l_administration sous win 2003
TRANSCRIPT
-
7/31/2019 L_administration Sous WIN 2003
1/2
LActive Directory
Prsentation dActive DirectoryActive Directory est un annuaire des objets du rseau, il
permet aux utilisateurs de localiser, de grer et dutiliser
facilement les ressourcesObjet ACTIVE DIRECTORY
Active Directory stocke des informations sur les objets du
rseau. Il existe plusieurs types dobjets : (serveurs domaines sites utilisateurs ordinateurs
imprimantes )
Chaque objet possde un ensemble dattributs :Les
attributs permettent deffectuer des recherches prcises
dans lannuaire (trouver lemplacement physique dune
imprimante, le numro de tlphone ou ladresse dun
utilisateur
Schma Active DirectoryIl stocke la dfinition de tous les objets dActive Directorycomme les utilisateurs, les ordinateurs et l es imprimantes
stocks dans Active Directory. il comprend deux types de
dfinitions :1 Les classes dobjets : Dcrit les objets dActive
Directory quil est possible de crer. Chaque classe est un
regroupement dattributs.
2 Les attributs : Ils sont dfinis une seul fois et peuvent
tre utiliss dans plusieurs classes.
Catalogue global
Un serveur de catalogue global est un contrleur de
domaine qui conserve une copie du catalogue global il
contient une partie des attributs les plus utiliss de tous
les objets Active Directory.il permet de :1 Trouver des informations Active Directory sur toutes la
fort2 Utiliser des informations dappartenance des
groupes universels pour ouvrir une session sur le
rseau.
Structure logique dActive Directory
1)Les Domaines : domai ne est un ensemble
dordinateurs et/ou dutilisateurs qui partagent une mmebase de donnes dannuaire. Un domaine a un nom
unique sur le rseau
2)Les Units dorganisation: Une unit dorganisation
est un objet utilis pour organiser les objets au sein dudomaine. Il peut contenir dautres objets comme des
comptes dutilisateurs, des groupes, des ordinateurs, des
imprimantes ainsi que dautres units dorganisation.La cration et la gestion dunits dorganisation passent
par quatre phases trs importantes : (La planification. Le
dploiement. La maintenance La suppression)
3)Les Arborescences : Une arborescence est un
ensemble de domaines partageant un espace de nom
contigu. Par exemple, supinfo.lan est le domaine parent
du domaine paris.supinfo.lan et du domaine
martinique.supinfo.lan
Le pr emier domaine install est le domaine ra cine de l afort
La relation dapprobation entre un domaine enfant et son
domaine parent est de type bidirectionnel transitif.4) Les forts : Une fort est un ensemble de domaines
(ou darborescences) nayant pas le mme nom commun
mais partageant un schma et un catalogue globalcommun. Par exemple, une mme fort peut rassembler
deux arborescences diffrentes comme laboms.com et
supinfo.lan.
5)Les objets :Il sagit des composants les plus
lmentaires de la structure logique. Les classes dobjets
sont des modles pour les types dobjets que vous
pouvez crer dans Active Directory.
Structure Physique dActive DirectoryLa structure physique permet doptimiser les changes
dinformations entre les diffrents contrleurs de
domaine et ce en fonction des dbits assurs par lesrseaux qui les connectent.
1)Contrleurs de domaine :Un contrleur de domaine
est un ordinateur excutant Windows 2003 Server quistocke un rpliqua de lannuaire. (Un domaine peut
possder un ou plusieurs contrleurs de domaine)
2)Sites et liens de sites :Un site est une combinaison
dun ou plusieurs sous rseaux connects entre eux par
une liaison haut dbit fiable (liaison LAN). Il permet
doptimiser la communication entres les contrleurs de
domaine3)Les partitions active directory
La partition de domaine contient les informationsconcernant tous les objets d'un domaine (les utilisateurs,
les groupes, les machines, etc...)
La partition de configuration contient la topologie dela fort, c'est--dire les informations concernant les
domaines, les sites, les connexions entre les contrleurs,
etc
La partition de schma contient le schma tendu au
niveau de la fort, c'est--dire l'ensemble des dfinitions
des classes et attributs des objets pouvant tre crer
dans l'annuaire Active Directory.
Les partitions dapplications facultatives contiennent
des objets non lis la scurit et uti liss par une ouplusieurs applications.
