Administration sytème Windows: Partie 2

Installez un serveur DHCP

Dans cette seconde partie, je vous propose de prendre en main différents rôles
proposés par Microsoft, et de les installer sur votre serveur ! Vous allez commencer par
le rôle Serveur DHCP qui permet, vous le savez déjà sûrement, d’automatiser la
configuration de vos équipements au sein de votre réseau !

Rappelez-vous les fondamentaux de DHCP

Un petit rappel sur le fonctionnement de DHCP. Dynamic Host Configuration
Protocol est, comme son nom l’indique, un protocole de gestion de la configuration de
vos équipements dynamiques ! Ainsi vous supprimerez le risque de mauvaise
manipulation lors de la configuration réseau de vos équipements, et apporterez donc
une fiabilité dans votre réseau.

Microsoft implémente ici la RFC2131 au sein du rôle DHCP.

Si l’on résume son fonctionnement, le serveur DHCP écoute sur le port UDP 67.
Installez le rôle Serveur DHCP
Pour ajouter ce rôle, vous savez quoi faire. Rendez-vous sur le gestionnaire de serveur,
et dans la partie “Ajouter un rôle ou une fonctionnalité”, cochez la case "Serveur
DHCP" :
Rôle DHCP installé
Vous remarquerez que le tableau de bord vous alerte avec beaucoup de rouge et une
notification. C’est normal, vous n’avez pas terminé la configuration de ce rôle.

Je vous propose de cliquer sur la notification puis sur “Terminer la configuration” ;

vous devriez arriver sur cet écran :
Assistant de configuration du rôle Serveur DHCP
L’assistant vous indique les différentes étapes qui seront à mettre en œuvre pour
configurer ce rôle. La première étape est la création de groupes pour la délégation
d’administration. Cela vous permettra de créer un utilisateur qui n’aura d’autres droits
que ceux d’administration de ce rôle !
Vous pouvez ensuite fermer cet assistant. Je vous propose maintenant d’utiliser la
console de gestion du serveur DHCP qui va vous permettre d’administrer et surtout de
configurer votre DHCP. Pour cela, rendez-vous sur la partie DHCP et avec un clic droit,
sélectionnez le Gestionnaire DHCP :
Lancement du gestionnaire DHCP
Vous trouverez toutes les options pour configurer ce rôle :
Gestionnaire DHCP
La fenêtre est découpée en trois : à gauche vos serveurs DHCP, au milieu les options
de configuration et à droite les actions possibles en fonction du contexte. C’est
notamment à cet emplacement que vous retrouverez, dans les actions, des raccourcis
vers les menus qui s’afficheront, en faisant un clic droit.

Gérez le service DHCP

Comme je vous l’ai dit, un rôle utilise des fonctionnalités qui se basent sur des services.
La première chose que vous pouvez faire avec ce gestionnaire est
de stopper, démarrer ou redémarrer le service associé au rôle DHCP. Vous devrez
notamment redémarrer le service DHCP pour recharger la configuration. Rien de plus
simple, un clic droit sur le nom du serveur hébergeant ce rôle, et dans “Toutes les
tâches” vous pourrez effectuer toutes ces actions :
 Action sur le
service DHCP
Autre point, si vous lancez (toujours avec le clic droit sur le serveur) les propriétés, vous
aurez connaissance de l’emplacement de la base de données utilisée par le service
DHCP :
 Emplacement de la base de
données DHCP
Contrairement au monde Unix/Linux, Microsoft n’aime pas trop les fichiers plats au
format texte. Il s’agit d’une base de données, soyez donc vigilant aux sauvegardes et
restaurations en effectuant une copie de ce répertoire, ou en écrasant ce répertoire à
l’aide du répertoire “backup” créé automatiquement.
Par défaut, le rôle DHCP peut fonctionner en IPv4 et IPv6. Dans ce cours, je ne traiterai
que de l’IPv4, l’IPv6 étant encore à la traîne en termes de déploiement… Mais rassurez-
vous, d’ici peu vous aurez sûrement à travailler en IPv6.
Vous avez donc les paramètres suivants disponibles :

 options de serveur ;
 stratégies ;
 filtres.
En sélectionnant IPv4 et avec un clic droit sur ce paramètre, vous pouvez créer
des étendues d’adresses à distribuer avec votre serveur.

Une étendue est une plage d’adresses IP assignées aux ordinateurs demandant une
adresse IP dynamique.
Ensuite vous pouvez définir des options propres à chaque étendue, mais également des
options globales, ce sont les options de serveur qui s’appliqueront à toutes les
étendues ! Les Stratégies vous permettront de définir des conditions de fourniture
d’options ou d’adresses en fonction de critères particuliers. Par exemple, vous pourrez
spécifier une passerelle par défaut différente à vos équipements Windows 2000… ou,
plus plausible, fournir des options spécifiques de configuration aux équipements, avec
des adresses MAC présentes dans une liste !

Mise en œuvre
d’une stratégie DHCP
Enfin, vous pourrez mettre en place des exclusions ou des autorisations via les filtres :

Filtres DHCP
Je vous conseille d’utiliser les deux : enregistrer les adresses MAC de tous vos
appareils à cet endroit, et ne fournir une adresse IP que si l’adresse MAC se trouve
dans la liste ! Vous pouvez ainsi coupler cela aux stratégies en spécifiant les
identificateurs de client qui sont connus. Ainsi vous maîtriserez quels équipements
accèdent à votre réseau.

Votre première étendue DHCP

Maintenant que vous connaissez parfaitement le fonctionnement du gestionnaire DHCP,
je vous propose de créer votre première étendue. Pour cela, clic droit IPv4 sous le nom
du serveur, puis “Nouvelle étendue” :

L’assistant
Nouvelle étendue
Encore une fois, Microsoft vous permet de configurer cela au travers d’un assistant !

Cliquez sur Suivant et entrez un nom et une description pour votre étendue ! Après le
nom et la description arrivent la plage d’adresses que vous allez fournir via le DHCP,
ainsi que le masque de sous-réseaux (je sais que vous maîtrisez ce sujet, vous avez
suivi le cours Apprenez le fonctionnement des réseaux TCP/IP) !

Remplissez les différents champs comme bon vous semble, enfin plutôt selon vos
besoins . En général, vous allez configurer la plage d’adresses (adresses de début et
de fin), la passerelle et le serveur DNS. Vous pourriez également ajouter des options
pour les téléphones IP (le serveur de téléphonie, par exemple) :
 Plage
d’adresses
L’écran suivant vous propose d’entrer des exclusions ou de retarder les réponses du
serveur, pratique lorsque vous avez plusieurs serveurs DHCP sur un même sous-
réseau.

Enfin, l’écran suivant vous propose de définir la durée du bail.

Souvent cette durée est laissée par défaut. Il vaut mieux y réfléchir à deux fois, car une
attaque informatique connue porte justement sur la saturation des serveurs DHCP via la
demande de nombreux baux… Si votre durée de bail est trop longue et que vous êtes
victime de ce type d’attaque, vous pourrez paralyser la configuration automatique de
votre réseau !
 Durée du bail
Attention à ne pas tomber dans l’autre extrême : une durée trop courte ! Cela pourrait
congestionner votre réseau en demandant à vos équipements de demander de
renouveler leurs baux trop souvent.
Une fois la durée du bail configurée, vous avez la possibilité de vous arrêter là ou de
poursuivre avec l’assistant pour configurer les options DHCP.

En poursuivant l’assistant, vous êtes guidé dans les options les plus utiles à
paramétrer :

 routeur (passerelle par défaut) ;

 nom de domaine et serveurs DNS ;
 serveurs WINS.
Et enfin, vous avez la possibilité d’activer l’étendue :
 Activation de
votre étendue
Une fois l'étendue activée, votre rôle DHCP est opérationnel. Après avoir configuré et/ou
activé une étendue, plus d’options apparaissent dans le gestionnaire sous IPv4,
notamment les options liées aux pools d’adresses, baux d’adresses, réservations et les
options d’étendue.

Étendue DHCP
Cela vous permet de revenir sur des paramètres, de mettre en place des réservations
d’adresses IP, d’observer les baux en cours de validité ou de mettre en œuvre une
stratégie propre à cette étendue.
Paramétrez votre étendue en profondeur
Avant d’aller plus loin, je vous propose de faire un clic droit sur le nom de votre
étendue. Vous aurez accès à des options supplémentaires qui peuvent être
intéressantes :

Propriétés d’une
étendue
Ce premier onglet n’est pas forcément très intéressant, car ce sont les paramètres de
votre étendue que vous venez de configurer. Les deux autres onglets en revanche, eux,
sont nouveaux :

 L’onglet DNS permet de gérer la mise à jour des enregistrements DNS à

chaque fourniture de configuration. Cette option est très pratique pour obtenir
une association IP<->nom qualifié de vos clients DHCP. Attention, il est possible
que le serveur DHCP puisse écraser les enregistrement DNS existants, c’est
pourquoi il peut être intéressant de mettre en place la protection des noms.
À noter l’option “Toujours mettre à jour dynamiquement les enregistrements DNS”
qui n’est pas celle par défaut. Il peut toutefois être intéressant de créer un
enregistrement DNS dès qu’une IP est fournie.
 L’onglet Avancé permet de choisir si seul le protocole DHCP sera utilisé, ou si le
protocole BOOTP sera utilisé (ou les deux) ! Par défaut, seul DHCP est utilisé.
BOOTP permet de fournir toutes les options de démarrage à un client. Dans
certains cas, ce protocole peut être très pratique. Vous retrouvez ici le retard de
 réponse que le serveur peut inclure avant de fournir une réponse à un client
demandant une configuration !
Autorisez les flux du serveur DHCP
Afin de fonctionner correctement, il vous reste une dernière étape à mettre en
œuvre : autoriser les flux au niveau du pare-feu Windows. Pour cela, rendez-vous
dans les outils d’administration (dans le menu Démarrer) et ouvrez le “Pare-feu
Windows avec fonctions avancées de sécurité”. Créez une “Règle de trafic entrant”
en spécifiant le protocole UDP sur les ports 67 et 68, puis autorisez ce flux et nommez
la règle (par exemple Serveur DHCP). Vous avez mis en œuvre un serveur Windows
avec un rôle de serveur DHCP. Félicitations !

Si vous souhaitez utiliser du multicast, il vous faudra également ouvrir le port UDP 2535.
Diagnostiquez un problème sur votre DHCP
Ah, le diagnostic… Il peut arriver que votre serveur devienne capricieux et ne fournisse
plus de configuration IP. Pour cela, la première chose à faire est d’aller voir au niveau
deux des baux :

 Est-ce qu’il reste des baux disponibles ?

 Est-ce qu’il n’y a pas eu deux offres de configuration identiques distribuées ?
 Est-ce que mes flux sont vraiment ouverts et mon serveur joignable sur le
réseau ?
Pour cela, il vous suffit de vous rendre dans la partie Baux d’adresses du
gestionnaire DHCP.

