clientes du systme
d'exploitation Windows. BitLocker chiffre de manire scurise le systme d'exploitation
entier de sorte que l'ordinateur ne puisse pas dmarrer sans qu'il lui soit fourni une cl
prive et (ventuellement) qu'il russisse un contrle d'intgrit. Un disque reste chiffr
mme si vous le transfrez sur un autre ordinateur.
Qu'est-ce que le catalogue global ?
2-11
Dans un mme domaine, la base de donnes

AD DS contient toutes les informations sur chaque
objet prsent dans ce domaine. Ces informations
ne sont pas rpliques en dehors du domaine. Par
exemple, une requte pour un objet dans AD DS
est dirige vers l'un des contrleurs de domaine
pour ce domaine. Si la fort contient plusieurs
domaines, cette requte ne fournit aucun rsultat
pour des objets figurant dans un autre domaine.
Pour permettre une recherche sur plusieurs
domaines, vous pouvez configurer un ou plusieurs
contrleurs de domaine pour stocker une copie
du catalogue global. Le catalogue global est une base de donnes distribue qui contient une
reprsentation pouvant faire l'objet d'une recherche de tous les objets issus de tous les domaines d'une
fort de plusieurs domaines. Par dfaut, le seul serveur de catalogue global qui est cr est le premier
contrleur de domaine dans le domaine racine de la fort.
Le catalogue global ne contient pas tous les attributs pour chaque objet. Au lieu de cela, le catalogue
global conserve le sous-ensemble des attributs qui sont le plus susceptibles d'tre utiles dans les
recherches inter-domaines. Ces attributs peuvent inclure firstname, displayname et location. Il existe
de nombreuses raisons pour lesquelles vous pouvez effectuer une recherche dans un catalogue global
plutt que sur un contrleur de domaine qui n'est pas un catalogue global. Par exemple, quand un
serveur Exchange reoit un courrier lectronique entrant, il doit rechercher le compte du destinataire
afin de pouvoir dcider comment router le message. En interrogeant automatiquement un catalogue
global, le serveur Exchange peut localiser le destinataire dans un environnement plusieurs domaines.
Lorsqu'un utilisateur se connecte son compte Active Directory, le contrleur de domaine qui effectue
l'authentification doit entrer en contact avec un catalogue global pour vrifier l'appartenance aux
groupes universels avant d'authentifier l'utilisateur.
Dans un domaine unique, tous les contrleurs de domaine doivent tre configurs comme dtenteurs
du catalogue global. Toutefois, dans un environnement plusieurs domaines, le matre d'infrastructure
ne doit pas tre un serveur de catalogue global. Quels contrleurs de domaine sont configurs pour
dtenir une copie du catalogue global dpend du trafic de rplication et de la bande passante rseau.
De nombreuses organisations choisissent de configurer chaque contrleur de domaine comme serveur
de catalogue global.
Question : Un contrleur de domaine doit-il tre un catalogue global ?
Processus de connexion AD DS
Lorsque vous ouvrez une session AD DS, votre
systme examine le service DNS pour trouver
des enregistrements de ressource de service (SRV)
permettant de localiser le contrleur de domaine
appropri le plus proche. Les enregistrements
SRV sont des enregistrements qui spcifient des
informations sur les services disponibles et qui
sont enregistrs dans DNS par tous les contrleurs
de domaine. l'aide des recherches DNS, les
clients peuvent localiser un contrleur de domaine
appropri pour traiter leurs demandes d'ouverture
de session.
Si l'ouverture de session a russi, l'autorit de scurit locale (LSA) cre un jeton d'accs pour l'utilisateur,
qui contient les identificateurs de scurit (SID) pour l'utilisateur et tous les groupes dont l'utilisateur
est membre. Le jeton fournit les informations d'identification d'accs pour tout processus initi
par l'utilisateur. Par exemple, aprs avoir ouvert une session AD DS, un utilisateur excute
Microsoft Office Word et tente d'ouvrir un fichier. Office Word utilise les informations d'identification
figurant dans le jeton d'accs de l'utilisateur pour vrifier le niveau des autorisations de l'utilisateur
pour ce fichier.
Remarque : Un SID est un numro unique prsentant la forme suivante :

S-1-5-21-4130086281-3752200129-271587809-500, o :
x
les quatre premiers blocs de lettres et de chiffres (S-1-5-21) reprsentent le type d'identificateur ;
les trois blocs de chiffres suivants (4130086281-3752200129-271587809) correspondent au numro
de la base de donnes o le compte est stock (habituellement le domaine AD DS) ;
la dernire section (500) est l'identificateur relatif (RID), lequel correspond la partie de
l'identificateur SID qui identifie de manire unique ce compte dans la base de donnes.
Chaque compte d'utilisateur et d'ordinateur et chaque groupe que vous crez ont un SID unique.
Ils diffrent les uns des autres uniquement en vertu de identificateur RID unique. Vous pouvez
constater que cet identificateur SID particulier est le SID du compte administrateur, car il se
termine par un identificateur RID gal 500.
Sites
Les sites sont utiliss par un systme client quand il doit entrer en contact avec un contrleur de
domaine. Il commence par rechercher des enregistrements SRV dans DNS. Le systme client essaie
ensuite de se connecter un contrleur de domaine situ dans le mme site avant d'essayer ailleurs.
2-13
Les administrateurs peuvent dfinir des sites dans AD DS. Les sites s'alignent habituellement sur les parties
du rseau qui disposent d'une connectivit et d'une bande passante satisfaisantes. Par exemple, si une
filiale est connecte au centre de donnes principal par une liaison WAN peu fiable, il est prfrable
de dfinir le centre de donnes et la filiale en tant que sites distincts dans AD DS.
Les enregistrements SRV sont inscrits dans DNS par le service Net Logon qui s'excute sur chaque
contrleur de domaine. Si les enregistrements SRV ne sont pas entrs correctement dans DNS, vous
pouvez imposer au contrleur de domaine de rinscrire ces enregistrements en redmarrant le service
Net Logon sur ce contrleur de domaine. Ce processus rinscrit uniquement les enregistrements SRV.
Si vous souhaitez rinscrire les informations sur les enregistrements d'hte (A) dans DNS, vous devez
excuter ipconfig /registerdns dans une invite de commandes, comme vous le feriez pour tout autre
ordinateur.
Bien que le processus d'ouverture de session apparaisse l'utilisateur comme un vnement unique,
il comporte en fait deux parties :
x
L'utilisateur fournit des informations d'identification, habituellement un nom de compte d'utilisateur

et un mot de passe, qui sont ensuite vrifies dans la base de donnes AD DS. Si le nom du compte
d'utilisateur et le mot de passe correspondent aux informations stockes dans la base de donnes
AD DS, l'utilisateur devient un utilisateur authentifi et un ticket TGT lui est remis par le contrleur
de domaine. ce stade, l'utilisateur n'a encore accs aucune ressource dans le rseau.
Un processus secondaire en arrire-plan soumet le ticket TGT au contrleur de domaine et demande

l'accs l'ordinateur local. Le contrleur de domaine remet un ticket de service l'utilisateur, lequel
est alors en mesure d'interagir avec l'ordinateur local. ce stade du processus, l'utilisateur est
authentifi auprs d'AD DS et connect l'ordinateur local.
Quand un utilisateur essaie ultrieurement de se connecter un autre ordinateur du rseau, le processus

secondaire est excut de nouveau et le ticket TGT est soumis au contrleur de domaine le plus proche.
Lorsque le contrleur de domaine retourne un ticket de service, l'utilisateur peut accder l'ordinateur
sur le rseau, lequel gnre un vnement de connexion cet ordinateur.
Remarque : Un ordinateur joint un domaine ouvre galement une session AD DS lorsqu'il

dmarre, ce qui est souvent nglig. Vous ne voyez pas la transaction quand l'ordinateur utilise
le nom de son compte d'ordinateur et un mot de passe pour ouvrir une session AD DS. Une
fois authentifi, l'ordinateur devient membre du groupe Utilisateurs authentifis. Bien que le
processus de connexion un ordinateur n'ait aucune confirmation visuelle sous forme d'interface
graphique utilisateur, des vnements consigns enregistrent cette activit. En outre, si l'audit
est activ, des vnements supplmentaires sont visualisables dans le journal de scurit
de l'Observateur d'vnements.
Dmonstration : Affichage des enregistrements SRV dans DNS

Cette dmonstration vous montre comment afficher les divers types d'enregistrements SRV que les
contrleurs de domaine inscrivent dans DNS. Ces enregistrements sont cruciaux pour l'oprabilit
d'AD DS, parce qu'ils permettent de rechercher des contrleurs de domaine pour les ouvertures de
sessions, les changements de mot de passe et la modification des objets GPO. Les enregistrements SRV
sont galement utiliss par les contrleurs de domaine pour rechercher des partenaires de rplication.
Afficher les enregistrements SRV l'aide du Gestionnaire DNS
1.
Ouvrez la fentre Gestionnaire DNS et explorez les domaines DNS avec trait de soulignement.
2.
Consultez les enregistrements SRV inscrits par les contrleurs de domaine. Ces enregistrements
fournissent des chemin d'accs de substitution pour que les clients puissent les dcouvrir.
Que sont les matres d'oprations ?

Bien que tous les contrleurs de domaine soient
essentiellement gaux, certaines tches peuvent
tre effectues uniquement en ciblant un
contrleur de domaine particulier. Par exemple,
si vous devez ajouter un domaine supplmentaire
la fort, vous devez tre en mesure de vous
connecter au matre d'oprations des noms
de domaine. Les contrleurs de domaine
dots de ces rles sont :
x
x
les matres d'oprations ;

les rles de matre unique ;
les oprations matre unique flottant (FSMO).
Ces rles sont distribus comme suit :

x
Chaque fort possde un contrleur de schma et un matre d'oprations des noms de domaine.
Chaque domaine AD DS possde un matre RID, un matre d'infrastructure et un mulateur
de contrleur de domaine principal (PDC).
Matres d'oprations de fort

Les rles suivants sont les rles de matre unique prsents dans une fort :
x
x
Matre d'attribution de noms de domaine. Il s'agit du contrleur de domaine qui doit tre contact
lorsque vous ajoutez ou supprimez un domaine, ou lorsque vous apportez des modifications de
nom des domaines.
Contrleur de schma. Il s'agit du contrleur de domaine sur lequel toutes les modifications
de schma sont effectues. Pour effectuer des modifications, vous pouvez en gnral vous
connecter au contrleur de schma en tant que membre des groupes Administrateurs du schma
et Administrateurs de l'entreprise. Un utilisateur qui est un membre de ces deux groupes et qui
dispose des autorisations appropries peut galement modifier le schma l'aide d'un script.
Matres d'oprations de domaine

Les rles suivants sont les rles de matre unique prsents dans un domaine :
x
2-15
Matre RID. Chaque fois qu'un objet est cr dans AD DS, le contrleur de domaine sur lequel l'objet
est cr attribue l'objet un numro d'identification unique appel identificateur SID. Pour garantir
que deux contrleurs de domaine ne peuvent pas attribuer le mme SID deux objets diffrents,
le matre RID alloue des blocs de RID chaque contrleur de domaine dans le domaine.
Matre d'infrastructure. Ce rle est responsable de la conservation des rfrences d'objets
inter-domaines, par exemple lorsqu'un groupe dans un domaine contient un membre issu d'un
autre domaine. Dans cette situation, le matre d'infrastructure est responsable du maintien de
l'intgrit de cette rfrence. Par exemple, lorsque vous regardez l'onglet de scurit d'un objet,
le systme recherche les SID qui sont rpertoris et les traduit en noms. Dans une fort plusieurs
domaines, le matre d'infrastructure recherche les SID dans les autres domaines.
Le rle d'infrastructure ne doit pas rsider sur un serveur de catalogue global. Une exception cette
rgle est faite lorsque vous suivez les meilleures pratiques et configurez chaque contrleur de
domaine comme catalogue global. Dans ce cas, le rle d'infrastructure est dsactiv parce que
chaque contrleur de domaine connat chaque objet dans la fort.
Matre d'mulateur de contrleur de domaine principal Le contrleur de domaine qui dtient le rle
d'mulateur de contrleur de domaine principal (mulateur PDC) reprsente la source de temps
pour le domaine. Les contrleurs de domaine qui dtiennent le rle d'mulateur PDC dans
chaque domaine d'une fort synchronisent leur temps avec le contrleur de domaine qui a le
rle d'mulateur PDC dans le domaine racine de la fort. Vous dfinissez l'mulateur PDC dans
le domaine racine de la fort pour synchroniser son horloge avec une source de temps atomique
externe.
L'mulateur PDC est galement le contrleur de domaine qui reoit les changements de mot
de passe urgents. Si le mot de passe d'un utilisateur est modifi, ces informations sont envoyes
immdiatement au contrleur de domaine dtenant le rle d'mulateur PDC. Ceci signifie que
si l'utilisateur essaie ultrieurement de se connecter et qu'il est authentifi par un contrleur
de domaine dans un emplacement diffrent qui n'a pas encore reu une mise jour concernant
le nouveau mot de passe, le contrleur de domaine dans l'emplacement o l'utilisateur essaie
de se connecter contacte le contrleur de domaine dtenant le rle d'mulateur PDC et vrifie
les modifications rcentes.
L'mulateur PDC est galement utilis lors de la modification d'objets GPO. Lorsqu'un objet GPO
autre qu'un objet GPO local est ouvert pour tre modifi, la copie qui est modifie est celle qui
est stocke sur l'mulateur PDC.
Remarque : Le catalogue global n'est pas l'un des rles de matre d'oprations.
Question : Pourquoi configurer un contrleur de domaine comme serveur de catalogue
global ?
Leon 3
Installation d'un contrleur de domaine
Parfois, vous devez installer des contrleurs de domaine supplmentaires sur votre systme d'exploitation
Windows Server 2012. Cela peut tre d au fait que les contrleurs de domaine existants sont surchargs
et que vous avez besoin de ressources supplmentaires. Vous envisagez peut-tre d'installer un nouveau
bureau distant, ce qui vous oblige dployer un ou plusieurs contrleurs de domaine. Vous installez
peut-tre galement un environnement de test ou un site auxiliaire. La mthode d'installation utiliser
varie selon les circonstances.
Cette leon dvoile plusieurs manires d'installer des contrleurs de domaine supplmentaires.
Elle montre galement comment utiliser le Gestionnaire de serveur pour installer AD DS sur un
ordinateur local et sur un serveur distant. Cette leon prsente galement l'installation d'AD DS sur
une installation minimale et sur un ordinateur utilisant une capture instantane de la base de donnes
AD DS qui est stocke sur un mdia amovible. Enfin, elle dcrit le processus de mise niveau d'un
contrleur de domaine d'un systme d'exploitation Windows antrieur vers Windows Server 2012.
x
x
x
x
expliquer comment installer un contrleur de domaine l'aide de l'interface utilisateur graphique ;

expliquer comment installer un contrleur de domaine sur une installation minimale de
expliquer comment mettre niveau un contrleur de domaine en utilisant l'installation partir
du support ;
expliquer comment installer un contrleur de domaine en utilisant l'installation partir du support.
Installation d'un contrleur de domaine partir du Gestionnaire

de serveur
Avant Windows Server 2012, il tait courant
d'utiliser l'outil dcpromo.exe pour installer des
contrleurs de domaine. Si vous tentez d'excuter
dcpromo.exe sur un serveur Windows Server 2012,
vous recevrez le message d'erreur suivant :
L'Assistant Installation des services de
domaine Active Directory a t dplac
dans le Gestionnaire de serveur.
Pour plus d'informations, voir
http://go.microsoft.com/fwlink/?LinkId=220921 .
Remarque : L'outil dcpromo.exe est un outil

que vous excutez sur un serveur pour faire de ce dernier un contrleur de domaine AD DS.
Jusqu' Windows Server 2012, dcpromo.exe tait la mthode recommande pour installer AD DS
et il s'excutait habituellement en mode GUI. Dans Windows Server 2012, cet outil est remplac
par le Gestionnaire de serveur. Dcpromo.exe est encore disponible, mais il peut tre utilis
uniquement pour des installations sans assistance partir de l'interface de ligne de commande.
Quand vous excutez le Gestionnaire de serveur, vous pouvez choisir si l'opration est excute sur
l'ordinateur local, sur un ordinateur distant ou par des membres d'un pool de serveurs. Ensuite, vous
ajoutez le rle AD DS. la fin du processus d'installation initial, les binaires AD DS sont installs, mais
AD DS n'est pas encore configur sur ce serveur. Un message cet effet s'affiche dans le Gestionnaire
de serveur.
Vous pouvez slectionner le lien pour Promouvoir ce serveur en contrleur de domaine et
l'Assistant Configuration des services de domaine Active Directory s'excute. Vous pouvez alors
fournir les informations rpertories dans le tableau suivant au sujet de la structure propose.
Informations requises
Description
2-17
Ajouter un contrleur de domaine

un domaine existant
Dcidez s'il convient d'ajouter un contrleur

de domaine supplmentaire un domaine.
Ajouter un nouveau domaine dans

une fort existante
Crez un nouveau domaine dans la fort.
Ajouter une nouvelle fort
Crez une nouvelle fort.
Spcifier les informations de domaine

pour cette opration
Fournissez des informations sur le domaine existant

auquel le nouveau contrleur de domaine se
connectera.
Fournir les informations d'identification

pour effectuer cette opration
Entrez le nom d'un compte d'utilisateur dot des droits

d'effectuer cette opration.
Certaines informations supplmentaires dont vous devez disposer avant d'excuter la promotion
de contrleur de domaine sont rpertories dans le tableau suivant.
Informations requises
Description
Nom DNS pour le domaine AD DS
Par exemple, adatum.com
Nom NetBIOS pour le domaine AD DS
Par exemple, adatum
Si la nouvelle fort doit prendre en charge

des contrleurs de domaine excutant
des versions antrieures des systmes
d'exploitation Windows (affecte le choix
du niveau fonctionnel)
Par exemple, si vous envisagez de dployer des

contrleurs de domaine Windows Server 2008 R2,
vous devez slectionner le niveau fonctionnel de
la fort et du domaine Windows Server 2008 R2.
Si ce contrleur de domaine sera

galement un serveur DNS
Votre DNS doit fonctionner correctement pour prendre

en charge AD DS.
Emplacement pour stocker les fichiers

de base de donnes, tels que NTDS.DIT,
edb.log et edb.chk.
Par dfaut, ces fichiers seront stocks dans

C:\Windows\NTDS.
L'Assistant Configuration des services de domaine Active Directory comporte plusieurs pages
diffrentes qui vous permettent d'entrer des lments prrequis tels que le nom de domaine NetBIOS,
la configuration DNS, si ce contrleur de domaine doit tre un serveur de catalogue global, ainsi
que le mot de passe du mode de restauration des services d'annuaire. Enfin, vous devez effectuer
un redmarrage pour complter l'installation.
Remarque : Si vous devez restaurer la base de donnes AD DS partir d'une sauvegarde,

redmarrez le contrleur de domaine dans le mode de restauration des services d'annuaire.
Lorsque le contrleur de domaine dmarre, il n'excute pas les services AD DS. Au lieu de cela, il s'excute
en tant que serveur membre dans le domaine. Pour se connecter ce serveur en l'absence d'AD DS,
connectez-vous en utilisant le mot de passe du mode de rcupration des services d'annuaire.
Installation d'un contrleur de domaine sur une installation minimale

de Windows Server 2012
La configuration d'un serveur
Windows Server 2012 qui excute une installation
minimale en tant que contrleur de domaine
est plus difficile car vous ne pouvez pas excuter
l'Assistant Configuration des services de domaine
Active Directory sur le serveur. Pour installer les
binaires AD DS sur le serveur, vous pouvez utiliser
le Gestionnaire de serveur pour vous connecter
distance au serveur excutant l'installation
minimale. Vous pouvez galement utiliser
la commande Windows PowerShell
Install-Windowsfeature -name AD-DomainServices pour installer les binaires.
Une fois que vous avez install les binaires AD DS, vous pouvez terminer l'installation et la configuration
d'une des quatre manires suivantes :
x
x
x
Dans le Gestionnaire de serveur, cliquez sur l'icne de notification pour terminer la configuration
post-dploiement. Ceci dmarre la configuration et l'installation du contrleur de domaine.
Excutez la commande Windows PowerShell Install-ADDSDomainController domainname
Adatum.com avec d'autres arguments, selon les besoins.
Crez un fichier de rponses et excutez dcpromo /unattend:D:\answerfile.txt une
invite de commandes o D:\answerfile.txt est le chemin d'accs au fichier de rponses.
Excutez dcpromo /unattend une invite de commandes avec les commutateurs appropris,
par exemple :
dcpromo /unattend /InstallDns:yes /confirmglobal catalog:yes /replicaOrNewDomain:replica
/replicadomaindnsname:"nouveau_domaine.com" /databasePath:"c:\ntds"
/logPath:"c:\ntdslogs" /sysvolpath:"c:\sysvol" /safeModeAdminPassword:Pa$$w0rd
/rebootOnCompletion:yes
Mise niveau d'un contrleur de domaine

Vous pouvez mettre niveau un contrleur
de domaine Windows Server 2012 de deux
manires. Vous pouvez mettre niveau le systme
d'exploitation sur les contrleurs de domaine
existants qui excutent Windows Server 2008 ou
Windows Server 2008 R2. Vous pouvez galement
introduire des serveurs Windows Server 2012
comme contrleurs de domaine dans un
domaine contenant des contrleurs de domaine
qui excutent des versions antrieures de
Windows Server. Des deux manires, la seconde
est la mthode recommande car elle vous
permet de disposer la fin sur le serveur d'une nouvelle installation du systme d'exploitation
Windows Server 2012 et de la base de donnes AD DS.
Mise niveau vers Windows Server 2012
2-19
Pour mettre niveau un domaine AD DS qui s'excute un niveau fonctionnel de Windows Server
plus ancien vers un domaine AD DS qui s'excute au niveau fonctionnel de Windows Server 2012, vous
devez commencer par mettre niveau tous les contrleurs de domaine vers le systme d'exploitation
Windows Server 2012. Vous pouvez accomplir ceci en mettant niveau tous les contrleurs de domaine
existants vers Windows Server 2012 ou en introduisant de nouveaux contrleurs de domaine qui
excutent Windows Server 2012, puis en retirant progressivement les contrleurs de domaine existants.
Pour effectuer une mise niveau sur place d'un ordinateur dot du rle AD DS, vous devez commencer
par utiliser les commandes de ligne de commande Adprep.exe /forestprep et Adprep.exe
/domainprep pour prparer la fort et le domaine. Une mise niveau sur place du systme d'exploitation
n'effectue pas une prparation automatique du schma et du domaine. Adprep.exe est inclus sur le
support d'installation dans le dossier \Support\Adprep. Aucune tape supplmentaire de configuration
ne figure aprs ce point et vous pouvez continuer excuter la mise niveau du systme d'exploitation
Lorsque vous effectuez la promotion d'un serveur Windows Server 2012 en contrleur de domaine
dans un domaine existant et si vous tes connect en tant que membre des groupes Administrateurs
du schma et Administrateurs de l'entreprise, le schma AD DS sera mis jour automatiquement vers
Windows Server 2012. Dans ce scnario, vous n'avez pas besoin d'excuter les commandes Adprep.exe
avant de commencer l'installation.
Dploiement de contrleurs de domaine Windows Server 2012

Pour mettre niveau le systme d'exploitation d'un contrleur de domaine Windows Server 2008
vers Windows Server 2012, procdez comme suit :
1.
Insrez le disque d'installation de Windows Server 2012, puis excutez Setup.
2.
Aprs la page de slection de la langue, cliquez sur Installer maintenant.
3.
Aprs la fentre de slection du systme d'exploitation et la page d'acceptation de licence, dans

la fentre Quel type d'installation voulez-vous effectuer ?, cliquez sur Mise niveau : installer
Windows et conserver les fichiers, les paramtres et les applications.
Remarque : Avec ce type de mise niveau, il n'est pas ncessaire de conserver les
paramtres des utilisateurs ni de rinstaller les applications ; tout est mis niveau sur place.
Veillez vrifier la compatibilit matrielle et logicielle avant d'effectuer une mise niveau.
Pour introduire une nouvelle installation de Windows Server 2012 en tant que contrleur de domaine,
procdez comme suit :
1.
Dployez et configurez une nouvelle installation de Windows Server 2012 et joignez-la au domaine.
2.
Effectuez la promotion du nouveau serveur en tant que contrleur de domaine dans le domaine
en utilisant la version 2012 du Gestionnaire de serveur ou l'une des autres mthodes dcrites
prcdemment.
Remarque : Vous pouvez mettre niveau directement Windows Server 2008

et Windows Server 2008 R2 vers Windows Server 2012.
Installation d'un contrleur de domaine en utilisant l'installation partir

du support
Si vous possdez un rseau d'intervention qui est
lent, peu fiable ou coteux, il peut vous sembler
ncessaire d'ajouter un autre contrleur de
domaine un emplacement distant ou dans une
filiale. Dans ce scnario, il vaut souvent mieux
dployer AD DS sur un serveur l'aide de la
mthode Installation partir du support (IFM).
Par exemple, si vous vous connectez un serveur

dans un bureau distant et utilisez le Gestionnaire
de serveur pour installer AD DS, vous devez copier
la base de donnes AD DS complte et le dossier
SYSVOL sur le nouveau contrleur de domaine.
Ce processus doit avoir lieu via une connexion WAN potentiellement peu fiable. Comme alternative, pour
rduire de manire significative la quantit de trafic copie via la liaison WAN, vous pouvez effectuer une
copie de sauvegarde d'AD DS l'aide de l'outil Ntdsutil. Quand vous excutez le Gestionnaire de serveur
pour installer AD DS, vous pouvez slectionner l'option Installation partir du support. La majeure
partie de la copie s'effectue alors localement (par exemple partir d'un lecteur USB) et la liaison WAN
est utilise seulement pour le trafic de scurit et pour garantir que le nouveau contrleur de domaine
reoit toutes les modifications effectues aprs la cration de la sauvegarde IFM.
Pour installer un contrleur de domaine en utilisant l'installation partir du support, accdez un

contrleur de domaine qui n'est pas en lecture seule. Utilisez l'outil Ntdsutil pour crer une capture
instantane de la base de donnes AD DS, puis copiez la capture instantane sur le serveur qui
sera promu comme contrleur de domaine. Utilisez le Gestionnaire de serveur pour promouvoir le
serveur comme contrleur de domaine en slectionnant l'option Installation partir du support,
puis en fournissant le chemin d'accs local au rpertoire IFM que vous avez cr auparavant.
La procdure complte est la suivante :
1.
Sur le contrleur de domaine complet, ouvrez une invite de commandes d'administration, tapez
les commandes suivantes (o C:\IFM est le rpertoire de destination qui contiendra la capture
instantane de la base de donnes AD DS) et appuyez sur Entre aprs chaque ligne :
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
2.
Sur le serveur dont vous effectuez la promotion en tant que contrleur de domaine, procdez
comme suit :
2-21
a.
Utilisez le Gestionnaire de serveur pour ajouter le rle AD DS.
b.
Patientez pendant que les binaires AD DS s'installent.
c.
Dans le Gestionnaire de serveur, cliquez sur l'icne de notification pour terminer la configuration
post-dploiement. L'Assistant Configuration des services de domaine Active Directory s'excute.
d.
Au moment opportun pendant l'excution de l'Assistant, slectionnez l'option d'installation

partir du support (IFM), puis fournissez le chemin d'accs local au rpertoire de capture
instantane.
AD DS s'installe alors partir de la capture instantane. Lorsque le contrleur de domaine redmarre,

il contacte les autres contrleurs de domaine dans le domaine et met jour AD DS avec toutes les
modifications qui ont t apportes depuis la cration de la capture instantane.
Documentation supplmentaire : Pour plus d'informations sur les tapes ncessaires pour
installer AD DS, voir Installer les services de domaine Active Directory (niveau 100) l'adresse
Question : Pour quelle raison spcifier le mot de passe pour le mode de restauration des
services d'annuaire ?

3-1
Module 3
Gestion des objets de services de domaine Active Directory

Table des matires :
3-1
Leon 1 : Gestion de comptes d'utilisateurs
3-3
Leon 2 : Gestion des comptes de groupes
3-12
Leon 3 : Gestion des comptes d'ordinateurs
3-20
Leon 4 : Dlgation de l'administration
3-26
Atelier pratique : Gestion des objets de services de domaine Active Directory
3-30
3-37
Les comptes d'utilisateurs sont des composants fondamentaux de la scurit du rseau. Enregistrs dans
les services de domaine Active Directory (AD DS), les comptes d'utilisateurs identifient les utilisateurs
des fins d'authentification et d'autorisation. En raison de leur importance, une comprhension des
comptes d'utilisateurs et des tches lies leur prise en charge est un aspect essentiel de l'administration
d'un rseau d'entreprise avec systme d'exploitation Windows Server.
Bien que les utilisateurs et les ordinateurs, et mme les services, voluent dans le temps, les rles et rgles
mtier tendent se stabiliser. Votre entreprise a probablement un rle financier, qui requiert certaines
fonctions dans l'entreprise. L'utilisateur ou les utilisateurs qui tiennent ce rle peuvent changer, mais
le rle change relativement peu. C'est pourquoi il n'est pas raisonnable de grer un rseau d'entreprise
en attribuant des droits et des autorisations aux utilisateurs, aux ordinateurs ou aux identits de service.
Au lieu de cela, associez des tches de gestion des groupes. Par consquent, il est important que vous
sachiez utiliser les groupes pour identifier les rles administratifs et utilisateur, filtrer la stratgie de
groupe, attribuer des stratgies de mot de passe unique, et attribuer des droits et des autorisations.
Les ordinateurs, comme les utilisateurs, sont des entits de scurit :
x
x
Ils ont un compte avec un nom de connexion et un mot de passe que Windows Server modifie
automatiquement et rgulirement.
Ils s'authentifient auprs du domaine.
Ils peuvent appartenir aux groupes, ont accs aux ressources, et vous pouvez les configurer l'aide
de la stratgie de groupe.
3-2
La gestion des ordinateurs (tant les objets dans AD DS et les priphriques physiques) est l'une des tches
quotidiennes de la plupart des professionnels de l'informatique. De nouveaux ordinateurs sont ajouts
votre organisation, mis hors connexion pour rparation, changs entre utilisateurs ou rles, et supprims
ou mis niveau. Chacune de ces activits requiert de grer l'identit de l'ordinateur, qui est reprsente
par son objet, ou compte, et AD DS. Par consquent, il est important que vous sachiez crer et grer des
objets ordinateur.
Dans les petites organisations, une personne peut tre responsable de toutes ces tches d'administration
quotidiennes. Cependant, dans les rseaux de grandes entreprises, avec des milliers d'utilisateurs et
d'ordinateurs, cela n'est pas possible. Il est important qu'un administrateur d'entreprise sache dlguer
des tches d'administration spcifiques aux utilisateurs ou aux groupes dsigns pour garantir une
administration d'entreprise efficace.
Objectifs
x
grer les comptes d'utilisateurs avec les outils graphiques ;

grer les comptes de groupes avec les outils graphiques ;
grer les comptes d'ordinateurs ;
dlguer les autorisations d'excution de l'administration d'AD DS.
Leon 1
Gestion de comptes d'utilisateurs
Un objet utilisateur dans AD DS est bien plus que de simples proprits lies l'identit de scurit,
ou compte, de l'utilisateur. Il constitue la pierre angulaire de l'identit et de l'accs dans les services
de domaine Active Directory. Par consquent, les processus cohrents, efficaces et scuriss concernant
l'administration des comptes d'utilisateurs constituent la pierre angulaire de la gestion de la scurit
d'entreprise.
x
afficher les objets AD DS l'aide de divers outils d'administration d'AD DS ;

expliquer comment crer des comptes d'utilisateurs que vous pouvez utiliser dans un rseau
d'entreprise ;
dcrire comment configurer des attributs de compte d'utilisateur importants ;
dcrire comment crer des profils utilisateur ;
expliquer comment grer des comptes d'utilisateurs.
Outils d'administration d'AD DS

Avant de pouvoir commencer crer et grer
des comptes d'utilisateurs, de groupes et
d'ordinateurs, il est important que vous
compreniez quels outils vous pouvez utiliser
pour effectuer ces diverses tches de gestion.
Composants logiciels enfichables

d'administration Active Directory
La majorit de l'administration d'AD DS est
excute l'aide des composants logiciels
enfichables et consoles suivants :
x
Utilisateurs et ordinateurs Active Directory.

Ce composant logiciel enfichable gre la plupart des ressources quotidiennes courantes, dont
les utilisateurs, les groupes, les ordinateurs et les units d'organisation. Il s'agit probablement
du composant logiciel enfichable le plus utilis par un administrateur Active Directory.
Sites et services Active Directory. Ce composant logiciel enfichable gre la rplication, la topologie
du rseau et les services connexes.
3-3
x
x
Composant Domaines et approbations Active Directory. Ce composant logiciel enfichable configure

et maintient les relations d'approbation ainsi que le niveau fonctionnel du domaine et de la fort.
Composant logiciel enfichable Schma Active Directory. Ce composant logiciel enfichable examine
et modifie la dfinition des attributs et des classes d'objets d'Active Directory. Il constitue le modle
pour AD DS. Il est rarement affich, et encore plus rarement modifi. Par consquent, le composant
logiciel enfichable Schma Active Directory n'est pas install par dfaut.
Remarque : Pour administrer AD DS partir d'un ordinateur qui n'est pas un contrleur
de domaine, vous devez installer les Outils d'administration de serveur distant (RSAT). Les Outils
d'administration de serveur distant (RSAT) sont une fonctionnalit qui peut tre installe partir
du nud Fonctionnalits du Gestionnaire de serveur sur Windows Server 2012.
3-4
Vous pouvez galement installer RSAT sur des clients Windows, y compris Windows Vista Service Pack 1
(ou version ultrieure), Windows 7 et Windows 8. Aprs avoir tlcharg les fichiers d'installation de RSAT
partir du site Web de Microsoft, excutez l'Assistant Installation, qui vous guide tout au long de
l'installation. Aprs avoir install RSAT, vous devez activer l'outil ou les outils que vous souhaitez utiliser.
Pour ce faire, dans le Panneau de configuration, dans l'application Programmes et fonctionnalits, utilisez
la commande Activer ou dsactiver des fonctionnalits Windows.
Documentation supplmentaire : Pour tlcharger les fichiers d'installation

de RSAT, consultez le Centre de tlchargement Microsoft l'adresse
Centre d'administration Active Directory

Windows Server 2012 fournit une autre option pour grer des objets AD DS. Le Centre d'administration
Active Directory fournit une interface utilisateur graphique (GUI) reposant sur Windows PowerShell.
Cette interface amliore vous permet d'effectuer la gestion d'objets AD DS l'aide de la navigation
oriente vers les tches. Les tches que vous pouvez effectuer l'aide du Centre d'administration
Active Directory comprennent :
x
x
x
x
crer et grer des comptes d'utilisateurs, d'ordinateurs et de groupes ;

crer et grer des units d'organisation ;
se connecter plusieurs domaines, et les grer, dans une instance unique du Centre d'administration
Active Directory ;
rechercher et filtrer des donnes d'Active Directory en gnrant des requtes.
Windows PowerShell
3-5
Vous pouvez utiliser le module Active Directory pour Windows PowerShell (module Active Directory) pour
crer et grer des objets dans AD DS. Windows PowerShell est non seulement un langage de script, mais
il permet galement d'excuter les commandes qui effectuent des tches d'administration, telles que
la cration de comptes d'utilisateurs, la configuration de services, la suppression de botes aux lettres,
et autres fonctions similaires.
Windows PowerShell est install par dfaut sur Windows Server 2012, mais le module Active Directory
est seulement prsent lorsque :
x
x
vous installez les rles de serveur AD DS ou des services AD LDS (Active Directory Lightweight
Directory Services) ;
vous excutez Dcpromo.exe pour promouvoir un ordinateur dans un contrleur de domaine ;
vous installez RSAT.
Outils de ligne de commande du service d'annuaire
Vous pouvez galement utiliser les outils de ligne de commande du service d'annuaire, en plus de
Windows PowerShell. Ces outils permettent de crer, modifier, grer et supprimer des objets AD DS,
tels que des utilisateurs, des groupes et des ordinateurs. Vous pouvez utiliser les commandes suivantes :
Dsadd. Pour crer des objets.

Dsget. Pour afficher des objets et leurs proprits.
Dsmod. Pour modifier des objets et leurs proprits.
Dsmove. Pour dplacer des objets.
Dsquery. Pour demander AD DS des objets qui correspondent des critres que vous fournissez.
Dsrm. Pour supprimer des objets.
Remarque : Il est possible de diriger les rsultats de la commande Dsquery vers d'autres
commandes du service d'annuaire. Par exemple, la saisie de la commande suivante une invite
de commandes retourne le numro de tlphone de bureau de tous les utilisateurs dont le nom
commence par John :
dsquery user name John* | dsget user office
Cration de comptes d'utilisateurs

Dans AD DS, tous les utilisateurs qui ont besoin
d'accder aux ressources rseau doivent
tre configurs avec un compte d'utilisateur.
Grce ce compte d'utilisateur, les utilisateurs
peuvent s'authentifier auprs du domaine AD DS
et recevoir l'accs aux ressources rseau.
Dans Windows Server 2012, un compte
d'utilisateur est un objet qui contient toutes
les informations qui dfinissent un utilisateur.
Un compte d'utilisateur inclut le nom d'utilisateur
et le mot de passe, ainsi que les appartenances
aux groupes. Un compte d'utilisateur contient
galement de nombreux autres paramtres que vous pouvez configurer en fonction de la configuration
requise de votre organisation.
Avec un compte d'utilisateur, vous pouvez effectuer les tches suivantes :
x
x
x
accorder ou refuser aux utilisateurs des autorisations d'ouverture de session sur un ordinateur
en fonction de l'identit de leur compte d'utilisateur ;
autoriser les utilisateurs accder des processus et des services dans un contexte de scurit
spcifique ;
3-6
grer l'accs des utilisateurs aux ressources, telles que les objets AD DS et leurs proprits, les dossiers
partags, les fichiers, les annuaires et les files d'attente d'impression.
Un compte d'utilisateur permet un utilisateur d'ouvrir une session sur les ordinateurs et domaines avec
une identit que le domaine peut authentifier. Lorsque vous crez un compte d'utilisateur, vous devez
fournir un nom d'ouverture de session d'utilisateur, qui doit tre unique dans le domaine/la fort dans
lesquels le compte d'utilisateur est cr.
Pour optimiser la scurit, vitez que plusieurs utilisateurs partagent un mme compte, et vrifiez plutt
que chaque utilisateur qui ouvre une session sur le rseau dispose d'un compte d'utilisateur et d'un mot
de passe uniques.
Remarque : Bien que les comptes AD DS soient le sujet principal de ce cours, vous pouvez
galement enregistrer des comptes d'utilisateurs dans la base de donnes du Gestionnaire
de comptes de scurit locale de chaque ordinateur, ce qui permet d'ouvrir une session locale
et d'accder aux ressources locales. Les comptes d'utilisateurs locaux, pour la plupart, sortent
du cadre de ce cours.
Cration de comptes d'utilisateurs

Un compte d'utilisateur comprend le nom d'utilisateur et le mot de passe, qui servent d'informations
d'ouverture de session pour l'utilisateur. Un objet utilisateur comprend galement plusieurs autres
attributs qui permettent de dcrire et de grer l'utilisateur.
Vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory,
le Centre d'administration Active Directory, Windows PowerShell ou l'outil de ligne de commande
dsadd.exe pour crer un objet utilisateur.
Lorsque vous crez des comptes d'utilisateurs, prenez en compte les proprits suivantes :
x
La proprit Nom complet du compte d'utilisateur permet de crer plusieurs attributs d'un objet
utilisateur, et particulirement le nom commun (CN) et les proprits du nom complet. Le nom
complet d'un utilisateur est le nom affich dans le volet d'informations du composant logiciel
enfichable. Il doit tre unique dans le conteneur ou l'unit d'organisation. Si vous crez un objet
utilisateur pour une personne portant le mme nom qu'un utilisateur existant dans la mme
unit d'organisation ou le mme conteneur, vous devez entrer un nom unique dans le champ
Nom complet.
3-7
La proprit Ouverture de session UPN de l'utilisateur se compose d'un prfixe de nom d'ouverture
de session de l'utilisateur et d'un suffixe de nom d'utilisateur principal (UPN) qui seront ajouts
au nom d'ouverture de session de l'utilisateur aprs le symbole @.
o
Les noms d'utilisateurs dans AD DS peuvent contenir des caractres spciaux, dont des points,
des traits d'union et des apostrophes. Ces caractres spciaux vous permettent de gnrer des
noms d'utilisateur exacts, tels que O'Hare et Smith-Bates. Cependant, certaines applications
peuvent prsenter d'autres restrictions, nous vous recommandons donc d'utiliser uniquement
des lettres et chiffres standard jusqu' ce que vous ayez test entirement les applications dans
votre environnement d'entreprise des fins de compatibilit avec des caractres spciaux.
Vous pouvez grer la liste des suffixes UPN disponibles l'aide du composant logiciel enfichable
Domaines et approbations Active Directory. Cliquez avec le bouton droit sur la racine du
composant logiciel enfichable, cliquez sur Proprits, puis utilisez l'onglet Suffixes UPN
pour ajouter ou supprimer des suffixes. Le nom DNS de votre domaine d'AD DS est toujours
disponible comme suffixe ; vous ne pouvez pas le supprimer.
Remarque : Il est important que vous implmentiez une stratgie d'affectation de noms
pour les comptes d'utilisateurs, en particulier dans de grands rseaux o les utilisateurs peuvent
partager le mme nom complet. Une combinaison du nom et du prnom, et si ncessaire, de
caractres spciaux, devrait permettre d'obtenir un nom de compte d'utilisateur unique. Plus
particulirement, seul le nom UPN doit tre unique dans votre fort AD DS. Le nom complet
doit tre unique uniquement dans l'unit d'organisation dans laquelle il rside, alors que le
nom SamAccountName de l'utilisateur doit tre unique dans ce domaine.
Configuration des attributs de compte d'utilisateur