Implmentation dune structure de fort et de
domaine Active DirectoryCondition requise pour pouvoir i nstaller Active Directory
:
Un ordinateur excutant Windows 2003 serveur
250 Mo despace libre sur une partition NTFSLes paramtres TCP/IP configur pour joindre un
serveur DNS
Un serveur DNS faisant autorit pour grer les ressourcesSRV
Procdure de cration du domaine racine de la fort
Vous utilisez lAssistant Installation de Active Directorypour crer une structure de fort et de domaine. Lorsquevous installez Active Directory dans un rseau pour lapremire fois, vous devez crer un domaine racine de lafort.Pour crer un domaine racine de la fort, procdezcomme suit :1. Cliquez sur Dmarrer, sur Excuter, puis tapezdcpromo en tant que nom du programme.
Espace de nom DNS et active directory-le domaine DNS et Active directory utilise des noms de
domaine identique ainsi les ordinateurs peuvent utiliser leDNS pour rechercher des CD et dautres ordinateur
fournissant des services Active directory
(le nom DNS=compte dordinateur stock sur AD)
Les relations dapprobation :
Les approbations sont des mcanismes qui permettent un utilisateur authentifi dans son propre domainedaccder aux ressources de tous les domainesapprouvs. Dans Windows Server 2003, il existe deuxtypes dapprobations : transitives et non transitives. - Les outils dadministration dActive DirectoryUtilisateurs et ordinateurs Active Directory: Cestle composant le plus utilis pour accder lannuaire. Ilpermet de grer les comptes dutilisateurs, les comptesdordinateurs, les fichiers et les imprimantes partags, lesunits dorganisation. Utilisez ce composant logicielenfichable lorsque vous navez que quelques objets
Active Directory grer.Sites et Services Active Directory : Ce composantpermet de dfinir des sites, des liens de sites et deparamtrer la rplication Active Directory.Domaines et approbations Active Directory : Cecomposant permet de mettre en place les relationsdapprobations et les suffixes UPN. Il propose a ussidaugmenter le niveau fonctionnel dun domaine ou dunefort.Schma Active Directory : Ce composant permet devisualiser les classes et les attributs de lannuaire. Pourpouvoir accder la console Schma Active Directory,il faut dans un premier temps enregistrer une DLL.Pour cela, il vous faut ouvrir une invite de commande ettaper la commande : regsvr32 sc hmmgmt.dllGestion des Stratgies de Groupe : Ce composantpermet de centraliser ladministration des stratgie degroupe dune fort, de vrifier le rsultat dune stratgiede groupe ou bien encore de comparer les paramtres dedeux stratgies de groupe. Ce composant nest pasdisponible sur le CD-ROM de Windows 2003 Server, il
doit tre tlcharg sur le site de Microsoft.ADSI Edit : Ce composant permet de visualiserlarborescence LDAP relle du service dannuaire. Ellepeut savrer utile pour lire ou modifier certains attributsou certains objets de lannuaire. Elle permet aussidattribuer des permissions sur les objets de lannuaireavec une granularit plus fine. En outre, elle se rvlequasi indispensable pour dveloppoer une applicationaccdant aux donnes contenues dans lannuaire. Cette
console doit tre installe avec les outils de supportsitus sur le CD-ROM de Windows 2003 Server.En complment des divers composants logicielsenfichables numrs ci-dessus, divers outils sont mis la disposition de ladministrateur pour grer ActiveDirectory :Lpc.exe :Cet outil permet denvoyer manuellement desrequtes LDAP vers nimporte quel annuaire LDAP (ActiveDirectory, NDS, Open LDAP,). Il peut tre utilis pourvrifier la connectivit entre une machine et lannuaire oubien pour lister des informations bien spcifiques dansune partie de lannuaire. LPC affiche lintgralit desdonnes changes entre le poste client et le service
dannuaire. Il e st disponible avec les outils de supportsitus sur le CD-ROM de Windows 2003 Server.DSADD : Cet outil en ligne de commande permetdajouter des objets dans lannuaire Act ive Directory.DSMOD : Cet outil en ligne de commande permet demodifier des objets dans lannuaire Active Directory.DSMOVE : Cet ou til en ligne de commande permet dedplacer un objet de son conteneur actuel vers un nouvelemplacement.DSRM : Cet ou til en ligne de commande permet desupprimer des objets dans lannuaire Active Directory. DSQUERY: Cet outil en ligne de commande permet