Dans certains cas, le problème peut être plus profond ; à ce moment il vous faudra sortir
votre observateur d’événements. Vous verrez qu’un nouveau journal sera disponible :

Nouveau journal Serveur DHCP

Redondez votre serveur DHCP
Il est possible de mettre en place deux serveurs DHCP fournissant une étendue
unique. L’intérêt : assurer la haute disponibilité du rôle. Pour cela, créez un nouveau
serveur disposant du rôle Serveur DHCP sans aller plus loin (pas d’étendues), puis
faites un clic droit sur le nom de votre serveur dans le gestionnaire DHCP sur IPv4, et
choisissez “Configurer un basculement” :

Configurez un
basculement
Ainsi, les bases de données seront synchronisées et les configurations fournies seront
suivies non plus par un serveur, mais deux.

Les propriétés de votre serveur DHCP

Si vous cliquez sur IPv4 et affichez les propriétés, vous allez voir, comme pour votre
étendue, qu’il est possible d’aller plus loin dans la configuration de votre rôle :
 Propriétés IPv4
Vous avez la possibilité de mettre en place des statistiques de façon automatique, ce
qui vous permettra d’observer à intervalles réguliers si votre serveur répond
correctement, si les clients formulent des requêtes cohérentes, et l’occupation de votre
étendue :

Statistiques
d’un serveur DHCP
Voilà, vous savez presque tout sur le rôle DHCP ! Je vous laisse expérimenter toutes les
possibilités offertes par Microsoft à ce sujet, car elles pourraient nécessiter un cours à
part entière.

Allez plus loin

 La RFC2131 sur DHCP (US).
 Les nouveautés du rôle.
 Le guide d’installation Microsoft (US).
En résumé
 Le rôle Serveur DHCP permet de simplifier la configuration de clients au sein
d’un réseau.
 Tous les paramètres et options sont accessibles via un assistant simplifiant la
prise en main et la mise en route.
 Microsoft permet d’augmenter la sécurité via la mise en redondance de deux
serveurs disposant du rôle de Serveur DHCP.

Installez un serveur DNS

Dans ce nouveau chapitre, je vous propose d’installer le rôle de Serveur DNS sur un
serveur. Ce rôle est primordial pour de nombreux autres rôles (Active Directory, pour ne
citer que le plus utilisé). Il permet d’associer un nom qualifié à une adresse IP.
D’ailleurs, c’est sur ce protocole que se base le Web tel que nous le connaissons
aujourd’hui.

L'adresse IP citée dans la vidéo a changé depuis le tournage. Il s'agit maintenant de

l'adresse 107.180.40.145.
Rappelez-vous les fondamentaux de DNS
DNS est l'abréviation de Domain Name Service/System. Il s’agit d’un protocole qui
permet d'associer un nom à une adresse IP.
Un client (souvent le navigateur web) envoie une demande pour connaître l’adresse IP
du serveur web correspondant à l’adresse que vous avez entrée.

Par exemple, si vous allez sur www.exemple.com, votre navigateur doit demander
quelle est l’adresse IP du serveur nommé www dans la zone DNS exemple.com.

Pour cela, il va envoyer une requête au serveur DNS configuré sur votre poste, et faire
une demande de type A concernant www.exemple.com. Si votre serveur DNS ne
connaît pas la réponse, il va alors se tourner vers un autre serveur DNS (souvent ce
sera l’un des serveurs racines (Root Servers) gérant les enregistrements de la zone “.”.

Dans cette zone particulière sont référencés les serveurs des zones “.com”, “.fr”, et
d’une manière plus générale, ".extension du nom de domaine”.
Alors votre serveur interrogera en retour le serveur de nom de la zone ".com" à la
recherche du serveur DNS de la zone ".com", et la mécanique recommencera à la
recherche de la zone exemple.com qui renverra, à ce moment-là,
l'enregistrement A correspondant au champ www de sa zone : vous devriez avoir l’IP
107.180.40.145.

Schéma de fonctionnement du DNS

Installez le rôle Serveur DNS
Maintenant, je vous propose d’installer le rôle DNS sur un serveur Windows. Pour cela,
comme vous le savez, rendez-vous sur le gestionnaire de serveur et ajoutez un rôle. À
la sélection du rôle, Microsoft vous propose comme pour le DHCP, des fonctionnalités
obligatoires :
 Fonctionnalités obligatoires du
rôle Serveur DNS
Ensuite, vous avez des informations sur ce rôle, qui vous présentent le fonctionnement
général (avec le lien au DHCP) et une configuration possible, préconisée par Microsoft,
à savoir l’intégration à l’Active Directory. Cela permet de bénéficier du mécanisme de
réplication de l’AD pour simplifier la réplication des zones sur les serveurs AD (qui se
doivent d’avoir le rôle Serveur DNS pour fonctionner) :
Informations sur le rôle Serveur DNS de l’assistant d’installation
Validez les informations finales et lancez l’installation en cliquant sur “Installer”. Vous
maîtrisez l’assistant maintenant, non ?

Cette fois il n’est pas nécessaire de redémarrer. Cette étape dépend des rôles, et vous
serez averti par les notifications sur le tableau de bord si un redémarrage est
nécessaire.
Tableau de bord après installation du rôle Serveur DNS
Si vous allez sur le tableau de bord de votre serveur, vous pourrez noter à quel point le
nommage est primordial ! J’ai volontairement laissé le nom que j’ai positionné sur le
serveur lors de l’installation du rôle DHCP, voyez la confusion possible pour
l’administrateur :

Rôle DNS installé sur SRVDHCPPAR01

Soyez vigilant : il n'est pas logique d’avoir un nom ne reflétant pas le rôle du serveur.
Attention toutefois, si votre serveur est accessible de l’extérieur de votre réseau, le fait
de connaître, via son nom, son rôle, est une information critique. Entre les mains d’un
pirate informatique, cela permet d’accélérer les recherches de vecteurs d’attaque. Il
conviendra de correctement configurer le DNS pour éviter de faire fuiter de telles
informations.
Maintenant que vous avez installé ce rôle, je vous propose de travailler sur sa gestion !
Gérez le service DNS
Tout comme le gestionnaire DHCP, il existe le gestionnaire DNS. Cette console dédiée
à l’administration du rôle DNS permet de créer les différentes zones nécessaires au
fonctionnement du DNS.

Gestionnaire DNS
La maîtrise des noms est un domaine souvent pris à la légère. Rappelez-vous
que 100 % des requêtes vers Internet passent par le DNS.
Avant de créer votre première zone directe, il faut savoir comment un serveur DNS
fonctionne : à chaque requête d’un client, la réponse va être mise en cache localement.
Ce cache permettra à votre serveur, après avoir récupéré l’adresse IP du serveur
www.exemple.com, de répondre plus rapidement sans avoir à relancer une requête
récursive aux serveurs “root”, ainsi qu'au serveur de la zone “exemple.com”. Ce cache
doit être géré.

Pourquoi ce cache doit-il être géré ?

Eh bien, tout simplement pour éviter de garder en mémoire
l’association www.exemple.com vers l’IP 107.180.40.145.

Eh oui, si l’administrateur de ce serveur décide de changer d’adresse IP, il serait

dommage de ne plus pouvoir accéder à www.exemple.com.
Attention donc à régler le cache à une valeur ni trop faible, ni trop forte.
Par défaut, cette valeur est d’une journée (24 h) pour les réponses positives (une
adresse IP au moins existe pour un nom qualifié) et de 15 minutes pour les réponses
négatives. Pour afficher ces informations, ouvrez PowerShell et tapez la
commande Get-DnsServerCache :

Configuration de cache du serveur DNS

Nous reviendrons dans la dernière partie de ce cours sur l’utilisation de PowerShell.
Utilisez l’aide en ligne de Microsoft pour modifier ces valeurs.

Enfin, vous allez vous assurer que le rôle DNS est correctement configuré. Dans le
gestionnaire DNS, avec un clic droit sur le nom du serveur, choisissez “propriétés” :
 Propriétés du serveur
DNS
C’est exactement ce point qu’il faut vérifier.

Sur quelle interface écoute le service DNS ?

Par défaut, il écoutera les requêtes DNS sur toutes les interfaces. Si vous avez un
réseau d’administration, il peut être intéressant de ne pas écouter les requêtes sur ce
réseau. Je vous propose donc de sélectionner uniquement l’IP fixe que vous avez
configurée dans le premier chapitre.

Dirigez-vous sur l’onglet Indication de racine. Allez vérifier que votre serveur connaît les
serveurs racines. Ce seront les serveurs qui seront contactés pour identifier une
réponse à www.exemple.com, par exemple.
 Serveurs racines
connus de votre serveur DNS
Vous allez me dire, comment faire pour tester votre serveur DNS ? Il devrait être en
mesure de répondre à n’importe quelle demande avec ces serveurs ?
Ouvrez, sur votre serveur, une invite de commande (un Shell). Tapez la
commande nslookup - 10.0.2.15 (où 10.0.2.15 est l’adresse IP de l’interface réseau
de votre serveur). Vous entrez alors dans un client DNS interactif, en lien avec votre
serveur ! Testez www.exemple.com :

nslookup - 10.0.2.15

Serveur par défaut : UnKnown

> www.exemple.com

Serveur : UnKnown
Réponse ne faisant pas autorité :

Nom : www.exemple.com

Addresses : 2606:2800:220:1:248:1893:25c8:1946

107.180.40.145
Comme votre serveur n’est pas le gestionnaire de la zone exemple.com, il interroge
récursivement les serveurs racines, puis le serveur DNS de la zone exemple.com. La
réponse que votre serveur vous fournit ne fait pas autorité, car votre serveur la tient d’un
autre serveur.

Comment avoir des réponses faisant autorité ?

En disposant d’une zone DNS ; ça tombe bien, c’est ce que vous allez mettre en place !

Mettez en place votre première zone directe

Une zone directe permet d’associer un nom à une adresse IP, c’est bien plus simple
pour nous, humains, de se rappeler d’un nom ; surtout qu’une adresse IP peut changer
avec le temps, comme par exemple, lors d’un changement de fournisseur d’accès.
La première étape consiste à choisir un nom de domaine. Je vous propose de prendre
une zone privée.

Prenez le cas suivant : suite à la configuration du DHCP, la direction de Gift S.A. vous
demande de trouver un moyen de nommer les différents équipements et services sur le
réseau. Le directeur en a marre de devoir taper l’adresse IP 10.0.2.10 pour accéder à
l’intranet. Vous allez donc créer une zone directe pour le domaine “gift.sa” et y placer
un enregistrement A faisant pointer intranet.gift.sa vers 10.0.2.10. Ainsi votre
directeur pourra tranquillement taperhttps://intranet.gift.sa au lieu de l’adresse IP,
mission réussie !
Pour cela, vous disposez (encore) d’un assistant. Cliquez sur Action en haut de votre
écran puis sélectionnez “Nouvelle zone...”.

Après l’écran de bienvenue, vous devriez avoir l’écran suivant :

 Assistant de
configuration d’un serveur DNS
Le premier choix est parfait, c’est ce que vous voulez faire. Validez ce choix par
“Suivant”, jusqu’à arriver sur la page du nom de la zone : il s’agit de “gift.sa”, dans le
cas présent. Puis la création du fichier de zone (et son emplacement sur votre serveur).
Arrive ensuite la question des mises à jour dynamiques.