Lorsque vous crez un compte d'utilisateur dans
AD DS, configurez galement toutes les proprits
associes au compte, ou attributs.
Remarque : Les attributs associs un

compte d'utilisateur sont dfinis dans le cadre
du schma AD DS, que les membres du groupe
de scurit Administrateurs du schma peuvent
modifier.
En gnral, le schma ne change
pas frquemment. Cependant, quand une
application de niveau d'entreprise (telle que Microsoft Exchange Server 2010) est ajoute, de
nombreuses modifications de schma sont requises. Ces modifications permettent des objets,
y compris les objets utilisateur, d'avoir des attributs supplmentaires.
Lorsque vous crez un objet utilisateur, vous n'tes pas oblig de dfinir de nombreux attributs autres
que ceux requis pour permettre l'utilisateur de se connecter l'aide du compte. tant donn que
vous pouvez associer un objet utilisateur de nombreux attributs, il est important que vous compreniez
ce que sont ces attributs, et comment vous pouvez les utiliser dans votre organisation.
Catgories d'attributs
3-8
Les attributs d'un objet utilisateur peuvent tre rpartis dans plusieurs grandes catgories. Ces catgories
s'affichent dans le volet de navigation de la bote de dialogue Proprits de l'utilisateur dans le Centre
d'administration Active Directory, et incluent :
x
Compte. Outre les proprits de nom de l'utilisateur (Prnom, Initiales des autres prnoms,
Nom, Nom complet) et les divers noms de connexion de l'utilisateur (Ouverture de session UPN
de l'utilisateur, Ouverture de session SamAccountName de l'utilisateur), vous pouvez configurer
les proprits supplmentaires suivantes :
o
Heures d'ouverture de session. Cette proprit dfinit quand le compte peut tre utilis pour
accder des ordinateurs de domaine. Vous pouvez utiliser l'affichage calendaire hebdomadaire
pour dfinir des heures d'ouvertures de session autorises et refuses.
Se connecter . Utilisez cette proprit pour dfinir quels ordinateurs un utilisateur peut utiliser
pour ouvrir une session sur le domaine. Spcifiez le nom de l'ordinateur et ajoutez-le la liste
des ordinateurs autoriss.
Date d'expiration du compte. Cette valeur est utile si vous souhaitez crer des comptes
d'utilisateurs temporaires. Par exemple, si vous souhaitez crer des comptes d'utilisateurs pour
des stagiaires, utiliss pendant un an seulement. Vous pouvez utiliser cette valeur pour dfinir
l'avance une date d'expiration du compte. Le compte ne peut pas tre utilis aprs la date
d'expiration jusqu' ce qu'il soit manuellement reconfigur par un administrateur.
Changer le mot de passe la prochaine session. Cette proprit permet pour forcer un
utilisateur rinitialiser son mot de passe la prochaine fois qu'il ouvre une session. En gnral,
vous activez cette option aprs la rinitialisation du mot de passe d'un utilisateur.
x
x
3-9
La carte est requise pour ouvrir une session interactive. Cette valeur rinitialise le mot
de passe de l'utilisateur sur une squence de caractres complexe et alatoire, et dfinit une
proprit qui requiert que l'utilisateur utilise une carte puce pour s'authentifier l'ouverture
de session.
Le mot de passe n'expire jamais. Cette proprit est gnralement utilise avec des comptes
de service ; c'est--dire, des comptes qui ne sont pas utiliss par des utilisateurs normaux mais
par des services. Si vous dfinissez cette valeur, vous devez vous rappeler de rgulirement
mettre jour le mot de passe manuellement ; cependant, vous n'tes pas oblig de le faire
un intervalle prdtermin. Par consquent, le compte ne peut jamais tre verrouill en raison
de l'expiration du mot de passe, fonctionnalit particulirement importante pour les comptes
de service.
L'utilisateur ne peut pas changer de mot de passe. nouveau, cette option est gnralement
utilise pour les comptes de service.
Stocker le mot de passe en utilisant un chiffrement rversible. Cette stratgie fournit la prise
en charge des applications qui utilisent des protocoles qui exigent la connaissance du mot de
passe de l'utilisateur pour l'authentification. Le stockage des mots de passe avec un chiffrement
rversible est quasiment identique au stockage des mots de passe en texte brut. C'est pourquoi
cette stratgie ne devrait jamais tre active, sauf si les besoins de l'application sont suprieurs
la ncessit de protger les informations de mot de passe. Cette stratgie est requise lors de
l'utilisation de l'authentification CHAP (Challenge Handshake Authentication Protocol) via un
accs distant ou le service d'authentification Internet (IAS). Elle est galement requise pour
l'authentification Digest dans les services Internet (IIS).
Le compte est approuv pour la dlgation. Vous pouvez utiliser cette proprit pour
permettre un compte de service de se faire passer pour un utilisateur standard afin
d'accder des ressources rseau au nom d'un utilisateur.
Organisation. Ceci comprend des proprits telles que Nom complet, Bureau, Adresse de
messagerie de l'utilisateur, divers numros de tlphone, la structure hirarchique, les noms
des services et de la socit ou les adresses.
Membre de. Cette section permet de dfinir les appartenances des groupes pour l'utilisateur.
Profil. Cette section permet de configurer un emplacement pour les donnes personnelles
de l'utilisateur, et de dfinir un emplacement dans lequel sauvegarder le profil de bureau
de l'utilisateur lorsqu'il se dconnecte.
Extensions. Cette section prsente de nombreuses proprits d'utilisateur supplmentaires,
dont la plupart ne requiert normalement pas de configuration manuelle.
Cration des profils utilisateur

Lorsque les utilisateurs ferment une session, leur
Bureau et leurs paramtres d'applications sont
enregistrs dans un sous-dossier cr dans le
dossier C:\Users sur le disque dur, qui correspond
leur nom d'utilisateur. Ce dossier contient
leur profil utilisateur. Ce dossier hberge des
sous-dossiers qui contiennent les documents
et les paramtres qui reprsentent le profil
utilisateur, dont les sous-dossiers Documents,
Vidos, Images et Tlchargements.
Si un utilisateur est susceptible d'ouvrir une
session en mode interactif sur plusieurs stations
de travail clientes, il est prfrable que ces paramtres et documents soient disponibles sur ces autres
stations de travail clientes. En tant qu'administrateur, vous pouvez utiliser plusieurs mthodes pour
vrifier que les utilisateurs peuvent accder leurs profils partir de plusieurs stations de travail.
Configuration des proprits de compte d'utilisateur pour grer des profils

l'aide des paramtres de compte d'utilisateur dans le Centre d'administration Active Directory,
vous pouvez configurer les proprits suivantes lies au profil de bureau d'un utilisateur :
x
Chemin d'accs au profil. Ce chemin d'accs est soit un chemin d'accs local soit, plus souvent, un
chemin d'accs UNC (Universal Naming Convention). Les paramtres de Bureau de l'utilisateur sont
enregistrs dans le profil. Une fois que vous dfinissez un profil utilisateur l'aide d'un chemin UNC,
quel que soit l'ordinateur du domaine que l'utilisateur utilise pour ouvrir une session, ses paramtres
de bureau sont disponibles. Il s'agit d'un profil itinrant.
Remarque : Il est recommand d'utiliser un sous-dossier du dossier de base de l'utilisateur

pour le chemin d'accs du profil de l'utilisateur.
x
3-10 Gestion des objets de services de domaine Active Directory
Script d'ouverture de session. Ce script est le nom d'un fichier de commandes qui contient
les commandes qui s'excutent lorsque l'utilisateur ouvre une session. En gnral, vous utilisez
ces commandes pour crer des mappages de lecteurs. Plutt que d'utiliser un fichier de commandes
de script d'ouverture de session, les administrateurs implmentent en gnral des scripts d'ouverture
de session l'aide des objets de stratgie de groupe (GPO) ou de prfrences de stratgie de groupe.
Si vous utilisez un script de connexion, cette valeur peut uniquement prendre la forme d'un nom
de fichier (avec extension). Les scripts doivent tre enregistrs dans le dossier
C:\Windows\SYSVOL\domain\scripts sur tous les contrleurs de domaine.
Dossier de base. Cette valeur permet de crer une zone de stockage personnelle dans laquelle
les utilisateurs peuvent sauvegarder leurs documents personnels. Vous pouvez spcifier un chemin
d'accs local ou, plus souvent, un chemin d'accs UNC au dossier de l'utilisateur. Vous devez
galement spcifier une lettre de lecteur qui est utilise pour mapper un lecteur rseau au chemin
UNC spcifi. Vous pouvez alors configurer les documents personnels d'un utilisateur ce dossier
de base redirig.
Gestion des profils l'aide de la console Stratgie de groupe
3-11
Une alternative l'utilisation des paramtres des comptes d'utilisateurs individuels consiste utiliser
des objets de stratgie de groupe pour grer ces paramtres. Vous pouvez configurer des paramtres
de redirection de dossiers l'aide de l'diteur de gestion des stratgies de groupe pour ouvrir un objet
de stratgie de groupe pour le modifier, puis accder au nud Configuration
utilisateur\Stratgies\Paramtres Windows.
Ces paramtres contiennent les sous-nuds repris dans le tableau suivant.
Sous-nuds dans le nud Paramtres Windows
x AppData (Roaming)
x Images
x Tlchargements
x Menu Accueil
x Vidos
x Recherches
x Bureau
x Document
x Musique
x Favoris
x Contacts
x Liens
x Parties enregistres
Vous pouvez utiliser ces sous-nuds pour configurer tous les aspects des paramtres de profil de bureau
et d'application d'un utilisateur. Pour un sous-nud donn, tel que Documents, vous pouvez choisir entre
la redirection de base et la redirection avance. Dans la redirection de base, tous les utilisateurs affects
par l'objet de stratgie de groupe voient leur dossier Documents redirig vers un sous-dossier nomm
individuel sous un dossier racine commun dfini par un nom UNC, par exemple \\LON-SVR1\Users\.
La redirection avance permet d'utiliser l'appartenance au groupe de scurit pour dterminer
o stocker les paramtres et les documents d'un utilisateur.
Dmonstration : Gestion des comptes d'utilisateurs

Cette dmonstration vous explique galement comment :
x
ouvrir le Centre d'administration Active Directory ;

supprimer un compte d'utilisateur ;
crer un compte d'utilisateur ;
dplacer le compte d'utilisateur.
Ouvrir le Centre d'administration Active Directory
x
Sur LON-DC1, ouvrez le Centre d'administration Active Directory.
Supprimer un compte d'utilisateur

x
Localisez Ed Meadows dans l'unit d'organisation des gestionnaires, et supprimez le compte.
Crer un compte d'utilisateur

x
Crez un compte d'utilisateur nomm Ed Meadows. Assurez-vous que le compte est cr avec
un mot de passe fort.
Dplacer le compte d'utilisateur

x
Dplacez le compte Ed Meadows vers l'unit d'organisation relative au service informatique IT.
Leon 2
Gestion des comptes de groupes

Bien que l'attribution des autorisations et des capacits aux comptes d'utilisateurs individuels dans
de petits rseaux puisse tre pratique, elle devient impossible et inefficace dans de grands rseaux
d'entreprise. Par exemple, si de nombreux utilisateurs ont besoin du mme niveau d'accs un dossier,
il est plus efficace de crer un groupe qui contient les comptes d'utilisateurs requis, puis d'attribuer
au groupe les autorisations requises. Ceci a l'avantage de vous permettre de modifier les autorisations
d'accs aux fichiers d'un utilisateur en l'ajoutant ou le supprimant des groupes, plutt qu'en modifiant
les autorisations d'accs aux fichiers directement.
Avant d'implmenter des groupes dans votre organisation, vous devez comprendre l'tendue des
diffrents types de groupes Windows Server, et comment les utiliser au mieux pour grer l'accs
aux ressources ou pour attribuer des droits et des capacits de gestion.
x
dcrire les types de groupes ;

dcrire les tendues de groupes ;
expliquer comment implmenter la gestion des groupes ;
dcrire les groupes par dfaut ;
dcrire les identits spciales ;
grer des groupes dans Windows Server.
Types de groupes
Dans un rseau d'entreprise Windows Server 2012,
il y a deux types de groupes : les groupes de
scurit et les groupes de distribution. Lorsque
vous crez un groupe, vous choisissez le type
et l'tendue du groupe.
Les groupes de distribution, sur lesquels la scurit
n'est pas active, sont principalement utiliss par
des applications de messagerie lectronique. Cela
signifie qu'ils n'ont pas de SID, et qu'ils ne peuvent
donc pas tre autoriss accder aux ressources.
L'envoi d'un message un groupe de distribution
permet d'envoyer le message tous les membres
du groupe.
Les groupes de scurit sont des entits de scurit avec des SID. Vous pouvez donc utiliser ces groupes
dans des entres d'autorisation dans des listes de contrle d'accs pour contrler la scurit de l'accs
aux ressources. Vous pouvez galement utiliser des groupes de scurit des fins de distribution pour
des applications de messagerie lectronique. Si vous souhaitez utiliser un groupe pour grer la scurit,
celui-ci doit tre un groupe de scurit.
Remarque : Le type de groupe par dfaut est le groupe de scurit.
Comme vous pouvez utiliser des groupes de scurit pour l'accs aux ressources et la distribution
des messages lectroniques, de nombreuses organisations utilisent uniquement des groupes
de scurit. Cependant, si un groupe est utilis uniquement pour la distribution des messages
lectroniques, nous vous recommandons de crer le groupe en tant que groupe de distribution.
Dans le cas contraire, un SID est attribu au groupe, et le SID est ajout au jeton d'accs
de scurit de l'utilisateur, ce qui peut entraner une augmentation de taille du jeton
de scurit inutile.
Remarque : Pensez que quand vous ajoutez un utilisateur un groupe de scurit, le

jeton d'accs de l'utilisateur, qui authentifie les processus jour de l'utilisateur, est mis jour
uniquement quand l'utilisateur se connecte. Par consquent, si l'utilisateur est connect,
il doit fermer sa session et en ouvrir une autre pour mettre jour son jeton d'accs avec
les modifications d'appartenances aux groupes.
Remarque : L'avantage de l'utilisation des groupes de distribution est encore plus vident
dans des dploiements Exchange Server de grande ampleur, en particulier lorsque ces groupes
de distribution doivent tre imbriqus dans l'entreprise.
tendues de groupes
Windows Server 2012 prend en charge les
tendues de groupes. L'tendue d'un groupe
dtermine la fois la plage de capacits ou
d'autorisations d'un groupe, et l'appartenance
au groupe.
Il existe quatre tendues de groupes :
x
3-13
Local. Ce type de groupe est conu pour les

serveurs ou stations de travail autonomes,
sur des serveurs membres du domaine qui ne
sont pas des contrleurs de domaine ou sur
des stations de travail membres du domaine.
Les groupes locaux sont vraiment locaux,
c'est--dire qu'ils sont disponibles uniquement sur l'ordinateur sur lequel ils existent. Les principales
caractristiques d'un groupe local sont :
o
Vous pouvez attribuer des capacits et des autorisations uniquement sur les ressources locales,
c'est--dire sur l'ordinateur local.
Les membres peuvent tre n'importe o dans la fort AD DS, et peuvent inclure :
des entits de scurit du domaine : utilisateurs, ordinateurs, groupes globaux ou groupes

locaux de domaine ;
des utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine dans la fort ;
des utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine approuv ;
des groupes universels dfinis dans n'importe quel domaine de la fort.
Domaine local. Ce type de groupe est principalement utilis pour grer l'accs aux ressources ou
pour attribuer des responsabilits de gestion (droits). Les groupes locaux de domaine existent sur
des contrleurs de domaine dans une fort AD DS et, par consquent, l'tendue des groupes est
localise au domaine dans lequel ils rsident. Les principales caractristiques des groupes locaux
de domaine sont :
o
Vous pouvez attribuer des capacits et des autorisations uniquement sur les ressources locales
de domaine, c'est--dire sur tous les ordinateurs du domaine local.
des entits de scurit du domaine : utilisateurs, ordinateurs, groupes globaux ou groupes

locaux de domaine ;
des utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine approuv ;
Global. Ce type de groupe est principalement utilis pour regrouper les utilisateurs qui prsentent
des caractristiques semblables. Par exemple, des groupes globaux sont souvent utiliss pour
regrouper les utilisateurs qui font partie d'un service ou d'un emplacement gographique.
Les principales caractristiques des groupes globaux sont :
o
Vous pouvez attribuer des capacits et des autorisations n'importe o dans la fort.
Les membres peuvent uniquement provenir du domaine local et peuvent inclure :
des utilisateurs, ordinateurs et groupes globaux du domaine local.
Universel. Ce type de groupe est le plus utile dans les rseaux multidomaines car qu'il combine
les caractristiques des groupes locaux de domaine et des groupes globaux. Plus particulirement,
les principales caractristiques des groupes universels sont :
o
Vous pouvez attribuer des capacits et des autorisations n'importe o dans la fort, comme
pour les groupes globaux.
Les proprits des groupes universels sont propages au catalogue global, et rendues disponibles
dans le rseau de l'entreprise sur tous les contrleurs de domaine qui hbergent le rle de
catalogue global. Ceci qui permet d'accder plus facilement aux listes des membres des groupes
universels, ce qui peut tre utile dans des scnarios multidomaines. Par exemple, si un groupe
universel est utilis pour la distribution de la messagerie lectronique, le processus de
dtermination de la liste des membres est gnralement plus rapide dans les rseaux
multidomaines distribus.
Implmentation de la gestion des groupes

L'ajout des groupes d'autres groupes est un
processus appel imbrication. L'imbrication
cre une hirarchie des groupes qui prennent
en charge vos rles mtier et rgles de gestion.
Il est conseill d'utiliser l'imbrication de groupes
appele IGDLA, qui est l'acronyme en anglais de :
x
x
x
x
Identits
Groupes globaux
Groupes locaux de domaine
Accs
3-15
Les identits (comptes d'utilisateurs et comptes d'ordinateurs) sont membres des groupes globaux,
qui reprsentent des rles mtier. Ces groupes de rles (groupes globaux) sont membres des groupes
locaux de domaine, qui reprsentent les rgles de gestion, par exemple, pour dterminer qui dispose de
l'autorisation en lecture sur un ensemble spcifique de dossiers. Ces groupes de rgles (groupes locaux
de domaine) sont autoriss accder aux ressources. Dans le cas d'un dossier partag, l'accs est accord
en ajoutant le groupe local de domaine la liste de contrle d'accs du dossier, avec une autorisation
qui fournit le niveau d'accs appropri.
Une fort multidomaine contient galement des groupes universels, qui se trouvent entre les groupes
globaux et les groupes locaux de domaine. Les groupes globaux de plusieurs domaines sont membres
d'un seul groupe universel. Ce groupe universel est membre des groupes locaux de domaine dans de
plusieurs domaines. Pensez l'imbrication en tant qu'IGUDLA.
Exemple IGDLA
L'illustration sur la diapositive reprsente une implmentation de groupe qui reflte le point de vue
technique des mthodes conseilles de gestion des groupes (IGDLA), et le point de vue commercial
de la gestion base sur les rles et sur les rgles.
Prenez le scnario suivant :
Le personnel de vente chez Contoso, Ltd a juste termin son exercice comptable. Les fichiers de ventes
de l'anne prcdente se trouvent dans un dossier appel Ventes. Le personnel de vente a besoin de
l'accs en lecture sur le dossier Ventes. En outre, une quipe d'auditeurs de Woodgrove Bank, investisseur
potentiel, exigent l'accs en lecture au dossier Ventes pour effectuer l'audit. Procdez comme suit pour
implmenter la scurit requise par ce scnario :
1.
Affectez aux utilisateurs des responsabilits professionnelles communes ou d'autres caractristiques

commerciales aux groupes de rles implments comme groupes de scurit globaux. Faites ceci
sparment dans chaque domaine. Le personnel de vente chez Contoso est ajout un groupe
de rles Ventes ; les auditeurs chez Woodgrove Bank sont ajouts un groupe de rles Auditeurs.
2.
Crez un groupe pour grer l'accs aux dossiers Ventes avec l'autorisation Lecture. Implmentez
ceci dans le domaine qui contient la ressource gre. Dans ce cas, le dossier Ventes rside dans
le domaine Contoso. Par consquent, vous crez le groupe de rgles de gestion de l'accs aux
ressources en tant que groupe local de domaine nomm ACL_Sales Folders_Read.
3.
Ajoutez les groupes de rles au groupe de rgles de gestion de l'accs aux ressources pour
reprsenter la rgle de gestion. Ces groupes peuvent provenir de n'importe quel domaine de la fort
ou d'un domaine de confiance, tel que Woodgrove Bank. Les groupes globaux de domaines externes
de confiance, ou de n'importe quel domaine de la mme fort, peuvent tre membre d'un groupe
local de domaine.
4.
Attribuez l'autorisation qui implmente le niveau d'accs requis. Dans ce cas, accordez l'autorisation
Autoriser la lecture au groupe local de domaine.
Cette stratgie cre deux points uniques de gestion, rduisant ainsi la charge de gestion. Un point
de gestion dfinit les membres du personnel de vente, l'autre point de gestion dfinit qui est auditeur.
Puisque ces rles sont susceptibles d'avoir accs diverses ressources au-del du dossier Ventes, un autre
point de gestion permet de dterminer qui a accs en lecture au dossier Ventes. En outre, le dossier
Ventes peut ne pas tre un dossier unique sur un serveur unique ; il peut tre constitu d'un ensemble
de dossiers sur plusieurs serveurs, chacun attribuant l'autorisation Autoriser la lecture au groupe local
de domaine unique.
Groupes par dfaut

Le serveur Windows Server 2012 cre un certain
nombre de groupes automatiquement. Ceux-ci
sont appels groupes locaux par dfaut, et ils
comprennent les groupes rputs tels que
Administrateurs, Oprateurs de sauvegarde et
Utilisateurs du Bureau distance. Des groupes
supplmentaires sont crs dans un domaine,
dans les conteneurs Builtin et Utilisateurs, dont
les Admins du domaine, les Administrateurs de
l'entreprise et les Administrateurs du schma.
La liste suivante fournit un rsum des fonctions
pour le sous-ensemble de groupes par dfaut qui
ont des autorisations significatives et des droits d'utilisateur lis la gestion d'AD DS :
x
x
x
Administrateurs de l'entreprise (dans le conteneur Utilisateurs du domaine racine de la fort).

Ce groupe est membre du groupe Administrateurs dans tous les domaines dans la fort, qui
lui donne un accs complet la configuration de tous les contrleurs de domaine. Il possde
galement la partition Configuration du rpertoire et dispose du contrle total sur le contexte
de dnomination du domaine dans tous les domaines de la fort.
Administrateurs du schma (conteneur Utilisateurs du domaine racine de la fort). Ce groupe
possde le schma Active Directory, sur lequel il a un contrle total.
Administrateurs (conteneur intgr de chaque domaine). Les membres de ce groupe disposent
du contrle total sur tous les contrleurs de domaine et les donnes dans le contexte de
dnomination de domaine. Ils peuvent modifier l'appartenance tous les autres groupes
administratifs dans le domaine, et le groupe Administrateurs dans le domaine racine de la fort
peut modifier l'appartenance des Administrateurs de l'entreprise, Administrateurs du schma
et Administrateurs du domaine. Le groupe Administrateurs dans le domaine racine de la fort
est sans doute le groupe d'administration de service le plus puissant dans la fort.
3-17
Admins du domaine (conteneur Utilisateurs de chaque domaine). Ce groupe est ajout au groupe
Administrateurs de son domaine. Il hrite donc de toutes les fonctions du groupe Administrateurs.
Il est galement ajout par dfaut au groupe Administrateurs local de chaque ordinateur membre
du domaine, accordant la proprit de tous les ordinateurs du domaine aux Admins du domaine.
Oprateurs de serveur (conteneur intgr de chaque domaine). Les membres de ce groupe peuvent
effectuer des tches de maintenance sur les contrleurs de domaine. Ils ont le droit d'ouvrir une
session localement, de dmarrer et arrter des services, d'excuter des oprations de sauvegarde
et de restauration, de formater des disques, de crer ou supprimer des partages, et d'arrter des
contrleurs de domaine. Par dfaut, ce groupe ne comprend pas de membres.
Oprateurs de compte (conteneur intgr de chaque domaine). Les membres de ce groupe peuvent
crer, modifier et supprimer les comptes des utilisateurs, des groupes et des ordinateurs situs dans
une unit d'organisation du domaine (sauf ceux de l'unit d'organisation Contrleurs de domaine)
et dans le conteneur Utilisateurs et ordinateurs. Les membres du groupe Oprateurs de compte
ne peuvent pas modifier les comptes qui sont membres des groupes Administrateurs ou Admins
du domaine, ni modifier ces groupes. Les membres du groupe Oprateurs de compte peuvent
galement ouvrir une session localement sur les contrleurs de domaine. Par dfaut, ce groupe
ne comprend pas de membres.
Oprateurs de sauvegarde (conteneur intgr de chaque domaine). Les membres de ce groupe
peuvent excuter des oprations de sauvegarde et de restauration sur les contrleurs de domaine,
et ouvrir une session localement et arrter les contrleurs de domaine. Par dfaut, ce groupe ne
comprend pas de membres.
Oprateurs d'impression (conteneur intgr de chaque domaine). Les membres de ce groupe peuvent
effectuer la maintenance des files d'attente d'impression sur les contrleurs de domaine. Ils peuvent
aussi ouvrir des sessions localement et arrter les contrleurs de domaine.
Vous devez grer soigneusement les groupes par dfaut qui fournissent des privilges d'administrateur,
car ils ont en gnral des privilges plus larges que cela est ncessaire pour la plupart des environnements
dlgus, et car ils appliquent souvent la protection leurs membres.
Le groupe Oprateurs de compte en est un bon exemple. Si vous examinez les fonctions du groupe
Oprateurs de compte dans la liste prcdente, vous pouvez voir que les membres de ce groupe ont
des droits trs larges, ils peuvent mme ouvrir une session localement sur un contrleur de domaine.
Dans les trs petits rseaux, de tels droits peuvent tre appropris pour une ou deux personnes qui
sont gnralement les administrateurs de domaine de toute faon. Dans de grandes entreprises,
les droits et autorisations accords aux Oprateurs de compte sont gnralement trop larges.
En outre, le groupe Oprateurs de compte est, comme les autres groupes administratifs, un groupe
protg.
Les groupes protgs sont dfinis par le systme d'exploitation et ne peuvent pas tre non protgs.
Les membres d'un groupe protg deviennent protgs par l'association. Le rsultat de la protection est
que les autorisations (listes de contrle d'accs) des membres sont modifies de sorte qu'elles n'hritent
plus des autorisations de leur unit d'organisation, mais reoivent plutt une copie d'une liste de contrle
d'accs qui est beaucoup plus restrictive. Par exemple, si vous ajoutez Jeff Ford au groupe Oprateurs
de compte, son compte devient protg, et l'assistance technique, qui peut rinitialiser tous autres
mots de passe d'utilisateur dans l'unit d'organisation Employs, ne peut pas rinitialiser le mot
de passe de Jeff Ford.
vitez d'ajouter des utilisateurs aux groupes qui n'ont pas de membres par dfaut (Oprateurs de compte,
Oprateurs de sauvegarde, Oprateurs de serveur et Oprateurs d'impression). Au lieu de cela, crez des
groupes personnaliss auxquels vous attribuez des autorisations et des droits d'utilisateur qui rpondent
vos exigences commerciales et administratives.
Par exemple, si Scott Mitchell doit tre en mesure d'excuter des oprations de sauvegarde sur un
contrleur de domaine, mais qu'il ne doit pas pouvoir excuter les oprations de restauration qui
pourraient entraner la restauration de la base de donnes ou l'endommager, ni arrter un contrleur
de domaine, ne placez pas Scott dans le groupe Oprateurs de sauvegarde. Crez plutt un groupe
et attribuez-lui uniquement le droit d'utilisateur Sauvegarde des fichiers et des rpertoires, puis
ajoutez Scott en tant que membre.
Identits spciales
Windows et AD DS prennent galement en charge
les identits spciales, qui sont des groupes dont
l'appartenance est contrle par le systme
d'exploitation. Vous ne pouvez afficher les
groupes dans aucune liste (dans le composant
logiciel enfichable Utilisateurs et ordinateurs
Active Directory, par exemple), vous ne pouvez
ni afficher ni modifier l'appartenance de ces
identits spciales, et vous ne pouvez pas
les ajouter d'autres groupes. Vous pouvez,
cependant, utiliser ces groupes pour attribuer
des droits et des autorisations.
Les identits spciales les plus importantes, souvent appeles groupes (par commodit), sont dcrites
dans la liste suivante :
x
x
Ouverture de session anonyme. Cette identit reprsente des connexions un ordinateur

et ses ressources qui sont tablies sans fournir de nom d'utilisateur et de mot de passe.
Avant Windows Server 2003, ce groupe tait membre du chacun Tout le monde. partir de
Windows Server 2003, ce groupe n'est plus un membre par dfaut du groupe Tout le monde.
Utilisateurs authentifis. Ceci reprsente les identits qui ont t authentifies. Ce groupe n'inclut
pas le compte Invit, mme si celui-ci a un mot de passe.
Tout le monde. Cette identit comprend le groupe Utilisateurs authentifis et le compte Invit.
(Sur les ordinateurs qui excutent des versions du systme d'exploitation Windows Server
antrieures Windows Server 2003, ce groupe inclut le groupe Ouverture de session anonyme.)
3-19
Interactif. Ceci reprsente les utilisateurs qui accdent une ressource en tant connects localement
l'ordinateur qui hberge la ressource, et non via le rseau. Lorsqu'un utilisateur accde une
ressource quelconque sur un ordinateur sur lequel l'utilisateur a ouvert une session localement,
l'utilisateur est automatiquement ajout au groupe Interactif pour cette ressource. Le groupe
Interactif comprend galement les utilisateurs qui ouvrent une session via une connexion
Bureau distance.
Rseau. Ceci reprsente les utilisateurs qui accdent une ressource sur le rseau, et non les
utilisateurs qui sont connects localement l'ordinateur qui hberge la ressource. Lorsqu'un
utilisateur accde une ressource quelconque sur le rseau, l'utilisateur est automatiquement
ajout au groupe Rseau pour cette ressource.
L'importance de ces identits spciales rside dans le fait que vous pouvez les utiliser pour fournir
l'accs aux ressources selon le type d'authentification ou de connexion, plutt que le compte d'utilisateur.
Par exemple, vous pouvez crer un dossier sur un systme qui permet aux utilisateurs d'afficher son
contenu quand ils ont ouvert une session localement sur le systme, mais qui ne permet pas aux mmes
utilisateurs d'afficher le contenu d'un lecteur mapp sur le rseau. Vous pouvez faire ceci en attribuant
des autorisations l'identit spciale Interactif.
Dmonstration : Gestion des groupes

x
x
x
x
crer un groupe ;
ajouter des membres au groupe ;
ajouter un utilisateur au groupe ;
changer le type et l'tendue du groupe ;
modifier la proprit Gr par du groupe.
Crer un groupe
1.
2.
Crez un groupe de scurit global dans l'unit d'organisation relative au service informatique IT
appele Responsables TI.
Ajouter des membres au groupe

x
Ajoutez plusieurs utilisateurs au nouveau groupe.
Ajouter un utilisateur au groupe

x
Ajoutez Ed Meadows au groupe Responsables TI.
Changer le type et l'tendue du groupe

x
Dans les proprits du groupe Responsables TI, modifiez l'tendue du groupe Universel et le type
Distribution.
Modifier la proprit Gr par du groupe

x
Ajoutez Ed Meadows la liste Gr par, puis accordez-lui l'autorisation Le gestionnaire peut

mettre jour la liste des membres.
Leon 3
Gestion des comptes d'ordinateurs

Un compte d'ordinateur commence son cycle de vie lorsque vous le crez et le joignez votre domaine.
Ensuite, les tches d'administration quotidiennes comprennent les tches suivantes :
x
configurer les proprits de l'ordinateur ;

dplacer l'ordinateur d'une unit d'organisation une autre ;
grer l'ordinateur lui-mme ;
attribuer un nouveau nom, rinitialiser, dsactiver, activer et enfin supprimer l'objet ordinateur.
Il est important que vous sachiez effectuer ces diverses tches de gestion de l'ordinateur afin de pouvoir
configurer et maintenir les objets ordinateur dans votre organisation.
x
x
Expliquez le rle du conteneur Ordinateurs AD DS.

Dcrivez comment configurer l'emplacement des comptes d'ordinateurs.
Expliquez comment contrler qui est autoris crer des comptes d'ordinateurs.
Dcrivez les comptes d'ordinateurs et le canal scuris.
Expliquez comment rinitialiser le canal scuris.
Qu'est-ce que le conteneur Ordinateurs ?

Avant de crer un objet ordinateur dans
le service d'annuaire, vous devez disposer
d'un emplacement o le mettre.
Lorsque vous crez un domaine, le conteneur
Ordinateurs est cr par dfaut (CN=Computers).
Ce conteneur n'est pas une unit d'organisation ;
au lieu de cela, c'est un objet de la classe
Conteneur.
Il existe des diffrences subtiles mais importantes

entre un conteneur et une unit d'organisation.
Vous ne pouvez pas crer une unit d'organisation
dans un conteneur, ainsi vous ne pouvez pas
subdiviser l'unit d'organisation Ordinateurs. Vous ne pouvez pas non plus lier un objet de stratgie
de groupe un conteneur. Par consquent, nous vous recommandons de crer des units d'organisation
personnalises pour hberger les objets ordinateur, au lieu d'utiliser le conteneur Ordinateurs.
Spcification de l'emplacement des comptes d'ordinateurs

La plupart des organisations crent au moins deux
units d'organisation pour les objets ordinateur :
une pour les serveurs, et une autre pour hberger
les comptes d'ordinateurs pour les ordinateurs
clients, tels que des bureaux, des portables et
d'autres systmes utilisateur. Ces deux units
d'organisation s'ajoutent l'unit d'organisation
Contrleurs de domaine qui est cre par dfaut
pendant l'installation d'AD DS.
Les objets ordinateur sont crs dans les deux
units d'organisation. Il n'existe aucune diffrence
technique entre un objet ordinateur dans l'unit
d'organisation d'un client et un objet ordinateur dans une unit d'organisation du serveur ou du
contrleur de domaine ; les objets ordinateur sont des objets ordinateur. Cependant, des units
d'organisation distinctes sont gnralement cres pour fournir des tendues de gestion uniques,
de sorte que vous puissiez dlguer la gestion des objets clients une quipe et la gestion des
objets serveur une autre.
3-21
Votre modle d'administration peut ncessiter une division supplmentaire de vos units d'organisation
client et serveur. De nombreuses organisations crent des sous-units d'organisation sous une unit
d'organisation serveur, pour collecter et grer les types spcifiques de serveurs. Par exemple, vous pouvez
crer une unit d'organisation pour les serveurs de fichiers et d'impression, et une unit d'organisation
pour les serveurs de base de donnes. En procdant ainsi, vous pouvez dlguer des autorisations
pour grer les objets ordinateur dans l'unit d'organisation approprie l'quipe d'administrateurs
pour chaque type de serveur. De mme, les organisations distribues gographiquement avec des
quipes de support technique locales divisent souvent une unit d'organisation parente pour les clients
en sous-units d'organisation pour chaque site. Cette approche permet l'quipe de support de chaque
site de crer des objets ordinateur dans le site pour les ordinateurs clients, et pour joindre les ordinateurs
au domaine l'aide de ces objets ordinateur.
Outre ces exemples spcifiques, le plus important est que votre structure de l'unit d'organisation
reflte votre modle d'administration de sorte que vos units d'organisation puissent fournir des
points de gestion uniques pour la dlgation de l'administration.
En outre, l'aide des units d'organisation distinctes, vous pouvez crer diverses configurations
de base l'aide des diffrents objets de stratgie de groupe qui sont lis aux units d'organisations
client et serveur. Avec la stratgie de groupe, vous pouvez spcifier la configuration pour des ensembles
d'ordinateurs en liant les objets de stratgies de groupe qui contiennent des instructions de configuration
aux units d'organisation. Les organisations sparent souvent les clients dans les units d'organisation
de l'ordinateur de bureau et de l'ordinateur portable. Vous alors pouvez lier les objets de stratgie de
groupe qui spcifient la configuration de l'ordinateur de bureau ou de l'ordinateur portable aux units
d'organisation appropries.
Remarque : Vous pouvez utiliser l'outil de ligne de commande Redircmp.exe pour

reconfigurer le conteneur de l'ordinateur par dfaut. Par exemple, si vous souhaitez modifier
le conteneur d'ordinateur par dfaut en une unit d'organisation appele mycomputers,
utilisez la syntaxe suivante :
redircmp ou=mycomputers,DC=contoso,dc=com
Contrle des autorisations pour crer des comptes d'ordinateurs

Pour joindre un ordinateur un domaine
Active Directory, quatre conditions doivent
tre remplies :
x
x
x
x
Un objet ordinateur doit exister dans

le service d'annuaire.
Vous devez disposer des autorisations
appropries sur l'objet ordinateur qui
vous permettent de joindre un ordinateur
physique avec un nom qui correspond
celui de l'objet dans AD DS au domaine.
Vous devez tre membre du groupe
Administrateurs local sur l'ordinateur. Vous pouvez ainsi modifier l'appartenance au domaine
ou au groupe de travail de l'ordinateur.
Vous ne devez pas dpasser le nombre maximal de comptes d'ordinateurs que vous pouvez ajouter
au domaine. Par dfaut, les utilisateurs peuvent uniquement ajouter un maximum de dix ordinateurs
au domaine ; cette valeur est appele quota de comptes ordinateurs et est contrle par la valeur de
MS-DS-MachineQuota. Vous pouvez modifier cette valeur l'aide du composant logiciel enfichable
ADSIEdit.
Remarque : Vous n'avez pas besoin de crer un objet ordinateur dans le service d'annuaire,
mais cela est recommand. De nombreux administrateurs joignent les ordinateurs un domaine
sans d'abord crer un objet ordinateur. Cependant, quand vous faites ceci, Windows Server tente
de joindre le domaine un objet existant. Si Windows Server ne trouve pas l'objet, il est restaur
et cre un objet ordinateur dans le conteneur Ordinateur par dfaut.
Le processus de cration d'un compte d'ordinateur l'avance est appel prinstallation d'un ordinateur.
La prinstallation d'un ordinateur prsente deux principaux avantages :
x
Le compte est plac dans l'unit d'organisation approprie, et est donc dlgu selon la stratgie
de scurit dfinie par la liste de contrle d'accs de l'unit d'organisation.
L'ordinateur se trouve dans l'tendue des objets de stratgie de groupe lis l'unit d'organisation,
avant que l'ordinateur joigne le domaine.
Pour ce faire, une fois que vous tes autoris crer des objets ordinateur, cliquez avec le bouton droit
sur l'unit d'organisation et dans du menu Nouveau, cliquez sur Ordinateur. Ensuite, entrez le nom de
l'ordinateur, conformment la convention d'affectation de noms de votre entreprise, et slectionnez
l'utilisateur ou le groupe qui seront autoriss pour joindre l'ordinateur au domaine avec ce compte.
Le nom des deux ordinateurs (Nom de l'ordinateur et Nom de l'ordinateur, avant Windows 2000)
devraient tre identiques. Il est trs rarement justifi de les configurer sparment.
Dlgation des autorisations
3-23
Par dfaut, les groupes Administrateurs de l'entreprise, Admins du domaine, Administrateurs et

Oprateurs de compte sont autoriss crer des objets ordinateur dans n'importe quelle nouvelle
unit d'organisation. Cependant, comme indiqu prcdemment, nous vous recommandons de limiter
strictement l'appartenance aux trois premiers groupes, et de n'ajouter aucun administrateur au groupe
Oprateurs de compte.
la place, dlguez l'autorisation de cration d'objets ordinateur (appele Crer des objets d'ordinateur)
aux administrateurs comptents ou au service de support technique. Cette autorisation, qui est attribue
au groupe d'une unit d'organisation, permet aux membres du groupe de crer des objets ordinateur
dans cette unit d'organisation. Par exemple, vous pouvez autoriser votre quipe de support technique
crer des objets ordinateur dans les units d'organisation clientes, et autoriser vos administrateurs
de serveur de fichiers crer des objets ordinateur dans l'unit d'organisation des serveurs de fichiers.
Pour dlguer les autorisations de cration de comptes d'ordinateurs, vous pouvez utiliser l'Assistant
Dlgation de contrle pour choisir une tche personnalise dlguer.
Lorsque vous dlguez des autorisations de gestion des comptes d'ordinateurs, vous pouvez envisager
d'accorder des autorisations supplmentaires celles requises pour crer des comptes d'ordinateurs.
Par exemple, vous pouvez dcider d'autoriser un administrateur dlgu grer les proprits de
comptes d'ordinateurs existants, supprimer le compte d'ordinateur ou dplacer le compte d'ordinateur.
Remarque : Si vous souhaitez autoriser un administrateur dlgu dplacer des

comptes d'ordinateurs, n'oubliez pas qu'il a besoin des autorisations appropries la fois
dans le conteneur AD DS source (o l'ordinateur existe actuellement) et dans le conteneur
cible (vers lequel il dplace l'ordinateur). Plus particulirement, il doit disposer des autorisations
de suppression des ordinateurs dans le conteneur de source et de cration des ordinateurs
dans le conteneur cible.
Comptes d'ordinateurs et canaux scuriss

Chaque ordinateur membre d'un domaine AD DS
conserve un compte d'ordinateur avec un nom
d'utilisateur (SamAccountName) et un mot de
passe, tout comme le fait un compte d'utilisateur.
L'ordinateur enregistre son mot de passe sous
forme de secret d'autorit de scurit locale, et
modifie son mot de passe avec le domaine tous
les 30 jours environ. Le service NetLogon utilise
les informations d'identification pour ouvrir
une session sur le domaine, qui tablit le canal
scuris avec un contrleur de domaine.
Les comptes d'ordinateurs et les relations scurises entre les ordinateurs et leur domaine sont fiables.
Nanmoins, il peut arriver qu'un ordinateur ne puisse plus s'authentifier auprs du domaine. Voici des
exemples de ces scnarios :
x
Aprs la rinstallation du systme d'exploitation sur une station de travail, la station de travail ne peut
pas s'authentifier, bien que le technicien ait utilis le mme nom d'ordinateur que celui utilis dans
l'installation prcdente. tant donn que la nouvelle installation a gnr un nouveau SID et que
le nouvel ordinateur ne connat pas le mot de passe initial du compte d'ordinateur dans le domaine,
il n'appartient pas au domaine et ne peut pas s'authentifier auprs du domaine.
Un ordinateur n'a pas t utilis pendant une longue priode, par exemple parce que l'utilisateur est
en vacances ou travaille distance. Les ordinateurs modifient leurs mots de passe tous les 30 jours,
et les services de domaine Active Directory se souviennent du mot de passe actuel et du mot de passe
prcdent. Si l'ordinateur n'est pas utilis pendant cette priode, l'authentification peut chouer.
Le secret d'autorit de scurit locale d'un ordinateur n'est plus synchronis avec le mot de passe
que le domaine connat. Cela quivaut un ordinateur oubliant son mot de passe. Bien qu'il n'ait
pas oubli son mot de passe, il est en dsaccord avec le domaine quant au mot de passe. Lorsque
cela se produit, l'ordinateur ne peut pas s'authentifier et le canal scuris ne peut pas tre cr.
Rinitialisation du canal scuris

De temps autre, les relations de scurit entre
un compte d'ordinateur et son domaine peuvent
tre interrompues ; ceci entrane un certain
nombre de symptmes et d'erreurs. Les signes
les plus courants des problmes de compte
d'ordinateur sont :
x
Les messages qui s'affichent l'ouverture

de session indiquent qu'un contrleur de
domaine ne peut pas tre contact, que le
compte d'ordinateur est peut-tre manquant,
que le mot de passe du compte d'ordinateur
est incorrect, ou que la relation d'approbation
(autre faon de dire relation scurise) entre l'ordinateur et le domaine a t perdue.
Les messages d'erreur ou les vnements dans le journal des vnements indiquent les problmes
semblables ou suggrent que les mots de passe, les approbations, les canaux scuriss ou les relations
avec le domaine ou un contrleur de domaine ont chou. Un exemple de ce type d'erreur est
ID d'vnement NETLOGON 3210 : chec de l'authentification , qui apparat dans le journal
des vnements de l'ordinateur.
Un compte d'ordinateur manque dans AD DS.
Quand le canal scuris choue, vous devez le rinitialiser. Beaucoup d'administrateurs font cela en
supprimant l'ordinateur du domaine, en le plaant dans un groupe de travail, puis en rejoignant le
domaine. Cependant, cette procdure n'est pas recommande car elle risque de supprimer compltement
le compte d'ordinateur. La suppression du compte d'ordinateur supprime le SID de l'ordinateur, et
plus important encore, ses appartenances aux groupes. Lorsque vous rejoignez le domaine l'aide
de cette procdure, bien que l'ordinateur ait le mme nom, le compte a un nouveau SID, et toutes
les appartenances aux groupes de l'objet ordinateur prcdent doivent tre recres pour inclure le
nouveau SID. Par consquent, si l'approbation avec le domaine a t perdue, ne supprimez pas un
ordinateur du domaine pour ensuite le joindre nouveau. la place, rinitialisez le canal scuris.
Ceci permet de vous assurer que le compte d'ordinateur existant peut tre rutilis.
Pour rinitialiser le canal scuris entre un membre du domaine et le domaine, utilisez le composant
logiciel enfichable Utilisateurs et ordinateurs Active Directory, DSMod.exe, NetDom.exe ou NLTest.exe.
Si vous rinitialisez le compte, le SID de l'ordinateur reste le mme et il maintient ses appartenances
aux groupes.
Pour rinitialiser le canal scuris l'aide du Centre d'administration Active Directory :
1.
Cliquez avec le bouton droit sur un ordinateur, puis cliquez sur Rinitialiser le compte.
2.
Cliquez sur Oui pour confirmer votre choix.
3.
Joignez nouveau l'ordinateur au domaine, puis redmarrez l'ordinateur.
Pour rinitialiser le canal scuris l'aide de DSMod :

4.
l'invite de commandes, tapez la commande suivante :

dsmod computer ComputerDN reset
5.
Joignez nouveau l'ordinateur au domaine, puis redmarrez l'ordinateur.
Pour rinitialiser le canal scuris l'aide de NetDom.exe, saisissez la commande suivante une invite
de commandes, o les informations d'identification appartiennent au groupe Administrateurs local
de l'ordinateur :
netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password |
*}
3-25
Cette commande rinitialise le canal scuris en essayant de rinitialiser le mot de passe sur l'ordinateur
et sur le domaine, afin de ne pas devoir effectuer une nouvelle jonction ou un redmarrage.
Pour rinitialiser le canal scuris l'aide de NLTest.exe, sur l'ordinateur qui a perdu son approbation,
saisissez la commande suivante une invite de commandes :
NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER
Vous pouvez galement utiliser Windows PowerShell avec le module Active Directory pour rinitialiser un
compte d'ordinateur. L'exemple suivant montre comment rinitialiser le canal scuris entre l'ordinateur
local et le domaine auquel il est joint.
Vous devez excuter cette commande sur l'ordinateur local :
Test ComputerSecureChannel Repair
Remarque : Vous pouvez galement rinitialiser le mot de passe d'un ordinateur distant
avec Windows PowerShell :
invoke-command -computername Workstation1 -scriptblock {reset-computermachinepassword}
Leon 4
Dlgation de l'administration
Bien qu'une seule personne puisse grer un petit rseau avec quelques utilisateurs et comptes
d'ordinateurs. Au fur et mesure que le rseau crot, la charge de travail lie la gestion du rseau
fait de mme. un moment donn, les quipes avec des spcialisations particulires voluent, chacune
tant responsable d'un certain aspect spcifique de la gestion du rseau. Dans des environnements
AD DS, il est courant de crer des units d'organisation pour apporter une structure dpartementale
ou gographique aux objets en rseau, et pour activer la configuration de la dlgation administrative.
Il est important que vous sachiez pourquoi et comment crer des units d'organisation, et comment
dlguer des tches d'administration aux utilisateurs sur des objets dans ces units d'organisation.
x
x
Dcrivez les autorisations AD DS.