dinterroger la base de donnes Active Directory selondes critres spcifis.Ldifde : Loutil en ligne de commande LDIFDE (LDAPData Interchange Format Directory Export) permetdimporter des donnes partir dun fichier texte versActive Directory ou bien dexporter des donnes partirdActive Directory vers un fichier texte.Csvde : Loutil en ligne de commande CSVDE est utilispour importer des comptes dutilisateurs partir dun
fichier texte vers Active Directory.WSH : WSH pour Windows Scripts Host est unenvironnement permettant dexcuter des scripts en VBSou en JScript.sur une plateforme Windows 9x ou NT
Dlgation du contrle administratif des unitsd'organisationActive Directory est un systme intgrant la scuris :seuls le s comptes ayant reu le s permissions adquatespeuvent effectuer des oprations sur ces objets (ajout,modification, ).Les administrateurs, en charge de cetteaffectation de permissions peuvent aussi dlguer destches dadministration des utilisateurs ou des groupesdutilisateurs
Implmentation de comptes d'utilisateurs, de groupes etd'ordinateurs
Compte dutilisateur Un compte dutilisateur permet
un utilisateur physique douvrir une session unique sur ledomaine et daccder aux ressources partages.Il existe trois types de comptes dutilisateurs, chacunayant une fonction spcifique :1)Un compte dutilisateur local permet unutilisateur douvrir une session sur un ordinateurspcifique pour accder aux ressources sur cetordinateur.2)Un compte dutilisateur de domaine permet unutilisateur de se connecter au domaine pour accder auxressources rseau, ou un ordinateur individuel pouraccder aux ressources sur cet ordinateur.3)Un compte dutilisateur intgr permet un
utilisateur deffectuer des tches dadministration oudaccder temporairement aux ressources rseau.Compte dordinateur :Un compte dordinateurpermetdidentifier un ordinateur physique dans un domaine parle biais dun mcanisme dauthentification. Il est possibledactiver laudit de laccs dun compte dordinateur auxressources du domaine.Compte de groupe : Un compte de groupe permet de
simplifier ladministration en regroupant des comptesdutilisateurs, dordinateurs ou bien dautres comptes degroupes.Un utilisateur peut tre membre de plusieurs groupes.Les groupes se diffrencient de par leur type et de parleur tendue. Il existe deux types de groupes dans ActiveDirectory :Les groupes de scurit :Vous utilisez des groupes de scurit pour affecter desdroits et des autorisations aux groupes dutilisateurs etdordinateurs. Les droits dterminent les fonctions queles membres dun groupe de scurit peuvent effectuerdans un domaine ou une fort. Les autorisationsdterminent quelles ressources sont accessibles unmembre dun groupe sur le rseau.Une mthode dutilisation efficace des groupes descurit consiste utiliser limbrication, cest dire,ajouter un groupe un autre groupe. Le groupe imbriquhrite des autorisations du groupe dont il est membre, cequi simplifie laffectation en une fois des autorisations plusieurs groupes, et rduit le trafic que peut engendrer
la rplication de lappartenance un groupe.Les groupes de distribution :Vous pouvez utiliser des groupes de distributionuniquement avec des applications de messagerie, tellesque Microsoft Exchange, pour envoyer des messages un ensemble dutilisateurs. La scurit nest pas activesur les groupes de distribution, ce qui signifie quils nepeuvent pa s tre r pertoris dans des l istes de contrledaccs discrtionnaire (DACL, Discretionary AccessControl List). Pour contrler laccs aux ressourcespartages, crez un groupe de scurit.Etendue des groupes:Ltendue dun groupe dtermine la manire dont lespermissions sont assignes ses membres. Les groupesWindows Server 2003, quils soient de type scurit oudistribution, sont classifis en trois tendues de groupepossibles : Domaine local, globale et Universelle.