Cette option est à prendre avec des pincettes, car elle permet à un client de mettre à
jour des enregistrements. Mal configurée, cette option permettrait à un utilisateur
malveillant de changer vos enregistrements pour les envoyer vers l’adresse IP d’un
serveur qu’il gère, et pourrait mener à une campagne de fuite d’informations… Attention
donc !
 Gestion de
la mise à jour dynamique des enregistrements DNS
Votre zone est créée, allez voir maintenant son contenu, en cliquant sur “Terminer” puis
en dépliant “Zones de recherche directes” :

Zone de recherche directe “gift.sa”

Votre zone ne contient que deux enregistrements qui permettent d’identifier le serveur
faisant autorité (SOA), et le serveur de noms (NS). Il serait intéressant de créer votre
enregistrement intranet demandé par la direction. Pour cela, un clic droit dans la fenêtre
de droite (ou sur le nom de la zone) et sélectionnez “nouvel hôte A ou AAAA”. Les
enregistrements A sont pour les IPv4 et les AAAA pour les IPv6. Entrez le nom de
l’hôte au sein de la zone (“intranet” donc) et l’adresse IP associée :
 Créer un enregistrement A
Vous avez ici la possibilité de créer un PTR, vous verrez cela dans la section suivante,
d’ici quelques minutes ; ne cochez pas cette case et validez via “Ajouter un hôte”. Vous
remarquerez le champ (non modifiable) du nom de domaine pleinement qualifié (fully
qualified domain name – FQDN), il comporte un “point” à la fin qui représente la zone
racine (root), suivi de l’extension “sa” puis du domaine “gift”. Le nom qualifié de l’intranet
est donc “intranet.gift.sa.”

Pour vérifier que votre enregistrement est correctement créé, relancez une invite de
commande et tapez la commande nslookup intranet.gift.sa 10.0.2.15 pour
demander de quelle adresse IP dispose l’hôte “intranet.gift.sa” au serveur 10.0.2.15 :
>nslookup intranet.gift.sa 10.0.2.15
Server : UnKnown
Address: 10.0.2.15

Nom : intranet.gift.sa
Address : 10.0.2.10
Voilà, vous savez créer des enregistrements A sur une zone directe ! Vous allez pouvoir
nommer tous vos équipements ou serveurs avec des noms et arrêter d’utiliser les
adresses IP.

Découvrez les autres types d’enregistrements

Avant de passer à la zone inversée, je vous propose de voir quelques éléments
supplémentaires. Le DNS permet de répondre à une requête d’un client, le type A
permet de demander une adresse IP à partir d’un nom, mais de nombreux autres types
sont disponible, comme NS qui permet de connaître le serveur de noms. Sous
Windows, vous pouvez effectuer des requêtes sur différents types avec l’option set
type=XXX , où XXX est le type demandé.
Un autre type est le SOA (Start Of Autority), permettant de savoir quel serveur fait
autorité sur une zone.
>nslookup - 10.0.2.15
Serveur par défaut : UnKnown
Address: 10.0.2.15

>set type=SOA
>gift.sa
Serveur : UnKnown
Address: 10.0.2.15

gift.sa
primary name server = srvdhcppar01
responsible mail addr = hostmaster
serial = 2
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 3600 (1 hour)

>set type=NS
>gift.sa
Serveur : UnKnown
Address: 10.0.2.15

gift.sa nameserver = srvdhcppar01

Un autre type est le CNAME qui permet d’associer un nom à un nom.

Cela peut être pratique pour donner un nom à un serveur en pointant sur le nom du
service. Par exemple, cela peut être intéressant d’avoir un nom différent pour
administrer l’intranet, mais il peut être long de taper “intranet.gift.sa” lorsque l’on
administre ce service. Alors un CNAME “int.gift.sa” pointant sur intranet.gift.sa permet
de résoudre ce problème :
>set type=CNAME
>int.gift.sa
Serveur : UnKnown
Address: 10.0.2.15

int.gift.sa canonical name = intranet

Il existe de nombreux types, les plus connus
étant NS, SOA, A, AAAA, CNAME, TXT, MX (Mail eXchange pour les serveurs de
messagerie). La méthode à mettre en œuvre est la même, quel que soit le type.

Mettez en œuvre votre première zone inversée

Maintenant que vous disposez d’une zone directe, ne serait-ce pas intéressant de créer
une zone inversée ? C’est une association d’une adresse IP à un nom, en somme
l’inverse de la zone directe. Cela permet de confirmer que le nom choisi dans une zone
directe est bien associé à l’adresse IP, et donc d’interroger un DNS sur une adresse IP,
si vous changez l’adresse du serveur DNS configuré sur votre serveur DNS, ici, dans la
zone Serveur DNS préféré :
 Configuration de votre serveur
DNS comme serveur DNS de votre serveur
Toutes les requêtes de nom seront alors envoyées à votre serveur. Ouvrez alors une
invite de commande et tapez ping intranet.gift.sa :
C:\Users\Administrateur>ping intranet.gift.sa

Envoi d'une requête 'ping' sur intranet.gift.sa [10.0.2.10] avec 32 octets de

données :
Ctrl+C
^C
C:\Users\Administrateur>ping 10.0.2.10
Envoi d'une requête 'ping' 10.0.2.10 avec 32 octets de données :
Ctrl+C
^C
Le nom intranet.gift.sa est bien résolu (par la zone directe) en 10.0.2.10, mais l’inverse
ne se fait pas ! Il vous faut créer une zone inversée.

Pour cela, rendez-vous sur le Gestionnaire DNS et avec un clic droit sur la partie “zone
inversée”, sélectionnez “Nouvelle zone” ; après l’écran d’accueil, vous devriez arriver
sur l’écran suivant :
 Création d’une
zone inversée
Là encore, vous disposez de différents types de zones en fonction du niveau de maîtrise
que vous souhaitez. Nous n’aborderons ici que le type principal. L’écran suivant vous
propose de choisir entre IPv4 et v6.

Idem, ici restez sur IPv4. Ensuite, vous n’avez plus qu’à entrer l’ID de votre réseau. Il
s’agit des octets de l’adresse IP représentant votre réseau et enfin, le nom du fichier de
zone vous sera proposé et à nouveau la mise à jour dynamique (idem, on refusera les
mises à jour dynamiques) :
 Id de réseau

Finalisation de la
création de la zone inversée
De la même façon que pour une zone directe, vous n’avez que deux enregistrements
par défaut :

Zone inversée
Ajoutez un enregistrement de type PTR pour intranet.gift.sa (vous pouvez parcourir
votre zone directe avec l’assistant de création d’enregistrement PTR pour être certain de
pointer vers le bon nom !). Entrez l'adresse IP (enfin, juste le dernier octet), et vous
obtenez votre premier enregistrement :

Enregistrement PTR
Pour tester la résolution de ce type avec un ping , ajoutez -a à votre ligne de
commande.
C:\Users\Administrateur>ping -a 10.0.2.10

Envoi d'une requête 'ping' sur intranet.gift.sa [10.0.2.10] avec 32 octets de

données :
Ctrl+C
^C
Voilà, vous avez maintenant un serveur DNS configuré pour simplifier la gestion du
réseau de votre entreprise Gift S.A. Si vous souhaitez diagnostiquer le fonctionnement
de votre serveur DNS, reprenez les méthodes et outils énoncés dans le chapitre
précédent, ils restent valables pour tous les rôles et fonctionnalités !

Une dernière chose

Avant de vous laisser configurer d’autres rôles, il reste quelques configurations à mettre
en œuvre. La première est le transfert de zone. Cette fonctionnalité est intéressante
dans le cas où vous avez plusieurs serveurs pour une même zone (ce qui est une
bonne chose), mais peut se montrer dangereuse si vous exposez votre serveur DNS
publiquement.

Un transfert de zone contient tous les enregistrements d’une zone et permet donc de
retrouver facilement toutes les adresses IP de vos équipements ; un attaquant pourrait
s’en servir contre vous.
Pour cela, faites un clic droit sur le nom de votre zone, allez dans l’onglet “Transfert de
zone” et refusez les transferts, ou listez les serveurs de confiance que vous
allez autoriser à récupérer vos enregistrements ! Une bonne pratique consiste
également à journaliser toutes les transactions DNS, mais cela vous le verrez en détail
dans les cours concernant la surveillance d’un système :
 Paramétrage des
transferts de zone
Enfin, vous pouvez lancer le BPA de Microsoft sur ce rôle, pour vous assurer que votre
configuration respecte les bonnes pratiques de Microsoft.

N’oubliez pas d’autoriser le port UDP 53 sur votre pare-feu, sinon votre serveur DNS ne
sera pas accessible sur le réseau ; rappelez-vous, vous avez activé le pare-feu pour
bloquer tous les flux n’étant pas couverts par une règle de flux entrant !

Allez plus loin

 RFC régissant le fonctionnement du DNS.
 Cours sur TCP/IP abordant le DNS.
 Liste des différents types d’enregistrements DNS.
 Gestion du cache DNS Microsoft.
En résumé
 Le rôle DNS de Windows Server permet de créer des zones directes et
inversées.
 Le serveur DNS permet de résoudre des noms en adresses IP et des
adresses IP en noms.
  Le transfert de zone doit être restreint aux serveurs de
confiance uniquement.
 Un serveur DNS s’interroge à l’aide de la commande nslookup ou via les
navigateurs web (entre autres).

Installez un serveur de fichiers

Un des rôles les plus courants pour un serveur Windows est le serveur de fichiers.
Grâce à ce rôle, vous allez pouvoir mettre à disposition en toute sécurité des fichiers sur
votre réseau. Vous pourrez gérer des droits d’accès (lecture, écriture, modification…).
Fournir ce type de rôle dans un réseau permet de centraliser le point de stockage des
fichiers, facilitant ainsi la sauvegarde, la restauration, et permettant à plusieurs
personnes de travailler ensemble sur un même fichier.

Rappelez-vous les fondamentaux du partage de fichiers

Pour qu’un fichier soit accessible sur votre réseau, un protocole doit être utilisé. Sous
Linux, il s’agit majoritairement du NFS (Network File System). Sous Windows, il est
possible d’utiliser ce protocole, mais il n’est pas aussi intégré au système que l’est le
protocole SMB, aussi appelé CIFS. SMB pour Server Message
Block et CIFS pour Common Internet File System.
Ce protocole se caractérise par un client natif intégré à Microsoft Windows et un serveur
que vous allez installer et configurer. Il se base sur NTFS pour la gestion des droits
d’accès et les partages sont accessibles via un chemin universel (UNC – Universal
Naming Convention) du type \\serveur\partage .
Si SMB peut vous faire penser à SAMBA (souvent rencontré sous Linux), c’est
totalement normal, SAMBA est une implémentation open source du protocole
propriétaire SMB de Microsoft. Vous pourrez donc partager vos fichiers via SMB et y
avoir accès sur vos clients Linux.

Ceci étant dit, je vous propose d’entrer dans le vif du sujet !

Installez le rôle Serveur de fichiers

Sur votre gestionnaire de serveurs, vous avez sûrement observé la présence d’un
rôle dont nous n’avions pas parlé, alors qu’il était déjà installé : le rôle Serveur de
fichiers et de stockage :
Rôle Serveur de fichiers et de stockage installé par défaut
En effet, pour stocker des fichiers, il convient de gérer le stockage. Le mieux étant de
mettre en œuvre un disque dédié à cet effet (ou plusieurs). Je vous propose donc de
créer deux disques de 10 Gio sur votre machine virtuelle.