Dterminez les autorisations AD DS efficaces d'un utilisateur sur un objet AD DS.
Dlguez le contrle administratif d'un objet AD DS un utilisateur ou un groupe d'utilisateurs
spcifique.
Autorisations AD DS
Tous les objets AD DS, tels que des utilisateurs,
ordinateurs et groupes, peuvent tre scuriss
l'aide d'une liste d'autorisations. Les autorisations
sur un objet sont appeles entres de contrle
d'accs, et sont attribues aux utilisateurs, aux
groupes ou aux ordinateurs, qui sont galement
appels entits de scurit. Les entres de contrle
d'accs sont enregistres dans la liste de contrle
d'accs discrtionnaire (DACL) de l'objet, qui fait
partie de la liste de contrle d'accs de l'objet.
La liste de contrle d'accs contient la liste de
contrle d'accs systme (SACL) qui comprend
des paramtres d'audit.
Chaque objet dans AD DS dispose de sa propre liste de contrle d'accs. Si vous disposez des
autorisations suffisantes, vous pouvez modifier les autorisations pour contrler le niveau d'accs sur
un objet AD DS spcifique. La dlgation du contrle administratif implique d'affecter les autorisations
qui grent l'accs aux objets et aux proprits dans AD DS. Tout comme vous pouvez donner
un groupe la capacit de modifier des fichiers dans un dossier, vous pouvez donner un groupe
la capacit, par exemple, de rinitialiser des mots de passe sur des objets utilisateur.
La liste DACL d'un objet permet galement d'attribuer des autorisations des proprits spcifiques d'un
objet. Par exemple, vous pouvez octroyer (ou refuser) l'autorisation de modifier les options de tlphone
et de messagerie lectronique. En fait, il ne s'agit pas seulement d'une proprit. C'est un ensemble
de proprits qui regroupe plusieurs proprits spcifiques. Grce aux ensembles de proprits, vous
pouvez facilement grer les autorisations des collections de proprits couramment utilises. Cependant,
vous pouvez galement attribuer des autorisations plus prcises et accorder ou refuser l'autorisation
de modifier certaines informations, telles que le numro de tlphone portable ou l'adresse postale.
Accorder l'assistance technique l'autorisation de rinitialiser les mots de passe pour tous les objets
utilisateur est une opration fastidieuse. Nanmoins, dans AD DS, il n'est pas recommand d'attribuer
des autorisations des objets distincts. Vous devez plutt attribuer des autorisations au niveau des
units d'organisation.
Les autorisations que vous attribuez une unit d'organisation sont hrites par tous les objets dans
l'unit d'organisation. Par consquent, si vous autorisez l'assistance technique rinitialiser les mots
de passe pour des objets utilisateur et que vous associez cette autorisation l'unit d'organisation
qui contient les utilisateurs, tous les objets utilisateur dans cette unit d'organisation hritent de
cette autorisation. En une seule tape, vous avez dlgu cette tche d'administration.
3-27
Les objets enfants hritent des autorisations du conteneur parent ou de l'unit d'organisation parente.
Cet conteneur ou cette unit d'organisation hrite des autorisations de son conteneur parent ou de son
unit d'organisation parente. S'il s'agit d'un conteneur ou d'une unit d'organisation de premier niveau,
il ou elle hrite des autorisations du domaine mme. La raison pour laquelle les objets enfant hritent
des autorisations de leurs parents est que, par dfaut, chaque nouvel objet est cr avec l'option
Inclure les autorisations pouvant tre hrites du parent de cet objet active.
Autorisations AD DS effectives
Les autorisations effectives sont les autorisations

rsultantes pour une entit de scurit (tel qu'un
utilisateur ou un groupe), reposant sur l'effet
cumulatif de chaque entre de contrle d'accs
hrite et explicite. Votre capacit rinitialiser
un mot de passe d'utilisateur, par exemple, peut
tre due votre appartenance un groupe qui
dispose de l'autorisation Rinitialiser le mot de
passe sur une unit d'organisation, plusieurs
niveaux au-dessus de l'objet utilisateur.
L'autorisation hrite attribue un groupe
auquel vous appartenez octroie une autorisation
effective Autoriser : Rinitialiser le mot de passe. Vos autorisations effectives peuvent tre compliques
lorsque vous prenez en compte les autorisations Autoriser et Refuser, les entres de contrle d'accs
explicites et hrites, et le fait que vous pouvez appartenir plusieurs groupes, chacun pouvant tre
dot de diffrentes autorisations.
Les autorisations, qu'elles soient attribues votre compte d'utilisateur ou un groupe auquel vous
appartenez, sont quivalentes. Cela signifie que, au final, une entre de contrle d'accs s'applique
vous, l'utilisateur. La mthode conseille consiste grer des autorisations en les attribuant aux groupes,
mais il est galement possible d'attribuer des entres de contrle d'accs aux utilisateurs ou ordinateurs
individuels. Une autorisation qui a t attribue directement vous, l'utilisateur, n'est ni plus importante
ni moins importante qu'une autorisation attribue un groupe auquel vous appartenez.
Les autorisations Autoriser, qui accordent l'accs, sont cumulatives. Si vous appartenez plusieurs
groupes, et que ces groupes se sont vus accorder des autorisations qui autorisent diverses tches,
vous pouvez effectuer toutes les tches attribues tous ces groupes, ainsi que les tches attribues
directement votre compte d'utilisateur.
Les autorisations Refuser, qui interdisent l'accs, priment sur les autorisations Autoriser quivalentes.
Si vous appartenez un groupe qui a t autoris rinitialiser les mots de passe, et que vous
appartenez galement un autre groupe qui n'a pas t autoris rinitialiser les mots de passe,
l'autorisation Refuser vous empche de rinitialiser les mots de passe.
Remarque : Utilisez les autorisations Refuser avec parcimonie. En effet, il est souvent
inutile d'attribuer des autorisations Refuser, car si vous n'attribuez pas d'autorisation Autoriser,
les utilisateurs ne peuvent pas effectuer la tche. Avant d'attribuer une autorisation Refuser,
commencez par vrifier si vous pouvez atteindre votre objectif en supprimant une autorisation
Autoriser. Par exemple, si vous souhaitez dlguer une autorisation Autoriser un groupe,
mais exclure un seul membre de ce groupe, vous pouvez attribuer une autorisation Refuser
ce compte d'utilisateur spcifique tandis que le groupe dispose d'une autorisation Autoriser.
Toutes les autorisations sont granulaires. Mme si vous vous tes vu refuser la capacit de rinitialiser
les mots de passe, vous pouvez encore tre en mesure de modifier le nom de connexion ou l'adresse
de messagerie de l'utilisateur grce d'autres autorisations Autoriser.
tant donn que les objets enfant hritent des autorisations pouvant tre hrites des objets parent
par dfaut et que les autorisations explicites peuvent remplacer les autorisations Autoriser pouvant
tre hrites, une autorisation explicite remplace en fait une autorisation Refuser hrite.
Malheureusement, l'interaction complexe des autorisations des utilisateurs, des groupes, explicites,
hrites, Autoriser et Refuser peut rendre l'valuation des autorisations effectives fastidieuse. Vous
pouvez utiliser les autorisations retournes par la commande DSACL, ou listes dans l'onglet Accs
effectif de la bote de dialogue Paramtres de scurit avancs pour commencer valuer les
autorisations effectives, mais cela reste une tche manuelle.
Dmonstration : Dlgation du contrle administratif

x
dlguer une tche standard ;

dlguer une tche personnalise ;
afficher les autorisations AD DS qui rsultent de ces dlgations.
Dlguer une tche standard
1.
Ouvrez Utilisateurs et ordinateurs Active Directory.
2.
Utilisez l'Assistant Dlgation de contrle pour accorder au groupe IT les tches de gestion standard
suivantes sur l'unit d'organisation IT :
o
Crer, supprimer et grer les comptes d'utilisateurs
Rinitialiser les mots de passe utilisateur et forcer le changement de mot de passe

la prochaine ouverture de session
Lire toutes les informations sur l'utilisateur
Dlguer une tche personnalise

x
Utilisez l'Assistant Dlgation de contrle pour accorder les autorisations suivantes de l'unit
d'organisation IT au groupe IT :
o
Contrle total sur les objets ordinateur
Crer des objets ordinateur
Supprimer des objets ordinateur
Afficher les autorisations AD DS qui rsultent de ces dlgations
3-29
1.
Activez la vue Fonctions avances dans Utilisateurs et ordinateurs Active Directory.
2.
Examinez les proprits de l'unit d'organisation IT.
3.
Utilisez l'onglet Scurit pour vrifier les autorisations attribues. Fermez toutes les fentres actives.

4-1
Module 4
Automatisation de l'administration des domaines
de services Active Directory
Table des matires :
4-1
Leon 1 : Utilisation des outils en ligne de commande

pour l'administration d'AD DS
4-2
Leon 2 : Utilisation de Windows PowerShell pour l'administration d'AD DS
4-8
Leon 3 : Excution d'oprations en bloc avec Windows PowerShell
4-15
Atelier pratique : Automatisation de l'administration d'AD DS l'aide

de Windows PowerShell
4-23
4-28
Vous pouvez utiliser des outils en ligne de commande et Windows PowerShell pour automatiser
l'administration des services de domaine Active Directory (AD DS). L'automatisation de l'administration
acclre les processus que vous devez normalement excuter manuellement. Windows PowerShell
comprend des applets de commande pour l'administration des services de domaine Active Directory
(AD DS) et l'excution des oprations en bloc. Vous pouvez utiliser des oprations en bloc pour modifier
de nombreux objets AD DS en une seule tape au lieu de mettre jour chaque objet manuellement.
Objectifs
x
utiliser les outils en ligne de commande pour l'administration d'AD DS ;

utiliser les applets de commande Windows PowerShell pour l'administration d'AD DS ;
excuter des oprations en bloc l'aide de Windows PowerShell.
Automatisation de l'administration des domaines de services Active Directory
Leon 1
Utilisation des outils en ligne de commande

Windows Server 2012 inclut plusieurs outils en ligne de commande que vous pouvez utiliser pour
excuter l'administration d'AD DS. De nombreuses organisations crent des scripts qui utilisent des
outils en ligne de commande pour automatiser la cration et la gestion des objets AD DS, tels que
les comptes d'utilisateurs et les groupes. Vous devez savoir utiliser ces outils en ligne de commande
pour vrifier que vous pouvez modifier les scripts utiliss par votre organisation, si ncessaire.
x
4-2
dcrire les avantages de l'utilisation des outils en ligne de commande pour l'administration d'AD DS ;
dcrire comment et quand utiliser csvde ;
dcrire comment et quand utiliser ldifde ;
dcrire comment et quand utiliser les commandes DS.
Avantages de l'utilisation des outils en ligne de commande

De nombreux administrateurs prfrent utiliser
les outils graphiques pour l'administration
d'AD DS chaque fois que cela est possible.
Les outils graphiques, tels que le composant
logiciel enfichable Utilisateurs et ordinateurs
Active Directory, sont utilisables de manire
intuitive parce qu'ils reprsentent les informations
visuellement et fournissent des options sous forme
de cases d'option et de botes de dialogue.
Lorsque les informations sont reprsentes
graphiquement, vous n'avez pas besoin de
mmoriser la syntaxe.
Les outils graphiques fonctionnent bien dans de nombreuses situations, mais ils ne peuvent pas tre
automatiss. Pour automatiser l'administration d'AD DS, vous avez besoin des outils en ligne de
commande. Les outils en ligne de commande peuvent tre utiliss dans les scripts ou par d'autres
applications.
Voici quelques-uns des avantages lis l'utilisation des outils en ligne de commande :
x
4-3
Implmentation plus rapide des oprations en bloc. Par exemple, vous pouvez exporter une liste de
nouveaux comptes d'utilisateurs partir d'une application de gestion des ressources humaines. Vous
pouvez utiliser un outil en ligne de commande ou un script pour crer des comptes d'utilisateurs en
fonction des informations exportes. Ce processus est beaucoup plus rapide que de crer chaque
nouveau compte d'utilisateur manuellement.
Processus personnaliss pour l'administration d'AD DS. Vous pouvez utiliser un programme
graphique personnalis pour rassembler des informations sur un nouveau groupe et crer ensuite
le nouveau groupe. Lorsque les informations sont rassembles, le programme graphique peut
vrifier que le format des informations, tel que la convention d'affectation de noms, est correct.
Le programme graphique utilise ensuite un outil en ligne de commande pour crer le nouveau
groupe. Ce processus permet l'application de rgles spcifiques la socit.
Administration d'AD DS dans une installation minimale. L'installation minimale de Windows Server
ne peut pas excuter les outils d'administration graphiques tels que Utilisateurs et ordinateurs
Active Directory. Toutefois, vous pouvez utiliser des outils en ligne de commande sur l'installation
minimale.
Remarque : Vous pouvez administrer l'installation minimale distance l'aide des outils
graphiques.
Qu'est-ce que Csvde ?

Csvde est un outil en ligne de commande qui
exporte ou importe des objets Active Directory
dans ou partir d'un fichier de valeurs spares
par une virgule (.csv). De nombreuses applications
sont capables d'exporter ou d'importer des
donnes partir de fichiers .csv. Csvde est
alors utile pour l'interoprabilit avec d'autres
applications, telles que les bases de donnes
ou les feuilles de calcul.
La principale limite de csvde est qu'il ne peut pas
modifier les objets Active Directory existants. Il ne
peut que crer de nouveaux objets. Par exemple,
vous pouvez utiliser csvde pour crer un ensemble de nouveaux comptes d'utilisateurs, mais vous ne
pouvez pas l'utiliser pour modifier les proprits de comptes d'utilisateurs aprs leur cration. Vous
pouvez galement l'utiliser pour exporter des proprits d'objet, telles qu'une liste d'utilisateurs et
de leurs adresses de messagerie.
Exporter des objets l'aide de csvde

Pour exporter des objets l'aide de csvde, vous devez, au minimum, spcifier le nom du fichier .csv
vers lequel les donnes seront exportes. Avec uniquement le nom de fichier spcifi, tous les objets
du domaine seront exports.
La syntaxe de base permettant d'utiliser csvde pour l'exportation est la suivante :
csvde -f filename
Les autres options que vous pouvez utiliser avec csvde sont rpertories dans le tableau suivant.
Option
Description
-d RootDN
Spcifie le nom unique du conteneur partir duquel l'exportation

commencera. La valeur par dfaut est le domaine.
-p SearchScope
Spcifie l'tendue de recherche relative au conteneur spcifi par l'option d. L'option SearchScope peut avoir la valeur base (cet objet uniquement),
onelevel (objets de ce conteneur) ou subtree (ce conteneur et tous les
sous-conteneurs). La valeur par dfaut est subtree.
-r Filter
Limite les objets retourns ceux qui correspondent au filtre. Le filtre est
bas sur la syntaxe de requte du protocole LDAP (Lightweight Directory
Access Protocol).
-l ListOfAtrributes
Spcifie les attributs exporter. Utilisez le nom LDAP pour chaque attribut
et sparez-les par une virgule.
4-4
Une fois l'exportation termine, le fichier .csv contient une ligne d'en-tte et une ligne pour chaque objet
export. La ligne d'en-tte est une liste contenant les noms des attributs de chaque objet, spars par une
virgule.
Crer des objets l'aide de csvde

La syntaxe de base permettant d'utiliser csvde pour crer des objets est la suivante :
csvde -i -f filename -k
Le paramtre -i spcifie le mode d'importation. Le paramtre -f identifie le nom de fichier partir duquel
l'importation s'effectue. Le paramtre -k indique csvde d'ignorer les messages d'erreur, y compris le
message L'objet existe dj . L'option Supprimer les erreurs est utile lors de l'importation des objets
pour vous assurer que tous les objets possibles sont crs et viter un arrt si elle n'est pas compltement
termine.
Le fichier .csv utilis pour une importation doit avoir une ligne d'en-tte contenant les noms des attributs
LDAP des donnes du fichier .csv. Chaque ligne doit contenir prcisment le nombre exact d'lments
tel que spcifi dans la ligne d'en-tte.
4-5
Vous ne pouvez pas utiliser csvde pour importer des mots de passe, car les mots de passe d'un fichier .csv
ne sont pas protgs. Par consquent, les comptes d'utilisateurs cres avec csvde ont un mot de passe
vide et sont dsactivs.
Remarque : Pour plus d'informations sur les paramtres de csvde, l'invite de commandes,
tapez csvde / ?, puis appuyez sur Entre.
Documentation supplmentaire : Pour plus d'informations sur la syntaxe

de requte LDAP, consultez les principes de requte LDAP l'adresse
http://go.microsoft.com/fwlink/?LinkId=168752.
Qu'est-ce que Ldifde ?

Ldifde est un outil en ligne de commande que
vous pouvez utiliser pour exporter, crer, modifier
ou supprimer des objets AD DS. Comme csvde,
ldifde utilise les donnes enregistres dans
un fichier. Le fichier doit tre au format LDIF
(LDAP Data Interchange Format). La plupart
des applications ne peuvent pas exporter ou
importer des donnes au format LDIF. Vous
obtiendrez probablement des donnes au
format LDIF partir d'un autre service d'annuaire.
Un fichier LDIF est un fichier texte qui contient des
blocs de lignes composant une opration unique
telle la cration ou la modification d'un objet utilisateur. Chaque ligne de l'opration spcifie quelque
chose au sujet de l'opration, par exemple un attribut ou le type d'opration. Une ligne vierge spare
plusieurs oprations du fichier LDIF.
Vous trouverez ci-dessous un exemple de fichier LDIF qui cre un simple utilisateur :
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=adatum,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Oprations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: [email protected]
mail: [email protected]
Pour chaque opration d'un fichier LDIF, la ligne changetype dfinit l'opration effectuer. Les valeurs
valides sont add, modify ou delete.
Exporter des objets l'aide de Ldifde

Lorsque vous utilisez ldifde pour exporter des objets, vous devez fournir au minimum un nom de fichier
pour contenir les donnes. Lorsqu'aucune autre option n'est slectionne, tous les objets du domaine
sont exports.
La syntaxe de base pour l'exportation des objets l'aide de LDIFE est la suivante :
ldifde -f filename
Certaines des autres options que vous pouvez utiliser lors de l'exportation des objets sont rpertories
dans le tableau suivant.
Option
Description
-d RootDN
Racine de la recherche LDAP. La valeur par dfaut est la racine

du domaine.
-r Filter
Filtre de recherche LDAP qui limite les rsultats retourns.
-p SearchScope
tendue ou intensit de la recherche. Valeur possible :

x subtree (conteneur et tous les conteneurs enfants) ;
x base (objets enfants immdiats du conteneur uniquement) ;
x onelevel (conteneur et ses conteneurs enfants immdiats).

-l ListOfAttributes
Liste d'attributs inclure dans l'exportation, spars par une virgule.
-o ListOfAttributes
Liste d'attributs exclure de l'exportation, spars par une virgule.
Importer des objets l'aide de Ldifde

Lorsque vous utilisez ldifde pour importer des objets, vous devez spcifier l'opration effectuer sur
l'objet. Pour chaque opration d'un fichier LDIF, la ligne changetype dfinit l'opration effectuer.
La syntaxe de base permettant d'utiliser ldifde pour importer des objets est la suivante :
ldifde -i -f filename -k
4-6
Le paramtre -i spcifie le mode d'importation. Le paramtre -f identifie le nom de fichier partir duquel
l'importation s'effectue. Le paramtre -k indique ldifde d'ignorer les erreurs, y compris l'erreur L'objet
existe dj . L'option Supprimer les erreurs est utile lors de l'importation des objets pour vous assurer
que tous les objets possibles sont crs et viter un arrt si elle n'est pas compltement termine.
Vous ne pouvez pas utiliser ldifde pour importer des mots de passe, car le fichier LDIF ne serait pas
scuris. Par consquent, les comptes d'utilisateurs crs par ldifde ont un mot de passe vide et sont
dsactivs.
Qu'est-ce que les commandes DS ?

Windows Server 2012 inclut des outils en ligne
de commande, appels commandes DS, qui
sont appropries pour une utilisation dans les
scripts. Vous pouvez utiliser les outils en ligne
de commande DS pour crer, afficher, modifier
et supprimer des objets AD DS. Le tableau suivant
dcrit les outils en ligne de commande DS.
Outil
Description
DSadd
Cre des objets AD DS.
DSget
Affiche les proprits des objets AD DS.
DSquery
Recherche les objets AD DS.
DSmod
Modifie les objets AD DS.
DSrm
Supprime les objets AD DS.
DSmove
Dplace les objets AD DS.
Exemples de commandes de gestion des utilisateurs

Vous trouverez ci-dessous des exemples de commandes DS que vous pouvez taper l'invite
de commandes.
Pour modifier le service d'un compte d'utilisateur, tapez :
dsmod user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com" -dept IT
Pour afficher le courrier lectronique d'un compte d'utilisateur, tapez :

dsget user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com" -email
Pour supprimer un compte d'utilisateur, tapez :

dsrm "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"
Pour crer un compte d'utilisateur, tapez :

dsadd user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"
Question : Quels critres utiliseriez-vous pour choisir d'opter pour csvde, ldifde
ou les commandes DS ?
4-7
Leon 2
Utilisation de Windows PowerShell pour

l'administration d'AD DS
4-8
Windows PowerShell est l'environnement d'criture de scripts par dfaut de Windows Server 2012.
Il est beaucoup plus facile utiliser que les langages de script prcdents tels que Microsoft Visual Basic
Scripting Edition (VBScript). Windows PowerShell inclut une liste tendue d'applets de commande pour
grer les objets AD DS. Vous pouvez utiliser des applets de commande pour crer, modifier et supprimer
des comptes d'utilisateurs, des groupes, des comptes d'ordinateurs et des units d'organisation (OU).
x
utiliser les applets de commande Windows PowerShell pour grer les comptes d'utilisateurs ;
utiliser les applets de commande Windows PowerShell pour grer les groupes ;
utiliser les applets de commande Windows PowerShell pour grer les comptes d'ordinateurs ;
utiliser les applets de commande Windows PowerShell pour grer les units d'organisation.
Utilisation des applets de commande Windows PowerShell pour grer

les comptes d'utilisateurs
Windows PowerShell pour crer, modifier et
supprimer des comptes d'utilisateurs. Ces applets
de commande peuvent tre utilises pour des
oprations diffrentes ou dans le cadre d'un script
permettant d'excuter des oprations en bloc.
Certaines des applets de commande permettant
de grer des comptes d'utilisateurs se trouvent
Applet de commande
Description
New-ADUser
Cre des comptes d'utilisateurs.
Set-ADUser
Modifie les proprits des comptes d'utilisateurs.
Remove-ADUser
Supprime des comptes d'utilisateurs.
Set-ADAccountPassword
Rinitialise le mot de passe d'un compte d'utilisateur.
Set-ADAccountExpiration
Modifie la date d'expiration d'un compte d'utilisateur.
(suite)
Applet de commande
Description
Unlock-ADAccount
Dverrouille un compte d'utilisateur lorsqu'il a t verrouill aprs

le dpassement du nombre autoris de tentatives incorrectes
d'ouverture de session.
Enable-ADAccount
Active un compte d'utilisateur.
Disable-ADAccount
Dsactive un compte d'utilisateur.
Crer des comptes d'utilisateurs

Lorsque vous utilisez l'applet de commande New-ADUser pour crer des comptes d'utilisateurs,
vous pouvez dfinir la plupart des proprits d'utilisateur, y compris un mot de passe. Par exemple :
4-9
Si vous n'utilisez pas le paramtre -AccountPassword, aucun mot de passe n'est dfini et le compte
d'utilisateur est dsactiv. Le paramtre -Enabled ne peut pas tre dfini comme $true lorsqu'aucun
mot de passe n'est dfini.
Si vous utilisez le paramtre -AccountPassword pour spcifier un mot de passe, vous devez alors
spcifier une variable qui contient le mot de passe sous forme de chane scurise ou choisir d'tre
invit entrer le mot de passe. Une chane scurise est chiffre dans la mmoire. Si vous avez
dfini un mot de passe, vous pouvez alors activer le compte d'utilisateur en donnant au paramtre Enabled la valeur $true.
Certains paramtres couramment utiliss pour l'applet de commande New-ADUser sont rpertoris
Paramtre
Description
AccountExpirationDate
Dfinit la date d'expiration du compte d'utilisateur.
AccountPassword
Dfinit le mot de passe du compte d'utilisateur.
ChangePasswordAtLogon
Requiert le compte d'utilisateur pour modifier les mots de passe

la prochaine connexion.
Service
Dfinit le service du compte d'utilisateur.
Activ
Dfinit si le compte d'utilisateur est activ ou dsactiv.
HomeDirectory
Dfinit l'emplacement du rpertoire de base d'un compte

d'utilisateur.
HomeDrive
Dfinit les lettres de lecteur mappes au rpertoire de base d'un

compte d'utilisateur.
GivenName
Dfinit le prnom d'un compte d'utilisateur.
Surname
Dfinit le nom d'un compte d'utilisateur.
Chemin d'accs
Dfinit l'unit d'organisation ou le conteneur dans lequel le compte

d'utilisateur est cr.
Vous trouverez ci-dessous un exemple de commande que vous pouvez utiliser pour crer un compte
d'utilisateur avec une invite vous demandant d'entrer un mot de passe :
New-ADUser "Sten Faerch" -AccountPassword (Read-Host -AsSecureString "Entrez le mot de
passe") -Department IT
Question : Les paramtres des applets de commande que vous utilisez pour grer les
comptes d'utilisateurs sont-ils identiques ?

les groupes
Windows PowerShell pour crer, modifier
et supprimer des groupes. Ces applets de
commande peuvent tre utilises pour des
oprations diffrentes ou dans le cadre d'un
script permettant d'excuter des oprations
en bloc.
de grer les groupes se trouvent dans le tableau
suivant.
Applet de commande
Description
New-ADGroup
Cre des groupes.
Set-ADGroup
Modifie les proprits des groupes.
Get-ADGroup
Affiche les proprits des groupes.
Remove-ADGroup
Supprime des groupes.
Add-ADGroupMember
Ajoute des membres aux groupes.
Get-ADGroupMember
Affiche l'appartenance des groupes.
Remove-ADGroupMember
Supprime des membres des groupes.
Add-ADPrincipalGroupMembership
Ajoute l'appartenance au groupe aux objets.
Get-ADPrincipalGroupMembership
Affiche l'appartenance au groupe des objets.
Remove-ADPrincipalGroupMembership
Supprime l'appartenance au groupe d'un objet.
4-10 Automatisation de l'administration des domaines de services Active Directory
Crer des groupes

Vous pouvez utiliser l'applet de commande New-ADGroup pour crer des groupes. Toutefois,
lorsque vous crez des groupes l'aide de l'applet de commande New-ADGroup, vous devez
utiliser le paramtre GroupScope en plus du nom de groupe. C'est le seul paramtre requis.
Le tableau suivant rpertorie les paramtres couramment utiliss pour New-ADGroup.
Paramtre
Description
4-11
Nom
Dfinit le nom du groupe.
GroupScope
Dfinit l'tendue du groupe comme DomainLocal, Global ou Universal.

Vous devez fournir ce paramtre.
DisplayName
Dfinit le nom complet LDAP de l'objet.
GroupCategory
Dfinit s'il s'agit d'un groupe de scurit ou d'un groupe de distribution.

Si vous n'en spcifiez aucun, un groupe de scurit est cr.
ManagedBy
Dfinit un utilisateur ou un groupe qui peut grer le groupe.
Chemin d'accs
Dfinit l'unit d'organisation ou le conteneur dans laquelle ou lequel

le groupe est cr.
SamAccountName
Dfinit un nom qui a une compatibilit descendante avec les systmes

d'exploitation plus anciens.
La commande suivante est un exemple de ce que vous pouvez taper une invite Windows PowerShell
pour crer un groupe :
New-ADGroup -Name "CustomerManagement" -Path "ou=managers,dc=adatum,dc=com" -GroupScope

Global -GroupCategory Security
Grer l'appartenance au groupe

Il existe deux ensembles d'applets de commande que vous pouvez utiliser pour grer l'appartenance
au groupe : *-ADGroupMember et *-ADPrincipalGroupMembership. La distinction entre ces deux
ensembles d'applets de commande est la perspective utilise lors de la modification de l'appartenance
au groupe. Les voici :
x
Les applets de commande *-ADGroupMember modifient l'appartenance un groupe. Par exemple,

vous ajoutez ou supprimez des membres d'un groupe.
o
Vous ne pouvez pas diffuser une liste de membres dans ces applets de commande.
Vous pouvez passer une liste de groupes ces applets de commande.
Les applets de commande *-ADPrincipalGroupMembership modifient l'appartenance au groupe

d'un objet, tel qu'un utilisateur. Par exemple, vous pouvez modifier un compte d'utilisateur pour
l'ajouter en tant que membre d'un groupe.
o
Vous pouvez diffuser une liste de membres dans ces applets de commande.
Vous ne pouvez pas fournir une liste de groupes ces applets de commande.
Remarque : Lorsque vous publiez une liste d'objets dans une applet de commande,
vous passez une liste d'objets une applet de commande.
Vous trouverez ci-dessous un exemple de commande utiliser pour ajouter un membre un groupe :
Add-ADGroupMember CustomerManagement -Members "Joe"

les comptes d'ordinateurs
supprimer des comptes d'ordinateurs. Ces applets
de grer les comptes d'ordinateurs se trouvent
Applet de commande
Description
New-ADComputer
Cre un compte d'ordinateur.
Set-ADComputer
Modifie les proprits d'un compte d'ordinateur.
Get-ADComputer
Affiche les proprits d'un compte d'ordinateur.
Remove-ADComputer
Supprime un compte d'ordinateur.
Test-ComputerSecureChannel
Vrifie ou rpare la relation d'approbation entre un

ordinateur et le domaine.
Reset-ComputerMachinePassword
Rinitialise le mot de passe d'un compte d'ordinateur.
Crer des comptes d'ordinateurs
Vous pouvez utiliser l'applet de commande New-ADComputer pour crer un compte d'ordinateur avant
de joindre l'ordinateur au domaine. Si vous procdez ainsi, vous pouvez crer le compte d'ordinateur dans
l'unit d'organisation approprie avant de dployer l'ordinateur.
Le tableau suivant rpertorie les paramtres couramment utiliss pour New-ADComputer.
Paramtre
Description
Nom
Dfinit le nom d'un compte d'ordinateur.
Chemin d'accs
Dfinit l'unit d'organisation ou le conteneur dans lequel le compte

d'ordinateur sera cr.
Activ
Dfinit si le compte d'ordinateur est activ ou dsactiv. Par dfaut, le

compte d'ordinateur est activ et un mot de passe alatoire est gnr.
Voici un exemple de script que vous pouvez utiliser pour crer un compte d'ordinateur :
New-ADComputer -Name LON-SVR8 -Path "ou=marketing,dc=adatum,dc=com" -Enabled $true
Rparer la relation d'approbation d'un compte d'ordinateur
4-13
Vous pouvez utiliser l'applet de commande Test-ComputerSecureChannel avec le paramtre -Repair

pour rparer une relation d'approbation perdue entre un ordinateur et le domaine. Vous devez excuter
l'applet de commande sur l'ordinateur avec la relation d'approbation perdue.
Vous pouvez utiliser la commande suivante pour rparer la relation d'approbation d'un compte
d'ordinateur :
Test-ComputerSecureChannel -Repair

les units d'organisation
supprimer des units d'organisation. Ces applets
de grer les units d'organisation sont
rpertories dans le tableau suivant.
Applet de commande
Description
New-ADOrganizationalUnit
Cre des units d'organisation.
Set-ADOrganizationalUnit
Modifie les proprits des units d'organisation.
Get-ADOrganizationalUnit
Affiche les proprits des units d'organisation.
Remove-ADOrganizationalUnit
Supprime des units d'organisation.
Crer des units d'organisation

Vous pouvez utiliser l'applet de commande New-ADOrganizationalUnit permettant de crer une
unit d'organisation pour reprsenter des services ou des emplacements physiques au sein de votre
organisation.
Les paramtres couramment utiliss pour l'applet de commande New-ADOrganizationalUnit
sont rpertoris dans le tableau suivant.
Paramtre
Description
Nom
Dfinit le nom d'une nouvelle unit d'organisation.
Chemin d'accs
Dfinit l'emplacement d'une nouvelle unit

d'organisation.
ProtectedFromAccidentalDeletion
Permet d'empcher la suppression accidentelle de l'unit

d'organisation. La valeur par dfaut est $true.
Voici un exemple de script que vous pouvez utiliser si vous voulez crer une unit d'organisation :
New-ADOrganizationalUnit -Name Sales -Path "ou=marketing,dc=adatum,dc=com" ProtectedFromAccidentalDeletion $true
Question : Dans l'exemple de la diapositive, le paramtre

ProtectedFromAccidentalDeletion est-il requis ?
Leon 3
4-15
Excution d'oprations en bloc avec Windows PowerShell

Windows PowerShell est un environnement d'criture de scripts puissant que vous pouvez utiliser
pour excuter des oprations en bloc, normalement fastidieuses excuter manuellement.
Vous pouvez galement excuter quelques oprations en bloc dans les outils graphiques.
Pour excuter des oprations en bloc l'aide de Windows PowerShell, vous devez d'abord savoir
comment crer des requtes pour une liste d'objets AD DS et comment travailler avec des
fichiers .csv. Vous pouvez alors crer des scripts qui excutent les oprations en bloc requises.
x
x
dcrire les oprations en bloc ;

utiliser les outils graphiques pour excuter des oprations en bloc ;
interroger les objets AD DS l'aide de Windows PowerShell ;
modifier les objets AD DS l'aide de Windows PowerShell ;
utiliser les fichiers .csv avec Windows PowerShell ;
modifier et excuter les scripts Windows PowerShell pour excuter des oprations en bloc.
Que sont les oprations en bloc ?

Une opration en bloc est une action unique
qui modifie plusieurs objets. L'excution d'une
opration en bloc est beaucoup plus rapide que la
modification de plusieurs objets individuellement.
Elle peut galement tre plus prcise, car
l'excution de nombreuses actions individuelles
augmente les risques d'erreur typographique.
Le processus gnral d'excution des oprations
en bloc est le suivant :
1.
Dfinir une requte. Vous utilisez la requte

pour slectionner les objets que vous
souhaitez modifier. Par exemple, vous pouvez
souhaiter modifier tous les comptes d'utilisateurs dans une unit d'organisation spcifique.
2.
Modifier les objets dfinis par la requte. l'aide des outils graphiques, vous slectionnez en gnral
les objets que vous souhaitez modifier, puis vous modifiez les proprits de ces objets. l'aide des
outils en ligne de commande, vous pouvez utiliser une liste d'objets ou de variables pour identifier
les objets modifier.
Vous pouvez excuter des oprations en bloc avec les outils graphiques, une invite de commandes,
ou l'aide de scripts. Chaque mthode d'excution d'oprations en bloc possde des fonctionnalits
diffrentes.
Par exemple :
Les outils graphiques ont tendance se limiter aux proprits qu'ils peuvent modifier.
Les outils en ligne de commande ont tendance tre plus flexibles que les outils graphiques lors
de la dfinition des requtes. Ils disposent de plus d'options pour modifier les proprits d'objet.
Les scripts peuvent combiner plusieurs actions de ligne de commande pour rpondre plus
de complexit et de flexibilit.
Dmonstration : Utilisation des outils graphiques pour excuter

des oprations en bloc
Vous pouvez utiliser le Centre d'administration Active Directory d'outils graphiques et le composant
logiciel enfichable Utilisateurs et ordinateurs Active Directory pour modifier les proprits de plusieurs
objets simultanment.
Remarque : Lorsque vous utilisez les outils graphiques pour modifier plusieurs comptes
d'utilisateurs simultanment, vous pouvez uniquement modifier les proprits qui s'affichent
dans l'interface utilisateur.
Pour excuter une opration en bloc l'aide des outils graphiques, procdez comme suit :
1.
Effectuez une recherche ou crez un filtre pour afficher les objets que vous souhaitez modifier.
2.
Slectionnez les objets.
3.
Examinez les proprits des objets.
4.
Modifiez les proprits souhaites.
Dans cette dmonstration, vous allez apprendre :

x
crer une requte pour tous les utilisateurs ;

configurer l'attribut Company pour tous les utilisateurs ;
vrifier que l'attribut Company a t modifi.
Crer une requte pour tous les utilisateurs
1.
Dmarrez 22410B-LON-DC1 et ouvrez une session en tant qu'ADATUM\Administrateur

avec le mot de passe Pa$$w0rd.
2.
3.
Accdez la Recherche globale et ajoutez les critres Object type is

user/inetOrgPerson/computer/group/organization unit.
4.
Vrifiez que les critres que vous avez ajouts sont de type Utilisateur et effectuez la recherche.
Configurer l'attribut Company pour tous les utilisateurs

1.
Slectionnez tous les comptes d'utilisateurs et modifiez leurs proprits.
2.
Tapez A. Datum comme nom de socit.
Vrifier que l'attribut Company a t modifi

x
Ouvrez les proprits d'Adam Barr et vrifiez que la socit est A. Datum.
Interrogation d'objets avec Windows PowerShell

Dans Windows PowerShell, vous utilisez les
applets de commande Get-* pour obtenir des
listes d'objets, tels que des comptes d'utilisateurs.
Vous pouvez galement utiliser ces applets de
commande pour gnrer des requtes pour
des objets sur lesquels vous pouvez excuter
des oprations en bloc.
Le tableau suivant rpertorie les paramtres
couramment utiliss avec les applets
de commande Get-AD*.
Paramtre
Description
SearchBase
Dfinit le chemin d'accs AD DS pour commencer rechercher, par exemple,

le domaine ou une unit d'organisation.
SearchScope
Dfinit le niveau infrieur SearchBase auquel une recherche doit tre

effectue. Vous pouvez choisir de rechercher uniquement dans la base,
un niveau en dessous ou dans l'ensemble de la sous-arborescence.
ResultSetSize
Dfinit le nombre d'objets retourner en rponse une requte. Pour vrifier

que tous les objets sont retourns, vous devez lui affecter la valeur $null.
Proprits
Dfinit les proprits d'objet retourner et afficher. Pour retourner toutes

les proprits, tapez un astrisque (*). Vous n'avez pas besoin d'employer ce
paramtre afin d'utiliser une proprit pour le filtrage.
Crer une requte

Vous pouvez utiliser le paramtre Filter ou LDAPFilter pour crer des requtes pour les objets avec
les applets de commande Get-AD*. Le paramtre Filter est utilis pour des requtes crites dans
Windows PowerShell. Le paramtre LDAPFilter est utilis pour des requtes crites sous forme
de chanes de requte LDAP.
Windows PowerShell est privilgier pour les raisons suivantes :
x
Il est plus facile d'crire des requtes dans Windows PowerShell.