Pour cela, éteignez votre machine virtuelle et rendez-vous sur le menu de VirtualBox
dans l’option “Machine”, puis sélectionnez “Paramètres”. Au passage, vous avez vu
que Windows vous demande un motif pour l’arrêt de votre serveur :

Motif d’arrêt et redémarrage d’un

serveur
Cela permet d’identifier la raison de l’arrêt. En effet, si vous arrêtez votre serveur, ses
rôles, fonctionnalités et services deviennent indisponibles. Il convient alors de s’assurer
que cela est dû à une maintenance programmée ou à un événement non planifié. Cela
permettra d’identifier clairement cet arrêt comme étant programmé et légitime, et donc
de basculer ce temps d'indisponibilité dans les temps de maintenance.

Vous en saurez plus dans le cours Supervision. Je vous propose donc de choisir le motif
“Système d’exploitation : reconfiguration (planifiée)”.
Rendez-vous dans la section “Stockage”, et sur votre contrôleur ajoutez deux nouveaux
disques :

Ajout de deux disques virtuels à votre serveur

Redémarrez votre serveur et rendez-vous à nouveau dans l’espace Serveur de fichiers
et de stockage ; vous devriez voir les deux disques nouvellement installés :
Deux nouveaux disques
La direction de Gift S.A. vous demande de mettre en place un partage réseau, afin de
travailler à plusieurs sur le nouveau prototype d’un objet révolutionnaire. Il convient donc
de sécuriser ces données. Pour cela, je vous propose de mettre en œuvre
un RAID logiciel.

Je vous invite, si vous ne l’avez pas déjà fait, à suivre le cours Montez un serveur de
fichiers sous Linux, pour comprendre comment fonctionne le RAID sous Linux, dont la
logique est presque la même que sous Windows Server :

 Vous devez dans un premier temps initialiser vos disques physiques en

faisant un clic droit sur les disques dans la fenêtre actuelle ;
 Puis créez un pool de stockage dans la partie correspondante. Ce pool va
permettre de regrouper les disques et de créer des disques virtuels qui pourront
avoir des capacités de redondance (miroir) ou de parité (intégrité des données),
afin d’augmenter la sécurité ;
 Puis créez un disque virtuel.
Hormis la première étape, toutes les étapes se font dans la partie “Pool de stockage” :
Création d’un pool de stockage et d’un disque virtuel.

Le pool est fin prêt

Sélectionnez ensuite votre pool de stockage et créez un disque virtuel. Pour le cas de
Gift S.A., je vous propose de partir sur un miroir simple qui utilisera les deux disques
pour stocker les données (les fichiers seront écrits en simultané sur les deux disques, la
perte d’un disque est transparente !).
Création d’un disque virtuel
Ensuite, vous devrez choisir le mode d’approvisionnement de l’espace. Pour cela, deux
options existent, fin ("thin" en anglais) et fixe. Dans ce dernier cas, fixe, l’espace total
du volume est proposé ; dans le cas de l’approvisionnement fin, vous fixez la taille.

L’avantage est qu’il est possible de fournir un espace réduit puis de pouvoir
l’augmenter par la suite. Il est également possible d’afficher plus d’espace que
réellement disponible physiquement.
Approvisionnement de l’espace disque
Finalisez la création de ce disque, et créez le volume qui accueillera vos données et se
présentera avec une lettre de lecteur, ainsi qu’un système de fichiers (NTFS par défaut).

Pour ma part, j’ai mis en œuvre un disque virtuel en miroir en approvisionnement fin
de 1 To (oui, à partir de mes deux disques de 10 Gio).

Nouveau disque de données de 1 To en miroir sur les deux disques physiques de 10

Gio.

Volume associé au disque virtuel de 1 Tio

L'approvisionnement fin est pratique pour anticiper les besoins. Il autorise une certaine
souplesse dans l’approvisionnement d’espace.
Sachez que vous aurez de toute façon une alerte dès que vous aurez atteint 70 % de
l’espace physique réel. Il vous faudra à ce moment-là ajouter de nouveaux disques
physiques afin de fournir le stockage nécessaire.
Je vous propose donc de rester raisonnable, avec 10 Gio de disque virtuel en miroir :

Volume de données avec 10 Gio en miroir sur les

deux disques physiques
Je vous propose d’en rester là pour la gestion du stockage, le fonctionnement étant
globalement le même que sous Linux.

Créez votre premier partage

Maintenant que vous avez votre support pour vos données, il vous faut un dossier pour
stocker les différents fichiers. Rendez-vous dans la partie “Partages”, puis dans l’encart
“Ressources partagées” :

Ressources partagées
En cliquant sur le lien, vous aurez la possibilité de créer un nouveau partage.

Vous avez le choix entre 5 propositions via l’assistant de création de partages :

Choix du mode de partage
 SMB rapide : le plus simple, vous fournissez un partage sur votre réseau via
SMB ;
 SMB avancé : permet d’aller plus loin que le précédent en gérant des quotas et
des droits avancés ;
 SMB Applications : utilisé pour Hyper-V et les bases de données ou autres
serveurs ;
 NFS rapide : identique à SMB simple mais via NFS (avec donc une meilleure
compatibilité avec Linux) ;
 NFS avancé : idem SMB avancé.
Je vous propose de rester sur SMB rapide. Il vous est ensuite demandé le chemin
d’accès et le nom du partage (ce qui se trouvera après serveur\ dans le chemin UNC
suivant : \\serveur\partage ). Je vous propose de l'appeler “Sensible”.

Vous remarquerez alors que Windows créera ce répertoire dans un répertoire “Shares”
qui accueillera tous les partages de ce volume. De même, l’accès via un chemin UNC
est affiché \\SRVDHCPPAR01\Sensible .
Je vous le redis, pour être sûr que vous vous en rappeliez dans votre pratique pro, le
nommage du serveur est vraiment important.
Enfin, il vous sera proposé de configurer les paramètres de votre partage avec une
option cochée par défaut : Autoriser la mise en cache du partage.
Il s’agit là d’une nouvelle fonctionnalité depuis Windows Server 2012, qui permet de
synchroniser le partage sur un poste et de vous fournir un accès à vos données, même
si le serveur n’est plus accessible.
L’activation de l’énumération basée sur l’accès permet de n’afficher dans
l’explorer Windows que les partages auxquels l’utilisateur a accès. C’est une option
intéressante qui permet de masquer un partage sensible aux utilisateurs ne disposant
d’aucun droit sur les données en question ; je vous propose d’activer cette option.

Paramètres de partage
Enfin, la dernière et peut-être la plus importante, la possibilité de chiffrer l’accès aux
données.

Il ne s’agit que du chiffrement de l’accès au données et non du chiffrement des données

elles-mêmes.
Ensuite, vous devez choisir des utilisateurs (ou mieux, des groupes) qui pourront
disposer d’accès spécifiques en fonction de leurs besoins, par exemple pour le
“Principal” utilisateur authentifié, les droits peuvent être "Lecture seule" :
Autorisations pour Sensible
Une fois que vous avez terminé avec l’affectation des droits (qui est beaucoup plus
simple, couplée à un Active Directory), vous pouvez valider. Vous avez alors un
récapitulatif des paramètres choisis :
Paramètres du partage
Et voilà, votre partage est disponible via \\SRVDHCPPAR01\Sensible (à modifier avec le
nom de votre serveur).
Accédez à votre partage
Pour cela, rien de plus simple sous Windows, un client SMB est intégré à l’explorer, il
suffit d’entrer le chemin UNC du partage dans la barre d’adresse, et Windows vous en
affiche le contenu :
Accès au partage Sensible
Par défaut, l’administrateur n’est pas obligatoirement libre de gérer les fichiers, il peut ne
pas avoir accès aux données de “Sensible” s’il n’en a pas le besoin. Il pourra tout de
même effectuer ses tâches d’administration sans pouvoir voir le contenu des données !

Accès refusé pour

l’administrateur local sur le dossier “Sensible”
Il ne vous reste plus qu’à autoriser les flux sur votre pare-feu pour fournir l’accès à
votre serveur de fichiers. Vous utilisez le protocole SMB, il faut donc ouvrir le port
445/TCP à destination de votre serveur sur votre réseau.

Allez plus loin

Je vous invite à regarder de près les possibilités de mise en cluster. Cela vous
permettra d’avoir plusieurs serveurs pour héberger votre partage, ainsi vous
augmenterez la disponibilité de vos données.
Vous trouverez également des informations utiles dans le cours Installez et déployez
Windows 10 sur les espaces de stockage, qui fonctionnent globalement de la même
façon sous Windows 10.

En résumé
 Le serveur de fichiers est un rôle par défaut qui n’est pas complètement
installé ; il faut terminer l’ajout de certaines fonctionnalités afin de pouvoir mettre
en place un partage.
 Il existe deux grands types de protocoles disponibles, SMB et NFS, l’un
propriétaire Microsoft, l’autre plutôt orienté vers le monde Unix, avec notamment
une implémentation sous Linux et MacOS.
 Il est possible de chiffrer l’accès aux données via SMB.
 Windows Server met en œuvre une virtualisation des disques afin de faciliter
la sécurisation en miroir ou la parité, pour garantir la fiabilité d’un partage.

Installez un serveur d’accès au réseau

Dans ce dernier chapitre, je vous propose de mettre en œuvre un rôle trop souvent
oublié : le contrôle d’accès au réseau. Microsoft propose ce rôle, afin de vous
permettre de maîtriser quels équipements peuvent accéder à vos ressources en réseau.

Imaginez que votre direction vous demande de sécuriser l’accès au partage, mais avec
un accès Wi-Fi (vulnérable de conception). Eh bien, grâce à ce rôle, vous allez pouvoir
maîtriser votre Wi-Fi afin de le fournir de façon maîtrisée à votre direction !
Installez les services de stratégie et d’accès réseau
Le rôle de serveur d’accès au réseau s’installe via les services de stratégie et d’accès
au réseau.
Assistant des services de stratégie et d’accès réseau
Dénommés NPS (Network Policy Server), ces services assurent le contrôle d’accès à
votre réseau comme il vous est dit ; ce serveur agit comme un
serveur RADIUS (Remote Authentication Dial-in User Service) qui est un protocole
permettant justement de vérifier l’identité d’un client, ses droits, et de lui fournir un
service (tel que l’accès à un réseau), s’il dispose de tels droits.

NPS peut aussi servir de proxy RADIUS, mais je vous propose de rester sur sa fonction
première : le serveur RADIUS.
Services de stratégie et d’accès au réseau installé
Installez ce rôle (en toute logique, vous ne devriez pas avoir besoin de redémarrer votre
serveur). Sélectionnez votre serveur. Ici j’ai nommé mon serveur SRVNACPOI01 : c’est
un serveur SRV, pour le contrôle d’accès au réseau NAC (Network Access Control ), et
il est le premier (01) serveur situé à Poitiers (POI). Faites un clic droit sur la ligne
correspondant à votre serveur et sélectionnez “Serveur NPS” :

Console de gestion du serveur NPS

Petite information supplémentaire sur les éditions de Windows Server concernant
RADIUS. La version Standard de Windows Server permet de gérer
“seulement” 50 clients RADIUS, alors que la version Datacenter ne restreint pas le
nombre de clients ; cela permet de préciser vos critères de choix d’une édition de
Windows Server, et donc de dimensionner votre réseau avec précision.
Avant de vous lancer dans l’implémentation de votre contrôle d’accès au réseau, il vous
faut maîtriser la terminologie et le fonctionnement de RADIUS (commun à tous les
protocoles d’accès).

Rappelez-vous les fondamentaux du contrôle d’accès

Avant tout, il faut identifier les clients. Il faudra donc avoir un client prenant en charge le
protocole RADIUS ; l’avantage ici, c'est l’utilisation des technologies Microsoft : vous
retrouverez des clients natifs pour chaque rôle de serveur.

C’est donc le cas ici, un poste Windows 10 Professionnel sera donc en mesure
d’interroger un serveur RADIUS. À ceci près que le poste client ne sera pas le client
RADIUS. En effet, il ne va pas directement demander au serveur d'accès s’il peut
accéder au réseau. Pour cela, il devra s’appuyer sur un tiers qui, lui, consultera le
serveur RADIUS.

Voici un schéma de fonctionnement du rôle d’accès au réseau de Microsoft.

Illustration (issue
du site de Microsoft) concernant le fonctionnement de RADIUS au travers du serveur
NPS de Windows Server
Le poste client sera donc un suppléant (dans la terminologie RADIUS). Le client
RADIUS est alors l’équipement qui fournira l’accès au réseau. Cela peut être un
commutateur, un point d’accès Wi-Fi ou un serveur d’accès distant ou VPN.
Comme je ne souhaite pas que vous soyez obligé d’investir dans du matériel, je vous
propose de comprendre le fonctionnement au travers, non pas de la mise en œuvre
sous Windows, mais via Packet Tracer. Packet Tracer est un outil Cisco, gratuit, qui
permet de comprendre rapidement le fonctionnement de RADIUS.

Initiez-vous à Packet Tracer !

Maquettez le contrôle d’accès au réseau
Lancez Packet Tracer et placez 4 équipements :

 Un serveur générique ;
 Un commutateur 2960 ;
 Un PC portable ;
 Un point d’accès Wi-Fi WRT300N.
Connectez votre serveur (FastEthernet0) au commutateur (n’importe quel port), puis le
port “Internet” du point d’accès à ce même commutateur.

Il reste maintenant quelques étapes à mettre en œuvre :

Configurer la couche IP sur l’AP (point d’accès Wi-Fi) et sur le serveur ;

 Configurer la partie Serveur RADIUS sur le serveur ;
 Configurer le client RADIUS sur le point d’accès ;
 Mettre une carte Wi-Fi sur le PC portable.
Commençons par le serveur, qui est le plus simple :
Architecture RADIUS simulée
Puis par le point d’accès Wi-Fi en y insérant les configurations réseau ci-dessous :
Configuration IP du serveur
Maintenant que les configurations IP sont opérationnelles sur ces deux équipements,
passez à la configuration du serveur et du client RADIUS :

La configuration du client RADIUS est très simple, il suffit de spécifier l’adresse IP du

serveur RADIUS et de définir un secret (comme vous voulez sécuriser l’accès Wi-Fi,
cela se passe dans la partie “Wireless”) :
Configuration du client RADIUS
Maintenant, passez à la configuration (très simplifiée dans ce simulateur) du serveur
RADIUS, rendez-vous dans la partie “Services”, puis AAA.

Au passage, AAA signifie Authentication, Authorization, Accounting/Auditing. Ce

protocole est la base du protocole RADIUS !
Entrez tout d’abord les informations sur le client RADIUS : un nom, son IP et
le secret que vous avez entré sur le client :
Configuration du serveur RADIUS
Maintenant, il ne vous reste plus qu’à définir des utilisateurs dans la partie “User
Setup”. Passez ensuite à la configuration du supplicant (à savoir le PC portable).

Ajoutez-lui une carte Wi-Fi.

Attention, il faut éteindre le PC, retirer la carte réseau filaire et ajouter la carte réseau
Wi-Fi, sans oublier de rallumer le PC !
Il ne vous reste qu’à configurer les identifiants définis précédemment et à attendre
que l’authentification se mette en œuvre ; au bout de quelques secondes vous devriez
avoir le résultat suivant :
Client Wi-Fi autorisé à se connecter au réseau grâce au protocole RADIUS
Grâce à cette simulation rapide, vous avez compris comment fonctionne le protocole
RADIUS. Vous pouvez alors passer en mode Simulation sous Packet Tracer, et
redémarrer le serveur et le client Wi-Fi pour observer les “enveloppes” de données et
les différents échanges liés au contrôle d’accès :

Échanges RADIUS précédant l’autorisation de l’accès au réseau pour le client Wi-Fi

Maintenant que votre maquette fonctionne, transposez cela à votre Windows Server.

Si vous disposez de matériel compatible RADIUS, essayez de monter une maquette

similaire. Les options étant propres à chaque matériel, je ne peux pas vous montrer où
se trouvent les menus, mais comme vous le voyez, la partie Configuration d’un client
RADIUS est extrêmement simple.

Transposez votre maquette sous Windows Server

La page de configuration d’un client RADIUS sous Windows est relativement la même
que celle de Packet Tracer. Pour la trouver, rendez-vous sur le Gestionnaire
NPS (Serveur NPS dans les outils d’administration), et ajoutez un client RADIUS en
faisant un clic droit sur “Clients RADIUS” puis “Nouveau” :

Configuration d’un client

RADIUS
Comme vous le voyez, rien de plus que dans Packet Tracer et sa simulation simpliste !
NPS permet, sous Windows Server, d’aller plus loin avec ce mécanisme, et notamment
concernant les options sur la vérification de l’identité du client souhaitant accéder au
réseau. Cela se trouve sous Windows, à l’emplacement “Stratégies” :
Stratégie de demande de connexion au réseau
Grâce à ces stratégies, il est possible de spécifier quels types de supplicants peuvent
faire des demandes légitimes d’accès au réseau.

Une bonne pratique est d’utiliser les clients Windows étant inscrits au niveau de l’Active
Directory ou mieux encore, de vérifier la présence d’un certificat sur le poste demandant
l’accès au réseau.
Toutes ces possibilités se trouvent dans l’onglet “Paramètres” des propriétés de la
stratégie :
Paramètres de la stratégie de demande d’accès au réseau
Ensuite, les stratégies réseau vous permettent de spécifier les accès effectifs à accorder
aux demandeurs. Ici, j’ai autorisé les accès aux membres du groupe “Utilisateurs” du
serveur NPS. Dans un cas réel, ce serait aux utilisateurs membres d’un groupe AD.

Voilà, vous savez tout (ou presque) sur le rôle d’accès au réseau. Libre à vous d’adapter
cela en vous basant sur les ressources que je vous propose ci-après.

Allez plus loin

 Guide Microsoft sur RADIUS.
 RFC décrivant le protocole RADIUS.
 Guide de l’ANSSI sur la mise en place du contrôle d’accès au réseau.
En résumé
 Windows Server permet de créer un Serveur RADIUS à travers le rôle d’accès
au réseau dit “Serveur NPS”.
 RADIUS est un protocole faisant partie de la famille des protocoles
AAA permettant l’authentification, l’autorisation et l’audit des accès.
  Avec le Serveur NPS de Windows, vous pouvez utiliser de nombreuses options
de vérification de l’identité d’un équipement demandant un accès réseau,
permettant d’authentifier avec précision les demandes d’accès.
 Les types d’accès au réseau peuvent être conditionnés à d’autres options
spécifiées dans des stratégies réseaux permettant de limiter la bande passante,
les horaires ou même les services accessibles.

Implémentez un service de déploiement

Dans cette nouvelle partie, vous allez aller plus loin dans la configuration de rôles que
vous avez vue précédemment.

Sur ce nouveau chapitre, vous allez mettre en œuvre un service de déploiement. Je

vous propose de préparer l’architecture de ce rôle particulier. Grâce à lui, vous allez
pouvoir maîtriser votre parc informatique d’une nouvelle façon, en déployant une
image Windows 10 Pro.

Appréhendez le service de déploiement de Windows

Ce service permet, comme je vous le disais en introduction, de reprendre la main sur
vos systèmes d’exploitation clients et serveurs. Dans ce chapitre, je vous propose de
rester focalisé sur la partie client !
Le service de déploiement porte le nom de “Windows Deployment Services”. Il intègre
toutes les fonctionnalités qui vont vous permettre de démarrer un poste client par le
réseau, et de lui envoyer un système d’exploitation personnalisé. Je vous propose de
vous focaliser sur la partie configuration du service de déploiement en tant que telle.

Rapidement, un peu d’histoire

Très rapidement, un peu d’histoire sur le service WDS. À l’origine, il se nommait RIS
(Remote Installation Service) et permettait d'utiliser le protocole BOOTP (comprenant le
DHCP) afin de fournir une image de démarrage via le réseau. Pour cela, il fallait que les
clients disposent d’options PXE (Preboot eXecution Environment) afin de pouvoir utiliser
l’intégralité du protocole BOOTP. Depuis le Service Pack 2 de Windows 2003, le RIS a
été remplacé par WDS et prend dorénavant en charge les systèmes Vista, 2003, 2008
ainsi que Windows XP.

Configurez le rôle WDS

Maintenant qu’un tout petit peu de contexte est placé, je vous propose de mettre les
mains dans le moteur. Pour cela, ajoutez le rôle Services de déploiement Windows
(WDS), vous savez comment faire cela maintenant, et rendez-vous sur la console de
gestion de ces services :
Console WDS

Vous allez pouvoir mettre en œuvre la partie serveur relativement simplement grâce,
encore une fois, à l’assistant. Vous remarquerez que dans le conteneur “Serveurs” se
trouvent tous les serveurs disposant de ce rôle ; ici, il n’y que le premier serveur WDS
de Nantes (SRVWDSNAN01) :

Liste des serveurs WDS connus

Comme c’est proposé, configurez votre serveur en faisant un clic droit sur son nom.
Assistant WDS

L’assistant va vous guider tout au long du processus, en vous spécifiant les prérequis à
mettre en œuvre pour obtenir un service fonctionnel. Je vous invite à suivre ces conseils
scrupuleusement, afin d’obtenir un service de déploiement parfaitement fonctionnel.

Ici vous voyez les prérequis :

 Le serveur est membre d’un domaine AD DS ou est contrôleur de domaine (ce

n’est pas recommandé, il faut essayer de rester sur 1 serveur = 1 rôle); il est tout
à fait possible de configurer WDS sans AD dans son infrastructure ; dans ce cas,
il faudra cocher la case “Serveur autonome".
 Un DHCP existe sur le réseau.
 Un DNS existe sur le réseau.
 Une partition NTFS (ce format est obligatoire) est disponible pour stocker les
images.
Une fois que vous remplissez ces prérequis, vous pouvez valider cette étape. Vous
devrez ensuite choisir entre une installation au sein d’un AD (pratique pour gérer un
parc de A à Z) ou un serveur autonome, pratique pour déployer pour de nombreux
clients si vous travaillez en ESN.
Une fois ce premier choix d’architecture fait, il vous faut définir l’emplacement des
images (j’ai choisi E:\Reminst pour ne pas polluer ma partition système). Enfin, vous
arrivez dans le cœur du paramétrage :

Choix
du mode de réponse

Vous allez devoir sélectionner un mode de réponse. Il peut être intéressant de ne

répondre qu’à des ordinateurs connus. Cela vous permet de maîtriser les PC qui seront
installés. Vous pouvez activer l’option d’approbation qui vous permet d’avoir un entre-
deux : vous laissez WDS répondre à tous les clients, mais vous devrez les approuver.
Ceci termine la première partie de la configuration de ce service.