Vous pouvez utiliser des variables dans les requtes.
Une conversion automatique des types de variables se produit, lorsque cela est ncessaire.
4-17
Le tableau suivant rpertorie les oprateurs couramment utiliss que vous pouvez utiliser dans
Windows PowerShell.
Oprateur
Description
-eq
gal
-ne
Diffrent de
-lt
Infrieur
-le
Infrieur ou gal
-gt
Suprieur
-ge
Suprieur ou gal
-like
Utilise des caractres gnriques pour les critres spciaux
Vous pouvez utiliser la commande suivante pour afficher toutes les proprits d'un compte d'utilisateur :
Get-ADUser Administrateur -Properties *
Vous pouvez utiliser la commande suivante pour retourner tous les comptes d'utilisateurs dans l'unit
d'organisation Marketing et toutes ses units d'organisation enfants :
Get-ADUser -Filter * -SearchBase "ou=Marketing,dc=adatum,dc=com" -SearchScope subtree
Vous pouvez utiliser la commande suivante pour afficher tous les comptes d'utilisateurs avec une dernire
date de connexion antrieure une date spcifique :
Get-ADUser -Filter {lastlogondate -lt "Mars 29, 2013"}
Vous pouvez utiliser la commande suivante pour afficher tous les comptes d'utilisateurs du service
Marketing qui ont une dernire date de connexion antrieure une date spcifique :
Get-ADUser -Filter {(lastlogondate -lt "Mars 29, 2013") -and (department -eq
"Marketing")}
Documentation supplmentaire : Pour plus d'informations sur le filtrage avec les applets
de commande Get AD*, reportez-vous la rubrique about_ActiveDirectory_Filter l'adresse
Question : Quelle est la diffrence entre l'utilisation de -eq et de -like lors
de la comparaison de chanes ?
Modification d'objets avec Windows PowerShell

Pour excuter une opration en bloc, vous devez
passer la liste d'objets interrogs une autre
applet de commande pour modifier les objets.
Dans la plupart des cas, vous utilisez les applets de
commande Set-AD* pour modifier les objets.
Pour passer la liste des objets interrogs
une autre applet de commande en vue d'un
traitement ultrieur, vous utilisez le caractre de
barre verticale ( | ). Le caractre de barre verticale
passe chaque objet de la requte une deuxime
applet de commande, qui excute ensuite une
opration spcifie sur chaque objet.
4-19
Vous pouvez utiliser la commande suivante pour ces comptes dont l'attribut Company n'est pas dfini.
Elle gnrera une liste de comptes d'utilisateurs et donnera l'attribut Company la valeur A. Datum.
Get-ADUser -Filter {company -notlike "*"} | Set-ADUser -Company "A. Datum"
Vous pouvez utiliser la commande suivante pour gnrer une liste de comptes d'utilisateurs qui n'ont
pas ouvert de session depuis une date spcifique, puis les dsactiver :
Get-ADUser -Filter {(lastlogondate -lt "Mars 29, 2013") -and (department -eq
"Marketing")}
Utiliser des objets partir d'un fichier texte

Au lieu d'utiliser une liste d'objets partir d'une requte pour effectuer une opration en bloc, vous
pouvez utiliser une liste d'objets dans un fichier texte. Cela s'avre particulirement utile lorsque vous
devez modifier ou supprimer une liste d'objets et qu'il n'est pas possible de gnrer cette liste l'aide
d'une requte. Par exemple, le service des ressources humaines peut gnrer une liste de comptes
d'utilisateurs dsactiver. Aucune requte ne peut identifier une liste d'utilisateurs qui ont quitt
l'organisation.
Lorsque vous utilisez un fichier texte pour spcifier une liste d'objets, le fichier texte doit comporter
le nom de chaque objet sur une seule ligne.
Vous pouvez utiliser la commande suivante pour dsactiver les comptes d'utilisateurs rpertoris
dans un fichier texte :
Get Content C:\users.txt | Disable ADAccount
Question : Quels attributs de compte d'utilisateur pouvez-vous utiliser lors de la cration

d'une requte l'aide du paramtre Filter ?
Utilisation des fichiers CSV

Un fichier .csv peut contenir beaucoup plus
d'informations qu'une liste simple. Semblable
une feuille de calcul, un fichier .csv peut
comporter plusieurs lignes et colonnes
d'informations. Chaque ligne reprsente un
objet unique et chaque colonne reprsente
une proprit de l'objet. Cela s'avre utile pour
les oprations en bloc telles que la cration de
comptes d'utilisateurs pour lesquelles plusieurs
lments d'information sur chaque objet sont
requis.
Vous pouvez utiliser l'applet de commande

Import-CSV pour lire le contenu d'un fichier .csv dans une variable, puis utiliser les donnes. Aprs
l'importation des donnes dans la variable, vous pouvez vous reporter chaque ligne et chaque colonne
individuelles de donnes. Chaque colonne de donnes porte un nom qui est bas sur la ligne d'en-tte
(premire ligne) du fichier .csv. Vous pouvez vous reporter chaque colonne en fonction de leur nom.
Vous trouverez ci-dessous un exemple de fichier .csv avec une ligne d'en-tte :
FirstName,LastName,Department
Greg,Guzik,Informatique
Robin,Young,Recherche
Qiong,Wu,Marketing
Utiliser Foreach pour traiter les donnes CSV

Dans de nombreux cas, vous crez le script qui sera rutilis pour plusieurs fichiers .csv et vous ne
connaissez pas le nombre de lignes de chaque fichier .csv. Vous pouvez utiliser une boucle foreach
pour traiter chaque ligne d'un fichier .csv. Ce type de boucle ne requiert pas de connatre le nombre
de lignes. chaque itration de la boucle foreach, une ligne du fichier .csv est importe dans une
variable qui peut tre traite.
Vous pouvez utiliser la commande suivante pour importer un fichier .csv dans une variable et utiliser
une boucle foreach pour afficher le prnom de chaque ligne d'un fichier .csv :
$users=Import-CSV C:\users.csv
Foreach ($i in $users) {
Write Host "Le premier nom est :" $i.FirstName
}
Question : Dans la boucle foreach, comment la variable $i change-t-elle ?
4-21
Dmonstration : Excution d'oprations en bloc avec Windows PowerShell

Vous pouvez utiliser un script pour combiner plusieurs commandes Windows PowerShell afin d'effectuer
des tches plus complexes. Dans un script, vous utilisez souvent des variables et des boucles pour
le traitement des donnes. Les scripts Windows PowerShell possde une extension .ps1.
La stratgie d'excution sur un serveur dtermine si les scripts peuvent s'excuter. La stratgie d'excution
par dfaut sur Windows Server 2012 est RemoteSigned. Cela signifie que les scripts locaux peuvent
s'excuter sans tre signs numriquement. Vous pouvez contrler la stratgie d'excution l'aide
de l'applet de commande Set-ExecutionPolicy.
x
configurer un service pour des utilisateurs ;

crer une unit d'organisation ;
excuter un script de cration de comptes d'utilisateurs ;
vrifier que de nouveaux comptes d'utilisateurs ont bien t crs.
Configurer un service pour des utilisateurs
1.
Dmarrez 22410B-LON-DC1 et ouvrez une session en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.
2.
Sur LON-DC1, ouvrez une invite Windows PowerShell.
3.
l'invite Windows PowerShell, recherchez les comptes d'utilisateurs dans l'unit d'organisation
Research l'aide de la commande suivante :
Get-ADUser Filter * -SearchBase "ou=Research,dc=adatum,dc=com"
4.
Dfinissez l'attribut de service de tous les utilisateurs dans l'unit d'organisation Research l'aide
de la commande suivante :
Get-ADUser Filter * -SearchBase "ou=Research,dc=adatum,dc=com" | Set-ADUser Department Research
5.
Affichez une liste sous forme de tableau des utilisateurs du service Research. Affichez le nom unique
et le service l'aide de la commande suivante :
Get-ADUser Filter 'department -eq "Research"' | Format-Table
DistinguishedName,Department
6.
Utilisez le paramtre Properties pour permettre la commande prcdente d'afficher le service

correctement. Utilisez la commande suivante :
Get-ADUser Filter 'department -eq "Research"' -Properties Department | Format-Table

DistinguishedName,Department
Crer une unit d'organisation

x
l'invite Windows PowerShell, crez une unit d'organisation nomme LondonBranch l'aide
de la commande :
New-ADOrganizationalUnit LondonBranch -Path "dc=adatum,dc=com"
Excuter un script de cration de comptes d'utilisateurs

1.
Ouvrez E:\Labfiles\Mod04\DemoUsers.csv et lisez la ligne d'en-tte.
2.
Modifiez DemoUsers.ps1 et examinez le contenu du script. Notez que le script :
3.
fait rfrence l'emplacement du fichier .csv ;
utilise une boucle foreach pour traiter le contenu du fichier .csv ;
fait rfrence aux colonnes dfinies par l'en-tte du fichier .csv.
l'invite Windows PowerShell, modifiez le rpertoire E:\Labfiles\Mod04, puis excutez

.\DemoUsers.ps1
Vrifier que de nouveaux comptes d'utilisateurs ont bien t crs

1.
Dans le Gestionnaire de serveur, ouvrez le Centre d'administration Active Directory.
2.
Dans le Centre d'administration Active Directory, accdez Adatum (local)>LondonBranch

et vrifiez que les comptes d'utilisateurs ont bien t crs. Notez que les mots de passe sont
dsactivs, car aucun mot de passe n'a t dfini lors de la cration.

5-1
Module 5
Implmentation du protocole IPv4
Table des matires :
5-1
Leon 1 : Vue d'ensemble de TCP/IP
5-2
Leon 2 : Fonctionnement de l'adressage IPv4
5-7
Leon 3 : Sous-rseau et super-rseau
5-12
Leon 4 : Configuration et rsolution des problmes lis IPv4
5-18
Atelier pratique : Implmentation du protocole IPv4
5-28
5-33

IPv4 est le protocole rseau utilis sur Internet et les rseaux locaux. Pour pouvoir comprendre et
rsoudre les problmes de communication rseau, il est essentiel que vous compreniez comment
IPv4 est implment. Dans ce module, vous verrez comment implmenter un modle d'adressage
IPv4. Vous verrez galement comment dterminer et rsoudre les problmes lis au rseau.
Objectifs
x
x
x
dcrire la suite de protocoles TCP/IP ;

dcrire l'adressage IPv4 ;
dterminer un masque de sous-rseau ncessaire pour le sous-rseau ou le super-rseau ;
configurer IPv4 et rsoudre les problmes de communication lis IPv4.
Leon 1
Vue d'ensemble de TCP/IP
5-2
TCP/IP est une suite de protocoles normalise qui permet la communication dans un rseau htrogne.
Ce cours fournit une vue d'ensemble d'IPv4 et de sa relation avec les autres protocoles pour permettre la
communication rseau. Il couvre galement le concept des sockets, dont les applications se servent pour
accepter les communications rseau. De manire globale, ce cours fournit une base pour comprendre
le fonctionnement de la communication rseau et rsoudre les problmes inhrents.
x
dcrire les lments de la suite de protocoles TCP/IP ;

dcrire les diffrents protocoles qui composent la suite TCP/IP ;
dcrire les protocoles TCP/IP de la couche Application ;
dcrire un socket et identifier les numros de port des protocoles spcifis.
Suite de protocoles TCP/IP

Les tches effectues par le protocole TCP/IP dans
le processus de communication sont rparties
entre les protocoles. Ces protocoles sont organiss
en quatre couches distinctes dans la pile TCP/IP :
x
x
x
x
Couche Application. Les applications utilisent

les protocoles de la couche Application pour
accder aux ressources rseau.
Couche transport. Les protocoles de la couche
transport contrlent la fiabilit du transfert
de donnes sur le rseau.
Couche Internet. Les protocoles de la couche
Internet contrlent le mouvement des paquets entre les rseaux.
Couche interface rseau. Les protocoles de la couche interface rseau dfinissent la
faon dont les datagrammes de la couche Internet sont transmis sur le support rseau.
Avantages lis aux couches d'architecture

Plutt que de crer un protocole unique, la division des fonctions rseau en une pile de protocoles
distincts offre plusieurs avantages :
x
x
x
Les protocoles distincts facilitent la prise en charge d'un grand nombre de plateformes informatiques.
La cration ou la modification de protocoles pour prendre en charge de nouvelles normes n'exige
pas la modification de l'ensemble de la pile de protocoles.
Le fonctionnement de plusieurs protocoles dans la mme couche permet aux applications
de slectionner les protocoles qui fournissent uniquement le niveau de service requis.
Dans la mesure o la pile est divise en couches, le dveloppement des protocoles peut tre
effectu en parallle par du personnel spcialement qualifi pour les oprations relatives
des couches particulires.
Protocoles de la suite TCP/IP

Le modle OSI (Open Systems Interconnection)
dfinit des couches distinctes relatives
l'empaquetage, ainsi qu' l'envoi et la rception
de transmissions de donnes sur un rseau.
La suite en couche des protocoles formant
la pile TCP/IP effectue ces fonctions.
Couche Application
La couche Application du modle TCP/IP
correspond la couche Application, la couche
prsentation et la couche de session du modle
OSI. Cette couche fournit des services et utilitaires
qui permettent aux applications d'accder aux
ressources rseau.
Couche transport
La couche transport correspond la couche transport du modle OSI et est responsable de la
communication de bout en bout l'aide du protocole TCP ou UDP (User Datagram Protocol).
La suite de protocoles TCP/IP offre aux programmeurs d'applications le choix entre TCP ou UDP
en tant que protocole de couche transport :
5-3
TCP. Fournit aux applications des communications fiables orientes connexion. Une communication
oriente connexion vrifie si la destination est prte recevoir des donnes avant l'envoi de ces
donnes. Pour rendre la communication fiable, le protocole TCP s'assure que tous les paquets sont
reus. Une communication fiable est souhaitable dans la plupart des cas et est utilise par la plupart
des applications. Les serveurs Web, les clients FTP (File Transfer Protocol) et les autres applications
qui transfrent de grandes quantits de donnes utilisent le protocole TCP.
UDP. Offre une communication non fiable, en mode non connect. Lorsque vous utilisez le protocole
UDP, la fiabilit de la remise est de la responsabilit de l'application. Les applications utilisent le
protocole UDP pour communiquer plus rapidement avec une charge de traitement moins importante
que le protocole TCP. Certaines applications, par exemple les applications audio et vido de diffusion
en continu, utilisent le protocole UDP afin que l'absence d'un paquet ne retarde pas la lecture.
Le protocole UDP est galement utilis par les applications qui envoient de petites quantits
de donnes, par exemple lors des recherches de noms DNS (Domain Name System).
Le protocole de couche transport utilis par une application est dtermin par le dveloppeur
de l'application. En outre, il est bas sur les exigences de communication de l'application.
Couche Internet
La couche Internet correspond la couche rseau du modle OSI et est constitue de plusieurs protocoles
distincts, notamment : IP, ARP (Address Resolution Protocol), IGMP (Internet Group Management
Protocol) et ICMP (Internet Control Message Protocol). Les protocoles de la couche Internet encapsulent
les donnes de la couche transport dans des units appeles paquets, qu'ils traitent, puis acheminent
vers leurs destinations.
Les protocoles de la couche Internet sont les suivants :

x
x
x
x
IP. Le protocole IP est responsable du routage et de l'adressage. Les systmes d'exploitation

Windows 8 et Windows Server 2012 implmentent une pile de protocoles IP double couche.
Par ailleurs, ils assurent la prise en charge des protocoles IPv4 et IPv6.
5-4
ARP. Le protocole ARP est utilis par le protocole IP pour dterminer l'adresse MAC (Media Access
Control) des cartes rseau locales (c'est--dire les cartes installes sur les ordinateurs du rseau local)
partir de l'adresse IP d'un hte local. Le protocole ARP est bas sur la diffusion, ce qui signifie que
les trames ARP ne peuvent pas transiter par un routeur et qu'elles sont donc localises. Certaines
implmentations du protocole TCP/IP prennent en charge le protocole RARP (Reverse ARP) dans
lequel l'adresse MAC d'une carte rseau sert dterminer l'adresse IP correspondante.
IGMP. Le protocole IGMP prend en charge les applications multitches via les routeurs des rseaux
IPv4.
ICMP. Le protocole ICMP envoie des messages d'erreur dans un rseau bas sur le protocole IP.
Couche interface rseau

La couche interface rseau (parfois appele couche liaison ou couche de liaison de donnes) correspond
la couche de liaison de donnes et la couche physique du modle OSI. La couche interface rseau
spcifie les exigences relatives l'envoi et la rception des paquets sur le support rseau. Bien souvent,
cette couche n'est pas formellement considre comme faisant partie de la suite de protocoles TCP/IP,
car les tches sont excutes par le pilote de carte rseau et la carte rseau.
Applications TCP/IP
Les applications utilisent les protocoles de la
couche Application pour communiquer sur le
rseau. Un client et un serveur doivent utiliser
le mme protocole de couche Application
pour communiquer. Le tableau suivant
rpertorie certains protocoles usuels
de la couche Application.
Protocole
Description
HTTP
Utilis pour la communication entre les navigateurs Web et les serveurs

Web.
HTTPS (HTTP/Secure)
Version du protocole HTTP qui chiffre la communication entre les

navigateurs Web et les serveurs Web.
FTP
Utilis pour transfrer des fichiers entre les clients et les serveurs FTP.
RDP (Remote Desktop

Protocol)
Utilis pour contrler distance un ordinateur qui excute les systmes

d'exploitation Windows sur un rseau.
(suite)
Protocole
Description
Protocole SMB
(Server Message Block)
Utilis par les serveurs et les ordinateurs clients pour le partage

de fichiers et d'imprimantes.
Protocole SMTP (Simple

Mail Transfer Protocol)
Utilis pour transfrer des messages lectroniques sur Internet.
POP3 (Post Office

Protocol version 3)
Utilis pour rcuprer des messages partir de certains serveurs

de messagerie.
IMAP (Internet Message

Application Protocol)
Utilis pour rcuprer des messages partir de certains serveurs

de messagerie.
Qu'est-ce qu'un socket ?

Lorsqu'une application souhaite tablir une
communication avec une autre application
sur un hte distant, elle cre un socket TCP
ou UDP, selon les besoins. Un socket identifie
les lments suivants dans le cadre du processus
de communication :
x
x
x
protocole de transport utilis par

l'application, TCP ou UDP par exemple ;
numros de port TCP ou UDP
que les applications utilisent ;
adresse IPv4 ou IPv6 des htes de destination
et source.
Cette combinaison du protocole de transport, de l'adresse IP et du port cre un socket.
Ports connus
5-5
Un numro de port compris entre 0 et 65 535 est affect aux applications. Les 1 024 premiers ports sont
appels ports connus et sont affects des applications spcifiques. Les applications qui sont l'coute
des connexions utilisent des numros de port cohrents pour permettre aux applications clientes de se
connecter plus facilement. Si une application est l'coute sur un numro de port non standard, vous
devez spcifier le numro de port lors de la connexion ce dernier. Les applications clientes utilisent
gnralement un numro de port source alatoire suprieur 1 024. Le tableau suivant identifie
certains de ces ports connus.
Port
Protocole
Application
80
TCP
HTTP utilis par un serveur Web
443
TCP
HTTPS pour un serveur Web scuris
110
TCP
POP3 utilis pour la rcupration du courrier lectronique
(suite)
Port
Protocole
Application
143
TCP
IMAP utilis pour la rcupration du courrier lectronique
25
TCP
SMTP utilis pour l'envoi de messages lectroniques
53
UDP
DNS utilis pour la plupart des demandes de rsolution de noms
53
TCP
DNS utilis pour les transferts de zone
20, 21
TCP
FTP utilis pour les transferts de fichiers
Vous devez connatre les numros de port que les applications utilisent afin de pouvoir configurer
les pare-feu pour autoriser la communication. La plupart des applications ont un numro de port par
dfaut cet effet, mais celui-ci peut tre modifi en cas de besoin. Par exemple, certaines applications
Web s'excutent sur un autre port que le port 80 ou le port 443.
Question : Est-ce que vous pensez d'autres ports connus ?
5-6
Leon 2
Fonctionnement de l'adressage IPv4

La comprhension du fonctionnement de la communication rseau IPv4 est essentielle pour pouvoir
implmenter, dpanner et grer les rseaux IPv4. L'une des composantes essentielles d'IPv4 est
l'adressage. La comprhension du fonctionnement de l'adressage, des masques de sous-rseau et
des passerelles par dfaut vous permet d'identifier la communication approprie entre les htes.
Pour identifier les erreurs de communication IPv4, vous devez comprendre comment le processus
de communication est cens fonctionner.
x

identifier les adresses IPv4 publiques et prives ;
expliquer la relation entre la notation dcimale spare par des points et les nombres binaires ;
dcrire un rseau IPv4 simple comprenant un adressage avec des classes ;
dcrire un rseau IPv4 plus complexe comprenant un adressage sans classe.
Adressage IPv4
Pour configurer la connectivit rseau, vous devez
connatre les adresses IPv4 et savoir comment elles
fonctionnent. La communication rseau d'un
ordinateur est dirige vers l'adresse IPv4 de cet
ordinateur. Par consquent, chaque ordinateur
du rseau doit possder une adresse IPv4 unique.
Chaque adresse IPv4 a une longueur de 32 bits.
Pour rendre les adresses IP plus lisibles, celles-ci
sont affiches en notation dcimale spare par
des points. La notation dcimale spare par des
points scinde une adresse IPv4 32 bits en quatre
groupes de 8 bits, lesquels sont convertis en un
nombre dcimal compris entre zro et 255. Les nombres dcimaux sont spars par un point. Chaque
nombre dcimal porte le nom d'octet.
Chaque adresse IPv4 est compose d'un ID rseau et d'un ID hte. L'ID rseau identifie le rseau sur
lequel l'ordinateur est situ. L'ID hte identifie l'ordinateur de manire unique sur ce rseau spcifique.
Un masque de sous-rseau identifie la partie de l'adresse IPv4 qui correspond l'ID rseau et celle qui
correspond l'ID hte.
5-7
Dans les scnarios les plus simples, chaque octet d'un masque de sous-rseau est gal 255 ou 0. La
valeur 255 reprsente un octet qui fait partie de l'ID rseau, alors que la valeur 0 reprsente un octet
qui fait partie de l'ID hte. Par exemple, un ordinateur avec l'adresse IP 192.168.23.45 et le masque
de sous-rseau 255.255.255.0 possde l'ID rseau 192.168.23.0 et l'ID hte 0.0.0.45.
Remarque : Les termes rseau, sous-rseau et rseau local virtuel (VLAN) sont souvent
utiliss de faon interchangeable. Un rseau de grande taille est souvent subdivis en sousrseaux. En outre, des rseaux locaux virtuels (VLAN) sont configurs sur les commutateurs
pour reprsenter les sous-rseaux.
5-8
Une passerelle par dfaut est un priphrique (gnralement un routeur) d'un rseau TCP/IP qui transfre
des paquets IP d'autres rseaux. Les multiples rseaux internes d'une organisation peuvent tre dsigns
sous le nom d'intranet.
Dans un intranet, tout rseau donn peut avoir plusieurs routeurs qui le connectent d'autres rseaux,
locaux et distants. Vous devez configurer l'un des routeurs comme passerelle par dfaut pour les htes
locaux. Cela permet aux htes locaux de communiquer avec des htes situs sur des rseaux distants.
Avant qu'un hte n'envoie un paquet IPv4, il utilise son propre masque de sous-rseau pour dterminer
si l'hte de destination est sur le mme rseau ou sur un rseau distant. Si l'hte de destination est
sur le mme rseau, l'hte d'envoi transmet le paquet directement l'hte de destination. Si l'hte
de destination est sur un rseau diffrent, l'hte transmet le paquet un routeur pour qu'il soit remis.
Lorsqu'un hte transmet un paquet un rseau distant, IPv4 consulte la table de routage interne afin
de dterminer quel est le routeur appropri pour permettre au paquet d'atteindre le sous-rseau de
destination. Si la table de routage ne contient pas d'informations de routage propos du sous-rseau de
destination, IPv4 transmet le paquet la passerelle par dfaut. L'hte suppose que la passerelle par dfaut
contient les informations de routage requises. La passerelle par dfaut est utilise dans la plupart des cas.
Les ordinateurs clients obtiennent gnralement leurs informations d'adressage IP partir d'un serveur
DHCP (Dynamic Host Configuration Protocol). Cette mthode est plus simple que l'attribution manuelle
d'une passerelle par dfaut sur chaque hte. La plupart des serveurs ont une configuration IP statique
qui est affecte manuellement.
Question : Comment la communication rseau est-elle affecte si une passerelle par dfaut
est configure de manire incorrecte ?
Adresses IPv4 publiques et prives

Les priphriques et les htes qui se connectent
directement Internet requirent une adresse IPv4
publique. Les htes et les priphriques qui ne
se connectent pas directement Internet ne
requirent pas d'adresse IPv4 publique.
Adresses IPv4 publiques
5-9
Les adresses IPv4 publiques doivent tre uniques. L'IANA (Internet Assigned Numbers Authority) affecte
des adresses IPv4 publiques aux registres Internet rgionaux (RIR). Les registres Internet rgionaux
affectent ensuite les adresses IPv4 aux fournisseurs de services Internet. En gnral, votre fournisseur de
services Internet (ISP, Internet Service Provider) vous alloue une ou plusieurs adresses publiques partir
de son pool d'adresses. Le nombre d'adresses qui vous est allou par votre ISP dpend du nombre de
priphriques et d'htes que vous devez connecter Internet.
Adresses IPv4 prives
Le pool d'adresses IPv4 se restreint, c'est pourquoi les registres Internet rgionaux sont peu disposs
allouer des adresses IPv4 superflues. Les technologies telles que la traduction d'adresses rseau (NAT)
permettent aux administrateurs d'utiliser un nombre relativement restreint d'adresses IPv4 publiques
et, en mme temps, permettent aux htes locaux de se connecter des htes distants et des services
sur Internet.
L'IANA dfinit les plages d'adresses du tableau suivant en tant que plages prives. Les routeurs
Internet ne transfrent pas les paquets qui proviennent de ces plages ou qui leur sont destins.
Rseau
Plage
10.0.0.0/8
10.0.0.0-10.255.255.255
172.16.0.0/12
172.16.0.0-172.31.255.255
192.168.0.0/16
192.168.0.0-192.168.255.255
Relation entre la notation dcimale spare par des points

et les nombres binaires
Lorsque vous affectez des adresses IP, vous utilisez
la notation dcimale spare par des points. La
notation dcimale spare par des points est
base sur le systme de numration dcimale.
Cependant, en arrire-plan, les ordinateurs
utilisent les adresses IP en binaire. Pour
comprendre comment choisir un masque
de sous-rseau pour des rseaux complexes,
vous devez comprendre le fonctionnement
des adresses IP en binaire.
Dans un octet de 8 bits, la position de chaque bit

a une valeur dcimale. Un bit ayant une valeur
gale 0 a toujours la valeur zro. Un bit ayant une valeur gale 1 peut tre converti en valeur
dcimale. Le bit de poids faible (bit le plus droite dans l'octet) reprsente la valeur dcimale 1. Le bit de
poids fort (bit le plus gauche dans l'octet) reprsente la valeur dcimale 128. Si tous les bits d'un octet
ont la valeur 1, la valeur dcimale de cet octet est 255 ( savoir : 128 + 64 + 32 + 16 + 8 + 4 + 2 + 1).
Il s'agit de la valeur la plus leve possible d'un octet.
La plupart du temps, vous pouvez utiliser une calculatrice pour convertir des nombres dcimaux
en systme binaire et vice versa. L'application Calculatrice incluse dans les systmes d'exploitation
Windows peut effectuer des conversions du systme dcimal au systme binaire (et inversement),
comme le montre l'exemple suivant.
Binaire
Notation dcimale spare par des points
10000011 01101011 00000011 00011000
131.107.3.24
Implmentations simples d'IPv4

Classes d'adresses IPv4
L'IANA organise les adresses IPv4 en classes.
Chaque classe d'adresse a un masque de
sous-rseau par dfaut distinct qui dfinit
le nombre d'htes valides sur le rseau. Les
classes d'adresses IPv4 cres par l'IANA
vont de la Classe A la Classe E.
Les classes A, B et C sont des rseaux IP que vous
pouvez affecter aux adresses IP des ordinateurs
htes. Les adresses de la classe D sont utilises
par les ordinateurs et les applications pour la
multidiffusion. L'IANA rserve la classe E aux utilisations exprimentales. Le tableau suivant rpertorie
les caractristiques de chaque classe d'adresse IP.
Classe
Premier octet
Masque de sousrseau par dfaut
Nombre
de rseaux
Nombre d'htes
par rseau
1-127
255.0.0.0
126
16,777,214
128-191
255.255.0.0
16,384
65,534
192-223
255.255.255.0
2,097,152
254
Remarque : Internet n'utilise plus le routage bas sur le masque de sous-rseau par dfaut
des classes d'adresses IPv4.
Rseaux IPv4 simples

Vous pouvez utiliser des sous-rseaux pour diviser un grand rseau en plusieurs rseaux plus petits.
Dans les rseaux IPv4 simples, le masque de sous-rseau dfinit des octets complets dans le cadre de
l'ID du rseau et de l'ID de l'hte. Un nombre 255 reprsente un octet qui fait partie de l'ID du rseau
et un 0 reprsente un octet qui fait partie de l'ID de l'hte. Par exemple, vous pouvez utiliser le rseau
10.0.0.0 avec le masque de sous-rseau 255.255.0.0 pour crer 256 rseaux plus petits.
Remarque : L'adresse IPv4 127.0.0.1 sert d'adresse de bouclage. Vous pouvez utiliser cette
adresse pour tester la configuration locale de la pile de protocoles IPv4. Par consquent, l'adresse
rseau 127 n'est pas utilisable pour la configuration d'htes IPv4.
5-10 Implmentation du protocole IPv4
Implmentations plus complexes d'IPv4

Dans les rseaux complexes, les masques
de sous-rseau ne sont pas forcment des
combinaisons simples de 255 et 0. Au lieu de
cela, vous pouvez subdiviser un octet en quelques
bits pour l'ID rseau et d'autres pour l'ID hte.
Cela vous permet d'avoir le nombre spcifique
de sous-rseaux et d'htes dont vous avez besoin.
L'exemple suivant montre un masque de
sous-rseau qui peut tre utilis pour diviser
un rseau de classe B en 16 sous-rseaux :
172.16.0.0/255.255.240.0
5-11
Dans de nombreux cas, plutt que d'utiliser une reprsentation dcimale spare par des points pour le
masque de sous-rseau, le nombre de bits de l'ID rseau est spcifi la place. Cela s'appelle le routage
CIDR (Classless InterDomain Routing). Ce qui suit est un exemple de notation CIDR :
172.16.0.0/20
Masques de sous-rseau de longueur variable
Les routeurs modernes prennent en charge l'utilisation des masques de sous-rseau de longueur
variable. Les masques de sous-rseau de longueur variable vous permettent de crer des sous-rseaux
de diffrentes tailles lorsque vous subdivisez un rseau de plus grande taille. Par exemple, vous pouvez
subdiviser un petit rseau de 256 adresses en trois rseaux plus petits de 128 adresses, 64 adresses
et 64 adresses. Cela vous permet d'utiliser les adresses IP d'un rseau de manire plus efficace.
Question : Est-ce que votre organisation utilise un rseau simple ou complexe ?
Leon 3
Sous-rseau et super-rseau
Dans la plupart des organisations, vous devez crer des sous-rseaux dans le but de diviser votre rseau
en sous-rseaux plus petits et d'allouer ces sous-rseaux des fins ou des lieux spcifiques. Pour ce faire,
vous devez comprendre comment slectionner le nombre appropri de bits inclure dans les masques
de sous-rseau. Dans certains cas, vous devrez peut-tre galement combiner plusieurs rseaux en un
seul rseau de plus grande taille via la cration d'un super-rseau.
x
x
x
dcrire l'utilisation des bits dans un masque de sous-rseau ou une longueur de prfixe ;
dterminer quand utiliser des sous-rseaux ;
calculer un masque de sous-rseau qui prend en charge un nombre spcifique d'adresses
de sous-rseau ;
calculer un masque de sous-rseau qui prend en charge un nombre spcifique d'adresses d'hte ;
identifier un masque de sous-rseau appropri un scnario ;
dcrire la cration d'un super-rseau.
Utilisation des bits dans un masque de sous-rseau ou une longueur

de prfixe
Dans les rseaux simples, les masques de
sous-rseau sont composs de quatre octets.
Chaque octet a une valeur gale 255 ou 0.
Si la valeur de l'octet est 255, cet octet fait
partie de l'ID rseau. Si la valeur de l'octet
est 0, cet octet fait partie de l'ID hte.
Dans les rseaux complexes, vous pouvez convertir
le masque de sous-rseau en valeur binaire et
valuer chaque bit du masque de
sous-rseau. Un masque de sous-rseau est
compos de chiffres 1 et 0 contigus. Les chiffres 1
commencent au bit situ le plus gauche et se
rptent sans interruption jusqu' ce que les bits deviennent des chiffres 0.
Remarque : Les applets de commande Windows PowerShell qui permettent de configurer

un rseau IPv4 utilisent une valeur de longueur de prfixe la place d'un masque de sous-rseau
pour dfinir le nombre de bits rseau. La longueur de prfixe correspond au nombre de bits
utiliss par la notation CIDR.
Vous pouvez identifier l'ID rseau d'un masque de sous-rseau en fonction des chiffres 1 utiliss.
Vous pouvez identifier l'ID hte en fonction des chiffres 0 utiliss. Les bits de l'ID hte qui sont
affects l'ID rseau doivent tre contigus par rapport l'ID rseau d'origine.
x
x
Chaque bit 1 fait partie de l'ID rseau.

Chaque bit 0 fait partie de l'ID hte.
Le processus mathmatique utilis pour comparer une adresse IP et un masque de sous-rseau

est appel ANDing ou conjonction logique (ET logique).
Lorsque vous utilisez plus de bits pour le masque de sous-rseau, vous pouvez avoir plus de
sous-rseaux, mais moins d'htes sur chaque sous-rseau. Utiliser plus de bits que ce dont vous
avez besoin permet la croissance du sous-rseau, mais limite celle des htes. En utiliser moins
permet d'augmenter le nombre d'htes, mais limite la croissance des sous-rseaux.
Avantages de l'utilisation de sous-rseaux

Lorsque vous subdivisez un rseau en
sous-rseaux, vous devez crer un ID unique
pour chaque sous-rseau. Ces ID uniques sont
drivs partir de l'ID rseau principal (vous
allouez une partie des bits de l'ID hte l'ID
rseau). Cette allocation vous permet de crer plus
de rseaux.
En utilisant des sous-rseaux, vous pouvez :
x
x
x
x
utiliser un seul rseau de grande taille

sur plusieurs emplacements physiques ;
rduire les encombrements rseau en
segmentant le trafic et en rduisant les diffusions sur chaque segment ;
augmenter la scurit en divisant le rseau et en utilisant des pare-feu pour contrler
la communication ;
dpasser les limites des technologies actuelles, par exemple dpasser le nombre maximal
d'htes que chaque segment peut avoir.
Calcul des adresses de sous-rseau

Avant de dfinir un masque de sous-rseau,
valuez la quantit de sous-rseaux et d'htes
requise pour chaque sous-rseau. Cela vous
permet d'utiliser le nombre de bits appropri
pour le masque de sous-rseau.
Vous pouvez calculer le nombre de bits de
sous-rseau dont vous avez besoin dans le rseau.
Utilisez la formule 2n, o n est le nombre de bits.
Le rsultat est le nombre de sous-rseaux requis
par votre rseau.
5-13
Le tableau suivant indique le nombre de sous-rseaux que vous pouvez crer en utilisant un nombre
spcifique de bits.
Nombre de bits (n)
Nombre de sous-rseaux (2n)
16
32
64
Pour dterminer rapidement les adresses de sous-rseau, vous pouvez utiliser la valeur de bit minimale
dans le masque de sous-rseau. Par exemple, si vous choisissez de diviser en sous-rseaux le
rseau 172.16.0.0 en utilisant 3 bits, le masque de sous-rseau est 255.255.224.0. Au format binaire,
le dcimal 224 est 11100000 et la valeur de bit minimale est 32. Elle constitue l'incrment entre
chaque adresse de sous-rseau.
Le tableau suivant montre les adresses de sous-rseau pour cet exemple ; les 3 bits que vous avez
choisi d'utiliser pour subdiviser le rseau sont indiqus en caractres gras.
Numro de rseau binaire
Numro de rseau dcimal
172.16.00000000.00000000
172.16.0.0
172.16.00100000.00000000
172.16.32.0
172.16.01000000.00000000
172.16.64.0
172.16.01100000.00000000
172.16.96.0
172.16.10000000.00000000
172.16.128.0
172.16.10100000.00000000
172.16.160.0
172.16.11000000.00000000
172.16.192.0
172.16.11100000.00000000
172.16.224.0
Remarque : Vous pouvez utiliser un calculateur de sous-rseaux afin de dterminer

quels sont les sous-rseaux appropris pour votre rseau, au lieu de les calculer manuellement.
Les calculateurs de sous-rseaux sont largement rpandus sur Internet.
Calcul des adresses d'hte

Pour dterminer quels sont les bits htes
du masque, dterminez le nombre de bits
requis pour la prise en charge des htes d'un
sous-rseau. Calculez le nombre de bits htes
requis en utilisant la formule 2n-2, o n est le
nombre de bits. Ce rsultat doit correspondre au
moins au nombre d'htes dont vous avez besoin
pour votre rseau. C'est galement le nombre
maximal d'htes que vous pouvez configurer
sur ce sous-rseau.
5-15
Sur chaque sous-rseau, deux ID htes sont

allous automatiquement et ne peuvent pas tre
utiliss par les ordinateurs. Une adresse dont l'ID hte comprend uniquement des 0 reprsente le rseau.
Une adresse dont l'ID hte comprend uniquement des 1 est l'adresse de diffusion de ce rseau.
Le tableau suivant montre le nombre d'htes disponibles dans un rseau de classe C, selon le nombre
de bits htes.
Nombre de bits (n)
Nombre d'htes (2n-2)
14
30
62
Vous pouvez calculer la plage d'adresses d'hte de chaque sous-rseau en utilisant le processus suivant :
1.
Le premier hte est suprieur d'un chiffre binaire l'ID du sous-rseau actuel.
2.
Le dernier hte est infrieur de deux chiffres binaires l'ID du sous-rseau suivant.
Le tableau suivant montre des exemples de calcul d'adresses d'hte.

Rseau
Plage d'htes
172.16.64.0/19
172.16.64.1 172.16.95.254
172.16.96.0/19
172.16.96.1 172.16.127.254
172.16.128.0/19
172.16.128.1 172.16.159.254
Pour crer un modle d'adressage appropri pour votre organisation, vous devez connatre le nombre de
sous-rseaux dont vous avez besoin et le nombre d'htes dont vous avez besoin sur chaque sous-rseau.
Une fois que vous avez ces informations, vous pouvez calculer le masque de sous-rseau appropri.
Discussion : Cration d'un modle de sous-rseau pour un nouveau bureau

Lisez le scnario suivant et rpondez aux questions
sur la diapositive.
Vous identifiez une configuration rseau
approprie pour un nouveau campus. Il vous a
t allou le rseau 10.34.0.0/16, que vous pouvez
diviser en sous-rseaux en fonction des besoins.
Il existe quatre btiments sur le nouveau
campus et chacun d'eux doit avoir son propre
sous-rseau pour permettre un routage entre les
btiments. Chaque btiment aura un maximum de
700 utilisateurs. Chaque btiment aura galement
des imprimantes. La proportion classique
d'utilisateurs par rapport aux imprimantes est de 50 pour 1.
Vous devez galement allouer un sous-rseau pour le centre de donnes de serveurs qui peut accueillir
jusqu' 100 serveurs.
Qu'est-ce qu'un super-rseau ?