Votre rôle est configuré. Il ne vous reste plus qu’à intégrer des images d’installation et
des images de démarrage.

 L’image d’installation peut être une image d’un média existant. L’assistant vous
demandera un média pour intégrer directement une image cliente.
 L’image de démarrage, quant à elle, permet à votre serveur, après avoir
répondu aux requêtes BOOTP, de faire démarrer un poste client.
Dans ce tutoriel, nous utiliserons le média d’installation de Windows Server 2019 où les
images se trouvent dans le répertoire “Sources”. Il s’agit de fichiers “.wim” (si tout va
bien, l’image de démarrage sera nommée boot.wim).
Évidemment, vous pouvez très bien utiliser un média d’installation de Windows 10 (ce
sera plus logique selon votre besoin), la méthode restera la même.
Un clic droit sur “Images de démarrage” va intégrer les images de démarrage en
prenant soin d’en vérifier l’intégrité. Cela peut prendre un certain temps en fonction des
ressources disponibles sur le serveur. L’assistant va ainsi s’assurer que l’image de
démarrage correspond bien à une image valide.

Vous aurez le résultat suivant :

Images d'installation à partir d'un média Windows Server 2019

Image de démarrage à partir d’un média Windows Server 2019

Vous aurez remarqué que maintenant vos services de déploiement se sont

agrémentés de nombreuses options :

Options des services de déploiement

L’avantage ici est que vous allez pouvoir intégrer des pilotes à vos images, gérer
différents groupes d’images et optimiser l’utilisation de votre bande passante réseau en
utilisant la multidiffusion (aussi appelée multicast).
 Fonctionnalités
avancées de WDS

Vous le voyez sur les options disponibles sur une image de démarrage, vous avez la
possibilité de créer une image de capture et une image de découverte !

À quoi ces types d’images peuvent-ils servir ?

Mettez-vous en situation : vous êtes fraîchement arrivé en tant qu’administrateur
Système et Réseau ou bien technicien informatique chez Gift SA. La direction vous
annonce un plan d’augmentation des effectifs très conséquent. Vous avez été
consciencieux et disposez de plusieurs postes clients, de validation et de tests de votre
parc actuel. Pourquoi alors ne pas reprendre une de ces images pour préparer très
rapidement les centaines de postes qui vont vous être demandés pour les nouveaux
embauchés ?

C’est à cela que sert une image de capture. Vous allez pouvoir démarrer sur votre
image et capturer le système, les pilotes et la configuration d’un poste existant afin de
pouvoir ensuite rediffuser cette image via les services WDS !

Ainsi, vous avez la possibilité de tester une image sur un poste “témoin” avant de
“l’aspirer” sur le WDS pour la diffuser via le réseau.
Une image de découverte, quant à elle, permet de gérer les cas des clients qui ne
peuvent pas utiliser pleinement PXE ! Vous pourrez ainsi créer une image CD/DVD/USB
afin de démarrer sur les postes non PXE, et les “raccrocher” à votre WDS !

Démarrez un client en “mode” WDS

Maintenant que vous avez un DHCP, un DNS, potentiellement un AD, que le WDS est
configuré et surtout que votre DHCP dispose des options BOOTP activées (option dhcp
60 PXEClient), vous allez pouvoir démarrer un client en “mode” WDS. Pour cela,
sélectionnez l’interface réseau dans votre gestionnaire BIOS, au démarrage des postes
clients. Vous aurez alors les informations suivantes :

Démarrage via le PXE

Première étape, une configuration IP vous sera fournie (logique, il y a du DHCP), et

l’image de démarrage sera récupérée sur le serveur WDS.

Seconde étape, si vous avez plusieurs images, vous arriverez sur un menu vous
proposant différentes options (un serveur WDS peut héberger différentes images
d’installation ou de capture). Ensuite, vous retrouverez une interface standard
d’installation de Windows. Si vous avez choisi une installation “zero-touch”, le
déploiement pourra se faire en quelques minutes !

Ça y est, vous avez un système capable de répondre à des requêtes de clients

souhaitant un nouveau système d’exploitation.

Allez plus loin

 Tutoriel d’installation d’un serveur de déploiement WDS sans Active
Directory par Neptunet.
 Vue d’ensemble des services de déploiement par Microsoft.
En résumé
 Windows Server offre la possibilité de gérer le déploiement d’images de
systèmes d’exploitation au travers du rôle WDS.
 Il est possible de démarrer un ordinateur client via le réseau, et d’installer un
système sans avoir besoin d’un CD ni d’une clé USB.
 Il est possible de mettre en œuvre un poste “master” qui pourra ensuite
être aspiré sur le WDS afin que l’image de son système d’exploitation, validée et
configurée, soit redéployée sur un parc entier de machines.
 WDS gère également les systèmes ne prenant pas en charge le PXE (démarrage
via le réseau) en utilisant des images de découverte pour “raccrocher” un
poste sur un serveur WDS après un démarrage via un média amovible
(CD/DVD/USB).
Partagez un bureau avec vos utilisateurs
Dans ce chapitre, je vous propose de débuter dans l’aventure des bureaux virtuels.
Vous allez pouvoir configurer Windows Server de sorte que vos utilisateurs puissent
utiliser le serveur en tant que poste de travail. Ainsi, au lieu d’avoir un nombre
conséquent de postes à administrer, vous n’aurez plus que votre serveur à gérer,
depuis lequel vous pourrez organiser la gestion des différents postes de travail.

Activez le bureau à distance

Sous Windows Server, il est très simple d’activer le bureau à distance. Tous les clients
Windows (7, 8, 8.1, 10…) disposent du client des services de bureau à distance. Ainsi,
vous n’aurez pas de déploiement particulier à effectuer sur vos postes de travail. Il vous
suffira de configurer une adresse et de fournir cette dernière à tous vos utilisateurs.
Dans le gestionnaire de serveur, rendez-vous sur le tableau de bord de votre serveur.
Sélectionnez “Bureau à distance” et cliquez sur la mention “Désactivé” (c’est un
service désactivé par défaut pour des raisons de sécurité) afin d’activer le service.

Une fois que vous avez activé le service, voici les quelques opérations à effectuer :

1. Rendez-vous dans les propriétés système de votre serveur, sur l’onglet

“Utilisation à distance”.
2. Cochez la case “Autoriser les connexions à distance à cet ordinateur”.
3. Décochez “N’autoriser que la connexion des ordinateurs avec authentification
NLA”.
4. Ouvrez le port 3389/tcp à destination de votre serveur.
Maintenant, vous pouvez ouvrir le client sur un poste Windows. Pour cela, exécutez la
commande MSTSC :

Client permettant l’accès à un

bureau à distance
Entrez l’adresse IP de votre serveur et cliquez sur “Connexion”. Une fenêtre vous invite
à vous authentifier, entrez les identifiants de votre administrateur local et vous devriez
avoir un avertissement de sécurité.

En effet, cette connexion est chiffrée mais avec un certificat autosigné par Microsoft, il
est préférable d’utiliser un certificat de confiance qui ne soit pas autosigné. Validez et
vous arrivez sur le bureau de votre serveur !

Bureau du serveur à distance

Ainsi, vous pouvez fournir ce type d’accès à vos utilisateurs. Ils disposeront d’un bureau,
sur le serveur, qui leur sera propre (avec une session personnelle).

Vous devez vous assurer au préalable que les utilisateurs soient membres du groupe
local “Utilisateur du bureau à distance”.
Personnalisez le bureau à distance
Avec le temps, Microsoft a verrouillé ce type d’accès afin d’empêcher les utilisateurs
non administrateurs d’effectuer certaines actions. Ainsi vos utilisateurs auront une
vue plus restreinte de votre serveur ; ils ne pourront pas, par exemple, arrêter le
serveur. De même, le gestionnaire de serveur ne se lancera pas à l’ouverture de
session et, même s’il est possible pour l’utilisateur de le lancer, aucune action ne sera
disponible.

Il convient tout de même de personnaliser le bureau d’un utilisateur en réduisant la

présence de certains raccourcis, notamment dans le menu Démarrer, se trouvant à
l’emplacement suivant : C:\Users\nom-d-
utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
En supprimant dans ce répertoire des entrées, vous réduirez le nombre de raccourcis
accessibles à votre utilisateur.
Pour effectuer cela de manière générale, avant qu’un utilisateur ne se connecte, rendez-
vous à l’emplacement
suivant : C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs .
Pour personnaliser encore plus la session, hors environnement, Active Directory ou
les GPO vous seront d’une grande aide ; rendez-vous dans l’éditeur de stratégie de
groupe locale. Il s’agit des mêmes paramètres que les GPO, sauf que l’impact ne sera
visible que sur le serveur ou le poste local.

Sachez que cette méthode restreint également les utilisateurs du groupe

administrateurs locaux.

Bureau restreint sur le serveur à tous les utilisateurs

Gérez une ferme de serveurs bureaux à distance

Depuis Windows 2008, le bureau à distance s’est vu considérablement amélioré,
notamment avec des services dédiés à la gestion de bureaux à distance complètement
intégrés, permettant d’augmenter l’expérience utilisateur.

À quoi cela peut-il bien servir ?

Reprenez les différentes contraintes que vous avez précédemment observées, ainsi que
d’autres contraintes propres au partage de bureau :

 Vous avez l’obligation de configurer des restrictions sur les serveurs.

  Vos utilisateurs ne pourront pas conserver leurs sessions s’il y a plusieurs
serveurs disponibles.
 La gestion des ressources se fera uniquement sur la disponibilité réseau du
serveur et non sur l’état de ses ressources réellement disponibles.
 Vous ne pourrez pas ajouter un serveur sans impacter la fourniture du service.
La liste peut être assez longue. La réponse à toutes ces contraintes : des services
proposés par Microsoft afin de mettre en œuvre du VDI (pour Virtual Desktop
Infrastructure), une infrastructure de bureau virtuel.
Avec une infrastructure de ce type, vous allez pouvoir aller plus loin dans l’expérience
utilisateur, avec notamment :

 une gestion avancée des sessions (stockées à un emplacement unique, quel

que soit le nombre de sessions) ;
 la possibilité de déployer un bureau ou simplement des applications (sans
avoir besoin de les installer sur les postes clients) ;
 l’ajout simplifié de serveurs grâce à la création d’une sorte de ferme de
serveurs où les machines virtuelles dédiées au partage de bureau peuvent être
plus simplement ajoutées.
Trois options s’offrent alors à vous :

1. Plusieurs serveurs, chacun ayant un rôle spécifique dans le système VDI.

2. Un unique serveur regroupant tous les rôles VDI.
3. Des services MultiPoint qui permettent de créer des stations pour des
utilisateurs, et de leur donner accès avec des concentrateurs USB.
Voici un tableau comparatif des options de partage de bureau :

Option Plusieurs serveurs Un unique serveur Services MultiPoint

Type Infrastructure de Infrastructure de Partage de serveur

bureaux virtuels bureaux virtuels (VDI)
(VDI)

Avantages Simplifie la montée Simplifie le déploiement Réduit le coût de la

en charge et permet jusqu’à quelques solution
de gérer de nombreux utilisateurs (idéalement
utilisateurs moins de 25)

Inconvénients Lourd à installer puis Nombre d’utilisateurs Nombre d’utilisateurs

à administrer réduit, rend difficile réduit, rend difficile
l’ajout de serveurs pour l’ajout de serveurs pour
gérer d’autres gérer d’autres
utilisateurs utilisateurs
Les options 1 et 2 vous obligent à mettre en œuvre un Active Directory, car le(s)
serveur(s) hébergeant l’infrastructure doi(ven)t être membre(s) d’un domaine.
Les services MultiPoint
Commençons par le plus simple : grâce à ces services, vous allez pouvoir configurer un
serveur qui sera utilisé par plusieurs claviers, souris et écrans. Simple, non ? Ainsi,
vous configurez ce serveur, paramétrez ces services, et posez l’unité centrale au milieu
d’un îlot de plusieurs bureaux. Chaque utilisateur dispose de son propre clavier,
sa souris et son écran.

Chaque utilisateur disposera également de sa propre session qu’il pourra utiliser comme
s’il était sur son propre ordinateur. Cela permet de considérablement réduire les frais
matériels, mais également de n’avoir qu’une seule unité centrale à gérer.
Par contre, vous vous retrouverez dans les mêmes contraintes que la dernière fois, à
savoir :

 un nombre limité de sessions possible ;

 une administration, certes moindre qu’avec le nombre d’ordinateurs qu’il aurait
fallu mettre en place, mais tout de même autant de serveurs MultiPoint que de
groupes d’utilisateurs.
Cette solution, de par son coût d’implémentation réduit (1 seule licence) permet de
répondre à certains cas d’usage, tels que les environnements scolaires où il est plus
pratique de n’avoir qu’un seul poste pour une seule classe.
Vous allez vous focaliser sur la mise en œuvre avec un serveur unique. Bien qu’une
mise en œuvre avec plusieurs serveurs nécessite plus de temps, la démarche restera la
même. Vous pourrez donc appliquer ce que vous avez appris sur serveur unique, à la
mise en œuvre de plusieurs serveurs.

Mettez en place un serveur unique regroupant tous les rôles VDI

La première étape dans le VDI Microsoft consiste à mettre en œuvre l’intégralité des
rôles et services sur un unique serveur.

Pour cette option de déploiement, vous avez deux scénarios :

1. Utiliser des ordinateurs virtuels.

2. Utiliser des sessions sur le serveur actuel.
Pour ce cours, je vous propose de mettre en œuvre non pas des ordinateurs virtuels qui
nécessitent Hyper-V et donc la prise en charge de la virtualisation au sein de votre
machine virtuelle, mais d’utiliser des sessions sur le serveur actuel !
À l’aide de l’assistant “Ajout de rôles et fonctionnalités”, ajoutez des services de
bureaux à distance, sélectionnez le scénario avec un unique serveur et déployez
uniquement des sessions.

L’installation se lance, et vous devrez obligatoirement redémarrer le serveur pour

finaliser la configuration.

Les rôles et services de rôle suivants seront installés sur votre serveur :

 Service Broker pour les connexions Bureau à distance.

 Accès web des services Bureau à distance.
 Hôte de session Bureau à distance.
Le Service Broker pour les connexions Bureau à distance permet de diriger les
utilisateurs vers le serveur le moins sollicité de la ferme (pour le coup, ici il n’y en a
qu’un) afin de répartir la charge. Il permet également aux utilisateurs de se reconnecter
à leur session existante.
L’accès web des services Bureau à distance permet de fournir une interface web pour
accéder aux services de bureau à distance et aux applications disponibles directement
sans bureau.

L’hôte de session Bureau à distance est le serveur qui héberge le bureau et les
applications (via RemoteApp) disponibles aux utilisateurs.

Maintenant que ces services sont installés, il vous est possible de vérifier l’installation en
vous rendant sur https://localhost/rdWeb (là encore le certificat est autosigné). Vous
retrouvez alors, après authentification, une page web vous proposant par défaut la
calculatrice, Paint et WordPad :

Accès à la calculatrice via les services Bureau à distance (il s’agit de RemoteApp)

Vous pouvez accéder à ce service sur votre réseau après avoir ouvert le port 443 en
plus du port 3389.

Cela est particulièrement pratique pour fournir des applications à des utilisateurs sans
avoir à installer quoi que ce soit sur le poste client.
Si vous souhaitez faire apparaître le bureau dans cette liste, aucun souci, rendez-vous
sur le gestionnaire de serveur dans la partie “Services Bureau à distance”, puis dans
la partie “QuickSessionCollection” qui a été créée par défaut (vous pouvez renommer
cette collection de service via ses propriétés).
Ensuite, accédez à la partie “Programmes RemoteApp”, ajoutez les programmes dont
vous avez besoin via les tâches disponibles sur le coin supérieur droit de cet encart.
Pour le bureau, vous retrouverez le programme “Connexion bureau à distance”.

C’est un moyen idéal pour fournir un accès à des outils d’administration (tels que le
gestionnaire IIS) à vos collègues.

Attention, ces services nécessitent l’acquisition de licences d’accès client (CAL) en plus
de toutes les autres licences déjà en votre possession (Windows Server, Accès à
Windows Server, Windows Client).
Allez plus loin
 Guide Microsoft sur le sujet.
En résumé
 Les services Bureau à distance permettent, en plus de partager un bureau,
de publier des applications que vos utilisateurs pourront utiliser, sans avoir à
les installer.
 Windows Server simplifie le déploiement d’infrastructure de bureaux
partagés via les services Bureau à distance.
 Un accès web permet de centraliser tous les accès aux services de bureau à
distance.
 Ces services permettent, via l’AD, de continuer la centralisation de
l’administration et des accès, permettant ainsi de garantir la sécurité en
maîtrisant les accès aux applications validées uniquement.

Distribuez des mises à jour avec WSUS

Ah, les mises à jour, un vaste sujet propice à la polémique. Faut-il les installer
automatiquement ? Faut-il suivre le rythme de Microsoft (tous les premiers mardis du
mois) ? Faut-il les installer systématiquement sur tout le parc ? Les interrogations sur le
sujet sont nombreuses, et l’interprétation de chacun peut porter à confusion. Je vous
propose de couper court aux polémiques et d’assumer une politique de déploiement que
vous maîtriserez au travers de WSUS !

Qu’est-ce que WSUS ?

Si vous êtes utilisateur Windows sur votre poste personnel, vous connaissez le service
de mise à jour de Microsoft. Windows Updates, Microsoft Updates, ce service, pour
l’utilisateur lambda d’un ordinateur, est assez… capricieux. Il décide seul de quand
redémarrer votre ordinateur, et l’actualité du mois d’octobre 2018 permet de comprendre
à quel point cela peut être dangereux (la mise à jour de Windows 10 du mois
d’octobre était capable de supprimer vos données personnelles... ce qui a
heureusement été corrigé depuis).
 Windows Update sous Windows 10

WSUS est un équivalent de ce service (grand public, géré par Microsoft) à destination
des administrateurs. Vous allez ainsi pouvoir télécharger les mises à jour de votre parc
1 seule fois via votre serveur WSUS (qui se connectera aux serveurs de Microsoft), puis
décider de comment déployer et distribuer ces mises à jours !

Vous reprendrez alors le contrôle sur le cycle de mises à jour de votre parc
informatique. C'est donc la solution idéale pour éviter les problèmes avec les
utilisateurs.

La gestion des mises à jour est un sujet complexe, d’autant qu’il est difficile de
demander au grand public d’effectuer des mises à jour. Il est difficile pour lui de savoir
ce qu’il se cache derrière cela. Rassurez-vous, il en va de même pour les utilisateurs en
entreprise.

Imaginez votre directeur s'arrêter d’analyser le tableau des ventes internationales de

l’entreprise Gift SA pour lancer une mise à jour de son système d’exploitation :

 Il n’en a pas le temps (certaines mises à jour majeures pouvant prendre

plusieurs heures).
 Il ne connaît pas l’impact de la mise à jour (certaines mises à jour corrigent
des vulnérabilités mais impactent la compatibilité avec d’autres logiciels).
 Si tous les utilisateurs devaient s’occuper de leurs mises à jour (dan le cas
de Gift SA, plus de 150 utilisateurs), cela ferait inévitablement 150 x la taille des
correctifs, dans de nombreux cas ils atteignent plus de 200 Mio, soit un total
de 30 Gio de correctifs à récupérer.
Alors, à la vue de ces arguments, il est important de prendre en main ce travail.

Démystifions immédiatement un mythe, OUI, il faut mettre à jour son système

d'exploitation même s’il est sous MacOS, Linux ou Unix. Ne serait-ce que pour corriger
les (trop) nombreuses vulnérabilités qui sont découvertes quotidiennement sur TOUS
les systèmes d’exploitation. OUI, il faut également mettre à jour ses appareils mobiles
(et même sa TV connectée).
Installez le rôle WSUS
Vous allez dire que je radote, mais rendez-vous sur le gestionnaire de serveur et
installez le rôle WSUS. Il s’agit d’un point d’entrée plutôt simple et efficace pour gérer
son serveur sous Windows.

Très exactement, il s’agit des Services WSUS. Et vous verrez que de nombreuses
fonctionnalités sont nécessaires. En effet, WSUS utilise de nombreuses options
de déploiement pour minimiser la bande passante sur le réseau, ainsi que des
fonctionnalités en lien avec le Web, car la récupération des mises à jour et leur
déploiement va se baser sur ces services.

D’ailleurs, je vous inviterai à bien réfléchir à comment architecturer ce service en

production, car il est consommateur d'espace disque pour les mises à jour, et très
gourmand en base de données pour stocker les différentes données additionnelles
(métadonnées) concernant les mises à jour. En effet, WSUS va récupérer les différents
correctifs mais également une description, des informations concernant l’impact
(surtout le redémarrage – nécessaire ou pas), ainsi que les informations de
catégorisation et de cible.