Un super-rseau combine plusieurs petits
rseaux en un rseau unique de grande taille.
Cela peut tre appropri lorsque vous avez un
petit rseau qui s'est agrandi et que vous devez
tendre l'espace d'adressage. Par exemple, une
filiale qui utilise le rseau 192.168.16.0/24 et qui
a puis toutes ses adresses IP peut se voir allouer
le rseau supplmentaire 192.168.17.0/24. Si vous
utilisez le masque de sous-rseau par dfaut
255.255.255.0 pour ces rseaux, vous devez
effectuer un routage entre ces derniers.
Vous pouvez utiliser un super-rseau
pour les combiner en un rseau unique.
Pour permettre la cration de super-rseaux, les rseaux que vous combinez doivent tre contigus.
Par exemple, vous pouvez crer un super-rseau avec 192.168.16.0/24 et 192.168.17.0/24 mais pas
avec 192.168.16.0/24 et 192.168.54.0/24.
5-17
Un super-rseau est le contraire d'un sous-rseau. Lorsque vous crez un super-rseau, vous allouez des
bits de l'ID rseau l'ID hte. Le tableau suivant indique le nombre de rseaux que vous pouvez combiner
l'aide d'un nombre spcifique de bits.
Nombre de bits
Nombre de rseaux combins
16
Le tableau suivant montre un exemple de super-rseau bas sur deux rseaux de classe C. La partie du
masque de sous-rseau que vous utilisez dans le cadre de l'ID rseau est indique en caractres gras.
Rseau
Plage
192.168.00010000.00000000/24
192.168.16.0-192.168.16.255
192.168.00010001.00000000/24
192.168.17.0-192.168.17.255
192.168.00010000.00000000/23
192.168.16.0-192.168.17.255
Leon 4
Configuration et rsolution des problmes lis IPv4
Si IPv4 est configur de manire incorrecte, cela affecte la disponibilit des services qui s'excutent sur un
serveur. Pour garantir la disponibilit des services rseau, vous devez comprendre comment configurer
IPv4 et rsoudre les problmes de ce dernier. Windows Server 2012 offre dsormais la possibilit de
configurer IPv4 l'aide de Windows PowerShell, qui permet de crer des scripts.
Les outils de rsolution de problmes dans Windows Server 2012 sont similaires aux outils des versions
antrieures des systmes d'exploitation clients et serveur Windows. Toutefois, vous ne connaissez peuttre pas bien le Moniteur rseau, que vous pouvez utiliser pour effectuer une analyse dtaille de votre
communication rseau.
x
configurer IPv4 manuellement afin de fournir une configuration statique pour un serveur ;
configurer un serveur afin qu'il obtienne une configuration IPv4 automatiquement ;
expliquer l'utilisation des outils de rsolution de problmes lis IPv4 ;
expliquer l'utilisation des applets de commande Windows PowerShell pour rsoudre les problmes
lis IPv4 ;
dcrire le processus de dpannage qui permet de rsoudre les problmes fondamentaux lis IPv4 ;
dcrire la fonction du Moniteur rseau ;
utiliser le Moniteur rseau pour capturer et analyser le trafic rseau.
Configuration manuelle d'IPv4

En rgle gnrale, vous configurez des serveurs
avec une adresse IP statique. Cela vous permet
de connatre et de documenter les adresses IP
que vous utilisez pour les diffrents services de
votre rseau. Par exemple, un serveur DNS est
accessible une adresse IP spcifique qui ne
doit pas changer.
Une configuration IPv4 comprend les lments
suivants :
x
x
x
Adresse IPv4
Serveurs DNS
Dans le cas de la configuration statique, vous devez vous rendre sur chaque ordinateur et entrer la
configuration IPv4 manuellement. Cette mthode de gestion des ordinateurs est raisonnable pour
les serveurs mais prend beaucoup de temps pour les ordinateurs clients. La saisie manuelle d'une
configuration statique augmente galement le risque d'erreurs de configuration.
Vous pouvez configurer une adresse IP statique, soit dans les proprits de la connexion rseau,
soit l'aide de l'outil en ligne de commande netsh. Par exemple, la commande suivante permet
de configurer l'interface Connexion au rseau local avec les paramtres suivants :
Adresse IP statique
10.10.0.10
255.255.255.0
10.10.0.1
Netsh interface ipv4 set address name= "Connexion au rseau local" source=static
addr=10.10.0.10 mask=255.255.255.0 gateway=10.10.0.1
Windows Server 2012 dispose galement des applets de commande Windows PowerShell, que vous
pouvez utiliser pour grer la configuration rseau. Le tableau suivant dcrit quelques-unes des applets
de commande Windows PowerShell qui sont disponibles pour configurer IPv4.
Applet de commande
Description des utilisations pour la configuration IPv4
5-19
New-NetIPAddress
Cre une adresse IP et la lie une carte rseau. Vous ne pouvez

pas modifier une adresse IP existante, vous devez supprimer une
adresse IP existante et crer une autre adresse IP.
Set-NetIPInterface
Active ou dsactive le protocole DHCP pour une interface.
New-NetRoute
Cre des entres de table de routage, y compris la passerelle par

dfaut (0.0.0.0). Vous ne pouvez pas modifier le prochain tronon
d'un itinraire existant ; vous devez plutt supprimer un itinraire
existant et crer un autre itinraire avec le prochain tronon
appropri.
Set-DNSClientServerAddresses
Configure le serveur DNS utilis pour une interface.
Le code suivant est un exemple d'applets de commande Windows PowerShell que vous pouvez utiliser
pour configurer l'interface Connexion au rseau local avec les paramtres suivants :
Adresse IP statique
10.10.0.10
255.255.255.0
10.10.0.1
L'interface Connexion au rseau local est galement configure pour utiliser les serveurs DNS 10.12.0.1
et 10.12.0.2.
New-NetIPAddress InterfaceAlias "Connexion au rseau local" IPAddress 10.10.0.10 PrefixLength 24 DefaultGateway 10.10.0.1
Set-DNSClientServerAddresses InterfaceAlias "Connexion au rseau local" -ServerAddresses
10.12.0.1,10.12.0.2
Question : Est-ce que les ordinateurs ou priphriques de votre organisation ont des
adresses IP statiques ?
Configuration automatique d'IPv4

Le protocole DHCP pour IPv4 vous permet
d'affecter des configurations IPv4 automatiques
un grand nombre d'ordinateurs et non pas
de faon individuelle. Le service DHCP reoit
des demandes de configuration IPv4 des
ordinateurs que vous configurez afin d'obtenir
automatiquement une adresse IPv4. Il affecte
galement des paramtres IPv4 supplmentaires
partir des tendues que vous dfinissez pour
chacun des sous-rseaux de votre rseau.
Le service DHCP identifie le sous-rseau
d'o provient la demande et attribue la
configuration IP partir de l'tendue adquate.
DCHP simplifie le processus de configuration IP. Toutefois, si vous utilisez DHCP pour affecter des
informations IPv4 et si le service est vital pour l'entreprise, vous devez effectuer les tches suivantes :
x
concevoir le service DHCP avec une tolrance de panne de sorte que la dfaillance d'un seul serveur
n'empche pas le service de fonctionner ;
configurer avec soin les tendues sur le serveur DHCP. Si vous faites une erreur, cela peut affecter
tout le rseau et empcher la communication.
Si vous utilisez un ordinateur portable pour vous connecter plusieurs rseaux ( votre domicile et
au bureau, par exemple), une configuration IP diffrente peut tre ncessaire pour chaque rseau.
Les systmes d'exploitation Windows prennent en charge l'utilisation de l'adressage IP priv
automatique (APIPA)) ou une autre adresse IP statique pour rpondre ce type de situation.
Lorsque vous configurez des ordinateurs Windows pour obtenir une adresse IPv4 partir de DHCP,
utilisez l'onglet Configuration alternative pour contrler le comportement, si un serveur DHCP
n'est pas disponible. Par dfaut, Windows utilise l'adressage IP priv automatique pour s'affecter
automatiquement une adresse IP comprise dans la plage d'adresses allant de 169.254.0.0
169.254.255.255, mais sans passerelle par dfaut ni serveur DNS, ce qui entrane une limitation
des fonctionnalits.
L'adressage IP priv automatique est utile pour rsoudre les problmes lis au protocole DHCP.
Si l'ordinateur possde une adresse contenue dans la plage d'adressage IP priv automatique,
cela signifie qu'il ne peut pas communiquer avec un serveur DHCP.
5-21
Windows Server 2012 dispose galement des applets de commande Windows PowerShell, que vous
pouvez utiliser pour activer le protocole DHCP pour une interface. Le tableau suivant dcrit quelques-unes
des applets de commande Windows PowerShell qui sont disponibles pour configurer le protocole DHCP
pour une interface.
Applet de commande
Description
Get-NetIPInterface
Obtient une liste des interfaces avec leur configuration. Cela n'inclut pas
la configuration IPv4 de l'interface.
Set-NetIPInterface
Active ou dsactive le protocole DHCP pour une interface.
Get-NetAdapter
Obtient une liste des cartes rseau d'un ordinateur.
Restart-NetAdapter
Dsactive et ractive une carte rseau. Cela force un client DHCP obtenir
un nouveau bail DHCP.
Le code suivant illustre la faon dont vous pouvez activer le protocole DHCP pour la carte Connexion
au rseau local et vrifier qu'une adresse lui est affecte :
Set-NetIPInterface InterfaceAlias "Connexion au rseau local" Dhcp Enabled
Restart-NetAdapter Name "Connexion au rseau local"
Outils de rsolution de problmes IPv4

La rsolution des problmes de connectivit
IPv4 s'effectue en grande partie via une ligne de
commande. Windows Server 2008 propose un
certain nombre d'outils en ligne de commande qui
vous permettent de diagnostiquer les problmes
rseau.
Ipconfig
Ipconfig est un outil en ligne de commande qui
affiche la configuration actuelle du rseau TCP/IP.
En outre, vous pouvez utiliser la commande
ipconfig pour actualiser les paramtres DHCP
et DNS. Le tableau suivant dcrit les options
de ligne de commande pour ipconfig.
Commande
Description
ipconfig /all
Permet d'afficher des informations de configuration dtailles
ipconfig /release
Permet de librer la configuration de bail pour la rendre au serveur DHCP
ipconfig /renew
Permet de renouveler la configuration de bail
ipconfig /displaydns
Permet d'afficher les entres du cache de rsolution DNS
ipconfig /flushdns
Permet de vider le cache de rsolution DNS
Ping
Ping est un outil en ligne de commande qui vrifie l'tat de la connexion IP un autre ordinateur TCP/IP.
Il envoie des messages de requte d'cho ICMP et affiche la rception des messages de rponse aux
requtes d'cho correspondantes. Ping est la principale commande TCP/IP que vous utilisez pour
rsoudre les problmes de connectivit. Toutefois, les pare-feu peuvent bloquer les messages ICMP.
Tracert
Tracert est un outil en ligne de commande qui identifie le chemin d'accs d'un ordinateur de destination
en envoyant une srie de requtes d'cho ICMP. Tracert affiche ensuite la liste des interfaces de routeur
entre une source et une destination. Cet outil identifie galement les routeurs en panne, ainsi que la
latence (ou vitesse). Ces rsultats peuvent tre incorrects si le routeur est occup, car ce dernier affecte
une priorit infrieure aux paquets ICMP.
Pathping
Pathping est un outil en ligne de commande qui trace un itinraire via le rseau d'une manire semblable
Tracert. Toutefois, Pathping fournit des statistiques plus dtailles sur les tapes individuelles (tronons)
du rseau. Pathping peut fournir plus de dtails, car il envoie 100 paquets pour chaque routeur, ce qui lui
permet d'tablir des tendances.
Route
Route est un outil en ligne de commande qui vous permet d'afficher et de modifier la table de routage
locale. Vous pouvez l'utiliser pour vrifier la passerelle par dfaut, qui est rpertorie sous la forme de
l'itinraire 0.0.0.0. Dans Windows Server 2012, vous pouvez galement utiliser les applets de commande
Windows PowerShell pour afficher et modifier la table de routage. Les applets de commande qui
permettent de visualiser et modifier la table de routage locale sont Get-NetRoute, New-NetRoute
et Remove-NetRoute.
Telnet
Vous pouvez utiliser la fonctionnalit Client Telnet pour vrifier si un port serveur est l'coute. Par
exemple, la commande telnet 10.10.0.10 25 tente d'ouvrir une connexion au serveur de destination,
10.10.0.10, sur le port SMTP 25. Si le port est actif et l'coute, il retourne un message au client Telnet.
Netstat
Netstat est un outil en ligne de commande qui vous permet d'afficher les connexions rseau et les
statistiques correspondantes. Par exemple, la commande netstat ab retourne tous les ports d'coute,
ainsi que l'excutable qui est l'coute.
Moniteur de ressources
Le Moniteur de ressources est un outil graphique qui vous permet d'analyser l'utilisation des ressources
systme. Vous pouvez utiliser le Moniteur de ressources pour afficher les ports TCP et UDP qui sont en
cours d'utilisation. Vous pouvez galement identifier les applications qui utilisent des ports spcifiques
et dterminer la quantit de donnes qu'elles transfrent sur ces ports.
Diagnostics Rseau
Utilisez l'outil Diagnostics Rseau de Windows pour diagnostiquer et corriger les problmes rseau. Au
cas o un problme rseau surviendrait avec Windows Server, l'option Diagnostiquer les problmes
de connexion vous permet de diagnostiquer le problme et de le rsoudre. L'outil Diagnostic Rseau
de Windows retourne une description du problme, ainsi qu'une ventuelle solution. Toutefois, la solution
peut ncessiter l'intervention manuelle de l'utilisateur.
Observateur d'vnements
5-23
Les journaux d'vnements sont des fichiers qui consignent des vnements importants sur un ordinateur,
tels qu'une erreur rencontre par un processus. Lorsque ces vnements se produisent, le systme
d'exploitation Windows enregistre l'vnement dans un journal des vnements appropri. Vous
pouvez utiliser l'Observateur d'vnements pour lire le journal des vnements. Les conflits IP, qui
peuvent empcher les services de dmarrer, sont lists dans le journal des vnements systme.
Utilisation des applets de commande Windows PowerShell pour rsoudre

les problmes lis IPv4
Windows PowerShell dans Windows Server 2012
dispose d'applets de commande de configuration
rseau supplmentaires. Vous pouvez les utiliser
la place des outils en ligne de commande pour
rsoudre les problmes. Mme si vous pouviez
utiliser Windows PowerShell dans les versions
antrieures de Windows Server pour configurer
le rseau et rsoudre les problmes inhrents,
vous tiez oblig de recourir aux objets WMI
(Windows Management Instrumentation),
qui sont plus difficiles utiliser que les applets
de commande Windows PowerShell natives.
Le tableau suivant rpertorie quelques-unes des nouvelles applets de commande Windows PowerShell
que vous pouvez utiliser.
Applet de commande
Rle
Get-NetAdapter
Obtient une liste des cartes rseau d'un ordinateur.
Restart-NetAdapter
Dsactive et ractive une carte rseau.
Get-NetIPInterface
Obtient une liste des interfaces avec leur configuration.
Get-NetIPAddress
Obtient une liste des adresses IP configures pour les interfaces.
Get-NetRoute
Obtient la liste des itinraires dans la table de routage locale.
Get-NetConnectionProfile
Obtient le type de rseau (public, priv, domaine) pour lequel

une carte rseau est connecte.
Get-DNSClientCache
Obtient la liste des noms DNS rsolus qui sont stocks dans
le cache client DNS.
Get-DNSClientServerAddress
Obtient la liste des serveurs DNS utiliss pour chaque interface.
Processus de rsolution des problmes d'IPv4

La premire tape de la rsolution d'un problme
rseau consiste identifier l'tendue du problme.
Les causes d'un problme qui affecte un seul
utilisateur sont trs probablement diffrentes
des causes d'un problme qui affecte tous les
utilisateurs. Si un problme n'affecte qu'un
seul utilisateur, cela signifie que ce problme
est probablement li la configuration de
l'ordinateur utilis. Si un problme affecte tous les
utilisateurs, cela signifie qu'il s'agit probablement
d'un problme de configuration du serveur ou
de configuration rseau. Si un problme affecte
uniquement un groupe d'utilisateurs, vous devez dterminer le dnominateur commun ce groupe
d'utilisateurs.
Pour rsoudre les problmes de communication rseau, vous devez comprendre l'ensemble du processus
de communication. Vous ne pouvez identifier le point de rupture du processus et de blocage de la
communication que si vous comprenez comment fonctionne l'ensemble du processus de communication.
Pour comprendre le fonctionnement du processus global de communication, vous devez comprendre
comment fonctionne la configuration du routage et du pare-feu sur votre rseau. Pour faciliter
l'identification de l'itinraire de routage via votre rseau, vous pouvez utiliser tracert.
Voici certaines des tapes que vous pouvez utiliser pour identifier la cause des problmes de
communication rseau :
1.
Si vous savez quelle est la configuration rseau approprie pour l'hte, utilisez ipconfig afin de
vrifier s'il s'agit de la configuration applique. Si ipconfig retourne une adresse sur le rseau
169.254.0.0/16, cela indique que l'hte n'a pas russi obtenir une adresse IP auprs du serveur
DHCP.
2.
Utilisez la commande ping pour voir si l'hte distant rpond. Si vous utilisez ping pour retourner
le nom DNS de l'hte distant, cela vous permet de vrifier la rsolution de noms et la rponse de
l'hte. Gardez l'esprit que le Pare-feu Windows sur les serveurs membres et les ordinateurs clients
bloque souvent les tentatives d'excution de la commande ping. Dans ce cas, l'absence de rponse
l'excution de la commande ping ne signifie pas ncessairement que l'hte distant n'est pas
fonctionnel. Si l'excution de la commande ping aboutit pour d'autres htes distants du mme
rseau, cela indique souvent que le problme se situe sur l'hte distant.
5-25
3.
Vous pouvez utiliser une application pour tester le service auquel vous vous connectez sur l'hte
distant. Par exemple, utilisez Windows Internet Explorer pour tester la connectivit un serveur
Web. Vous pouvez galement utiliser Telnet pour vous connecter au port de l'application distante.
4.
Utilisez la commande ping pour voir si la passerelle par dfaut rpond. La plupart des routeurs
rpondent aux requtes ping. Si vous n'obtenez pas de rponse lorsque vous effectuez un test ping
de la passerelle par dfaut, cela signifie qu'il existe probablement une erreur de configuration sur
l'ordinateur client. En effet, il est possible que la passerelle par dfaut soit configure de manire
incorrecte. Il est possible galement que le routeur rencontre des erreurs.
Remarque : Vous pouvez forcer la commande ping utiliser IPv4 au lieu d'IPv6 l'aide
de l'option -4.
Question : Existe-t-il d'autres tapes que vous pouvez utiliser pour rsoudre les problmes
de connectivit rseau ?
Qu'est-ce que le Moniteur rseau ?

Le Moniteur rseau est un analyseur de paquets
qui vous permet de capturer et d'examiner les
paquets rseau du rseau auquel votre ordinateur
est connect. La capture de paquets est une
technique de rsolution de problmes avance qui
vous aide identifier les problmes rseau
inhabituels et laborer une solution. Par
exemple, en examinant les paquets transmis sur un
rseau, vous pouvez ventuellement voir
des erreurs qui ne sont pas signales par une
application.
Vous pouvez installer le Moniteur rseau sur
chaque systme d'extrmit du processus de communication ou sur un troisime ordinateur. Si vous
installez le Moniteur rseau sur un troisime ordinateur, vous devez configurer la mise en miroir des
ports sur les commutateurs rseau. Veillez configurer la mise en miroir des ports pour copier les
paquets rseau destins aux systmes d'extrmit du processus de communication, vers le port du
commutateur auquel est connect l'ordinateur disposant du Moniteur rseau. Le Moniteur rseau
peut analyser les paquets envoys d'autres ordinateurs, car il fonctionne en mode de proximit.
Vous pouvez tlcharger le Moniteur rseau partir du site Web de tlchargement Microsoft, puis
l'installer sur un poste de travail qui excute Windows 8 ou Windows Server 2012. Une fois install, le
Moniteur rseau se lie aux cartes rseau locales. Lorsque vous lancez le Moniteur rseau, vous pouvez
voir des captures existantes ou commencer une nouvelle capture.
Utilisation du Moniteur rseau

Une fois que vous avez captur des paquets rseau, vous devez pouvoir interprter ce que vous voyez
et savoir si le comportement est attendu ou non. Pour vous aider, le Moniteur rseau affiche les paquets
sous forme de liste rsume dans le volet Rsum de la trame.
Ce volet affiche tous les paquets capturs et fournit les informations suivantes :
x
x
x
Date et heure : cela vous permet de dterminer l'ordre dans lequel les paquets ont t transmis.
Source et destination : cela indique les adresses IP source et de destination pour vous permettre
de dterminer quels sont les ordinateurs impliqus dans le dialogue.
Nom du protocole : le protocole de plus haut niveau que le Moniteur rseau peut identifier est
rpertori, par exemple ARP, ICMP, TCP et SMB. Le fait de connatre le protocole de plus haut
niveau vous permet d'identifier les services qui peuvent tre lis aux problmes que vous essayez
de rsoudre.
Lorsque vous slectionnez une trame dans le volet Rsum de la trame, le volet Dtails de la trame
est mis jour l'aide du contenu de cette trame particulire. Vous pouvez passer en revue les dtails
de la trame, en examinant au fur et mesure le contenu de chaque lment.
Chaque couche de l'architecture rseau ( partir de l'application en allant vers le bas) encapsule ses
donnes dans le conteneur de la couche situe en dessous. En d'autres termes, une requte HTTP
est encapsule dans un paquet IPv4, qui son tour est encapsul dans une trame Ethernet.
Lorsque vous avez recueilli une grande quantit de donnes, il peut s'avrer difficile de dterminer quelles
sont les trames pertinentes pour votre problme spcifique. Vous pouvez utiliser le filtrage pour afficher
uniquement les trames dignes d'intrt. Par exemple, vous pouvez choisir d'afficher uniquement les
paquets DNS.
Dmonstration : Comment capturer et analyser le trafic rseau l'aide

du Moniteur rseau
Vous pouvez utiliser le Moniteur rseau pour capturer et afficher les paquets qui sont transmis sur le
rseau. Cela vous permet d'afficher des informations dtailles qui ne sont pas visibles normalement.
Ce type d'information peut tre utile la rsolution des problmes.
x
capturer le trafic rseau l'aide du Moniteur rseau ;

analyser le trafic rseau captur ;
filtrer le trafic rseau.
Capturer le trafic rseau l'aide du Moniteur rseau
Prparer une capture de paquets
1.
Connectez-vous LON-SVR2 en tant que ADATUM\Administrateur avec le mot de passe

Pa$$w0rd.
2.
Ouvrez une invite Windows PowerShell et excutez la commande suivante :

o
3.
ipconfig /flushdns
Ouvrez Microsoft Network Monitor 3.4, puis crez un onglet de nouvelle capture.
Capturer les paquets d'une requte ping

1.
Dans le Moniteur rseau, dmarrez une capture de paquets.
2.
l'invite Windows PowerShell, effectuez un test ping de LON-DC1.adatum.com.
3.
Dans le Moniteur rseau, arrtez la capture de paquets.
Analyser le trafic rseau captur
5-27
1.
Dans le Moniteur rseau, faites dfiler l'affichage vers le bas et slectionnez le premier paquet ICMP.
2.
Dveloppez la partie Icmp du paquet pour vrifier qu'il s'agit d'un Echo Request Message. Il s'agit
d'une requte ping.
3.
Dveloppez la partie Ipv4 du paquet pour afficher les adresses IP source et de destination.
4.
Dveloppez la partie Ethernet du paquet pour afficher les adresses MAC source et de destination.
5.
Slectionnez le deuxime paquet ICMP.
6.
Dans la partie Icmp du paquet, vrifiez qu'il s'agit d'une Rponse d'cho. Il s'agit de la rponse
la requte ping.
Filtrer le trafic rseau

1.
Dans le Moniteur rseau, dans le volet Filtre d'affichage, chargez le filtre DNS standard
DnsQueryName.
2.
Modifiez le filtre appliquer aux requtes DNS pour LON-DC1.adatum.com.
3.
Appliquez le filtre.
4.
Vrifiez que les paquets ont t filtrs afin d'afficher uniquement ceux qui correspondent au filtre.

6-1
Module 6
Implmentation du protocole DHCP
(Dynamic Host Configuration Protocol)
Table des matires :
6-1
Leon 1 : Installation d'un rle Serveur DHCP
6-2
Leon 2 : Configuration des tendues DHCP
6-8
Leon 3 : Gestion d'une base de donnes DHCP
6-13
Leon 4 : Scurisation et surveillance DHCP
6-17
Atelier pratique : Implmentation de DHCP
6-23
6-28
Le protocole DHCP (Dynamic Host Configuration Protocol) joue un rle important dans l'infrastructure
de Windows Server 2012. Il s'agit non seulement du principal moyen employ pour distribuer
les informations de configuration rseau importantes aux clients rseau, mais il fournit galement
certaines informations de configuration d'autres services rseau, notamment les services de
dploiement Windows (WDS) et la protection d'accs rseau (NAP). Pour prendre en charge une
infrastructure rseau base sur Windows Server et rsoudre les ventuels problmes, il est important
que vous sachiez dployer et configurer le rle Serveur DHCP et rsoudre les problmes associs.
Objectifs
x
x
installer le rle Serveur DHCP ;

configurer les tendues DHCP ;
grer une base de donnes DHCP ;
scuriser et surveiller le rle Serveur DHCP.
Implmentation du protocole DHCP (Dynamic Host Configuration Protocol)
Leon 1
Installation d'un rle Serveur DHCP

L'utilisation du protocole DHCP peut contribuer simplifier la configuration d'un ordinateur client.
Cette leon dcrit les avantages de DHCP, prsente le fonctionnement de ce protocole et explique
comment contrler DHCP sur un rseau Windows Server 2012 avec les services de domaine
Active Directory (AD DS).
x
x
x
dcrire les avantages de l'utilisation de DHCP ;

expliquer comment DHCP alloue des adresses IP aux clients rseau ;
dcrire le fonctionnement du processus de cration d'un bail DHCP ;
dcrire le fonctionnement du processus de renouvellement d'un bail DHCP ;
dcrire le rle d'un agent de relais DHCP ;
expliquer comment un rle Serveur DHCP est autoris ;
expliquer comment ajouter et autoriser le rle Serveur DHCP.
Avantages lis l'utilisation du protocole DHCP

Le protocole DHCP simplifie la configuration
des clients IP dans un environnement rseau.
Si vous n'utilisez pas DHCP, chaque fois que
vous ajoutez un client un rseau, vous devez
le configurer en reprenant les informations du
rseau sur lequel il tait install, notamment
l'adresse IP, le masque de sous-rseau du rseau
et la passerelle par dfaut permettant l'accs
d'autres rseaux.
Grer les nombreux ordinateurs qui constituent
un rseau devient une tche trs fastidieuse
lorsqu'elle est effectue manuellement. Il n'est pas
rare que des socits aient des milliers de priphriques informatiques grer : priphriques portables,
ordinateurs de bureau, ordinateurs portables, etc. Il n'est pas possible de grer manuellement les
configurations IP de rseau pour les entreprises de cette taille.
Avec le rle Serveur DHCP, vous faites en sorte que tous les clients disposent d'informations de
configuration appropries, ce qui contribue liminer les erreurs humaines pendant la configuration.
Lorsque d'importantes informations de configuration changent dans le rseau, il est possible de les
mettre jour l'aide du rle Serveur DHCP sans qu'il soit ncessaire d'intervenir directement sur
chaque ordinateur.
De mme, DHCP est un service cl pour les utilisateurs itinrants qui changent souvent de rseau. DHCP
permet aux administrateurs rseau de fournir des informations de configuration rseau complexes
aux utilisateurs non techniciens, sans que ceux-ci n'aient se proccuper des dtails de configuration
de leur rseau.
6-2
6-3
La configuration avec tat et sans tat de DHCP version 6 (v6) est prise en charge pour la configuration
de clients dans un environnement IPv6. La configuration avec tat intervient lorsque le serveur DHCPv6
attribue l'adresse IPv6 au client, en mme temps que d'autres donnes DHCP. La configuration sans tat
intervient quand le routeur de sous-rseau attribue l'adresse IPv6 automatiquement et que le serveur
DHCPv6 attribue seulement d'autres paramtres de configuration d'IPv6.
La protection d'accs rseau (NAP) fait partie d'un nouvel ensemble d'outils qui peuvent empcher l'accs
total l'intranet aux ordinateurs qui ne sont pas conformes aux exigences d'intgrit du systme. La
protection d'accs rseau (NAP) couple DHCP contribue isoler du rseau d'entreprise les ordinateurs
susceptibles d'tre infects par un programme malveillant. La protection d'accs rseau par DHCP permet
aux administrateurs de s'assurer que les clients DHCP sont en conformit avec les stratgies de scurit
internes. Par exemple, tous les clients rseau doivent tre jour et disposer d'un programme antivirus
valide et jour avant qu'une configuration IP permettant un accs total l'intranet ne leur soit attribue.
Vous pouvez installer DHCP en tant que rle sur une installation minimale (Server Core) de
Windows Server 2012. Server Core vous permet de crer un serveur avec une exposition aux attaques
rduite. Pour grer DHCP partir de Server Core, vous devez installer et configurer le rle partir
de l'interface de ligne de commande. Vous pouvez galement grer le rle DHCP s'excutant sur
l'installation Server Core de Windows Server 2012 partir d'une console base sur une interface
graphique utilisateur dans laquelle le rle DHCP est dj install.
Comment le protocole DHCP alloue des adresses IP

DHCP alloue les adresses IP en suivant un
processus dynamique galement appel bail.
Bien que vous puissiez dfinir la dure du bail
sur Illimit, vous dfinissez en gnral cette dure
sur quelques heures ou jours. La dure du bail
par dfaut pour les clients cbls est de huit
jours, et de trois jours pour les clients sans fil.
DHCP utilise des messages IP pour tablir des
communications. Par consquent, les serveurs
DHCP sont limits aux communications
l'intrieur de leur sous-rseau IP. Cela signifie
que dans bon nombre de rseaux, il existe un
serveur DHCP pour chaque sous-rseau IP.
Pour qu'un ordinateur soit considr comme un client DHCP, il doit tre configur pour obtenir une
adresse IP automatiquement. Par dfaut, tout ordinateur est configur pour obtenir une adresse IP
automatiquement. Dans un rseau sur lequel un serveur DHCP est install, un client DHCP rpondra
un message DHCP.
Si un ordinateur est configur avec une adresse IP par un administrateur, il dispose d'une adresse IP
statique, est considr comme un client non-DHCP et ne communiquera pas avec un serveur DHCP.
Comment fonctionne le processus de cration d'un bail DHCP ?

Vous utilisez le processus de gnration de
bail DHCP en quatre tapes pour attribuer une
adresse IP aux clients. Le fait de comprendre
le fonctionnement de chaque tape vous aide
rsoudre les problmes survenant lorsque
les clients ne parviennent pas obtenir une
adresse IP. Les quatre tapes sont les suivantes :
6-4
1.
Le client DHCP diffuse un paquet

DHCPDISCOVER chaque ordinateur du
sous-rseau. Seul un ordinateur qui a le rle
Serveur DHCP ou un ordinateur ou routeur
qui excute un agent de relais DHCP rpond.
Dans ce dernier cas, l'agent de relais DHCP transfre le message au serveur DHCP avec lequel
il est configur.
2.
Un serveur DHCP rpond avec un paquet DHCPOFFER. Ce paquet contient une adresse potentielle
pour le client.
3.
Le client reoit le paquet DHCPOFFER. Il peut recevoir des paquets de plusieurs serveurs, auquel cas il
slectionne gnralement le serveur qui a rpondu le plus rapidement son paquet DHCPDISCOVER.
Il s'agit habituellement du serveur DHCP le plus proche du client. Le client diffuse alors un paquet
DHCPREQUEST qui contient un identificateur de serveur. Ce dernier indique aux serveurs DHCP
qui reoivent le paquet DHCPOFFER quel serveur le client a choisi d'accepter.
4.
Les serveurs DHCP reoivent le paquet DHCPREQUEST. Les serveurs non accepts par le client
utilisent le message comme notification indiquant que le client refuse l'offre du serveur. Le serveur
choisi stocke l'adresse IP du client dans la base de donnes DHCP et rpond par un message
DHCPACK. Si, pour une raison ou une autre, le serveur DHCP ne peut pas fournir l'adresse
contenue dans le paquet DHCPOFFER initial, le serveur DHCP envoie un message DHCPNAK.
Comment fonctionne le processus de renouvellement d'un bail DHCP ?

Lorsque le bail DHCP atteint 50 % de sa dure
totale, le client essaie de le renouveler. Il s'agit
d'un processus automatique qui se produit en
arrire-plan. Les ordinateurs peuvent utiliser
l'adresse IP attribue par le serveur DHCP sur
une longue priode s'ils fonctionnent de faon
continue sur un rseau sans tre arrts.
Pour renouveler le bail de l'adresse IP, le client
diffuse un message DHCPREQUEST. Le serveur qui
a initialement lou l'adresse IP renvoie au client un
message DHCPACK qui contient tous les nouveaux
paramtres qui n'existaient pas lors de la cration
du bail.
6-5
Si le client DHCP ne peut pas contacter le serveur DHCP, alors le client attend que 87,5 pour cent de la
dure du bail soient couls. Si le renouvellement choue, ce qui signifie que 100 pour cent de la dure
du bail sont couls, l'ordinateur client tente d'entrer en contact avec la passerelle par dfaut configure.
Si la passerelle ne rpond pas, le client suppose qu'elle est sur un nouveau sous-rseau et passe la
phase de dtection. Il tente alors d'obtenir une configuration IP de n'importe quel serveur DHCP.
Les ordinateurs clients tentent galement de renouveler le bail pendant le processus de dmarrage ou
lorsque l'ordinateur dtecte une modification du rseau. Ceci est d au fait que les ordinateurs clients
peuvent avoir t dplacs alors qu'ils taient hors connexion ; par exemple, un ordinateur portable
peut avoir t branch un nouveau sous-rseau. Si le renouvellement russit, la priode de bail est
rinitialise. Dans Windows Server 2012, le rle DHCP prend en charge une nouvelle fonctionnalit
appele protocole de basculement de serveur DHCP. Ce protocole active la synchronisation des
informations de bail entre les serveurs DHCP et augmente la disponibilit du service DHCP. Si un
serveur DHCP n'est pas disponible, les autres serveurs DHCP continuent de desservir les clients sur
le mme sous-rseau.
Dfinition d'un agent de relais DHCP

DHCP utilise des messages IP pour tablir des
communications. Par consquent, les serveurs
DHCP sont limits aux communications
l'intrieur de leur sous-rseau IP. Cela signifie
que dans bon nombre de rseaux, il existe un
serveur DHCP pour chaque sous-rseau IP. Or,
si les sous-rseaux sont nombreux, le dploiement
de serveurs pour chaque sous-rseau peut s'avrer
onreux. Un mme serveur DHCP peut desservir
des groupes de sous-rseaux plus petits. Pour
pouvoir rpondre une requte d'un client DHCP,
le serveur DHCP doit tre en mesure de recevoir
les requtes DHCP. Pour cela, vous devez configurer un agent de relais DHCP sur chaque sous-rseau.
Un agent de relais DHCP est un ordinateur ou un routeur qui coute les messages des clients DHCP
et les transmet aux serveurs DHCP sur diffrents sous-rseaux.
Avec l'agent de relais DHCP, les paquets de diffusion DHCP peuvent tre relays dans un autre
sous-rseau IP via un routeur. Ensuite, vous pouvez configurer l'agent de relais DHCP dans le sous-rseau
qui a besoin d'adresses IP. En outre, vous pouvez configurer l'agent avec l'adresse IP du serveur DHCP.
L'agent pourra ainsi capturer les messages du client et les transfrer au serveur DHCP d'un autre
sous-rseau. Vous pouvez galement relayer des paquets DHCP dans d'autres sous-rseaux l'aide
d'un routeur compatible avec la norme RFC 1542.
Autorisation du serveur DHCP

Le protocole DHCP permet un ordinateur
client d'acqurir des informations de
configuration sur le rseau dans lequel il dmarre.
La communication DHCP intervient gnralement
avant toute authentification de l'utilisateur ou
de l'ordinateur. Par ailleurs, comme le protocole
DHCP est bas sur des diffusions IP, un serveur
DHCP mal configur au sein d'un rseau peut
fournir des informations incorrectes aux clients.
Pour viter cela, le serveur doit tre autoris.
L'autorisation DHCP est le processus qui consiste
inscrire le service Serveur DHCP dans le domaine
Active Directory afin de prendre en charge les clients DHCP.
Configuration requise pour Active Directory

Vous devez autoriser le rle serveur DHCP de Windows Server 2012 dans AD DS avant de pouvoir
commencer louer des adresses IP. Il est possible d'affecter un seul serveur DHCP la distribution
d'adresses IP pour les sous-rseaux qui contiennent plusieurs domaines AD DS. Par consquent,
le serveur DHCP doit tre autoris par un compte d'administrateur d'entreprise.
Remarques concernant les serveurs DHCP autonomes

Un serveur DHCP autonome est un ordinateur qui excute Windows Server 2012, qui ne fait pas partie
d'un domaine AD DS et sur lequel le rle Serveur DHCP a t install et configur. Si le serveur DHCP
autonome dtecte un serveur DHCP autoris dans le domaine, il ne loue pas d'adresses IP et s'arrte
automatiquement.
Serveurs DHCP non autoriss

De nombreux priphriques rseau intgrent un logiciel serveur DHCP, ce qui explique que bon nombre
de routeurs peuvent faire office de serveur DHCP. Or, il est frquent que ces serveurs ne reconnaissent
pas les serveurs autoriss par DHCP, si bien qu'ils sont mme de louer des adresses IP aux clients.
Dans ce cas, vous devez mener l'enqute afin de dtecter les serveurs DHCP non autoriss, qu'ils soient
installs sur des priphriques ou des serveurs non-Microsoft. Une fois que vous les avez dtects, vous
devez dsactiver le service DHCP sur ces serveurs. Vous pouvez rechercher l'adresse IP du serveur DHCP
en excutant la commande ipconfig /all sur l'ordinateur client DHCP.
6-6
Dmonstration : Ajout du rle Serveur DHCP

Dans cette dmonstration, vous allez apprendre installer et autoriser le rle Serveur DHCP.
Installer le rle Serveur DHCP
1.
Connectez-vous LON-SVR1 en tant que ADATUM\Administrateur avec le mot de passe

Pa$$w0rd.
2.
Ouvrez le Gestionnaire de serveur et installez le rle Serveur DHCP.
3.
Dans l'Assistant Ajout de rles, acceptez tous les paramtres par dfaut.
4.
Fermez le Gestionnaire de serveur.
Autoriser le serveur DHCP

1.
Basculez vers LON-SVR1.
2.
Ouvrez la console DHCP.
3.
Autorisez le serveur lon-svr1.adatum.com dans AD DS.
Remarque : Laissez tous les ordinateurs virtuels dans leur tat actuel pour la dmonstration
suivante.
6-7
Leon 2
Configuration des tendues DHCP

Une fois le rle DHCP install sur un serveur, vous devez configurer les tendues DHCP. L'tendue DHCP
est la mthode privilgie pour configurer les options d'un groupe d'adresses IP. Elle est base sur un
sous-rseau IP et certains de ses paramtres peuvent tre spcifiques au matriel ou des groupes
de clients personnaliss. Cette leon prsente les tendues DHCP et explique comment les grer.
x
x
x
dcrire le rle d'une tendue DHCP ;

dcrire une rservation DHCP ;
dcrire les options DHCP ;
expliquer comment appliquer les options DHCP ;
crer et configurer une tendue DHCP.
Que sont les tendues DHCP ?

Une tendue DHCP est une plage d'adresses IP
disponibles pour le bail et gres par un serveur
DHCP. En rgle gnrale, une tendue DHCP se
limite aux adresses IP d'un sous-rseau donn.
Par exemple, une tendue DHCP du rseau
192.168.1.0/24 (masque de sous-rseau
255.255.255.0) prend en charge une plage
comprise entre 192.168.1.1 et 192.168.1.254.
Lorsqu'un ordinateur ou priphrique du
sous-rseau 192.168.1.0/24 demande une
adresse IP, l'tendue qui a dfini la plage
de cet exemple alloue une adresse comprise
entre 192.168.1.1 et 192.168.1.254.
Remarque : Souvenez-vous que le serveur DHCP, lorsqu'il est dploy sur le mme
sous-rseau, consomme une adresse IPv4. Cette adresse doit tre exclue de la plage
d'adresses IPv4.
Pour configurer une tendue, vous devez dfinir les proprits suivantes :
x
x
x
Nom et description. Cette proprit identifie l'tendue.

Plage d'adresses IP. Cette proprit rpertorie la plage d'adresses pouvant tre proposes pour
le bail et comprend habituellement la plage complte des adresses d'un sous-rseau donn.
Masque de sous-rseau. Cette proprit est utilise par les ordinateurs clients pour dterminer
leur emplacement dans l'infrastructure rseau de l'entreprise.
6-8
x
x
Exclusions. Cette proprit rpertorie les adresses uniques ou les blocs d'adresses qui font partie
de la plage d'adresses IP, mais qui ne sont pas proposs pour le bail.
Dlai. Cette proprit correspond la dure d'attente avant l'excution de DHCPOFFER.
Dure du bail. Cette proprit indique la dure du bail. Utilisez des dures plus courtes pour les
tendues disposant d'un nombre limit d'adresses IP et des dures plus longues pour les rseaux
plus statiques.
Options. Vous pouvez configurer de nombreux proprits facultatives sur une tendue, mais les
plus courantes sont les suivantes :
o
option 003 Routeur (passerelle par dfaut du sous-rseau)
option 006 Serveurs DNS (Domain Name System)
option 015 Suffixe DNS
tendues IPv6
6-9
Vous pouvez configurer les options d'une tendue IPv6 en tant qu'tendue distincte dans le nud IPv6
de la console DHCP. Le nud IPv6 contient diffrentes options que vous pouvez modifier, ainsi qu'un
mcanisme de bail amlior.
Lorsque vous configurez une tendue DHCPv6, vous devez dfinir les proprits suivantes :
x
x
x
Nom et description. Cette proprit identifie l'tendue.

Prfixe. Le prfixe d'adresse IPv6 est similaire la plage d'adresses IPv4 ; il dfinit essentiellement
l'adresse rseau.
Exclusions. Cette proprit rpertorie les adresses uniques ou les blocs d'adresses qui font partie
du prfixe IPv6, mais qui ne sont pas proposs pour le bail.
Dure de vie prfre. Cette proprit dfinit la dure de validit des adresses loues.
Options. Comme pour IPv4, vous pouvez configurer de nombreuses options.
Qu'est-ce qu'une rservation DHCP ?
La pratique recommande consiste fournir

une adresse IP prdtermine aux priphriques
rseau tels que les imprimantes rseau. Avec
une rservation DHCP, vous tes assur que
les adresses IP que vous excluez d'une tendue
configure ne sont pas attribues un autre
priphrique. Une rservation DHCP est une
adresse IP spcifique au sein d'une tendue qui est
rserve de manire permanente pour le bail d'un
client DHCP spcifique. De plus, une rservation
DHCP garantit que les priphriques ayant fait
l'objet de rservations disposeront coup sr
d'une adresse IP mme si une tendue se trouve court d'adresses. Le fait de configurer des rservations
vous permet de centraliser la gestion des adresses IP fixes.
Configuration de rservations DHCP

Pour configurer une rservation, vous devez connatre l'adresse MAC (Media Access Control) ou
l'adresse physique de l'interface rseau du priphrique. Cette adresse indique au serveur DHCP que
le priphrique doit avoir une rservation. Vous pouvez acqurir l'adresse MAC d'une interface rseau
en utilisant la commande ipconfig/all. Gnralement, l'adresse MAC des imprimantes rseau et des
autres priphriques rseau est appose sur le priphrique proprement dit. Sur la plupart des
ordinateurs portables, cette information figure galement la base du chssis.
Que sont les options DHCP ?

Les serveurs DHCP peuvent configurer autre chose
que des adresses IP ; ils fournissent galement
des informations sur les ressources rseau, telles
que les serveurs DNS et la passerelle par dfaut.
Les options DHCP sont des valeurs de donnes
de configuration courantes qui s'appliquent
au serveur, aux tendues, aux rservations et
aux options de classe. Vous pouvez appliquer
les options DHCP aux niveaux du serveur,
de l'tendue, de l'utilisateur et du fournisseur.
Les options DHCP sont identifies par un code
d'option. La plupart de ces codes d'option sont
tirs de la documentation RFC que vous pouvez consulter sur le site Web de l'IETF
(Internet Engineering Task Force).
Options DHCP courantes

Le tableau suivant prsente les codes d'option courants demands par les clients DHCP Windows.
Code d'option
Nom
Routeur
Serveurs DNS
15
Nom de domaine DNS
44
Serveurs WINS/NBNS (Windows Internet Naming Service/NetBIOS Name Service)
46
Type de nud WINS/NetBT (WINS/NetBIOS sur TCP/IP)
47
Identificateur d'tendue NetBIOS
51
Dure du bail
58
Dure de renouvellement (T1)
59
Dure de reliaison (T2)
6-10 Implmentation du protocole DHCP (Dynamic Host Configuration Protocol)
(suite)
Code d'option
Nom
31
Dtection des routeurs
33
Itinraire statique
43
Informations spcifiques au fournisseur
249
Itinraires statiques sans classe
Comment les options DHCP sont-elles appliques ?

Le service DHCP applique les options aux
ordinateurs clients dans l'ordre suivant :
1.
Au niveau du serveur. Une option au niveau

du serveur est attribue tous les clients
DHCP du serveur DHCP.
2.
Au niveau de l'tendue. Une option au

niveau de l'tendue est attribue tous
les clients d'une tendue.
3.
Au niveau de la classe. Une option au niveau

de la classe est attribue tous les clients qui
s'identifient comme membres d'une classe.
4.
Au niveau du client rserv. Une option au niveau de la rservation est attribue

un seul client DHCP.
Vous devez comprendre ces options lorsque vous configurez DHCP pour savoir quels sont les
paramtres de niveau prioritaires lorsque vous configurez plusieurs paramtres diffrents niveaux.
Si des paramtres d'option DHCP conflictuels sont appliqus chaque niveau, l'option applique
en dernier remplace le paramtre prcdemment appliqu. Par exemple, si la passerelle par dfaut
est configure au niveau de l'tendue et qu'une passerelle par dfaut diffrente est applique pour
un client rserv, le paramtre client rserv devient le paramtre effectif.
6-11
Vous pouvez galement configurer des stratgies d'affectation d'adresses au niveau du serveur ou de
l'tendue. Une stratgie d'affectation d'adresses contient un ensemble de conditions que vous dfinissez
afin de louer diffrents adresses et paramtres IP DHCP diffrents types de clients DHCP, tels que des
ordinateurs, des ordinateurs portables, des imprimantes rseau ou des tlphones IP. Les conditions
dfinies dans ces stratgies diffrencient les divers types de clients et comprennent plusieurs critres,
tels que l'adresse MAC ou les informations de fournisseur.
Dmonstration : Cration et configuration d'une tendue DHCP

Vous pouvez crer des tendues l'aide de la console MMC (Microsoft Management Console) pour le
rle Serveur DHCP ou de l'outil en ligne de commande de configuration rseau Netsh. Ce dernier vous
permet de grer les tendues distance si le serveur DHCP s'excute sur une installation minimale
(Server Core) de Windows Server 2012. Il est galement utile pour les scripts et l'automatisation
de la mise en service de serveurs.
Dans cette dmonstration, vous allez apprendre configurer une tendue et ses options dans DHCP.
Configurer une tendue et les options d'tendue dans DHCP
1.
Dans le volet de navigation de DHCP, dveloppez lon-svr1.adatum.com, dveloppez et cliquez

avec le bouton droit sur IPv4, puis cliquez sur Nouvelle tendue.
2.
Crez une tendue avec les proprits suivantes :
3.
Nom : Filiale
Plage d'adresses IP : 172.16.0.100-172.16.0.200
Longueur : 16
Masque de sous-rseau : 255.255.0.0
Exclusions : 172.16.0.190-172.16.0.200
Autres paramtres : utilisez les valeurs par dfaut
Configurez les options Routeur 172.16.0.1
Utilisez les paramtres par dfaut pour toutes les autres pages, puis activez l'tendue.
Leon 3
Gestion d'une base de donnes DHCP
6-13
La base de donnes DHCP stocke des informations sur les baux d'adresses IP. En cas de problme, il est
important de savoir comment sauvegarder la base de donnes et comment rsoudre les problmes
de base de donnes ventuels. Cette leon explique comment grer la base de donnes et les donnes
qu'elle contient.
x
x
dcrire la base de donnes DHCP ;

expliquer la procdure de sauvegarde et de restauration d'une base de donnes DHCP ;
expliquer la procdure de rapprochement d'une base de donnes DHCP ;
expliquer la procdure de dplacement d'une base de donnes DHCP.
Qu'est-ce qu'une base de donnes DHCP ?