Si tout va bien, vous devriez obtenir l’écran suivant au niveau de l’outil Services
WSUS nouvellement installé :

Outil de gestion de WSUS

Sur la gauche, vous disposez d’un menu de gestion :

 des mises à jour récupérées par votre serveur ;

 des ordinateurs correctement configurés comme clients ;
 d’éventuels serveurs que vous pouvez configurer pour augmenter le niveau de
sécurité (vous pouvez mettre un WSUS en DMZ pour récupérer les MAJ depuis
les serveurs de Microsoft et avoir votre serveur WSUS connecté aux clients qui,
lui, se trouvera sur votre LAN. Il récupérera les MAJ depuis le serveur en DMZ,
par exemple) ;
 les informations et configuration sur les synchronisations ;
 des rapports ;
 et les options.
Je vous propose d’aller jeter un œil sur les options avant toute opération.
Options de WSUS

Ici, vous allez pouvoir gérer les options de votre serveur, avec notamment certaines à
configurer avec soin :

 Source de mises à jour et serveur proxy : c’est ici que vous allez configurer la
manière de récupérer les mises à jour. Si vous avez protégé votre accès Internet
avec un proxy, si vous avez configuré un serveur WSUS en DMZ, vous allez
pouvoir déclarer ces différents modes de fonctionnement à cet emplacement.
 Produits et classifications : c’est l’option la plus intéressante de WSUS. Elle va
vous permettre de choisir, parmi les nombreux produits Microsoft, ceux pour
lesquels vous allez récupérer les mises à jour !
 Produits couverts par
Microsoft Update

Vous allez pouvoir récupérer uniquement les mises à jour concernant les produits
Microsoft installés (et la liste est longue). De plus, les classifications vont vous
permettre, sur les produits choisis, de cibler avec précision quels types de mises à jour
récupérer : correctifs, sécurité, pilotes :
 Classification des mises à
jour

Avec la combinaison de ces deux onglets d’options, vous reprenez réellement le

contrôle sur le déploiement (prochain) des mises à jour sur votre parc. Vous pouvez
cibler les mises à jour critiques des serveurs Windows 2016 par exemple (c’est le choix
que j’ai fait ici) :

 Fichiers et langues des mises à jour : dans ces options, vous allez pouvoir
limiter la bande passante en gérant la méthode de téléchargement des fichiers
des mises à jour et le nombre de versions des mises à jour, à travers la sélection
des langues de vos systèmes à mettre à jour (par défaut, toutes les langues
seront téléchargées).
 Planification de la synchronisation : ici, vous allez planifier la synchronisation
de votre serveur (c.-à-d. la récupération des fichiers Microsoft Update) en
choisissant l’heure et le nombre de synchronisations par jour. Attention à
correctement planifier cette tâche qui sera très gourmande en bande passante !
 Approbations automatiques : encore une option qui confirme que le WSUS est
un incontournable en environnement Microsoft. Vous allez pouvoir valider
automatiquement certaines mises à jour. Par exemple, vous considérez que tous
 les correctifs de sécurité doivent être appliqués, vous allez les approuver
automatiquement ! De même, vous avez besoin de tester la mise à jour des
pilotes, vous pourrez refuser l’approbation dans un premier temps, effectuer vos
tests sur un groupe de postes clients “pilotes”, et si tout se passe bien, approuver
après cette validation pour lancer un déploiement sur votre parc !

Approbation automatique de certaines mises à jour

 Ordinateurs : cette option permet de choisir la méthode de regroupement des

ordinateurs. Il est préférable de gérer cela via des GPO, mais WSUS peut vous
laisser le faire manuellement via la console Services WSUS.
 Assistant de nettoyage du serveur : comme son nom l’indique, cette option
vous permet de faire un peu de ménage en supprimant les mises à jour
inutilisées, les ordinateurs ne s’étant pas connectés depuis 30 jours ou plus, les
fichiers inutiles… Grâce à cette option vous allez maîtriser l’occupation disque et
la taille de la base de données.
 Cumul des rapports : option servant à grouper les rapports d’état des
ordinateurs.
 Notification par courrier électronique : comme son nom l’indique, permet de
recevoir des mails en fonction de critères particuliers.
 Programme d’amélioration de Microsoft Update : vous permet d’autoriser ou
non l’envoi de données anonymisées à Microsoft sur votre utilisation de WSUS.
 Personnalisation : ces options permettent de personnaliser l’affichage de
certaines tâches sur votre console WSUS.
 Assistant de configuration du serveur WSUS : vous permet de relancer la
configuration initiale des services WSUS sur votre serveur, avec notamment la
synchronisation initiale des mises à jour.
Utilisez le rôle WSUS
Maintenant que vous maîtrisez l’ensemble des options et le principe de fonctionnement
de WSUS, je vous propose de passer à la mise en œuvre d’une politique. Par défaut,
vous ne disposerez d’aucun client sur votre serveur. Je vous propose d’ajouter un
client, à savoir le serveur WSUS lui-même.

Pour cela, deux options s’offrent à vous :

1. Vous disposez d’un Active Directory : utilisez les GPO, elles sont faites pour cela.
2. Vous ne disposez pas d’Active Directory (cela peut arriver) : vous allez devoir
utiliser la base de registre.
Ajouter des clients WSUS via GPO

Cette méthode est recommandée surtout si vous avez un parc de clients important. Pour
cela, vous disposez des paramètres suivants dans Configuration ordinateur >
Stratégies > Modèle d’administration > Composants Windows > Windows Update,
ensuite vous disposez des options suivantes :

 "Ne pas afficher l'option 'Installer les mises à jour et éteindre' dans la boîte de
dialogue 'Arrêt de Windows'".
 "Ne pas modifier l'option par défaut 'Installer les mises à jour et éteindre' dans la
boîte de dialogue 'Arrêt de Windows'".
 "Configuration du service de mises à jour automatiques".
 "Spécifier l'emplacement intranet du service de mises à jour automatiques".
 "Fréquence de détection des mises à jour automatiques".
 "Autoriser les non-administrateurs à recevoir les notifications de mises à jour
automatiques".
 "Autoriser l'installation des mises à jour automatiques".
 "Activer les mises à jour automatiques recommandées via le service de mises à
jour automatiques".
 "Pas de redémarrage automatique avec des utilisateurs connectés pour les
installations planifiées des mises à jour automatiques".
 "Autoriser les mises à jour signées provenant d'un emplacement intranet du
service de mises à jour Microsoft".
Une fois que vous avez spécifié les options (en activant ou désactivant les paramètres
que vous souhaitez), il ne vous reste plus qu’à déployer votre GPO et laisser la
synchronisation automatique se faire.
Ajouter des clients WSUS via le registre

Si vous souhaitez modifier le registre pour effectuer ces mêmes configurations, suivez
les étapes suivantes :

Tous les paramètres se trouvent dans :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
 "WUServer"=http://nomduserveur/ (où nomduserveur est le nom DNS de votre
serveur WSUS) ;
 "WUStatusServer"=http://nomduserveur/ (idem précédent) ;
  "TargetGroupEnabled"=dword:00000001 (ici il s’agit de l’activation du ciblage par
groupe du client) ;
 "TargetGroup"=CLIENTS-W10-Test (il s’agit du nom du groupe dans lequel les
clients seront affichés sur la console WSUS) ;
 "ElevateNonAdmins"=dword:00000000 (permet de spécifier s’il faut demander une
élévation de privilège pour les utilisateurs non administrateurs).
Ensuite, d’autres options se trouvent à cet emplacement
: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
Ces options vont permettre d’aller plus loin dans la configuration du client WSUS :
 "NoAutoRebootWithLoggedOnUsers"=dword:00000000 (autorisez-vous le
redémarrage si des utilisateurs sont connectés sur le poste ?) ;
 "NoAutoUpdate"=dword:00000000 (autorisez-vous les mises à jour automatiques
?) ;
 "AUOptions"=dword:00000004 (ici il s’agit des options que vous pouvez mettre en
œuvre sur le client : installation des MAJ, téléchargement des mises à jour sans
installation…) ;
 "ScheduledInstallDay"=dword:00000000 (la date d’installation des MAJ) ;
 "ScheduledInstallTime"=dword:0000000f (et l’heure) ;
 "AutoInstallMinorUpdates"=dword:00000001 (souhaitez-vous installer
automatiquement les mises à jour mineures ?) ;
 “DetectionFrequencyEnabled"=dword:00000001 (souhaitez-vous automatiser la
détection des mises à jour ?) ;
 "DetectionFrequency"=dword:00000001 (à quelle fréquence, entre toutes les 16
et toutes les 20 h ?) ;
 "RebootWarningTimeout"=dword:00000004 (voulez-vous avertir d’un
redémarrage imminent ?) ;
 "RebootWarningTimeoutEnabled"=dword:00000001 (et activer l’option
précédente) ;
 "RebootRelaunchTimeout"=dword:00000006 (voulez-vous autoriser le fait de
repousser un redémarrage ?) ;
 "RebootRelaunchTimeoutEnabled"=dword:00000001 (et activer l’option
précédente) ;
 "RescheduleWaitTimeEnabled"=dword:00000001 (voulez-vous permettre de
repousser un redémarrage ?) ;
 "RescheduleWaitTime"=dword:00000002 (et à quel moment le redémarrage aura
lieu ?) ;
 "UseWUServer"=dword:00000001 (utilisez-vous un serveur WSUS ?).
Une fois l’une de ces options configurée, redémarrez votre serveur et vous observerez
dans la console, au niveau des ordinateurs, que votre ordinateur est apparu.
Accessoirement, vous aurez droit à un indicateur sur les mises à jour présentes sur
votre WSUS qui seront évaluées pour votre ordinateur :
Client du WSUS et évaluation des MAJ disponibles
Approuvez des mises à jour WSUS

Tant que vous n’avez pas approuvé des MAJ, elles ne s'installent pas. Ici, comme vous
avez mis à jour votre serveur avant de commencer l’installation de rôles, elles devraient
être installées (suivant ce que vous avez choisi pour la première synchronisation).

Pour approuver des MAJ, rendez-vous dans la partie “Mises à jour” et grâce au clic
droit, vous aurez le menu “Action” qui vous permettra d’approuver ou de refuser une
mise à jour.

Pourquoi refuser une mise à jour ?

Je vous conseille de tester les mises à jour avant de les déployer à grande échelle. Si
vous observez, lors de votre test, une incompatibilité avec un applicatif ou un autre
correctif, refusez la mise à jour, elle ne se déploiera pas et vous serez à l’abri d’un souci
à l’échelle de votre parc :
Approuver ou refuser une mise à jour

Afin d’avoir le plus d’informations possible sur une mise à jour, Microsoft vous offre de
nombreuses informations sur chacune d’entre elles :

Informations sur une mise à jour

Ainsi vous saurez en un coup d’œil, en cliquant sur une mise à jour, si elle nécessite un
redémarrage, si elle est remplacée par une autre mise à jour, si elle met à jour le contrat
de licence de Microsoft et surtout une description de ce qu’elle apporte (succincte ; pour
une description complète, rendez-vous sur le lien correspondant de la base de
connaissance de Microsoft – sous la forme kb/xxxxx).

Vous avez maintenant toutes les cartes en main pour mettre en œuvre une politique de
sécurité cohérente, et surtout maîtrisée, de votre parc de postes clients et serveurs sous
Windows !

Allez plus loin

Si vous souhaitez aller encore plus loin, vous avez la possibilité d’installer le composant
Report Viewer de Microsoft. Cela vous permettra d’obtenir une multitude de rapports sur
les MAJ, l’état de conformité de votre parc vis-à-vis de votre politique de sécurité ou tout
simplement sur l’état de santé de votre WSUS.

 Guide Microsoft sur la mise en œuvre de WSUS.

  Outil permettant de simplifier la configuration d’un poste vers un WSUS sans
GPO (attention, ce ne sont que les sources).
En résumé
 Windows Server permet de reprendre le contrôle des mises à jour
Microsoft de son parc informatique au travers de WSUS.
 WSUS permet de mettre en œuvre une stratégie de déploiement en fonction de
critères simples (tels que l’heure ou la date de déploiement) ou avancés (en
fonction du type de correctifs).
 Microsoft fournit de nombreuses informations sur les mises à jour, qu’il met à
disposition pour WSUS : description, impact en termes de redémarrage, cible,
impact sur la licence…
 Les ordinateurs clients doivent être configurés pour prendre en compte leur
nouvelle source de mise à jour (le WSUS) ; pour cela deux méthodes existent,
les GPO ou la modification du registre (pour les ordinateurs gérés sans Active
Directory).