Une base de donnes DHCP est une base de
donnes dynamique contenant les donnes
en relation avec les tendues, les baux d'adresse
et les rservations. La base de donnes contient
galement le fichier de donnes o sont stockes
les informations de configuration DHCP et les
donnes de bail pour les clients qui ont lou une
adresse IP du serveur DHCP. Par dfaut, les fichiers
de base de donnes DHCP sont stocks dans
le dossier %systemroot%\System32\Dhcp.
Fichiers de base de donnes

du service DHCP
Le tableau suivant dcrit quelques fichiers de base de donnes du service DHCP.
Fichier
Description
Dhcp.mdb
Dhcp.mdb est le fichier de base de donnes du serveur DHCP.
Dhcp.tmp
Dhcp.tmp est un fichier temporaire que la base de donnes DHCP utilise comme
fichier d'change lors des oprations de maintenance d'index de la base de donnes.
Aprs une dfaillance du systme, Dhcp.tmp reste parfois dans le rpertoire
Systemroot\System32\Dhcp.
J50.log et
J50#####.log
J50.log et J50#####.log sont les journaux de toutes les transactions de base de

donnes. La base de donnes DHCP utilise ces fichiers pour rcuprer les donnes,
si ncessaire.
J50.chk
Il s'agit du fichier de point de contrle.
Remarque : Vous ne devez pas supprimer ou modifier les fichiers de base de donnes
de service DHCP.
La base de donnes de serveur DHCP est dynamique. Elle est mise jour lorsque des clients DHCP
sont attribus ou qu'ils librent leurs paramtres de configuration TCP/IP. La base de donnes
DHCP n'tant pas une base de donnes distribue comme la base de donnes du serveur WINS
(Windows Internet Name Service), la maintenance de la base de donnes du serveur DHCP est
moins complexe.
Par dfaut, la base de donnes DHCP et les entres associes du Registre sont sauvegardes
automatiquement intervalles de 60 minutes. Vous pouvez modifier cet intervalle par dfaut
en modifiant la valeur BackupInterval dans la cl de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Vous pouvez aussi sauvegarder une base de donnes DHCP manuellement tout moment.
Sauvegarde et restauration d'une base de donnes DHCP

Vous pouvez sauvegarder une base de donnes
DHCP manuellement ou la configurer de sorte
qu'elle soit sauvegarde automatiquement.
Une sauvegarde automatique est appele
sauvegarde synchrone. Une sauvegarde manuelle
est appele sauvegarde asynchrone.
Sauvegarde automatique (synchrone)

Le chemin d'accs de sauvegarde par
dfaut pour la sauvegarde de DHCP est
systemroot\System32\Dhcp\Backup. Pour vous
conformer aux meilleures pratiques, vous pouvez
modifier ce chemin dans les proprits du serveur
de faon le faire pointer vers un autre volume.
Sauvegarde manuelle (asynchrone)

Si vous devez crer une sauvegarde immdiatement, vous pouvez excuter l'option de sauvegarde
manuelle dans la console DHCP. Cette opration ncessite soit des autorisations de niveau
administrateur, soit que le compte utilisateur soit membre du groupe Administrateurs DHCP.
lments sauvegards
Lors d'une sauvegarde synchrone ou asynchrone, c'est la base de donnes DHCP entire qui est
enregistre, savoir :
x
toutes les tendues ;

les rservations ;
les baux ;
x
x
l'ensemble des options, y compris les options de serveur, les options d'tendue, les options
de rservation et les options de classe ;
6-15
toutes les cls de Registre et les autres paramtres de configuration (par exemple, les paramtres de
journal d'audit et les paramtres d'emplacement des dossiers) dfinis dans les proprits du serveur
DHCP. Ces paramtres sont stocks dans la cl de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Pour sauvegarder cette cl, ouvrez l'diteur du Registre et enregistrez la cl spcifie dans
un fichier texte.
Remarque : Les informations d'identification pour les mises jour dynamiques DNS
(nom d'utilisateur, domaine et mot de passe) qu'utilise le serveur DHCP lors de l'inscription
des ordinateurs clients DHCP auprs du service DNS ne sont pas sauvegardes, quelle que
soit la mthode de sauvegarde employe.
Restauration d'une base de donnes

Si vous devez restaurer la base de donnes, utilisez la fonction Restore de la console du serveur DHCP.
Vous serez invit spcifier l'emplacement de la sauvegarde. Une fois que vous aurez slectionn
l'emplacement, le service DHCP s'arrte et la base de donnes est restaure. Pour restaurer la base
de donnes, le compte d'utilisateur doit disposer d'autorisations de niveau administrateur ou tre
membre du groupe Administrateurs DHCP.
Scurit des sauvegardes

Une fois le fichier de base de donnes DHCP sauvegard, il doit tre stock dans un emplacement
protg auquel seuls les administrateurs DHCP peuvent accder. Ceci est un gage de protection
durable des informations de rseau contenues dans les fichiers de sauvegarde.
Utilisation de Netsh
Vous pouvez galement utiliser des commandes dans le contexte de serveur DHCP de Netsh pour
sauvegarder la base de donnes ; cela est utile pour sauvegarder la base de donnes un emplacement
distant l'aide d'un fichier script.
La commande suivante est un script que vous pouvez utiliser dans l'invite Serveur DHCP de Netsh
pour sauvegarder les donnes DHCP de toutes les tendues :
export "c:\My Folder\Dhcp Configuration" all
Pour restaurer la base de donnes DHCP, utilisez la commande suivante :

import "c:\My Folder\Dhcp Configuration" all
Remarque : Le contexte Serveur DHCP de Netsh n'existe pas sur les ordinateurs serveurs
sur lesquels le rle Serveur DHCP n'est pas install.
Rapprochement d'une base de donnes DHCP

Le rapprochement des tendues peut rsoudre les
incohrences qui affectent les ordinateurs clients.
Le service Serveur DHCP stocke les informations
de bail d'adresses IP d'tendue sous les deux
formes suivantes :
x
informations dtailles sur les baux

d'adresses IP, stockes dans la base
de donnes DHCP ;
informations rsumes sur les baux
d'adresses IP, stockes dans le Registre
du serveur.
Lorsque vous rapprochez des tendues, les entres dtailles et rsumes sont compares pour dceler
les incohrences.
Pour corriger et rparer ces incohrences, vous devez rapprocher toutes les incohrences d'tendues.
Aprs avoir slectionn et rapproch les incohrences d'tendues, le service DHCP restitue ces adresses
IP au propritaire d'origine ou cre une rservation temporaire pour ces adresses. Ces rservations sont
valides pendant la dure du bail assigne l'tendue. Lorsque le bail arrive expiration, les adresses
sont rcupres pour une utilisation ultrieure.
Dplacement d'une base de donnes DHCP

Si vous tes amen dplacer le rle
Serveur DHCP vers un autre serveur, la pratique
recommande consiste dplacer la base de
donnes DHCP sur ce mme serveur. Vous serez
ainsi assur que les baux clients seront conservs
et vous rduirez les risques de rencontrer des
problmes de configuration au niveau des clients.
Dans un premier temps, vous devez dplacer
la base de donnes en la sauvegardant sur
l'ancien serveur DHCP. Vous arrtez ensuite
le service DHCP sur l'ancien serveur DHCP.
Enfin, vous copiez la base de donnes DHCP
sur le nouveau serveur, o vous pourrez la restaurer en suivant la procdure normale de restauration
de base de donnes.
Leon 4
Scurisation et surveillance DHCP
6-17
Le protocole DHCP n'intgre aucune mthode d'authentification des utilisateurs. Cela signifie que si vous
ne prenez pas de prcautions, les baux IP risquent d'tre octroys des priphriques et des utilisateurs
non autoriss.
DHCP est un service essentiel dans les environnements rseau de nombreuses entreprises.
Si le service DHCP ne fonctionne pas correctement ou si un problme de serveur DHCP se produit
du fait d'une situation particulire, il est important que vous puissiez identifier le problme et dterminer
ses causes potentielles afin de le rsoudre.
Cette leon explique comment empcher les utilisateurs non autoriss d'obtenir un bail, comment grer
les serveurs DHCP non autoriss et comment configurer les serveurs DHCP pour permettre un groupe
spcifique de les grer.
x
x
x
x
x
expliquer comment empcher un ordinateur non autoris d'obtenir un bail ;

expliquer comment empcher les serveurs DHCP non autoriss et non-Microsoft de louer
des adresses IP ;
expliquer comment dlguer l'administration du rle Serveur DHCP ;
dcrire les statistiques DHCP ;
dcrire le journal d'audit DHCP ;
identifier les problmes courants pouvant survenir avec DHCP.
Procdure pour empcher un ordinateur non autoris d'obtenir un bail

Par nature, DHCP peut tre difficile scuriser.
En effet, le protocole a t conu pour
fonctionner avant que les informations ncessaires
l'authentification d'un ordinateur client via
un contrleur de domaine ne soient disponibles.
C'est pourquoi vous devez prendre des
prcautions pour empcher les ordinateurs
non autoriss d'obtenir un bail avec DHCP.
Les prcautions prendre pour limiter l'accs non autoris sont les suivantes :
x
Veillez limiter l'accs physique : si des utilisateurs peuvent accder une connexion rseau active
sur votre rseau, leurs ordinateurs sont probablement en mesure d'obtenir une adresse IP. Si un port
rseau n'est pas utilis, vous devez le dconnecter physiquement de l'infrastructure de commutation.
Activez l'enregistrement d'audit sur tous les serveurs DHCP : vous obtiendrez un historique de
l'activit et pourrez en outre dterminer quel moment un utilisateur non autoris a obtenu une
adresse IP sur le rseau. Veillez prvoir du temps pour examiner intervalles rguliers les journaux
d'audit.
Exigez des connexions authentifies de couche 2 au rseau : la plupart des commutateurs matriels
d'entreprise prennent dsormais en charge l'authentification IEEE (Institute of Electrical and
Electronics Engineers, Inc.) 802.1X qui permet une authentification utilisateur au niveau du port.
Les normes sans fil scurises, telles que Wi-Fi Protected Access (WPA) Enterprise et WPA2 Enterprise,
utilisent galement l'authentification 802.1X.
Implmentez un systme NAP : la protection d'accs rseau (NAP) permet aux administrateurs
de garantir qu'un ordinateur client est conforme aux exigences d'intgrit du systme, notamment
l'excution de toutes les dernires mises jour du systme d'exploitation Windows ou l'excution
d'un client antivirus jour. Si des utilisateurs qui ne respectent pas les exigences de scurit tentent
d'accder au rseau, ils reoivent une configuration d'adresse IP qui leur permet d'accder un
rseau de mise jour o ils peuvent se procurer les mises jour ncessaires. L'administrateur peut
galement limiter l'accs au rseau en autorisant uniquement les ordinateurs intgres accder
au rseau local (LAN) interne.
Procdure pour empcher des serveurs DHCP non autoriss

et non-Microsoft de louer des adresses IP
Nombreux sont les priphriques et les systmes
d'exploitation rseau qui intgrent plusieurs
implmentations de serveur DHCP. Sachant que
par nature, les rseaux ne sont pratiquement
jamais homognes, il est possible qu' un
moment donn, un serveur DHCP qui ne vrifie
pas les serveurs authentifis par Active Directory
soit activ sur le rseau. Dans ce cas, les clients
risquent d'obtenir des donnes de configuration
incorrectes.
Pour supprimer un serveur DHCP non autoris,
vous devez d'abord le localiser. Vous devez
ensuite l'empcher de communiquer sur le rseau en le dsactivant physiquement ou en dsactivant
le service DHCP.
Si les utilisateurs se plaignent de ne pas disposer de connexion au rseau, vrifiez l'adresse IP de leur
serveur DHCP. Utilisez la commande ipconfig/all pour vrifier le champ d'adresse IP du serveur DHCP.
Si l'adresse IP n'est pas celle d'un serveur DHCP autoris, le rseau compte probablement en son sein
un serveur non autoris.
Vous pouvez employer l'utilitaire DHCP Server Locator (Dhcploc.exe) pour localiser les serveurs DHCP
actifs sur un sous-rseau. Vous trouverez l'utilitaire DHCP Server Locator dans les Outils du Kit de
ressources Windows Server 2003, les Outils de support Windows XP ou la Galerie TechNet.
Dlgation de l'administration DHCP

Assurez-vous que seules les personnes autorises
peuvent administrer le rle Serveur DHCP.
Pour cela, effectuez l'une des tches suivantes :
x
limitez les membres du groupe

Administrateurs DHCP ;
affectez les utilisateurs qui ont besoin
de l'accs en lecture seule au groupe
Utilisateurs DHCP.
6-19
Le groupe local Administrateurs DHCP est utilis

pour limiter et octroyer l'accs aux fonctions
d'administration des serveurs DHCP. Par
consquent, le groupe Administrateurs DHCP est cr dans AD DS lorsque le rle Serveur DHCP est
install sur un contrleur de domaine, ou sur l'ordinateur local lorsque le rle Serveur DHCP est install
sur des membres de domaine ou des serveurs autonomes.
Autorisations requises pour autoriser et administrer le service DHCP
Seuls les administrateurs d'entreprise peuvent autoriser un service DHCP. Si un administrateur dont les
informations d'identification sont infrieures celles d'un administrateur d'entreprise doit autoriser le
domaine, il doit utiliser la dlgation Active Directory. Tout utilisateur du groupe Administrateurs DHCP
peut grer le service DHCP du serveur. Tout utilisateur du groupe Utilisateurs DHCP peut bnficier
d'un accs en lecture seule la console DHCP.
En quoi consistent les statistiques DHCP ?

Les statistiques DHCP fournissent des informations
sur l'activit et l'utilisation du service DHCP. Vous
pouvez utiliser cette console pour dterminer
rapidement s'il existe un problme au niveau
du service DHCP ou des clients DHCP du rseau.
Les statistiques peuvent s'avrer utiles si vous
dtectez un nombre excessif de paquets d'accus
de rception ngatif (NAK), ce qui peut indiquer
que le serveur ne fournit pas les donnes correctes
aux clients.
Vous pouvez configurer la frquence
d'actualisation des statistiques sous l'onglet
Gnral de la bote de dialogue Proprits du serveur.
Statistiques sur le serveur DHCP
Les statistiques sur le serveur DHCP offrent un aperu de l'utilisation du serveur DHCP. Ces donnes
peuvent vous tre utiles pour connatre rapidement l'tat du serveur DHCP. Certaines informations, telles
que le nombre d'offres, le nombre de demandes, le nombre total d'adresses utilises/disponibles, peuvent
vous aider vous faire une ide de l'tat du serveur. Les statistiques sur le serveur sont grs sparment
pour IPv4 et IPv6.
Statistiques sur les tendues DHCP

Bien que nettement moins dtailles, les statistiques sur les tendues DHCP fournissent des informations
sur le nombre total d'adresses contenues dans une tendue donne, le nombre d'adresses utilises
et le nombre d'adresses disponibles. Si vous remarquez dans les statistiques du serveur que le nombre
d'adresses disponibles est peu lev, il est simplement possible qu'une tendue soit proche de son
point d'puisement. Les statistiques d'tendue permettent un administrateur de dterminer
rapidement l'tat d'une tendue donne eu gard aux adresses disponibles.
Qu'est-ce que le journal d'audit DHCP ?

Le journal d'audit DHCP est un journal qui
consigne l'activit d'un serveur DHCP. Vous
pouvez utiliser ce journal pour suivre les
demandes, les octrois et les refus de bail. Ces
informations vous permettent de rsoudre les
problmes de performances des serveurs DHCP.
Par dfaut, les fichiers journaux sont stocks dans
le dossier %systemroot%\system32\dhcp. Vous
pouvez configurer les paramtres du fichier
journal dans la bote de dialogue Proprits
du serveur.
Les fichiers journaux d'audit DHCP sont nomms

en fonction du jour de la semaine o ils ont t crs. Par exemple, si le journal d'audit est activ un lundi,
le fichier s'intitule DhcpSrvLog-Mon.log.
Champs du fichier journal d'audit DHCP

Le tableau suivant dcrit les champs contenus dans un journal d'audit DHCP.
Champ
Description
ID
Code d'identification d'vnement du serveur DHCP
Date
Date laquelle l'entre a t crite dans le journal du serveur DHCP
Heure
Heure laquelle l'entre a t crite dans le journal du serveur DHCP
Description
Description de l'vnement du serveur DHCP
Adresse IP
Adresse IP du client DHCP
Nom d'hte
Nom d'hte du client DHCP
Adresse MAC
Adresse MAC utilise par la carte rseau du client
Codes d'identification des vnements courants

Les codes d'identification des vnement courants se prsentent comme suit :
x
ID,Date,Heure,Description,Adresse IP,Nom d'hte,Adresse MAC
Les codes d'identification d'vnements courants sont les suivants :

x
x
00,06/22/99,22:35:10,Dmarr,,,,
56,06/22/99,22:35:10,chec de l'autorisation, arrt du service,,domaine1.local,,
55,06/22/99,22:45:38,Autoris (en service),,domaine1.local
Discussion : Problmes DHCP courants

Le tableau suivant dcrit quelques problmes
DHCP courants. crivez les solutions possibles
dans la colonne Solution, puis discutez de vos
rponses avec la classe.
Problme
Description
Exemple
Conflits d'adresses
La mme adresse IP est

offerte deux clients
diffrents.
Un administrateur supprime
un bail. Toutefois, le client
qui bnficiait du bail
fonctionne toujours comme
si le bail tait valide. Si le
serveur DHCP ne vrifie pas
l'adresse IP, il risque de la
louer un autre ordinateur,
ce qui va entraner un
conflit d'adresse. Cela peut
galement se produire si
deux serveurs DHCP ont
des tendues qui se
chevauchent.
chec d'obtention
d'adresse DHCP
Au lieu de recevoir une

adresse DHCP, le client
reoit une adresse APIPA
(Automatic Private
IP Addressing)
auto-assigne.
Si le pilote de la carte
rseau d'un client est
mal configure, cela
peut entraner un chec
d'obtention d'adresse DHCP.
En outre, le serveur DHCP
ou l'agent de relais sur le
sous-rseau du client peut
tre hors ligne. Une autre
raison pourrait tre que
l'tendue du serveur DHCP
est puise. Dans ce cas, il
est ncessaire d'tendre
ou de modifier l'tendue.
Solution
6-21
(suite)
Problme
Description
Exemple
Obtention d'adresse
provenant d'une
tendue incorrecte
Le client obtient une

adresse IP provenant
d'une tendue
incorrecte, ce qui lui
vaut des problmes de
communication.
Si le client est connect un

rseau incorrect ou si l'agent
de relais DHCP n'est pas
correctement configur,
cette erreur peut se
produire.
Altration ou perte
de donnes dans la
base de donnes
DHCP
La base de donnes
DHCP devient illisible
ou est perdue en raison
d'une dfaillance
matrielle.
Une dfaillance matrielle

peut entraner l'altration
de la base de donnes.
puisement du pool
d'adresses du
serveur DHCP
Les tendues IP du
serveur DHCP sont
puises. Tout nouveau
client qui demandera
une demande IP essuiera
un refus.
Si toutes les adresses IP

qui sont attribues une
tendue sont loues, cette
erreur se produit.
Solution

7-1
Module 7
Implmentation du systme DNS (Domain Name System)
Table des matires :
7-1
Leon 1 : Rsolution de noms pour les clients et les serveurs Windows
7-2
Leon 2 : Installation et gestion d'un serveur DNS
7-12
Leon 3 : Gestion des zones DNS
7-19
Atelier pratique : Implmentation de la rplication DNS
7-23
7-28
La rsolution de noms est le processus de traduction logicielle des noms, que les utilisateurs peuvent
lire et comprendre, et des adresses IP numriques, qui sont ncessaires aux communications TCP/IP.
Pour cette raison, la rsolution de noms est l'un des concepts les plus importants de toute infrastructure
du rseau. Vous pouvez comparer DNS (Domain Name System) un annuaire des ordinateurs sur
Internet. Les ordinateurs clients utilisent le processus de rsolution de noms lors de la localisation
d'htes sur Internet et lors de la localisation d'autres htes et services dans un rseau interne. DNS
(Domain Name System) est l'une des technologies les plus rpandues pour la rsolution de noms.
Les services de domaine Active Directory (AD DS) dpendent fortement de DNS, de mme que le
trafic Internet. Ce module prsente certains concepts de base relatifs la rsolution de noms, ainsi
qu' l'installation et la configuration d'un service Serveur DNS et de ses composants.
Objectifs
x
dcrire la rsolution de noms pour les clients utilisant le systme d'exploitation Windows
et les serveurs Windows Server ;
installer et grer le service Serveur DNS ;
grer les zones DNS.
Leon 1
Rsolution de noms pour les clients

et les serveurs Windows
7-2
Vous pouvez configurer un ordinateur pour communiquer sur un rseau en utilisant un nom au lieu d'une
adresse IP. L'ordinateur utilise ensuite la rsolution de noms pour trouver une adresse IP qui correspond
un nom, par exemple un nom d'hte. Ce cours porte sur les diffrents types de nom d'ordinateur, les
mthodes utilises pour les rsoudre, ainsi que la rsolution des problmes lis la rsolution de noms.
x
x
x
x
dcrire les noms d'ordinateurs ;

dcrire DNS ;
dcrire les zones et les enregistrements DNS ;
dcrire la rsolution des noms DNS Internet ;
dcrire la rsolution LLMNR (Link Local Multicast Name Resolution) ;
dcrire la faon dont un client rsout un nom ;
rsoudre les problmes lis la rsolution de noms.
Que sont les noms d'ordinateurs ?

L'ensemble de protocoles TCP/IP identifie les
ordinateurs source et de destination en fonction
de leur adresse IP. Toutefois, les utilisateurs
d'ordinateurs sont plus enclins utiliser et
se souvenir de noms que de chiffres. Pour cette
raison, les administrateurs affectent gnralement
des noms aux ordinateurs. Les administrateurs
lient ensuite ces noms aux adresses IP des
ordinateurs via un systme de rsolution de
noms tel que DNS. Ces noms sont soit au format
de nom d'hte, par exemple dc1.contoso.com
(qui est reconnu par DNS), soit au format de nom
NetBIOS, par exemple DC1, (qui est reconnu par le service WINS (Windows Internet Name Service)).
Type de nom
7-3
Le type de nom (nom d'hte ou nom NetBIOS) qu'une application utilise est dtermin par le
dveloppeur d'applications. Si le dveloppeur d'applications conoit une application pour demander
des services rseau via des sockets Windows, les noms d'htes sont utiliss. En revanche, si le dveloppeur
d'applications conoit une application pour demander des services via NetBIOS, un nom NetBIOS est
utilis. La plupart des applications actuelles, notamment les applications Internet, utilisent des sockets
Windows (et, par consquent, des noms d'htes) pour accder aux services rseau. NetBIOS est utilis
par de nombreuses applications des versions antrieures du systme d'exploitation Windows.
Les versions antrieures des systmes d'exploitation Windows, par exemple Microsoft Windows 98
et Windows Millennium Edition, requirent NetBIOS pour prendre en charge les fonctionnalits
rseau telles que le partage de fichiers. Toutefois, depuis Microsoft Windows 2000, tous les systmes
d'exploitation prennent en charge NetBIOS (sans pour autant ncessiter NetBIOS) des fins
de compatibilit descendante avec les versions antrieures de Windows.
Remarque : Vous pouvez utiliser des applications de sockets Windows pour spcifier l'hte
de destination, soit par l'adresse IP, soit par le nom d'hte. Les applications NetBIOS requirent
l'utilisation d'un nom NetBIOS.
Noms d'htes
Un nom d'hte est un nom convivial associ l'adresse IP d'un ordinateur afin de l'identifier en tant
qu'hte TCP/IP. Le nom d'hte peut comprendre jusqu' 255 caractres (caractres alphabtiques
et numriques, points et traits d'union).
Vous pouvez utiliser les noms d'htes sous diverses formes. Les deux formes les plus rpandues sont
l'alias et le nom de domaine complet (FQDN). Un alias est un nom unique associ une adresse IP, tel
que payroll. Vous pouvez combiner un alias avec un nom de domaine pour crer un nom de domaine
complet. Un nom de domaine complet est structur pour tre utilis sur Internet et inclut des points
comme sparateurs. Exemple d'un nom de domaine complet : payroll.contoso.com.
Noms NetBIOS
Un nom NetBIOS, qui compte 16 caractres, identifie une ressource NetBIOS sur le rseau. Un nom
NetBIOS peut reprsenter un ordinateur unique ou un groupe d'ordinateurs. Les 15 premiers caractres
sont utiliss pour le nom, le dernier caractre identifie la ressource ou le service de l'ordinateur auquel
il est fait rfrence. Le nom de 15 caractres peut inclure le nom de l'ordinateur, le nom du domaine
et le nom de l'utilisateur connect. Le seizime caractre est un identificateur hexadcimal d'un octet.
L'espace de noms NetBIOS est plat, ce qui signifie que les noms ne peuvent tre utiliss qu'une seule
fois au sein d'un rseau. Vous ne pouvez pas organiser les noms NetBIOS en une structure hirarchique,
comme c'est le cas avec les noms de domaine complets.
Documentation supplmentaire : Pour plus d'informations sur la rsolution

de noms NetBIOS, consultez la page Rsolution de noms NetBIOS l'adresse
Qu'est-ce que DNS ?

DNS est un service qui rsout les noms de
domaine complets et autres noms d'htes en
adresses IP. Tous les systmes d'exploitation
Windows Server incluent un service Serveur DNS.
Lorsque vous utilisez DNS, les utilisateurs de votre
rseau peuvent localiser les ressources rseau
en tapant des noms conviviaux (par exemple
www.microsoft.com), que l'ordinateur rsout
ensuite en adresses IP. L'avantage rside dans le
fait que les adresses IPv4 peuvent tre difficiles
mmoriser (par exemple 131.107.0.32), alors qu'il
est gnralement plus facile de se souvenir d'un
nom de domaine. En outre, vous pouvez utiliser des noms d'htes qui ne changent pas, alors que
les adresses IP sous-jacentes peuvent tre modifies en fonction des besoins de votre organisation.
DNS utilise une base de donnes (stocke dans un fichier ou dans les services AD DS) de noms et
d'adresses IP pour fournir ce service. Les logiciels clients DNS effectuent des requtes dans la base
de donnes DNS et la mettent jour. Par exemple, dans une organisation, un utilisateur qui tente
de localiser un serveur d'impression peut utiliser le nom DNS printserver.contoso.com. Le logiciel
client DNS va rsoudre le nom en adresse IP de l'imprimante, par exemple 172.16.23.55. Mme si
l'adresse IP de l'imprimante change, le nom convivial peut rester le mme.
l'origine, un seul fichier sur Internet contenait la liste de tous les noms de domaine et leurs adresses IP
correspondantes. Cette liste est rapidement devenue trop longue grer et distribuer. DNS a t
dvelopp pour rsoudre les problmes lis l'utilisation d'un fichier unique sur Internet. Avec
l'adoption de la norme IPv6, le rle de DNS est de plus en plus important, car les adresses IPv6 sont
encore plus complexes que les adresses IPv4 (par exemple, 2001:db8:4136:e38c:384f:3764:b59c:3d97).
DNS regroupe les informations sur les ressources rseau en une structure hirarchique de domaines.
Cette structure hirarchique de domaines est une arborescence inverse qui possde un domaine
racine son sommet et qui progresse vers le bas en branches distinctes avec des niveaux communs
de domaines parents. Cette progression se poursuit toujours plus bas vers les domaines enfants
individuels. La reprsentation de l'ensemble de la structure hirarchique de domaines s'appelle
un espace de noms DNS.
7-4
Internet utilise un espace de noms DNS unique avec plusieurs serveurs racine. Pour faire partie de l'espace
de noms DNS Internet, un nom de domaine doit tre inscrit auprs d'un bureau d'enregistrement DNS.
Cela garantit qu'il n'existe pas deux organisations qui tentent d'utiliser le mme nom de domaine.
Si les htes qui sont situs sur Internet n'ont pas besoin de rsoudre les noms de votre domaine, vous
pouvez hberger un domaine en interne, sans l'inscrire. Toutefois, vous devez toujours veiller ce que
le nom de domaine soit unique par rapport aux noms de domaine Internet. Sinon, la connectivit aux
ressources Internet risque de s'en trouver affecte. Il est frquent de garantir cette unicit en crant
un domaine interne dans le domaine .local. Le domaine .local est rserv un usage interne, l'instar
des adresses IP prives qui sont rserves un usage interne.
Outre la rsolution des noms d'htes en adresses IP, DNS peut tre utilis pour effectuer les tches
suivantes :
x
x
x
Rechercher des contrleurs de domaine et des serveurs de catalogue global. Cela a lieu lors
de la connexion aux services AD DS.
Rsoudre des adresses IP en noms d'htes. Cela est utile lorsqu'un fichier journal contient
uniquement l'adresse IP d'un hte.
Rechercher un serveur de messagerie pour la remise du courrier lectronique. Cela a lieu lors
de la remise de l'ensemble du courrier lectronique Internet.
Zones et enregistrements DNS

Une zone DNS est une partie spcifique
de l'espace de noms DNS qui contient des
enregistrements DNS. Une zone DNS est hberge
sur un serveur DNS charg de rpondre aux
requtes portant sur les enregistrements d'un
domaine spcifique. Par exemple, le serveur
DNS charg de rsoudre www.contoso.com en
adresse IP doit contenir la zone contoso.com.
La zone de contenu peut tre stocke dans un
fichier ou dans la base de donnes AD DS. Lorsque
le serveur DNS stocke la zone dans un fichier,
ce dernier se trouve dans un dossier local sur le
serveur. Lorsque la zone n'est pas stocke dans les services AD DS, seule une copie de la zone peut
tre accessible en criture, alors que toutes les autres copies sont en lecture seule.
Les types de zone DNS les plus couramment utiliss dans le DNS Windows Server sont les zones
de recherche directe et les zones de recherche inverse.
Zones de recherche directe
7-5
Les zones de recherche directe rsolvent les noms d'htes en adresses IP et hbergent les enregistrements
de ressources courants, notamment les enregistrements de ressources d'hte (A), d'alias (CNAME), de
service (SRV), de serveur de messagerie (MX), de source de noms (SOA) et de serveur de noms (NS).
Le type d'enregistrement de ressource le plus courant est l'enregistrement de ressource d'hte (A).
Zones de recherche inverse
La zone de recherche inverse rsout les adresses IP en noms de domaine. Une zone inverse fonctionne
de la mme manire qu'une zone directe, mais l'adresse IP fait partie de la requte et le nom d'hte
reprsente l'information retourne. Les zones de recherche inverse hbergent les enregistrements
de ressources SOA, NS et de pointeur (PTR). Les zones inverses ne sont pas toujours configures,
mais vous devez les configurer pour rduire le nombre de messages d'avertissement et d'erreur.
De nombreux protocoles Internet standard se fient aux donnes de recherche des zones inverses
pour valider les informations des zones directes. Par exemple, si la recherche directe indique que
training.contoso.com est rsolu en 192.168.2.45, vous pouvez utiliser une recherche inverse pour
confirmer que 192.168.2.45 est associ training.contoso.com.
Remarque : Dans Windows Server 2008 R2 et Windows Server 2012, vous pouvez
galement utiliser la technologie DNSSec pour effectuer un type de vrification similaire.
7-6
De nombreux serveurs de messagerie utilisent une recherche inverse pour rduire le volume de courrier
indsirable. En effectuant une recherche inverse, les serveurs de messagerie tentent de dtecter les
serveurs SMTP (Simple Mail Transfer Protocol () ouverts (relais ouverts).
Il est important de disposer d'une zone de recherche inverse si vous avez des applications qui s'appuient
sur la recherche d'htes en fonction de leurs adresses IP. De nombreuses applications enregistrent ces
informations dans des journaux de scurit ou des vnements. Si vous observez une activit suspecte
pour une adresse IP particulire, vous pouvez rechercher le nom d'hte l'aide des informations de
la zone inverse.
Enregistrements de ressources
Le fichier de zone DNS stocke les enregistrements de ressources. Les enregistrements de ressources
spcifient un type de ressource et l'adresse IP permettant de localiser la ressource. L'enregistrement
de ressource le plus courant est un enregistrement de ressource d'hte (A). Il s'agit d'un enregistrement
simple qui rsout un nom d'hte en une adresse IP. L'hte peut tre une station de travail, un serveur
ou un autre priphrique rseau, tel qu'un routeur.
Les enregistrements de ressources facilitent galement la recherche de ressources pour un domaine

particulier. Par exemple, lorsqu'un serveur Microsoft Exchange Server a besoin de trouver le serveur
responsable de la remise du courrier d'un autre domaine, il demande l'enregistrement de ressource
du serveur de messagerie (MX) de ce domaine. Cet enregistrement pointe vers l'enregistrement de
ressource d'hte (A) de l'hte qui excute le service de messagerie SMTP (Simple Mail Transfer Protocol).
Les enregistrements de ressources peuvent galement contenir des attributs personnaliss. Les
enregistrements MX, par exemple, comportent un attribut de prfrence, qui s'avre utile si une
organisation possde plusieurs serveurs de messagerie. L'enregistrement MX indique au serveur
d'envoi quel serveur de messagerie l'organisation rceptrice prfre. Les enregistrements SRV
contiennent galement des informations sur le port que le service coute et sur le protocole
que vous devez utiliser pour communiquer avec le service.
Rsolution des noms DNS Internet

Lors de la rsolution de noms DNS sur Internet,
tout un systme d'ordinateurs est utilis au lieu
d'un seul serveur. Il existe des centaines de
serveurs sur Internet, appels serveurs racine,
qui grent l'ensemble du processus de rsolution
DNS. Ces serveurs sont reprsents par 13 noms
de domaine complets. Une liste de ces 13 serveurs
est prcharge sur chaque serveur DNS. Lorsque
vous inscrivez un nom de domaine sur Internet,
vous payez pour faire partie de ce systme.
Pour voir comment ces serveurs fonctionnent
conjointement afin de rsoudre un nom DNS,
examinez le processus de rsolution de noms suivant pour le nom www.microsoft.com :
1.
Un poste de travail interroge le serveur DNS local pour obtenir l'adresse IP de www.microsoft.com.
2.
Si le serveur DNS local ne dispose pas de l'information, il interroge un serveur DNS racine pour
connatre l'emplacement des serveurs DNS .com.
3.
Le serveur DNS local interroge un serveur DNS .com pour connatre l'emplacement
des serveurs DNS microsoft.com.
4.
Le serveur DNS local interroge le serveur DNS microsoft.com pour connatre l'adresse IP
de www.microsoft.com.
5.
L'adresse IP de www.microsoft.com est retourne au poste de travail.
Le processus de rsolution de noms peut tre modifi par mise en cache ou par redirection :
x
x
Redirection. Au lieu d'interroger les serveurs racine, vous pouvez configurer un serveur DNS pour
rediriger les requtes DNS vers un autre serveur DNS. Par exemple, les requtes portant sur tous les
noms Internet peuvent tre rediriges vers un serveur DNS chez un fournisseur de services Internet.
Dans Windows Server 2012, la rsolution LLMNR

(Link-local Multicast Name Resolution) est une
nouvelle mthode de rsolution des noms en
adresses IP. En raison de diverses limitations
(qui ne sont pas traites dans ce cours), la
rsolution LLMNR est gnralement utilise
sur les rseaux localiss uniquement. Bien
que la rsolution LLMNR puisse rsoudre les
adresses IPv4, elle a t conue spcifiquement
pour le protocole IPv6. Par consquent, si vous
voulez l'utiliser, IPv6 doit tre pris en charge
et activ sur vos htes.
La rsolution LLMNR est couramment utilise dans les rseaux o :
x
7-7
Mise en cache. Une fois qu'un serveur DNS local a rsolu un nom DNS, il met en cache les rsultats
pendant environ 24 heures. Les requtes de rsolution ultrieures du nom DNS obtiennent les
informations mises en cache.
Qu'est-ce que la rsolution LLMNR (Link-Local Multicast

Name Resolution) ?
il n'y a aucun service DNS ou NetBIOS pour la rsolution de noms ;

l'implmentation de ces services n'est pas pratique pour une raison quelconque ;
ces services ne sont pas disponibles.
Par exemple, vous voulez mettre en place un rseau temporaire des fins de test, sans une infrastructure
serveur.
La rsolution LLMNR est prise en charge sur Windows Vista, Windows Server 2008 et tous les nouveaux
systmes d'exploitation Windows. Elle utilise un systme simple de messages de requte et de rponse
pour rsoudre les noms d'ordinateurs en adresses IPv6 ou IPv4. Pour qu'un nud rponde une requte
de rsolution LLMNR, la dcouverte rseau doit tre active. Toutefois, cette mthode n'est pas seulement
ncessaire pour effectuer une requte de rsolution de noms.
Pour utiliser la rsolution LLMNR, vous devez activer la fonctionnalit de dcouverte du rseau pour
tous les nuds du sous-rseau local. Cette fonctionnalit est disponible dans le Centre Rseau et partage.
Gardez l'esprit que la dcouverte du rseau est gnralement dsactive pour les rseaux que vous
dsignez comme publics.
Si vous voulez contrler l'utilisation de la rsolution LLMNR sur votre rseau, vous pouvez la configurer
via une stratgie de groupe. Pour dsactiver la rsolution LLMNR via une stratgie de groupe, dfinissez
la valeur de stratgie de groupe suivante :
Stratgie de groupe = Configuration de l'ordinateur\Modles d'administration\Rseau\
Client DNS\Dsactiver la rsolution de noms multidiffusion.
Dfinissez cette valeur sur Activ si vous ne voulez pas utiliser la rsolution LLMNR, ou sur Dsactiv
si vous voulez utiliser la rsolution LLMNR.
Comment un client rsout un nom

Les systmes d'exploitation Windows prennent
en charge plusieurs mthodes distinctes pour
rsoudre les noms d'ordinateurs, par exemple
DNS, WINS et le processus de rsolution de
noms d'htes.
DNS
Comme indiqu prcdemment, DNS est la
norme Microsoft de rsolution de noms d'htes
en adresses IP. Pour plus d'informations sur DNS,
consultez la deuxime rubrique de ce cours
Qu'est-ce que DNS.
WINS
WINS fournit une base de donnes centralise qui permet d'inscrire les mappages dynamiques des
noms NetBIOS d'un rseau. Les systmes d'exploitation Windows conservent la prise en charge de WINS
pour assurer une compatibilit descendante.
Vous pouvez rsoudre les noms NetBIOS en utilisant les options suivantes :
x
x
x
7-8
Messages de diffusion. Les messages de diffusion, toutefois, ne fonctionnent pas bien sur les rseaux
de grande envergure, car les routeurs ne transmettent pas de diffusion.
Fichier Lmhosts sur tous les ordinateurs. L'utilisation d'un fichier Lmhosts pour la rsolution de noms
NetBIOS est une solution qui requiert une maintenance leve, car vous devez maintenir le fichier
manuellement sur tous les ordinateurs.
Fichier Hosts sur tous les ordinateurs. l'image d'un fichier Lmhosts, vous pouvez galement utiliser
un fichier Hosts pour la rsolution de noms NetBIOS. Ce fichier est galement stock localement
sur chaque ordinateur. Il est utilis pour les mappages fixes de noms aux adresses IP sur le segment
rseau local.
Remarque : Le rle serveur DNS dans Windows Server 2008 R2 et Windows Server 2012
fournit galement un nouveau type de zone, la zone GlobalNames. Vous pouvez utiliser la zone
GlobalNames pour rsoudre les noms en une partie qui sont uniques dans l'ensemble d'une fort.
Ce type de zone limine le besoin d'utiliser le service WINS bas sur NetBIOS pour prendre en
charge les noms en une partie.
Processus de rsolution de noms d'htes
7-9
Lorsqu'une application spcifie un nom d'hte et utilise des sockets Windows, le protocole TCP/IP utilise
le cache de rsolution DNS et DNS lors de la tentative de rsolution de noms d'htes. Le fichier d'htes
est charg dans le cache de rsolution DNS. Si NetBIOS sur TCP/IP est activ, TCP/IP utilise galement
des mthodes de rsolution de noms NetBIOS lors de la rsolution de noms d'htes.
Les systmes d'exploitation Windows rsolvent les noms d'htes en effectuant les tches suivantes
dans cet ordre prcis :
1.
Vrification de la similarit du nom d'hte et du nom d'hte local.
2.
Recherche du cache de rsolution DNS ; Dans le cache de rsolution du client DNS, les entres
du fichier Hosts sont prcharges.
3.
Envoi d'une demande DNS ses serveurs DNS configurs.
4.
Conversion du nom d'hte en un nom NetBIOS et vrification du cache de noms NetBIOS local.
5.
Contact des serveurs WINS configurs de l'hte.
6.
Diffusion de trois messages maximum de demande de requte de nom NetBIOS sur le sous-rseau
connect directement.
7.
Recherche du fichier Lmhosts.
Remarque : Vous pouvez contrler l'ordre utilis pour rsoudre les noms. Par exemple, si
vous dsactivez NetBIOS sur TCP/IP, aucune des mthodes de rsolution de noms NetBIOS n'est
tente. Vous pouvez aussi modifier le type de nud NetBIOS, ce qui change l'ordre dans lequel
les mthodes de rsolution de noms NetBIOS sont tentes.
Rsolution des problmes lis la rsolution de noms

Comme pour la plupart des autres technologies, la
rsolution de noms requiert parfois une rsolution
des problmes correspondants. Des problmes
peuvent se produire lorsque le serveur DNS, ses
zones et ses enregistrements de ressources ne
sont pas configurs correctement. Lorsque des
enregistrements de ressources provoquent des
problmes, il peut s'avrer parfois plus difficile
d'identifier le vrai problme parce que les
problmes de configuration ne sont pas toujours
vidents.
Outils et commandes
Les outils en ligne de commande et les commandes que vous utilisez pour rsoudre les problmes
de configuration sont les suivants :
x
x
Nslookup : utilisez cet outil pour interroger des informations DNS. Il s'agit d'un outil flexible,
capable de fournir des informations prcieuses propos de l'tat du serveur DNS. Vous pouvez
galement l'utiliser pour rechercher des enregistrements de ressources et valider leur configuration.
Vous pouvez, en outre, tester des transferts de zone, des options de scurit et la rsolution des
enregistrements MX.
DNSCmd : utilisez cet outil en ligne de commande pour grer le rle serveur DNS. Cet outil
permet de crer des scripts dans des fichiers de commandes dans le but d'automatiser des tches
de gestion DNS de routine ou de procder un simple travail d'installation et de configuration
sans assistance de nouveaux serveurs DNS sur votre rseau.
Dnslint : utilisez cet outil pour diagnostiquer les problmes DNS courants. Cet outil diagnostique
rapidement les problmes de configuration de DNS et peut gnrer un rapport au format HTML
sur l'tat du domaine que vous testez.
Ipconfig : utilisez cette commande pour afficher et modifier les dtails de la configuration IP que
l'ordinateur utilise. Cet outil inclut des options de ligne de commande supplmentaires que vous
pouvez utiliser pour dpanner et prendre en charge des clients DNS. Vous pouvez consulter le cache
DNS local du client l'aide de la commande ipconfig/displaydns. En outre, vous pouvez effacer le
cache local l'aide de ipconfig/flushdns. Si vous voulez rinscrire un hte dans DNS, vous pouvez
utiliser ipconfig /registerdns.
Analyse du serveur DNS: pour tester si le serveur peut communiquer avec des serveurs en amont,
vous pouvez effectuer de simples requtes locales et rcursives partir de l'onglet Analyse du
serveur DNS. Vous pouvez galement planifier ces tests pour qu'ils s'excutent de manire rgulire.
L'onglet Analyse du serveur DNS est disponible uniquement dans Windows Server 2008 et
Windows Server 2012, dans la bote de dialogue Proprits de : nom du serveur DNS. L'applet
de commande TestDNSServer peut galement servir vrifier les fonctionnalits du serveur DNS.
Dans Windows Server 2012, il existe un nouvel ensemble d'applets de commande Windows PowerShell
que vous pouvez utiliser pour la gestion des clients et serveurs DNS. Voici certaines des applets
de commande les plus frquemment utilises :
x
x
7-10 Implmentation du systme DNS (Domain Name System)
Clear-DNSClientCache. Cette applet de commande efface le cache client, l'instar de ipconfig

/flushdns.
Get-DNSClient. Cette applet de commande affiche les dtails des interfaces rseau.
Get-DNSClientCache. Cette applet de commande affiche le contenu du cache client DNS local.
Register-DNSClient. Cette applet de commande inscrit toutes les adresses IP de l'ordinateur sur
le serveur DNS configur.
Resolve-DNSName. Cette applet de commande effectue une rsolution de noms DNS pour un nom
spcifique, l'instar de Nslookup.
Set-DNSClient. Cette applet de commande dfinit les configurations de client DNS spcifiques
l'interface sur l'ordinateur.
Ces applets de commande vous permettent galement d'utiliser plusieurs commutateurs et options,
ce qui vous donne accs des options et des fonctionnalits supplmentaires.
Processus de rsolution des problmes

Lorsque vous rsolvez des problmes lis la rsolution de noms, vous devez identifier les mthodes
de rsolution de noms utilises par l'ordinateur, ainsi que l'ordre dans lequel l'ordinateur les utilise.
Veillez effacer le cache de rsolution DNS entre les tentatives de rsolution. Si vous ne pouvez pas
vous connecter un hte distant et si vous pensez qu'il existe un problme de rsolution de noms,
vous pouvez rsoudre le problme li la rsolution de noms en procdant comme suit :
7-11
1.
Ouvrez une invite de commandes avec lvation de privilges, puis dsactivez le cache de rsolution
DNS en tapant ipconfig /flushdns. Vous pouvez aussi ouvrir Windows PowerShell et utiliser l'applet
de commande Clear-DNSClientCache quivalente.
2.
Tentez d'effectuer un test ping de l'hte distant l'aide de son adresse IP. Cela permet de dterminer
si le problme est li la rsolution de noms. Si le test ping russit avec l'adresse IP mais qu'il choue
avec le nom d'hte correspondant, cela signifie que le problme est li la rsolution de noms.
3.
Tentez d'effectuer un test ping de l'hte distant l'aide de son nom d'hte. Pour plus de prcision,
utilisez le nom de domaine complet avec un point final. Par exemple, si vous travaillez chez Contoso,
Ltd, entrez la commande suivante l'invite de commandes : Ping LON-dc1.contoso.com.
4.
Si le test ping russit, cela signifie que le problme n'est probablement pas li la rsolution
de noms. Si le test ping choue, modifiez le fichier texte C:\windows\system32\drivers\etc\hosts,
puis ajoutez l'entre approprie la fin du fichier. Dans l'exemple prcdent de Contoso, Ltd,
vous devez ajouter la ligne ci-aprs et enregistrer le fichier :
10.10.0.10
LON-dc1.contoso.com
5.
Recommencez le test ping l'aide du nom d'hte. La rsolution de noms doit maintenant
s'effectuer correctement. Assurez-vous que le nom a t rsolu correctement en examinant
le cache de rsolution DNS. Pour afficher le cache de rsolution DNS, l'invite de commandes,
tapez IPConfig /displaydns, ou utilisez l'applet de commande Windows PowerShell quivalente.
6.
Supprimez l'entre que vous avez ajoute au fichier Hosts, puis effacez nouveau le cache
de rsolution.
7.
l'invite de commandes, tapez la commande suivante, puis examinez le contenu du fichier

filename.txt afin d'identifier l'tape qui a chou lors de la rsolution de noms :
Nslookup.exe -d2 LON-dc1.contoso.com. > filename.txt
Remarque : Vous devez galement savoir comment interprter la sortie du cache de

rsolution DNS afin de pouvoir dterminer si le problme de rsolution de noms se situe au
niveau de la configuration de l'ordinateur client, du serveur de noms ou de la configuration
des enregistrements dans la base de donnes de zone du serveur de noms. L'interprtation
de la sortie du cache de rsolution DNS n'est pas traite dans ce cours.
Leon 2
Installation et gestion d'un serveur DNS

Pour utiliser un service Serveur DNS, vous devez d'abord l'installer. L'installation du service Serveur DNS
sur un serveur DNS est une procdure simple. Pour grer votre service Serveur DNS, il est important
que vous compreniez le fonctionnement des composants du serveur DNS et leur finalit. Dans ce cours,
vous dcouvrirez les composants DNS. Vous apprendrez galement comment installer et grer le rle
serveur DNS.
x
x
dcrire les composants d'une solution DNS ;

dcrire les indications de racine ;
dcrire les requtes DNS ;
dcrire la redirection ;
expliquer le fonctionnement de la mise en cache du serveur DNS ;
expliquer comment installer le rle serveur DNS.
Quels sont les composants d'une solution DNS ?

Les composants d'une solution DNS incluent
les serveurs DNS, les serveurs DNS sur Internet
et les rsolutions DNS (ou clients DNS).
Serveur DNS
Un serveur DNS rpond aux requtes DNS
rcursives et itratives. Les serveurs DNS peuvent
galement hberger une ou plusieurs zones
d'un domaine particulier. Les zones contiennent
diffrents enregistrements de ressources.
Les serveurs DNS peuvent galement mettre
en cache des recherches afin de gagner
du temps pour les requtes communes.
Serveurs DNS sur Internet

Les serveurs DNS sur Internet sont accessibles au public. Ces serveurs hbergent des informations
sur les domaines publics, tels que les domaines de premier niveau (par exemple .com, .net et .edu).
Rsolution DNS
La rsolution DNS gnre et envoie des requtes itratives ou rcursives au serveur DNS.
Une rsolution DNS peut tre un ordinateur qui excute une recherche DNS ncessitant une
interaction avec le serveur DNS. Les serveurs DNS peuvent galement publier des demandes DNS
sur d'autres serveurs DNS.
Que sont les indications de racine ?

Les indications de racine correspondent une liste
de 13 noms de domaine complets sur Internet
que votre serveur DNS utilise s'il ne parvient
pas rsoudre une requte DNS en utilisant ses
propres donnes de zone, un redirecteur DNS
ou son propre cache. Les indications de racine
rpertorient les serveurs les plus levs dans la
hirarchie DNS et peuvent fournir les informations
ncessaires un serveur DNS pour qu'il excute
une requte itrative sur la couche infrieure
suivante de l'espace de noms DNS.
Les serveurs racine sont automatiquement installs
lorsque vous installez le rle DNS. Ils sont copis partir du fichier cache.dns inclus dans les fichiers
d'installation du rle DNS. Vous pouvez galement ajouter des indications de racine un serveur
DNS pour prendre en charge des recherches de domaines non contigus dans une fort.
7-13
Lorsqu'un serveur DNS communique avec un serveur d'indications de racine, il utilise uniquement une
requte itrative. Si vous slectionnez l'option Ne pas utiliser la rcursivit pour ce domaine (dans la
bote de dialogue Proprits du serveur DNS), le serveur ne sera pas en mesure d'excuter des requtes
sur les indications de racine. Si vous configurez le serveur l'aide d'un redirecteur, il va tenter d'envoyer
une requte rcursive son serveur de redirection. Si le serveur de redirection ne rpond pas cette
requte, le premier serveur rpond que l'hte est introuvable.
Il est important de comprendre que la rcursivit sur un serveur DNS et les requtes rcursives ne sont
pas la mme chose. La rcursivit sur un serveur DNS signifie que le serveur utilise ses indications de
racine pour tenter de rsoudre une requte DNS, alors qu'une requte rcursive est une requte adresse
un serveur DNS, o le demandeur demande au serveur de se charger de fournir une rponse complte
la requte. Les rubriques suivantes dcrivent les requtes rcursives de manire plus approfondie.
Que sont les requtes DNS ?

Une requte DNS est une requte de rsolution de
noms envoye un serveur DNS. Le serveur DNS
fournit ensuite une rponse faisant autorit ou
ne faisant pas autorit la requte du client.
Remarque : Il est important de noter que

les serveurs DNS peuvent galement servir de
programmes de rsolution DNS et envoyer
des requtes DNS d'autres serveurs DNS.
Rponses faisant autorit ou ne faisant pas autorit

Les deux types de rponse sont les suivants :
x
x
Faisant autorit. Une rponse faisant autorit est une rponse que le serveur retourne et qu'il sait
correcte, car la requte est adresse au serveur faisant autorit qui gre le domaine. Un serveur
DNS fait autorit lorsqu'il hberge une copie principale ou secondaire d'une zone DNS.
Ne faisant pas autorit. Une rponse ne faisant pas autorit est une rponse o le serveur DNS qui
contient le domaine demand dans son cache rpond une requte en utilisant des redirecteurs ou
des indications de racine. Dans la mesure o la rponse fournie risque de ne pas tre exacte (car seul
le serveur DNS faisant autorit pour le domaine donn peut mettre cette information), il s'agit d'une
rponse ne faisant pas autorit.
Si le serveur DNS fait autorit pour l'espace de noms de la requte, il vrifie la zone, puis ragit de l'une
des manires suivantes :
x
Il renvoie l'adresse demande.

Il renvoie une rponse de type Non, ce nom n'existe pas faisant autorit.
Remarque : Une rponse faisant autorit peut tre donne uniquement par le serveur
faisant autorit directe pour le nom demand.
S'il ne fait pas autorit pour l'espace de noms de la requte, le serveur DNS local ragit de l'une des
manires suivantes :
x
Il vrifie son cache et renvoie une rponse mise en cache.

Il transmet la requte qu'il ne sait pas rsoudre un serveur spcifique appel redirecteur.
Il utilise les adresses connues de plusieurs serveurs racine pour rechercher un serveur DNS
faisant autorit afin de rsoudre la requte. Ce processus utilise des indications de racine.
Requtes rcursives
Dans une requte rcursive, le demandeur demande au serveur DNS une adresse IP entirement rsolue
de la ressource demande, avant de retourner la rponse au demandeur. Le serveur DNS peut tre amen
effectuer plusieurs requtes destines d'autres serveurs DNS avant de trouver la rponse recherche.
Les requtes rcursives sont gnralement effectues par un client DNS vers un serveur DNS, ou par un
serveur DNS configur pour transmettre les requtes non rsolues vers un autre serveur DNS, dans le
cas d'un serveur DNS configur pour utiliser un redirecteur.
Une requte rcursive a deux rsultats possibles :
x
Le serveur DNS renvoie l'adresse IP de l'hte demand.

Le serveur DNS ne peut pas rsoudre une adresse IP.
Pour des raisons de scurit, il est parfois ncessaire de dsactiver les requtes rcursives sur un serveur
DNS. Ainsi, le serveur DNS en question n'essaiera pas de transfrer ses demandes DNS un autre serveur.
Cette dsactivation peut s'avrer utile lorsque vous ne souhaitez pas qu'un serveur DNS particulier
communique l'extrieur de son rseau local.
Requtes itratives
7-15
Les requtes itratives ont accs aux informations de noms de domaine qui se trouvent sur le systme
DNS. l'aide des requtes itratives, vous pouvez rsoudre rapidement et efficacement des noms sur
de nombreux serveurs. Lorsqu'un serveur DNS reoit une demande laquelle il ne peut pas rpondre
en utilisant ses informations locales ou ses recherches mises en cache, il fait la mme demande un
autre serveur DNS en utilisant une requte itrative. Lorsqu'un serveur DNS reoit une requte itrative,
il peut rpondre soit en indiquant l'adresse IP du nom de domaine (s'il la connat), soit en adressant
la demande aux serveurs DNS responsables du domaine sur lequel porte la requte. Le serveur DNS
poursuit ce processus jusqu' ce qu'il trouve un serveur DNS qui fait autorit pour le nom demand,
jusqu' ce qu'une erreur se produise ou jusqu' l'expiration du dlai.
Qu'est-ce que le transfert ?

Un redirecteur est un serveur DNS rseau
qui transfre des requtes DNS de noms DNS
externes aux serveurs DNS situs l'extrieur
de son rseau. Vous pouvez galement utiliser
des redirecteurs conditionnels pour transfrer
des requtes en fonction de noms de domaine
spcifiques.
Une fois que vous avez dsign un serveur DNS
rseau en tant que redirecteur, d'autres serveurs
DNS de ce rseau transfrent les requtes qu'ils
ne savent pas rsoudre localement ce serveur.
l'aide d'un redirecteur, vous pouvez grer la
rsolution de noms pour les noms externes votre rseau, par exemple les noms situs sur Internet.
Cela amliore l'efficacit de la rsolution de noms pour les ordinateurs de votre rseau.
Le redirecteur doit tre en mesure de communiquer avec le serveur DNS situ sur Internet. Cela signifie
que soit vous le configurez afin de transfrer les demandes un autre serveur DNS, soit vous le configurez
afin d'utiliser des indications de racine pour communiquer.
Mthode conseille : Utilisez un serveur DNS de redirection central pour la rsolution

de noms Internet. Cela peut amliorer la scurit, car vous pouvez isoler le serveur DNS de
redirection dans un rseau de primtre, lequel garantit qu'aucun serveur au sein du rseau
ne communique directement avec Internet.
Redirecteur conditionnel
Un redirecteur conditionnel est un serveur DNS sur un rseau qui transfre des requtes DNS en fonction
du nom de domaine DNS de la requte. Par exemple, vous pouvez configurer un serveur DNS afin qu'il
transfre toutes les requtes qu'il reoit concernant des noms se terminant par corp.contoso.com
l'adresse IP d'un serveur DNS spcifique ou aux adresses IP de plusieurs serveurs DNS. Ce transfert
peut s'avrer utile lorsque vous avez plusieurs espaces de noms DNS dans une fort.
Redirection conditionnelle dans Windows Server 2008 R2 et Windows Server 2012

Dans Windows Server 2008 R2 et Windows Server 2012, la configuration des redirecteurs conditionnels
a t dplace vers un nud dans la console de configuration DNS. Vous pouvez rpliquer ces
informations sur d'autres serveurs DNS via l'intgration du service DNS Active Directory.
Mthode conseille : Utilisez des redirecteurs conditionnels si vous avez plusieurs espaces
de noms internes. Ainsi, la rsolution de noms est plus rapide.
Fonctionnement de la mise en cache du serveur DNS

La mise en cache DNS augmente les performances
du systme DNS de l'organisation en acclrant
les recherches DNS.
Lorsqu'un serveur DNS rsout correctement un
nom DNS, il ajoute ce nom son cache. Au fur
et mesure, il gnre un cache des noms de
domaine et de leurs adresses IP associes pour
la plupart des domaines que l'organisation utilise
ou auxquels elle accde. La dure par dfaut de
conservation d'un nom dans le cache est d'une
heure. Le propritaire d'une zone peut changer
ce paramtre en modifiant l'enregistrement SOA
pour la zone DNS approprie.
Un serveur cache uniquement est le type idal de serveur DNS utiliser en tant que redirecteur.
Il n'hberge aucune donne de zone DNS. Il rpond uniquement aux requtes de recherche des
clients DNS.
Dans Windows Server 2012, vous pouvez accder au contenu du cache du serveur DNS en slectionnant
l'affichage Avanc dans la console du Gestionnaire DNS. Lorsque vous activez cet affichage, le contenu
mis en cache s'affiche sous la forme d'un nud dans le Gestionnaire DNS. Vous pouvez galement
supprimer des entres spcifiques (ou la totalit) du cache du serveur DNS. Vous pouvez galement
utiliser l'applet de commande Windows PowerShell Get-DNSServerCache pour afficher le contenu
du cache.
Le cache client DNS est stock sur l'ordinateur local par le service client DNS. Pour voir la mise en cache
ct client, une invite de commandes, excutez la commande ipconfig /displaydns. Cela permet
d'afficher le cache client DNS local. Si vous avez besoin d'effacer le cache local, vous pouvez utiliser
ipconfig /flushdns. Pour ce faire, vous pouvez galement utiliser les applets de commande
Windows PowerShell Get-DNSClientCache et Clear-DNSClientCache.
Pour empcher les caches clients DNS d'tre remplacs, utilisez la fonctionnalit de verrouillage
de cache DNS, disponible dans Windows Server 2008 R2 et Windows Server 2012. Lorsque cette
fonctionnalit est active, les enregistrements mis en cache ne sont pas remplacs pendant la valeur
de la dure de vie (TTL, Time to Live). Le verrouillage du cache fournit une scurit amliore contre
les attaques par empoisonnement du cache.
Comment installer le rle serveur DNS

Par dfaut, le rle serveur DNS n'est pas install
sur Windows Server 2012. En fait, vous devez
l'ajouter comme un rle lorsque vous configurez
le serveur pour effectuer ce rle. Vous installez
le rle serveur DNS l'aide de l'Assistant Ajout
de rles et de fonctionnalits dans le Gestionnaire
de serveur.
Vous pouvez galement ajouter le rle serveur
DNS lorsque vous effectuez la promotion de
votre serveur en contrleur de domaine. Pour
ce faire, utilisez la page Options du contrleur
de domaine de l'Assistant Installation des services
de domaine Active Directory.
7-17
Une fois que vous avez install le rle serveur DNS, le composant logiciel enfichable Gestionnaire DNS
peut tre ajout vos consoles d'administration. Le composant logiciel enfichable est automatiquement
ajout la console du Gestionnaire de serveur et la console du Gestionnaire DNS. Vous pouvez excuter
le Gestionnaire DNS partir de la zone Accueil en tapant dnsmgmt.msc.
Lorsque vous installez le rle serveur DNS, l'outil en ligne de commande dnscmd.exe est galement
ajout. Vous pouvez utiliser l'outil DNSCmd pour crer un script de la configuration DNS et automatiser
cette dernire. Pour obtenir de l'aide sur cet outil, l'invite de commandes, tapez : dnscmd.exe /?.
Dans Windows Server 2012, vous pouvez galement utiliser Windows PowerShell pour grer un serveur
DNS. Il est recommand d'utiliser les applets de commande Windows PowerShell pour grer le serveur
DNS l'aide de lignes de commande. En outre, vous pouvez utiliser les outils en ligne de commande
Nslookup, DNSCmd, Dnslint et Ipconfig dans l'environnement Windows PowerShell.
Pour administrer un serveur DNS distant, ajoutez les Outils d'administration de serveur distant sur votre
poste de travail d'administration, lequel doit excuter Windows Vista Service Pack 1 (SP1) ou une version
plus rcente du systme d'exploitation Windows.
Dmonstration : Installation du rle de serveur DNS

De nombreuses organisations possdent dj ou veulent plusieurs serveurs DNS sur leur rseau. Vous
pouvez installer des serveurs DNS l'aide de la console du Gestionnaire de serveur. Pour permettre
votre serveur DNS de rsoudre les noms Internet, vous devrez probablement activer la redirection.
x
installer un second serveur DNS ;

configurer le transfert.
Installer un second serveur DNS
1.
Connectez-vous LON-DC1 et LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.
2.
Sur LON-SVR1, ouvrez le Gestionnaire de serveur.
3.
Dmarrez l'Assistant Ajout de rles et de fonctionnalits.
4.
Ajoutez le rle serveur DNS.
Configurer le transfert
x
Configurez le serveur DNS avec un redirecteur sur l'adresse IP 172.16.0.10.
suivante.
Leon 3
Gestion des zones DNS

Le serveur DNS hberge les donnes de zone dans une base de donnes Active Directory ou dans
le fichier de zone. En outre, le serveur DNS peut hberger plusieurs types de zone. Dans ce cours,
vous dcouvrirez les types de zone DNS et les zones DNS intgres Active Directory.
x
dcrire les types de zones DNS ;

dcrire les mises jour dynamiques ;
dcrire les zones intgres Active Directory ;
expliquer comment crer une zone intgre Active Directory.
Quels sont les types de zone DNS ?

Il existe quatre types de zone DNS :
x
x
x
x
Principale
Secondary
Stub
Intgre Active Directory
Zone principale
7-19
Une zone principale est une zone pour laquelle

le serveur DNS est la fois l'hte et la source
principale des informations relatives cette zone.
En outre, le serveur DNS stocke la copie principale
des donnes de zone dans un fichier local ou dans les services AD DS. Lorsque le serveur DNS stocke la
zone dans un fichier, le fichier de la zone principale est nomm par dfaut nom_zone.dns et se trouve sur
le serveur dans le dossier %windir%\System32\Dns. Lorsque la zone n'est pas stocke dans les services
AD DS, il s'agit du seul serveur DNS qui dispose d'une copie accessible en criture de la base de donnes.
Zone secondaire
Une zone secondaire est une zone pour laquelle le serveur DNS sert d'hte mais o il reprsente la source
secondaire des informations de zone. Les informations relatives la zone au niveau de ce serveur doivent
tre obtenues partir d'un autre serveur DNS distant qui hberge galement la zone. Ce serveur DNS doit
avoir un accs rseau au serveur DNS distant pour recevoir les informations mises jour de la zone. tant
donn qu'une zone secondaire est une copie d'une zone principale qu'un autre serveur hberge, la zone
secondaire ne peut pas tre stocke dans les services AD DS. Les zones secondaires peuvent s'avrer utiles
si vous rpliquez des donnes provenant de zones DNS non Windows.
Zone de stub
Une zone de stub est une copie rplique d'une zone qui contient uniquement les enregistrements
de ressources ncessaires l'identification des serveurs DNS faisant autorit pour la zone en question.
Une zone de stub rsout les noms entre des espaces de noms DNS distincts, lesquels peuvent s'avrer
ncessaires lorsqu'une fusion d'entreprises a besoin que les serveurs DNS de deux espaces de noms
DNS distincts rsolvent les noms des clients dans les deux espaces de noms.
Une zone de stub comprend ce qui suit :
x
x
l'enregistrement de ressource Source de noms (SOA, Start Of Authority), les enregistrements de

ressources Serveur de noms (NS, Name Server) et les enregistrements de ressources de type A
de la zone dlgue ;
l'adresse IP d'un ou plusieurs serveurs matres que vous pouvez utiliser pour mettre jour la zone
de stub.
Les serveurs matres d'une zone de stub sont reprsents par un ou plusieurs serveurs DNS qui font
autorit pour la zone enfant. En rgle gnrale, c'est le serveur DNS qui hberge la zone principale
pour le nom de domaine dlgu.
Zone intgre Active Directory
Si les services AD DS stockent les donnes de zone, le serveur DNS peut utiliser le modle de rplication
multimatre pour rpliquer les donnes de la zone principale. Cela vous permet de modifier des donnes
de zone sur plusieurs serveurs DNS simultanment.
Que sont les mises jour dynamiques ?

Une mise jour dynamique est une mise
jour de DNS en temps rel. Les mises jour
dynamiques sont importantes pour les clients DNS
qui changent d'emplacement, car elles peuvent
inscrire et mettre jour dynamiquement leurs
enregistrements de ressources sans intervention
manuelle.
Le service client DHCP (Dynamic Host
Configuration Protocol) effectue l'inscription,
indpendamment du fait que l'adresse IP du client
soit obtenue partir d'un serveur DHCP ou qu'elle
soit fixe. L'inscription a lieu lors des vnements
suivants :
x
le client dmarre et le service client DHCP a dmarr ;

une adresse IP est configure, ajoute ou modifie sur n'importe quelle connexion rseau ;
un administrateur excute la commande ipconfig /registerdns l'invite de commandes, ou excute

l'applet de commande Windows PowerShell Register-DNSClient.
Le processus relatif aux mises jour dynamiques est le suivant :
7-21
1.
Le client identifie un serveur de noms et envoie une mise jour. Si le serveur de noms hberge
uniquement une zone secondaire, le serveur de noms refuse la mise jour du client. Si la zone
n'est pas une zone intgre Active Directory, le client peut tre amen effectuer cette opration
plusieurs fois.
2.
Si la zone prend en charge les mises jour dynamiques, le client finit par joindre un serveur DNS
qui peut crire dans la zone. Ce serveur DNS est le serveur principal d'une zone standard, base
sur un fichier, ou un contrleur de domaine qui reprsente le serveur de noms d'une zone intgre
Active Directory.
3.
Si la zone est configure pour des mises jour dynamiques scurises, le serveur DNS refuse
la modification. Le client s'authentifie ensuite et renvoie la mise jour.
Dans certaines configurations, vous ne voulez pas que les clients mettent jour leurs enregistrements,
mme dans une zone de mise jour dynamique. Dans ce cas, vous pouvez configurer le serveur DHCP
afin qu'il inscrive les enregistrements pour le compte des clients. Par dfaut, un client inscrit qu'il est
un enregistrement (hte/adresse) et le serveur DHCP inscrit l'enregistrement PTR (pointeur/recherche
inverse).
Par dfaut, les systmes d'exploitation Windows tentent d'inscrire leurs enregistrements auprs de leur
serveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du client ou via une
stratgie de groupe. Les contrleurs de domaine inscrivent galement leurs enregistrements SRV dans
DNS, en plus de leurs enregistrements d'htes. Les enregistrements SRV sont inscrits chaque fois que
le service NETLOGON dmarre.
Que sont les zones intgres Active Directory ?

Un serveur DNS peut stocker des donnes de
zone dans la base de donnes AD DS condition
que le serveur DNS soit un contrleur de domaine
AD DS. Lorsque le serveur DNS stocke des
donnes de zone de cette faon, cela entrane la
cration d'une zone intgre Active Directory.
Les avantages d'une zone intgre
Active Directory sont importants :
Mises jour multimatres. Contrairement

aux zones principales (qui ne peuvent tre
modifies que par un seul serveur principal),
les zones intgres Active Directory sont
accessibles en criture n'importe quel contrleur de domaine vers lequel la zone est rplique. Cela
permet d'tablir une redondance dans l'infrastructure DNS. En outre, les mises jour multimatres
sont particulirement importantes dans les organisations rparties gographiquement et qui utilisent
des zones de mise jour dynamique, car les clients peuvent mettre jour leurs enregistrements
DNS sans avoir se connecter un serveur principal potentiellement loign d'un point de vue
gographique.
Rplication des donnes de zone DNS l'aide de la rplication AD DS. L'une des caractristiques de
la rplication Active Directory est la rplication au niveau de l'attribut, o seuls les attributs modifis
sont rpliqus. Une zone intgre Active Directory peut tirer parti des avantages de la rplication
Active Directory, au lieu de rpliquer l'intgralit du fichier de zone comme dans les modles
classiques de redirection de zone DNS.
x
x
Mises jour dynamiques scurises. Une zone intgre Active Directory peut appliquer
des mises jour dynamiques scurises.
Scurit granulaire. Comme pour d'autres objets Active Directory, une zone intgre
Active Directory vous permet de dlguer l'administration des zones, des domaines et
des enregistrements de ressources en modifiant la liste de contrle d'accs de la zone.
Question : Pouvez-vous penser des inconvnients lis au stockage des informations DNS
dans les services AD DS ?
Dmonstration : Cration d'une zone intgre Active Directory
Pour crer une zone intgre Active Directory, vous devez installer un serveur DNS sur un contrleur
de domaine. Toutes les modifications apportes une zone intgre Active Directory sont rpliques
vers les autres serveurs DNS situs sur les contrleurs de domaine via le modle de rplication multimatre
des services AD DS.
x
promouvoir un serveur en tant que contrleur de domaine ;

crer une zone intgre Active Directory ;
crer un enregistrement ;
vrifier la rplication vers un second serveur DNS.
Effectuer la promotion de LON-SVR1 en tant que contrleur de domaine supplmentaire
1.
Installez le rle serveur AD DS.
2.
Dmarrez l'Assistant Configuration des services de domaine Active Directory.
3.
Installez le service Serveur DNS.
Crer une zone intgre Active Directory

1.
Sur LON-DC1, ouvrez la console du Gestionnaire DNS.
2.
Dmarrez l'Assistant Nouvelle zone.
3.
Crez une zone de recherche directe intgre Active Directory.
4.
Nommez la zone Contoso.com.
5.
Autorisez uniquement les mises jour dynamiques scurises.
6.
Examinez les enregistrements de la nouvelle zone.
Crer un enregistrement
x
Crez un enregistrement Nouvel hte dans la zone Contoso.com nomme www, puis faites-le
pointer vers 172.16.0.100.
Vrifier la rplication vers un second serveur DNS

x
Vrifiez que le nouvel enregistrement se rplique sur le serveur DNS LON-SVR1.

8-1
Module 8
Implmentation d'IPv6
Table des matires :
8-1
Leon 1 : Vue d'ensemble du protocole IPv6
8-2
Leon 2 : Adressage IPv6
8-8
Leon 3 : Cohabitation avec le protocole IPv4
8-15
Leon 4 : Technologies de transition IPv6
8-20
Atelier pratique : Implmentation d'IPv6
8-26
8-31
IPv6 est une technologie qui permet Internet de prendre en charge d'un nombre croissant d'utilisateurs
et d'une quantit accrue de priphriques IP. IPv4 a t le protocole Internet sous-jacent pendant prs
de trois dcennies. Sa robustesse, son extensibilit et ses fonctionnalits limites sont dsormais mises
mal face au besoin croissant de nouvelles adresses IP. Ceci est en grande partie d l'mergence rapide
de nouveaux priphriques rseau.
Objectifs
x
x
x
x
dcrire les fonctionnalits et les avantages du protocole IPv6 ;

dcrire la cohabitation d'IPv6 avec IPv4 ;
dcrire les technologies de transition d'IPv6.
Leon 1
Vue d'ensemble du protocole IPv6

IPv6 a t inclus avec les serveurs et systmes d'exploitation clients Windows en commenant par
Windows Server 2008 et Windows Vista. L'utilisation d'IPv6 devient de plus en plus rpandue sur
des rseaux d'entreprise et certaines parties d'Internet.
Il est primordial que vous compreniez comment cette technologie affecte les rseaux actuels
et comment intgrer IPv6 ces derniers. Cette leon prsente les avantages d'IPv6 et explique
en quoi ce protocole diffre d'IPv4.
x
dcrire les avantages d'IPv6 ;

dcrire les principales diffrences entre IPv4 et IPv6 ;
dcrire le format d'adresse IPv6.
Avantages du protocole IPv6

La prise en charge d'IPv6 est comprise dans
Windows Server 2012 et Windows 8. La liste
suivante d'avantages explique pourquoi IPv6
est implment.
Espace d'adressage plus tendu

L'espace d'adressage IPv6 est de 128 bits,
ce qui est beaucoup plus long grand que
l'espace d'adressage de 32 bits d'IPv4.
Un espace d'adressage de 32 bits a 232
ou 4 294 967 296 adresses possibles ;
un espace d'adressage de 128 bits a 2128
ou 340 282 366 920 938 463 463 374 607 431 768
211 456 (ou 3,4x1038 ou 340 undcillions) adresses possibles. mesure qu'Internet continue
se dvelopper, IPv6 prvoit l'espace d'adressage plus grand qui est requis.
Infrastructure d'adressage et de routage hirarchique

L'espace d'adressage IPv6 public est allou plus efficacement que pour IPv4. Les adresses IPv4 ne sont
pas toutes alloues par blocs gographiques, mais les adresses IPv6 publiques le sont. Ceci signifie que
quoiqu'il y ait beaucoup plus d'adresses, les routeurs Internet peuvent traiter les donnes beaucoup
plus efficacement en raison de l'optimisation des adresses.
8-2
Configuration d'adresse sans tat et avec tat

IPv6 dispose d'une fonctionnalit de configuration automatique sans protocole DHCP (Dynamic Host
Configuration Protocol) et peut dtecter des informations sur les routeurs afin de permettre aux htes
d'accder Internet. Cette fonctionnalit est appele configuration d'adresse sans tat. Lorsque le
protocole DHCPv6 est utilis, il est question, l'inverse, d'une configuration d'adresse avec tat.
Cela offre aux administrateurs rseau une meilleure flexibilit dans la faon dont les donnes
de configuration et les adresses IPv6 sont distribues aux clients.
Prise en charge obligatoire d'IPsec.

Les normes IPv6 requirent la prise en charge de l'en-tte d'authentification (AH) et des en-ttes ESP
(Encapsulating Security Payload) qui sont dfinis par la scurit du protocole Internet (IPSec). Bien que
la prise en charge des mthodes d'authentification et des algorithmes de chiffrement IPsec spcifiques
ne soit pas spcifie, IPsec est dfini ds le dbut comme manire de protger les paquets IPv6. Ceci
garantit la disponibilit d'IPsec sur tous les htes IPv6. La prise en charge d'IPsec n'tait pas requise
pour les htes IPv4, mais elle tait gnralement implmente.
Communication de bout en bout
8-3
Un des objectifs de conception d'IPv6 est de fournir un espace d'adressage suffisant, de sorte que vous
ne deviez pas utiliser de mcanismes de traduction, tels que la traduction d'adresses rseau (NAT). Ceci
simplifie la communication, car les htes IPv6 peuvent communiquer directement entre eux via Internet.
Ceci simplifie galement la prise en charge d'applications telles que la vidoconfrence et d'autres
applications peer to peer. Cependant, beaucoup d'organisations peuvent choisir de continuer utiliser
des mcanismes de traduction par mesure de scurit.
Prise en charge obligatoire de la qualit de service (QoS)
Un paquet IPv6 contient un champ Qualit de service (QoS) qui spcifie le dlai de traitement du paquet.
Ceci permet d'attribuer une priorit au trafic des paquets IPv6. Par exemple, lorsque vous diffusez en
continu du trafic vido, il est primordial que les paquets arrivent dans le temps imparti. Vous pouvez
dfinir ce champ QoS de faon vous assurer que les priphriques rseau reconnaissent que la remise
des paquets doit tre effectue en un certain temps. La prise en charge de la qualit de service tait
facultative pour les htes IPv4.
Prise en charge amliore des environnements de sous-rseau unique

Tous les htes IPv6 sont configurs automatiquement avec une adresse de liaison locale qui permet
l'hte pour communiquer sur le sous-rseau local. Cependant, comme pour l'adressage IP priv
automatique (APIPA), qui tait implment de manire facultative dans les environnements IPv4,
les ordinateurs ne sont pas configurs automatiquement avec un serveur DNS (Domain Name System)
ou une passerelle par dfaut.
Extensibilit
IPv6 a t conu pour que les dveloppeurs puissent l'tendre avec beaucoup moins de contraintes
que le protocole IPv4. En tant qu'administrateur rseau, vous n'tendrez pas IPv6, mais les applications
que vous achetez peuvent tirer profit de ceci pour amliorer les fonctionnalits d'IPv6.
Diffrences entre les protocoles IPv4 et IPv6

Lorsque fut cr l'espace d'adressage IPv4, il tait
difficile d'imaginer qu'il pourrait s'puiser un jour.
Toutefois, en raison des avances technologiques
et d'une mthode d'allocation qui n'avait pas
prvu le dveloppement des htes Internet,
la ncessit d'un protocole de remplacement
apparut vidente ds 1992.
Quand l'espace d'adressage IPv6 a t conu, les
adresses sont passes une longueur de 128 bits,
de telle sorte que l'espace d'adressage puisse tre
subdivis en domaines de routage hirarchique
qui refltent la topologie d'Internet d'aujourd'hui.
Avec 128 bits, il y a assez de bits pour crer plusieurs niveaux de hirarchie, et il y a suffisamment
de flexibilit pour concevoir le routage et l'adressage hirarchiques. Le Protocole Internet IPv4 est
actuellement dpourvu de ces fonctionnalits.
Comparaison entre IPv4 et IPv6

Le tableau suivant souligne des diffrences supplmentaires existant entre les protocoles IPv4 et IPv6.
IPv4
IPv6
La fragmentation est effectue par les routeurs

et l'hte d'envoi.
La fragmentation n'est pas ralise par les

routeurs, mais uniquement par l'hte d'envoi.
Le protocole ARP (Address Resolution Protocol)

utilise des trames de diffusion de demandes
ARP pour rsoudre une adresse IPv4 en une
adresse de couche de liaison.
Les trames de demandes ARP sont remplaces

par des messages de sollicitation du voisin
de multidiffusion.
Le protocole IGMP (Internet Group

Management Protocol) gre l'appartenance
aux groupes de sous-rseaux locaux.
Le protocole IGMP est remplac par des messages

de dcouverte d'couteurs multidiffusion
(MLD, Multicast Listener Discovery).
La fonctionnalit facultative de dcouverte

des routeurs ICMP (Internet Control Message
Protocol) dtermine l'adresse IPv4 de
la meilleure passerelle par dfaut.
La dcouverte de routeurs ICMP est remplace

par des messages d'annonce et de sollicitation de
routeur ICMP version 6 (v6), qui sont obligatoires.
Utilise des enregistrements de ressources

de l'hte (A) dans le DNS pour mapper
des noms d'htes aux adresses IPv4.
Utilise des enregistrements de ressources de l'hte

IPv6 (AAAA) dans le DNS pour mapper des noms
d'htes aux adresses IPv6.
Utilise des enregistrements de ressources

du pointeur (PTR) dans le domaine DNS
IN-ADDR.ARPA pour mapper des adresses
IPv4 aux noms d'htes.
Utilise des enregistrements de ressources du

pointeur (PTR) dans le domaine DNS IP6.ARPA
pour mapper des adresses IPv6 aux noms d'htes.
Doit prendre en charge une taille de paquet

s'levant 576 octets (fragmentation possible).
Doit prendre en charge une taille de paquet

s'levant 1 280 octets (sans fragmentation).
8-4
Format d'adresse IPv6

La fonctionnalit la plus distinctive du
protocole IPv6 est sa capacit utiliser des
adresses de taille beaucoup plus importante. Les
adresses IPv4 sont exprimes en quatre groupes
de nombres dcimaux (par exemple, 192.168.1.1).
Chaque groupe de nombres reprsente un octet
binaire. En code binaire, 192.168.1.1 se prsente
comme suit :
11000000.10101000.00000001.00000001
(4 octets = 32 bits)
Toutefois, une adresse IPv6 est quatre fois plus
longue qu'une adresse IPv4. Pour cette raison, les
adresses IPv6 sont exprimes en code hexadcimal (hexa). Par exemple :
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
8-5
Cela peut paratre complexe pour les utilisateurs finaux, mais il faut partir du principe que les utilisateurs
auront recours aux noms DNS pour la rsolution des htes et taperont rarement des adresses IPv6
manuellement. Il est galement plus facile d'effectuer la conversion de l'adresse IPv6 hexadcimale
entre binaire et hexadcimal que d'effectuer la conversion entre binaire et dcimal. Ceci qui simplifie
l'utilisation des sous-rseaux et le calcul des htes et des rseaux.
Systme de numrotation hexadcimal (base 16)
Dans le systme de numrotation hexadcimal, certaines lettres reprsentent des nombres ; ceci est d
au fait que chaque position doit contenir 16 symboles uniques. Du fait que 10 symboles (0 9) existent
dj, il doit y avoir six nouveaux symboles pour le systme hexadcimal, d'o l'utilisation des lettres A F.
Le nombre hexadcimal 10 est gal au nombre dcimal 16.
Remarque : Vous pouvez utiliser l'application de calculatrice fournie avec

Windows Server 2012 pour effectuer des conversions entre les nombres binaires,
dcimaux et hexadcimaux.
Pour convertir une adresse binaire IPv6 d'une longueur de 128 bits, sparez-la en huit blocs de 16 bits.
Convertissez ensuite chacun de ces huit blocs de 16 bits en quatre caractres hexadcimaux. Pour chacun
des blocs, vous valuez quatre bits la fois. Si possible, numrotez chaque section de quatre nombres
binaires 1, 2, 4 et 8, en partant de la droite vers la gauche. C'est--dire :
x
Le premier bit [0010] se voit attribuer une valeur de 1.

Le deuxime bit [0010] se voit attribuer une valeur de 2.
Le troisime bit [0010] se voit attribuer une valeur de 4.
Le quatrime bit [0010] se voit attribuer une valeur de 8.
Pour calculer la valeur hexadcimale de cette section de quatre bits, ajoutez la valeur de chaque bit dfini
1. Dans l'exemple de 0010, le seul bit dfini 1 est le bit qui se voit attribuer une valeur de 2. Les autres
sont dfinis zro. Par consquent, la valeur hexadcimale de cette section de quatre bits est 2.
Conversion du format binaire l'hexadcimal

Le tableau suivant dcrit la conversion de 8 bits binaires au format hexadcimal pour le nombre binaire
[0010] [1111] :
Binaire
0010
1111
Valeurs de chaque position

binaire
8421
8421
Ajout de valeurs o le bit est 1
0+0+2+0=2
8+4+2+1=15 ou F hexadcimal
L'exemple ci-aprs prsente une adresse IPv6 unique au format binaire. Notez que la reprsentation
binaire de l'adresse IP est trs longue. Les deux lignes de nombres binaires ci-dessous reprsentent
une seule adresse IP :
0010000000000001000011011011100000000000000000000010111100111011
0000001010101010000000001111111111111110001010001001110001011010
L'adresse de 128 bits est prsent divise en limites de 16 bits (huit blocs de 16 bits) :
0010000000000001 0000110110111000 0000000000000000 0010111100111011
0000001010101010 0000000011111111 1111111000101000 1001110001011010
Chaque bloc est lui-mme divis en sections de quatre bits. Le tableau ci-dessous affiche les valeurs
binaires de chaque section de quatre bits, ainsi que leurs valeurs hexadcimales correspondantes :
Binaire
Hexadcimal
[0010][0000][0000][0001]
[2][0][0][1]
[0000][1101][1011][1000]
[0][D][B][8]
[0000][0000][0000][0000]
[0][0][0][0]
[0010][1111][0011][1011]
[2][F][3][B]
[0000][0010][1010][1010]
[0][2][A][A]
[0000][0000][1111][1111]
[0][0][F][F]
[1111][1110][0010][1000]
[F][E][2][8]
[1001][1100][0101][1010]
[9][C][5][A]
Chaque bloc de 16 bits est exprim sous la forme de quatre caractres hexadcimaux, puis spar par
des deux-points. Le rsultat obtenu est le suivant :
2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A
Vous pouvez simplifier davantage la reprsentation IPv6 en supprimant les zros non significatifs dans
chaque bloc de 16 bits. Toutefois, chaque bloc doit comporter au moins un chiffre. Avec la suppression
des zros non significatifs, la reprsentation de l'adresse devient la suivante :
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
8-6
Compression des zros

Quand plusieurs blocs de zros contigus se produisent, vous pouvez les compresser et les reprsenter
dans l'adresse sous la forme de double-deux-points (::) ; ceci simplifie encore la notation IPV6.
L'ordinateur reconnat le symbole :: et le remplace par le nombre de blocs ncessaire pour
former l'adresse IPv6 approprie.
Dans l'exemple suivant, l'adresse est exprime en utilisant la compression des zros :
2001:DB8::2F3B:2AA:FF:FE28:9C5A
Pour dterminer combien de bits 0 sont reprsents par le symbole :: , vous pouvez comptabiliser
le nombre de blocs dans l'adresse compresse, soustraire ce nombre du chiffre huit, puis multiplier
le rsultat par 16. Si nous prenons l'exemple prcdent, il y a sept blocs. Soustrayez sept de huit et
multipliez le rsultat (un) par 16. Il y a donc 16 bits ou 16 zros dans l'adresse contenant le symbole
double deux-points .
Vous pouvez ne pouvez utiliser qu'une seule fois la compression des zros dans une adresse spcifique.
Si vous l'utilisez deux fois ou plus, alors il n'y a aucune faon de montrer combien de bits 0 sont
reprsents par chaque instance du symbole double-deux-points (::).
Pour convertir une adresse au format binaire, appliquez de manire inverse la mthode dcrite
prcdemment :
1.
Ajoutez des zros au moyen de la compression des zros.
2.
Ajoutez des zros non significatifs.
3.
Convertissez chaque nombre 1 au format binaire quivalent.
8-7
Leon 2
Adressage IPv6
Comprendre les diffrents types d'adresse et lorsqu'ils sont utiliss constitue un aspect essentiel du
protocole IPv6. Ceci vous permet de comprendre le processus de communication global entre les htes
IPv6 et d'effectuer le dpannage. Vous devez galement comprendre les processus disponibles pour
configurer un hte avec une adresse IPv6 afin de vrifier que les htes sont configurs correctement.
x
x
dcrire la structure des adresses IPv6 ;

dcrire la structure des adresses monodiffusion globales ;
dcrire les adresses monodiffusion uniques locales ;
dcrire les adresses monodiffusion de liaison locale et les ID de zone.
dcrire la configuration automatique des adresses pour le protocole IPv6 ;
expliquer comment configurer les paramtres clients IPv6 sur un hte du rseau.
Structure de l'adresse IPv6

Chaque adresse IPv6 a une longueur de 128 bits.
Le prfixe est la partie de l'adresse qui indique
les bits qui possdent des valeurs fixes ou qui
appartiennent au prfixe de sous-rseau. C'est
l'quivalent de l'ID rseau pour une adresse IPv4.
Les prfixes des sous-rseaux, des itinraires et
des plages d'adresses IPv6 sont exprims de la
mme manire que les notations CIDR (Classless
Inter-Domain Routing) pour le protocole IPv4. Un
prfixe IPv6 respecte la notation adresse/longueur
de prfixe. Par exemple, 2001:DB8::/48 et
2001:DB8:0:2F3B::/64 sont des prfixes
d'adresse IPv6.
Remarque : IPv6 utilise des prfixes au lieu d'un masque de sous-rseau.

Quand une adresse IPv6 monodiffusion est attribue un hte, le prfixe est de 64 bits. Les 64 bits
restants sont allous l'identificateur d'interface, qui identifie de faon unique l'hte sur ce rseau.
L'identificateur d'interface peut tre gnr alatoirement, attribu par DHCPv6 ou tre bas
sur l'adresse MAC (Media Access Control) du rseau. Par dfaut, les bits d'hte sont gnrs
alatoirement moins qu'ils soient attribus par DHCPv6.
Remarque : Les routes sur un routeur IPv6 ont des tailles de prfixe variables dtermines
par la taille du rseau.
8-8
quivalents IPv6 aux adresses spciales IPv4

Le tableau suivant montre les quivalents dans le protocole IPv6 quelques adresses IPv4 courantes.
Adresse IPv4
Adresse IPv6
Adresse non spcifie
0.0.0.0
::
Adresse de bouclage
127.0.0.1
::1
Adresses configures
automatiquement
169.254.0.0/16
FE80::/64
Adresse de diffusion
255.255.255.255
Utilise des multidiffusions la place
Adresses de multidiffusion
224.0.0.0/4
FF00::/8
Adresses monodiffusion globales

Les adresses monodiffusion globales quivalent
aux adresses IPv4 publiques qui sont fournies
par un fournisseur de services Internet (ISP).
Elles peuvent faire l'objet d'un routage et
sont accessibles globalement sur la partie IPv6
d'Internet. la diffrence du nombre limit
d'adresses IPv4 adressables depuis Internet
qui demeurent, il y a beaucoup d'adresses
monodiffusion globales disponibles.
8-9
L'espace d'adresses monodiffusion globales

est conu pour permettre chaque client du
fournisseur de services Internet d'obtenir un grand
nombre d'adresses d'IPv6. Les 48 premiers bits sont utiliss pour identifier le site client. Les 16 bits suivants
sont allous pour que le client effectue un sous-rseautage dans son propre rseau.
Remarque : Le rseau 2001:0db8::/32 est rserv la documentation et n'est pas routable.

La structure d'une adresse monodiffusion globale est la suivante :
x
Partie fixe dfinie 001. Les trois bits d'ordre haut sont dfinis 001. Le prfixe d'adresse pour
les adresses globales actuellement attribues est 2000::/3. Par consquent, toutes les adresses
monodiffusion globales commencent par 2 ou 3.
Prfixe de routage global. Ce champ indique le prfixe de routage global pour le site d'une
organisation spcifique. La combinaison des trois bits fixes et du prfixe de routage global de 45 bits
est utilise pour crer un prfixe de site de 48 bits attribu au site indpendant d'une organisation.
Au moment de l'attribution, les routeurs sur Internet IPv6 acheminent alors le trafic IPv6 qui fait
correspondre le prfixe de 48 bits aux routeurs du site de l'organisation.
ID de sous-rseau. L'ID de sous-rseau est utilis sur le site d'une organisation pour identifier des
sous-rseaux. La taille de ce champ est de 16 bits. Le site de l'organisation peut exploiter ces 16 bits
sur son site pour crer 65 536 sous-rseaux, ou plusieurs niveaux dans une hirarchie d'adressage,
ainsi qu'une infrastructure de routage efficace.
ID d'interface. L'ID d'interface identifie l'interface dans un sous-rseau spcifique sur le site. La taille
de ce champ est de 64 bits. Ceci est alatoirement gnr ou attribu par DHCPv6. Auparavant, l'ID
d'interface tait bas sur l'adresse MAC de la carte d'interface rseau laquelle l'adresse a t lie.
Adresses de monodiffusion uniques locales

Les adresses locales uniques sont l'quivalent dans
le protocole IPv6 des adresses prives IPv4. Ces
adresses sont routables dans une organisation,
mais pas sur Internet.
Les adresses IP prives IPv4 reprsentaient une
partie relativement petite de l'espace d'adressage
IPv4 global, et beaucoup de socits utilisaient le
mme espace d'adressage. Ceci provoquait des
problmes lorsque des organisations distinctes
tentaient de communiquer directement. Cela
entranait galement des problmes lors de
la fusion des rseaux de deux organisations,
ventuellement suite une fusion ou un rachat.
Pour viter les problmes de duplication rencontrs avec les adresses IPv4 prives, la structure d'adresse
locale unique du protocole IPv6 alloue 40 bits l'identificateur d'une organisation. Cet identificateur
d'organisation de 40 bits est alatoirement gnr. La probabilit que deux identificateurs de 40 bits
alatoirement gnrs soient identiques est trs faible. Ceci permet de garantir que chaque organisation
a un espace d'adressage unique.
Les sept premiers bits de l'identificateur d'organisation ont la valeur binaire fixe de 1111101. Toutes
les adresses locales uniques ont le prfixe d'adresse FC00::/7. L'indicateur local (L) est dfini 1 pour
indiquer une adresse locale. Une valeur d'indicateur L dfinie 0 n'a pas encore t dfinie. Par
consquent, les adresses locales uniques avec l'indicateur L dfini 1 ont le prfixe d'adresse FD::/8.
8-10 Implmentation d'IPv6
Adresses monodiffusion de liaison locale

Tous les htes IPv6 ont une adresse de liaison
locale qui est utilise pour communiquer
seulement sur le sous-rseau local. L'adresse de
liaison locale est gnre automatiquement et
est non routable. En cela, les adresses de liaison
locale sont similaires aux adresses APIPA IPv4.
Cependant, une adresse de liaison locale est
une partie essentielle de la communication IPv6.
Des adresses de liaison locale sont utilises pour la
communication dans de nombreux scnarios o
IPv4 aurait utilis des diffusions. Par exemple, des
adresses de liaison locale sont utilises lors de la
communication avec un serveur DHCPv6. Les adresses de liaison locale sont galement utilises pour
la dcouverte de voisins, qui est l'quivalent dans le protocole IPv6 de l'ARP dans IPv4.
Le prfixe des adresses de liaison locale est toujours FE80::/64. Les 64 derniers bits sont l'identificateur
d'interface.
ID de zone
8-11
Quel que soit le nombre d'interfaces rseau dans l'hte, chaque hte IPv6 a une adresse de liaison locale
unique. Si l'hte a plusieurs interfaces rseau, la mme adresse de liaison locale est rutilise sur chaque
interface rseau. Pour permettre des htes pour identifier la communication de liaison locale sur chaque
interface rseau unique, un ID de zone est ajout l'adresse de liaison locale.
Un ID de zone est utilis au format suivant :
Adresse%ID_zone
Chaque hte expditeur dtermine l'ID de zone qu'il associera chaque interface. Il n'y a aucune
ngociation d'ID de zone entre les htes. Par exemple, sur le mme rseau, l'hte A pourrait utiliser 3
pour l'ID de zone sur son interface et l'hte B pourrait utiliser 6 pour l'ID de zone sur son interface.
Un index d'interface unique, qui est un entier, est attribu chaque interface dans un hte Windows.
Outre les cartes rseau physiques, les interfaces comprennent galement des interfaces de bouclage
et de tunnel. Les htes IPv6 Windows utilisent l'index d'interface d'une interface comme ID de zone
pour cette interface.
Dans l'exemple suivant, l'ID d'interface pour l'interface rseau est 3.
fe80::2b0:d0ff:fee9:4143%3
Configuration automatique des adresses IPv6

Dans la plupart des cas, vous utiliserez la
configuration automatique pour fournir une
adresse IPv6 des htes IPv6. la diffrence
du protocole IPv4 qui utilise principalement les
serveurs DHCP pour fournir des informations
d'adressage, IPv6 utilise galement les routeurs
dans le cadre du processus de configuration
automatique. Les routeurs peuvent fournir
l'adresse rseau et une passerelle par dfaut aux
clients dans les messages d'annonce de routeur.
Types de configurations automatiques

Les types de configurations automatiques sont
prsents ci-dessous.
x
Sans tat. Avec la configuration automatique sans tat, la configuration d'adresse est uniquement
base sur la rception des messages d'annonce de routeur. La configuration automatique sans tat
comprend un prfixe de routeur, mais ne comprend pas d'options de configuration supplmentaires,
comme des serveurs DNS.
Avec tat. Dans la configuration automatique avec tat, la configuration d'adresse se base sur
l'utilisation d'un protocole de configuration d'adresse avec tat, tel que DHCPv6, pour se procurer
des adresses et d'autres options de configuration : Un hte utilise la configuration d'adresse avec
tat quand :
o
il reoit l'instruction de le faire dans des messages d'annonce de routeur ;
il n'y a aucun routeur prsent sur la liaison locale.
Les deux types. Avec les deux types, la configuration est base la fois sur la rception des messages
d'annonce de routeur et sur DHCPv6.
Configuration avec tat
Avec la configuration avec tat, les organisations peuvent contrler la manire dont les adresses IPv6 sont
affectes au moyen du protocole DHCPv6. S'il existe des options d'tendue spcifiques que vous devez
configurer, telles que les adresses IPv6 des serveurs DNS, un serveur DHCPv6 est ncessaire.
Quand le protocole IPv6 tente de communiquer avec un serveur DHCPv6, il utilise des adresses de
multidiffusion IPv6. Ce comportement diffre du protocole IPv4 qui utilise des adresses de diffusion IPv4.
tats des adresses configures automatiquement
8-13
Pendant la configuration automatique, l'adresse IPv6 d'un hte passe par plusieurs tats qui dfinissent
le cycle de vie de l'adresse IPv6. Les adresses configures automatiquement adoptent un ou plusieurs
des tats suivants :
x
x
x
x
x
Provisoire. Dans l'tat provisoire, la vrification a lieu pour dterminer si l'adresse est unique.
La dtection d'adresses en double se charge de la vrification. Quand une adresse est dans
l'tat provisoire, un nud ne peut pas recevoir le trafic de monodiffusion.
Valide. Dans l'tat valide, l'adresse a t vrifie comme tant unique, et elle peut envoyer et recevoir
du trafic de monodiffusion.
Privilgi. Dans l'tat privilgi, l'adresse permet un nud d'envoyer et de recevoir des donnes
du trafic de monodiffusion.
Dconseill. Dans l'tat dconseill, l'adresse est valide, mais son utilisation est dconseille pour
une nouvelle communication.
Non valide. Dans l'tat non valide, l'adresse ne permet plus un nud d'envoyer ou de recevoir
le trafic de monodiffusion.
Dmonstration : Configuration des paramtres clients IPv6
Dans la plupart des cas, IPv6 est configur dynamiquement l'aide de DHCPv6 ou d'annonces de routeur.
Cependant, vous pouvez galement configurer IPv6 manuellement avec une adresse IPv6 statique.
Le processus de configuration d'IPv6 est semblable au processus de configuration d'IPv4.
x
afficher la configuration IPv6 l'aide d'IPconfig ;

configurer IPv6 sur un contrleur de domaine et un serveur ;
vrifier que la communication IPv6 est fonctionnelle.
Afficher la configuration IPv6 l'aide d'IPconfig
1.
Ouvrez une session sur LON-DC1 et LON-SVR1 en tant que ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.
2.
Sur LON-DC1, ouvrez une invite Windows PowerShell.
3.
Utilisez ipconfig pour afficher l'adresse IPv6 de liaison locale sur la connexion au rseau local.
4.
Utilisez l'applet de commande Get-NetIPAddress pour afficher la configuration rseau.
Configurer IPv6 sur LON-DC1

1.
Sur LON-DC1, utilisez le Gestionnaire de serveur pour ouvrir la bote de dialogue Proprits
du serveur local, puis cliquez sur Connexion au rseau local.
2.
Ouvrez la bote de dialogue Proprits IP, version 6 (TCP/IPv6), et entrez les informations
suivantes :
o
Utiliser l'adresse IPv6 suivante
Adresse IPv6 : FD00:AAAA:BBBB:CCCC::A
Longueur du prfixe de sous-rseau : 64
Utiliser l'adresse de serveur DNS suivante :
Serveur DNS prfr : ::1
Configurer IPv6 sur LON-SVR1

1.
Sur LON-DC1, utilisez le Gestionnaire de serveur pour ouvrir la bote de dialogue Proprits
du serveur local, puis cliquez sur Connexion au rseau local.
2.
Ouvrez la bote de dialogue Proprits IP, version 6 (TCP/IPv6), et entrez les donnes suivantes :
o
Utiliser l'adresse IPv6 suivante
Adresse IPv6 : FD00:AAAA:BBBB:CCCC::15
Longueur du prfixe de sous-rseau : 64
Utiliser l'adresse de serveur DNS suivante :
Serveur DNS prfr : FD00:AAAA:BBBB:CCCC::A
Vrifier que la communication IPv6 est fonctionnelle

1.
Sur LON-SVR1, ouvrez une invite Windows PowerShell.
2.
Utilisez ipconfig pour afficher l'adresse IPv6 pour la connexion au rseau local.
3.
Utilisez ping -6 pour tester la communication IPv6 avec LON-DC1.
4.
Utilisez ping -4 pour tester la communication IPv4 avec LON-DC1.
suivante.
Leon 3
Cohabitation avec le protocole IPv4
8-15
Depuis le dbut, le protocole IPv6 a t conu pour la coexistence long terme avec IPv4 ; dans la plupart
des cas, votre rseau utilisera la fois IPv4 et IPv6 pendant de nombreuses annes. En consquence, vous
devez comprendre comment ils coexistent.
Cette leon propose une vue d'ensemble des technologies qui permettent la cohabitation de ces
deux protocoles IP. Cette leon dcrit galement les diffrents types de nud et les diverses
implmentations de pile IP d'IPv6. Enfin, cette leon explique comment le systme DNS rsout
des noms en adresses IPv6 et les divers types de technologies de transition d'IPv6.
x
dcrire les types de nuds IP ;

dcrire les mthodes qui permettent la cohabitation d'IPv4 et IPv6 ;
configurer le systme DNS pour la prise en charge du protocole IPv6 ;
expliquer le concept de tunneling IPv6/IPv4.
Quels sont les types de nuds ?

Lorsque vous planifiez un rseau IPv6, vous
devez connatre les types de nuds ou d'htes
qui interviennent sur le rseau. Dcrire les nuds
d'une manire spcifique permet de dfinir
leurs possibilits sur le rseau. Comprendre
les possibilits de chaque type de nud est
important si vous utilisez le tunneling, parce que
certaines sortes de tunnels requirent des types
de nud spcifiques. Voici les descriptions des
divers types de nuds :
x
Nud IPv4 uniquement. C'est un nud qui

implmente uniquement le protocole IPv4
(et dispose seulement d'adresses IPv4) et ne prend pas en charge le protocole IPv6.
Nud IPv6 uniquement. C'est un nud qui implmente uniquement le protocole IPv6 (et dispose
seulement d'adresses IPv6) et ne prend pas en charge le protocole IPv4. Ce nud est capable de
communiquer uniquement avec des nuds et des applications IPv6 et est actuellement peu utilis.
Il risque toutefois de s'imposer davantage puisque les priphriques de plus petite taille (tlphones
portables et les ordinateurs de poche, par exemple) utilisent uniquement le protocole IPv6.
x
x
x
Nud IPv6/IPv4. C'est un nud qui implmente la fois les protocoles IPv4 et IPv6.
Windows Server 2008 et les systmes d'exploitation Windows Server ultrieurs, ainsi que
Windows Vista et les systmes d'exploitation clients ultrieurs utilisent IPv4 et IPv6 par dfaut.
Nud IPv4. C'est un nud qui implmente le protocole IPv4. Il peut s'agir d'un nud IPv4
uniquement ou d'un nud IPv6/IPv4.
Nud IPv6. C'est un nud qui implmente le protocole IPv6. Il peut s'agir d'un nud IPv6
uniquement ou d'un nud IPv6/IPv4.
La cohabitation se produit lorsqu'une majorit de nuds (nuds IPv4 ou IPv6) peut communiquer
au moyen d'une infrastructure IPv4, d'une infrastructure IPv6 ou d'une infrastructure combinant les
protocoles IPv4 et IPv6. Pour accomplir une vritable migration, vous devez convertir tous les nuds IPv4
en nuds IPv6 uniquement. Toutefois, dans un avenir prvisible, vous pourrez procder une migration
effective aprs avoir converti le plus grand nombre possible de nuds IPv4 uniquement en nuds
IPv6/IPv4. Les nuds IPv4 uniquement ne peuvent communiquer avec des nuds IPv6 uniquement
que lorsque vous utilisez un proxy ou une passerelle de traduction IPv4 vers IPv6.
Cohabitation IPv4/IPv6
Plutt que de remplacer IPv4, la plupart
des organisations ajoutent IPv6 leur rseau
IPv4 existant. Depuis Windows Server 2008
et Windows Vista, les systmes d'exploitation
Windows prennent en charge l'utilisation
simultane d'IPv4 et d'IPv6 via une architecture
double couche IP. Les systmes d'exploitation
Windows XP et Windows Server 2003 utilisent
une architecture double pile moins efficace.
Architecture double couche IP

Une architecture double couche IP a t
implmente partir de Windows Vista, et jusqu'
Windows Server 2012 et Windows 8. Cette architecture contient des couches Internet IPv4 et IPv6 avec
une implmentation unique de protocoles de la couche transport, tels que les protocoles TCP et UDP.
La double pile permet une migration plus facile vers IPv6, et il y a moins fichiers maintenir pour fournir
la connectivit d'IPv6. IPv6 est galement disponible sans ajout de tous les nouveaux protocoles dans
la configuration de carte rseau.
Architecture double pile
L'architecture double pile comprend les deux couches Internet IPv4 et IPv6, et a des piles de protocoles
spares qui contiennent des implmentations distinctes de protocoles de la couche transport, tels que
les protocoles TCP et UDP. Le pilote de protocole IPv6 Tcpip6.sys disponible dans Windows Server 2003
et Windows XP contient une implmentation distincte des protocoles TCP et UDP.
Configuration requise pour l'infrastructure DNS
8-17
De la mme faon que DNS est utilis en tant que service de prise en charge sur un rseau IPv4, il est
galement requis sur un rseau IPv6. Quand vous ajoutez IPv6 au rseau, vous devez vrifier que vous
ajoutez les enregistrements qui sont ncessaires pour la prise en charge des rsolutions noms/adresses
et adresses/noms IPv6. Les enregistrements DNS qui sont requis pour la coexistence sont :
enregistrements de ressource de l'hte (a) pour les nuds IPv4 ;

enregistrements de ressource de l'hte IPv6 (AAAA) ;
enregistrements de ressource de pointeur de recherche inverse (PTR) pour les nuds IPv4 et IPv6.
Remarque : Dans la plupart des cas, les enregistrements de ressource de l'hte IPv6 (AAAA)
requis par les nuds IPv6 sont enregistrs dans le DNS dynamiquement.
Quand un nom peut tre rsolu la fois en adresse IPv4 et en adresse IPv6, les deux adresses sont
retournes au client. Le client choisit alors l'adresse utiliser en fonction des stratgies de prfixes.
Dans ces stratgies de prfixes, un niveau de priorit est attribu chaque prfixe. Une priorit plus
leve est prfre une priorit infrieure. Le tableau suivant prsente les stratgies gnrales de
prfixes pour Windows Server 2012.
Prfixe
Ordre de priorit
Label
Description
::1/128
50
Bouclage IPv6
::/0
40
::ffff:0:0/96
10
Adresse compatible IPv4
2002::/16
6to4
2001::/32
Teredo
FC00::/7
13
Locale unique
::/96
Adresse compatible IPv4 (abandonn)
fec0::/10
11
Locale de site (abandonn)
3ffe::/16
12
6Bone (abandonn)
Remarque : Vous pouvez afficher les stratgies de prfixes dans Windows Server 2012
l'aide de l'applet de commande Windows PowerShell Get-NetPrefixPolicy.
Documentation supplmentaire : Pour plus d'informations sur les stratgies de prfixes,

consultez la rubrique Slection d'adresses source et de destination pour IPv6 l'adresse
Dmonstration : Configuration du systme DNS pour la prise en charge

du protocole IPv6
De mme que les nuds IPv4, les nuds IPv6 utilisent les enregistrements d'htes crs
automatiquement sur un DNS dynamique. Vous pouvez galement crer manuellement les
enregistrements hte pour les adresses IPv6. Un enregistrement de ressource hte IPv6 (AAAA)
est un type d'enregistrement unique et est diffrent d'un enregistrement de ressource hte IPv4 (A).
x
configurer un enregistrement de ressource hte IPv6 (AAAA) pour une adresse IPv6 ;
vrifier la rsolution des noms pour un enregistrement de ressource hte IPv6 (AAAA).
Configurer un enregistrement de ressource hte IPv6 (AAAA)
1.
Sur LON-DC1, dans le Gestionnaire de serveur, ouvrez l'outil DNS et accdez la zone de recherche
directe Adatum.com.
2.
Dans le Gestionnaire DNS, vrifiez que des adresses IPv6 ont t enregistres dynamiquement
pour LON-DC1 et LON-SVR1.
3.
Crez un nouvel enregistrement d'hte dans Adatum.com en utilisant les paramtres suivants :
o
Nom : WebApp
Adresse IP : FD00:AAAA:BBBB:CCCC::A
Vrifier la rsolution des noms pour un enregistrement de ressource hte IPv6

(AAAA)
1.
Sur LON-SVR1, si ncessaire, ouvrez une invite Windows PowerShell.
2.
Utilisez ping pour tester la communication avec WebApp.adatum.com.
Qu'est-ce que le tunneling IPv6/IPv4 ?

Le tunneling IPv6/IPv4 dsigne le processus qui
consiste encapsuler des paquets IPv6 au moyen
d'un en-tte IPv4 dans le but de transmettre
ces paquets IPv6 sur une infrastructure IPv4
uniquement. Les caractristiques relever
dans l'en-tte IPv4 sont les suivantes :
x
Le champ Protocole IPv4 est dfini 41

pour indiquer un paquet IPv6 encapsul.
Les champs Source et Destination sont
dfinis sur les adresses IPv4 des points
de terminaison de tunnel. Vous pouvez
configurer des points de terminaison de
tunnel manuellement dans le cadre de l'interface de tunnel ; ou sinon, ils peuvent tre drivs
automatiquement.
8-19
Contrairement au tunneling pour les protocoles PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer
Two Tunneling Protocol), il n'y a aucun change de messages pour la configuration, la maintenance
ou l'arrt des tunnels. Qui plus est, le tunneling IPv6/IPv4 n'offre aucune scurit pour les paquets IPv6
transmis par tunnel, ce qui signifie que lorsque vous faites appel au tunneling IPv6, ce dernier n'a pas
besoin d'tablir d'abord une connexion protge.
Vous pouvez configurer manuellement le tunneling IPv6/IPv4, ou utiliser des technologies automatises,
telles que Teredo, ISATAP ou 6to4, qui implmentent le tunneling IPv6/IPv4.
Leon 4
Technologies de transition IPv6

La transition d'IPv4 IPv6 requiert la coexistence entre les deux protocoles. Trop d'applications et
de services sont bass sur IPv4 pour que ce protocole soit supprim rapidement. Cependant, il existe
plusieurs technologies qui facilitent cette transition en permettant la communication entre les htes
IPv4-uniquement et IPv6-uniquement. Il existe galement des technologies qui permettent la
communication IPv6 sur des rseaux IPv4.
Cette leon fournit des informations sur ISATAP (Intra-Site Automatic Tunnel Addressing Protocol),
6to4 et Teredo, qui aident fournir la connectivit entre les technologies IPv4 et IPv6. Cette leon
traite galement de PortProxy, qui rend les applications compatibles.
x
dcrire ISATAP ;
dcrire 6to4 ;
dcrire Teredo ;
dcrire PortProxy ;
dcrire le processus de transition du protocole IPv4 vers le protocole IPv6.
Qu'est-ce qu'ISATAP ?
ISATAP est une technologie d'affectation
d'adresses que vous pouvez utiliser pour assurer
la connectivit IPv6 monodiffusion entre des htes
IPv6/IPv4 sur un intranet IPv4. Les paquets IPv6
sont encapsuls dans des paquets IPv4 afin
d'tre transmis sur le rseau. La communication
peut s'effectuer directement entre deux htes
ISATAP sur un rseau IPv4, ou peut passer par
un routeur ISATAP si un rseau n'a que des
htes IPv6-uniquement.
Les htes ISATAP ne ncessitent aucune

configuration manuelle et peuvent crer des
adresses ISATAP en utilisant des mcanismes de configuration automatique d'adresses standard. Bien que
le composant ISATAP soit activ par dfaut, il attribue des adresses ISATAP seulement s'il peut rsoudre
le nom ISATAP sur votre rseau.
Une adresse ISATAP base sur une adresse IPv4 prive est mise en forme comme dans l'exemple suivant :
[prfixe monodiffusion 64 bits]:0:5EFE:w.x.y.z
Une adresse ISATAP base sur une adresse IPv4 publique est mise en forme comme dans l'exemple
suivant :
[prfixe monodiffusion 64 bits]:200:5EFE:w.x.y.z
Par exemple, FD00::5EFE:192.168.137.133 est un exemple d'adresse IPv4 prive,
et 2001:db8::200:5EFE:131.107.137.133 est un exemple d'adresse IPv4 publique.
Qu'est-ce qu'un routeur ISATAP ?
8-21
S'il n'y a aucun hte IPv6-uniquement, alors le routeur ISATAP publie le prfixe IPv6 qui est utilis par les
clients ISATAP. L'interface ISATAP sur les ordinateurs client est configure pour utiliser ce prfixe. Quand
les applications utilisent l'interface ISATAP pour remettre des donnes, le paquet IPV6 est encapsul dans
un paquet IPv4 pour tre remis l'adresse IPv4 de l'hte de destination ISATAP.
S'il y a des htes IPv6-uniquement, alors le routeur ISATAP dcompacte galement les paquets IPv6. Les
htes ISATAP envoient les paquets l'adresse IPv4 du routeur ISATAP. Le routeur ISATAP dcompacte
alors les paquets IPv6 et les envoie sur le rseau IPv6-uniquement.
Comment activer le tunneling ISATAP

Vous pouvez initier le tunneling ISATAP de plusieurs manires, mais la manire la plus simple consiste
configurer un enregistrement d'hte ISATAP dans le DNS qui le rsout en l'adresse IPv4 du routeur
ISATAP. Les htes Windows qui peuvent rsoudre ce nom commencent automatiquement utiliser le
routeur ISATAP spcifi. En utilisant cette mthode, vous pouvez configurer le protocole ISATAP pour
plusieurs ordinateurs simultanment.
Vous pouvez galement dfinir la rsolution de noms ISATAP dans un fichier Hosts, mais cette mthode
n'est pas recommande, car elle est difficile de grer.
Remarque : Par dfaut, les serveurs DNS sur Windows Server 2008 ou les systmes
d'exploitation Windows Server plus rcents ont une liste rouge de requtes globales qui
empche la rsolution ISATAP, mme si l'enregistrement d'hte est cr et correctement
configur. Vous devez supprimer ISATAP de la liste rouge de requtes globales dans le
DNS si vous utilisez un enregistrement d'hte ISATAP pour configurer des clients ISATAP.
Voici d'autres faons de configurer des htes avec un routeur ISATAP :
x
utilisez l'applet de commande Windows PowerShell Set-NetIsatapConfiguration -Router x.x.x.x ;

utilisez Netsh Interface IPv6 ISATAP Set Router x.x.x.x ;
configurez le paramtre de stratgie de groupe ISATAP Nom du routeur.
Remarque : Tous les nuds ISATAP sont connects un sous-rseau IPv6 unique. Ceci
signifie que tous les nuds ISATAP font partie du mme site Active Directory Domain Services
(AD DS), ce qui peut ne pas tre souhaitable.
Vous devriez donc utiliser ISATAP seulement pour des tests limits. Pour un dploiement
l'chelle de l'intranet, vous devriez plutt dployer la prise en charge du protocole IPv6
en mode natif.
Qu'est-ce que 6to4 ?

6to4 est une technologie que vous utilisez pour
assurer la connectivit IPv6 monodiffusion sur le
rseau Internet IPv4. Vous pouvez utiliser 6to4
pour fournir la connectivit IPv6 entre deux
sites IPv6, ou entre un hte IPv6 et un site IPv6.
Cependant, 6to4 n'est pas adapt aux scnarios
qui requirent le processus de traduction NAT.
Un routeur 6to4 assure un site la connectivit
IPv6 sur le rseau Internet IPv4. Le routeur 6to4
a une adresse IPv4 publique qui est configure sur
l'interface externe, et une adresse IPv6 6to4 qui est
configure sur l'interface interne. Pour configurer
des ordinateurs client, l'interface interne publie le rseau 6to4. Tout ordinateur client qui commence
utiliser l'adresse rseau 6to4 est un hte 6to4. Les htes 6to4 du site envoient les paquets 6to4
au routeur 6to4 en vue de leur remise d'autres sites sur le rseau Internet IPv4.
L'adresse rseau IPv6 qui est utilise pour 6to4 est base sur l'adresse IPv4 de l'interface externe
sur un routeur IPv6. Le format de l'adresse IPv6 est 2002:WWXX:YYZZ:ID_sous-rseau:ID_Interface,
o WWXX:YYZZ est la reprsentation hexadcimale spare par un signe deux-points de w.x.y.z,
une adresse IPv4 publique.
Quand un hte unique sur le rseau Internet IPv4 participe 6to4, il est configur en tant
qu'hte/routeur. Un hte/routeur 6to4 n'effectue pas le routage pour d'autres htes, mais
gnre son propre rseau Ipv6 utilis pour 6to4.
Activation des fonctionnalits des routeurs 6to4 dans les systmes d'exploitation
Windows
Dans la plupart des cas, vous utilisez les composants de l'infrastructure rseau existante pour agir en tant
que routeur 6to4. Cependant, vous pouvez configurer Windows Server 2012 en tant que routeur 6to4
de diffrentes faons :
Activez le partage de connexion Internet (ICS). Quand vous activez ICS, Windows Server 2012
est configur automatiquement en tant que routeur 6to4.
Utilisez Windows PowerShell. Vous pouvez utiliser l'applet de commande Set-Net6to4Configuration

pour configurer 6to4.
Qu'est-ce que Teredo ?

Teredo est semblable 6to4 en ce qu'il vous
permet de transmettre par tunnel des paquets
IPv6 sur le rseau Internet IPv4. Cependant,
Teredo fonctionne correctement mme lorsque
la traduction d'adresses rseau est utilise pour
la connectivit Internet. Teredo est ncessaire
parce que beaucoup d'organisations utilisent des
adresses IP prives, qui ncessitent la traduction
d'adresses rseau pour accder Internet. Si un
priphrique NAT peut tre configur en tant
que routeur 6to4, alors Teredo n'est pas requis.
Remarque : Teredo est utilis uniquement si

le protocole ISATAP, 6to4 ou IPv6 en mode natif n'assure pas la connectivit.
8-23
La communication IPv6 entre deux clients Teredo sur le rseau Internet IPv4 requiert un serveur Teredo
hberg sur le rseau Internet IPv4. Le serveur Teredo facilite la communication entre les deux clients
Teredo en servant de point central pour l'initialisation de la communication. En gnral, les htes derrire
un priphrique NAT sont autoriss initier les communications sortantes, mais ne sont pas autoriss
accepter les communications entrantes. Pour contourner ce problme, les deux clients Teredo initient
la communication avec le serveur Teredo. Une fois que la connexion avec le serveur Teredo est tablie,
et que le priphrique NAT a autoris les communications sortantes, toutes les communications
ultrieures s'tablissent directement entre les deux clients Teredo.
Remarque : Plusieurs serveurs Teredo publics sont disponibles sur Internet. Les systmes
d'exploitation Windows utilisent par dfaut le serveur Teredo fourni par Microsoft l'adresse
teredo.ipv6.microsoft.com.
Teredo peut galement faciliter la communication avec des htes IPv6-uniquement sur le rseau Internet
IPv6 via un relais Teredo. Le relais Teredo transfre des paquets d'un client Teredo au rseau Internet IPv6.
Vous pouvez configurer Windows Server 2012 en tant que client Teredo, relais Teredo ou
serveur Teredo. Pour configurer Teredo, utilisez l'applet de commande Windows PowerShell
Set-NetTeredoConfiguration. Teredo est configur par dfaut en tant que client. Quand il est
configur en tant que client, Teredo est dsactiv lorsqu'il est li un rseau avec domaine. Pour
activer Teredo sur un rseau avec domaine, vous devez le configurer en tant que client d'entreprise.
Structure de l'adresse Teredo

Une adresse Teredo est une adresse IPv6 128 bits, mais elle utilise une structure diffrente des adresses
IPv6 monodiffusion typiques. La structure est la suivante :
x
x
x
2001::/32 (32 bits). C'est le prfixe spcifique Teredo qui est utilis par toutes les adresses Teredo.
Adresse IPv4 du serveur Teredo (32 bits). Ceci identifie le serveur Teredo.
Options (16 bits). Il existe plusieurs options qui dcrivent la configuration de communication, si le
client est derrire un priphrique NAT, par exemple.
Port externe masqu (16 bits). C'est le port externe utilis pour la communication par le priphrique
NAT pour cette communication. Il est masqu pour empcher le priphrique NAT de le traduire.
Adresse IP externe masque (32 bits). C'est l'adresse IP externe du priphrique NAT. Il est masqu
pour empcher le priphrique NAT de le traduire.
Qu'est-ce que PortProxy ?

Les dveloppeurs d'applications utilisent
des API de rseau spcifiques pour accder
des ressources rseau quand ils crivent des
applications. Les API modernes peuvent utiliser
IPv4 ou IPv6, et laissent le systme d'exploitation
choisir la version du protocole IP. Cependant,
quelques applications plus anciennes utilisent
des API qui peuvent seulement utiliser IPv4.
Vous utilisez le service PortProxy pour permettre
aux applications qui ne prennent pas en charge
le protocole IPv6 de communiquer avec des
htes IPv6. Vous activez PortProxy sur le serveur
o l'application s'excute. Les paquets IPv6 entrants de l'application sont traduits dans le protocole IPv4,
puis passs l'application.
Vous pouvez galement utiliser PortProxy comme proxy entre des htes IPv4-uniquement et des htes
IPv6-uniquement. Pour ce faire, vous devez configurer le DNS pour rsoudre le nom de l'hte distant
comme tant l'adresse de l'ordinateur PortProxy. Par exemple, un hte IPv4-uniquement rsoudrait
le nom d'un hte IPv6-uniquement comme tant l'adresse IPv4 de l'ordinateur de PortProxy.
Les paquets seraient ensuite envoys l'ordinateur PortProxy, qui les transmettrait par proxy
l'ordinateur IPv6-uniquement.
PortProxy a les limitations suivantes :
x
x
Il est limit aux connexions TCP seulement. Il ne peut pas tre utilis pour les applications
qui utilisent UDP.
Il ne peut pas modifier les informations d'adresses qui sont incorpores dans la partie donnes
du paquet. Si l'application (FTP (File Transfer Protocol), par exemple) incorpore les informations
d'adresses dans la partie donnes, alors elle ne fonctionnera pas.
Vous pouvez configurer PortProxy sur Windows Server 2012 l'aide de netsh interface portproxy.
Cependant, il est en gnral prfrable d'utiliser une technologie de tunneling au lieu de PortProxy.
Processus de transition vers IPv6

La transition de l'industrie du protocole IPv4
au protocole IPv6 devrait prendre un temps
considrable. Ce paramtre a t pris en
considration lors de la conception du
protocole IPv6. Le programme de transition
vers IPv6 est donc un processus plusieurs
tapes qui permet une cohabitation tendue.
Pour parvenir au dveloppement d'un
environnement IPv6-uniquement, suivez
les instructions gnrales suivantes :
x
x
x
Mettez niveau vos applications pour les

rendre indpendantes des protocoles IPv6 ou
IPv4. Par exemple, vous pouvez modifier les applications pour l'emploi de nouvelles API
Windows Sockets afin que la rsolution de noms, la cration de sockets et d'autres fonctions
demeurent indpendantes, que vous utilisiez le protocole IPv4 ou bien le protocole IPv6.
Mettez niveau l'infrastructure de routage pour le routage IPv6 natif. Vous devez mettre niveau
des routeurs capables de prendre en charge la fois les protocoles de routage IPv6 et IPv6 natif.
Effectuez la mise niveau des priphriques pour prendre en charge IPv6. La majorit du matriel
rseau actuel prend en charge IPv6, mais beaucoup d'autres types de priphriques ne font pas.
Vous devez vrifier que tous les priphriques lis au rseau, tels que les imprimantes et les
scanneurs, prennent galement en charge IPv6.
8-25
Mettez jour l'infrastructure DNS pour la prise en charge des enregistrements de ressource du
pointeur (PTR) et d'adresse IPv6. Vous devrez peut-tre mettre l'infrastructure DNS pour prendre
en charge les nouveaux enregistrements de ressource de l'adresse de l'hte IPv6 (AAAA) (obligatoire)
et les enregistrements de ressource du pointeur (PTR) dans le domaine inverse IP6.ARPA, mais c'est
facultatif. De plus, assurez-vous que les serveurs DNS prennent en charge le trafic DNS sur IPv6,
et la mise jour dynamique du systme DNS pour les enregistrements de ressource de l'adresse
de l'hte IPv6 (AAAA) afin que les htes IPv6 puissent enregistrer automatiquement leurs noms
et leurs adresses IPv6.
Mettez niveau les htes vers des nuds IPv6/IPv4. Vous devez mettre les htes niveau pour
utiliser IPv4 et IPv6. Ceci permet aux htes d'accder la fois aux ressources IPv4 et IPv6 pendant
le processus de migration.
La plupart des organisations ajouteront probablement IPv6 un environnement IPv4 existant et

continueront avoir faire coexister ces deux protocoles pendant longtemps. Beaucoup d'applications
et de priphriques hrits qui ne prennent pas en charge IPv6 existent toujours, et la coexistence est
beaucoup plus simple que l'utilisation de technologies de transition telles qu'ISATAP. Vous devriez
supprimer IPv4 uniquement aprs que les ressources qui dpendent de ce protocole aient t soit
supprimes, soit mises jour afin d'utiliser IPv6.
IPv6 est activ par dfaut pour Windows Vista et les systmes d'exploitation clients Windows
ultrieurs, et Windows Server 2008 et les systmes d'exploitation clients Windows Server ultrieurs.
Il est recommand de ne pas dsactiver IPv6 moins qu'il y ait une raison technique de le faire.
Certaines fonctionnalits des systmes d'exploitation Windows sont bases sur IPv6.

AdminWindows 2012

Transféré par

Droits d'auteur :

Formats disponibles

AdminWindows 2012

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

AdminWindows 2012

Transféré par

Droits d'auteur :

Formats disponibles

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Leon 1 : Vue d'ensemble de Windows Server 2012

Leon 2 : Vue d'ensemble de l'administration de Windows Server 2012

Leon 3 : Installation de Windows Server 2012

Leon 4 : Configuration post-installation de Windows Server 2012

Leon 5 : Prsentation de Windows PowerShell

Atelier pratique : Dploiement et gestion de Windows Server 2012

Contrle des acquis et lments retenir

Vue d'ensemble du module

dcrire Windows Server 2012 ;

Dploiement et gestion de Windows Server 2012

Vue d'ensemble de Windows Server 2012

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

dcrire le rle des serveurs locaux dans un rseau moderne ;

En tant que professionnel de l'informatique,

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Installation et configuration de Windows Server 2012

Dploiement et gestion de Windows Server 2012

Qu'est-ce que le cloud computing ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Infrastructure en tant que service (IaaS).

Clouds publics et privs

ditions de Windows Server 2012

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Installation et configuration de Windows Server 2012

Fournit l'ensemble des rles et des fonctionnalits disponibles sur la

Fournit l'ensemble des rles et des fonctionnalits qui sont disponibles

Conu pour les grants de PME, prend en charge seulement

dition suivante de Small Business Server. Doit tre le serveur racine

Plateforme Hyper-V autonome pour ordinateurs virtuels sans interface

Priphrique de stockage unifi au niveau des entres. Limit

Dploiement et gestion de Windows Server 2012

Prend en charge plusieurs utilisateurs accdant directement au mme

Prend en charge plusieurs utilisateurs accdant directement au mme

Qu'est-ce que l'installation minimale ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Installation et configuration de Windows Server 2012

Dploiement et gestion de Windows Server 2012

Vous permet d'excuter des outils en ligne de commande traditionnels

Lance une session Windows PowerShell sur le dploiement avec installation

Outil d'administration en ligne de commande pilot par menus qui permet

Permet d'utiliser l'diteur de texte Notepad.exe dans l'environnement avec

Fournit l'accs au Registre dans l'environnement avec installation minimale.

Permet d'afficher les informations systme sur le dploiement avec installation

Lance le Gestionnaire des tches.

Permet d'activer le Bureau distance sur le dploiement avec installation

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestionnaire de serveur. Vous pouvez ajouter un serveur excutant l'installation minimale au

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Installation et configuration de Windows Server 2012

Rles de Windows Server 2012

Permet de dployer des autorits de certification et les services

Banque centralise d'informations sur les objets rseau, y compris les

Fournit la prise en charge de l'authentification unique (SSO) via

Active Directory Lightweight

Prend en charge le stockage des donnes spcifiques aux applications

Active Directory Rights

Permet d'appliquer des stratgies de gestion des droits pour

Prend en charge la gestion et l'hbergement centraliss