Implmentation d'une stratgie de groupeUne stratgie de groupes est un objet Active Directoryqui va contenir un ensemble de paramtres..Unestratgie de groupe peut aussi tre appele GPO (Group
Policy Object)Les GPO sont des collections de paramtres deconfiguration allant des droits des utilisateurs louverture de session, aux privilges daccs aux logicielsquil sera possible dexcuter su un systme donn.- Les diffrents niveaux fonctionnels dans Active
Directory :
Le niveau fonctionnel dun domaine ou dune fort dansActive Directory dfinit lensemble des fonctionnalitssupportes par le service dannuaire Active Directorydans ce domaine ou dans cette fort.Dans Windows Server 2003, il existe quatre niveaux
fonctionnels de domaine : Windows 2000 mixte (Pardfaut), Windows 2000 natif, Windows Server 2003intermdiaire et Windows Server2003Windows 2000mixte :supporte la prise en charge des contrleurs dedomaine sous Windows NT 4, Windows 2000 et WindowsServer 2003.Windows 2000 natif: supporte l a prise en charge descontrleurs de domaine sous Windows 2000 et WindowsServer 2003.Windows Server 2003 intermdiaire:supporte la prise encharge des contrleurs de domaine sous Windows NT4 etWindows Server 2003
Les zones DNS intgres Active DirectoryUne zone est une partie de lespace de nom de domaine
possedant un groupement logique denregistrement de
ressources qui permet de transrerer des zones et des
enregistrement pour fonctionet autant quunit unique
Les zones intgrs a active directory sont des zones
principales et stube stock comme objet dans la base de
donns active directory
Les avantages des zones intgres AD1)Mise jour de configuration de matres multiples et
scurit avance reposant sur les fonctionnalits dActiveDirectory.
2)Zone peut tre mise jour par les serveurs DNS
fonctionnant sur tout contrleur de domaine du domaine.
3)Les zones sont automatiquement rpliques et
synchronises sur les nouveaux contrleurs de domaine
ds qu'ils sont ajouts un domaine Active Dire ctory.
4)La rplication d'annuaire est plus rapide et efficace que
la rplication DNS standard.
DHCP
Le protocole DHCP est une norme IP permettant desimplifier la gestion de laconfiguration IP hte. La norme
DHCP permet dutiliser les serveurs DHCP pour grer
lallocation dynamique des adresses IP et des autresdonnes de configuration IP pour les clients DHCP de
votre rseau.
Comment le protocole DHCP alloue des adresses IP :Le protocole DHCP gre lattribution et la libration desdonnes de configuration dadresse IP en louant laconfiguration dadresse IP au client par lutilisation dunbail.Le bail DHCP spcifie la dure pendant laquelle le clientpeut utiliser les donnes de configuration IPLe processus de cration dun bail DHCP est le processuspermettant au clientProcessus de cration dun bail DHCP
DHCP de recevoir des donnes de configuration dadresseIP du serveur DHCP.
1)Le client DHCP diffuse un paquet DHCPDISCOVER pourlocaliser un serveur DHCP.
2)Le serveur DHCP diffuse un paquet DHCPOFFER au
cli ent. pour proposer le bail dune adresse IP un client
DHCP.
3)Le client DHCP diffuse un paquet DHCPREQUEST. Un
paquet DHCPREQUEST est un message envoy par un
client au serveur DHCP pour demander ou renouveler le
bail de son adresse IP.
4)Le serveur DHCP diffuse un paquet DHCPACK au client.
pour accuser rception ce message contient un bailvalide pour ladresse ip ainsi que dautre domaine de
configuration.
Processus de renouvellement dun bail DHCPLe processus de renouvellement dun bail ou de mettre
jour ses donnes de configuration dadresse IP laide duserveur DHCP.
Un client DHCP tente automatiquement de renouveler
son bail l orsque sa dure a expir de 50 %. Si le serveur
DHCP est disponible, il renouvelle le bail et envoie au
client un paquet DHCPACK contenant la dure du
nouveau bail et les paramtres de configuration mis
jour.Si le serveur DHCP nest pas disponible, le client
continue utiliser ses paramtres de configuration en
cours.
Autorisation DHCPLautorisation DHCP est le processus denregistrement du
service Serveur DHCP dans le domaine du service
dannuaire Active Directory, afin de prendre en charge lesclients DHCP.
Configuration dune tendue DHCP
Une tendue est une plage dadresses IP valides
disponibles pour les baux ou lattribution des
ordinateurs clients sur un sous-rseau spcifique.
Cest le pool dadresse IP que le serveur peut attribuer au
client DHCP (Une seul etendue peut etre attribuer a un
sous rseau)
Configuration dun agent de relais DHCP
Un agent de relais DHCP est un ordinateur ou un routeur
configur pour couter les messages DHCP/BOOTP des
clients DHCP et les transmettre aux serveurs DHCP surdiffrents sous-rseaux.
Fonctionnement de lagent de relais
1)client diffuse un paquet DHCPDISCOVER2)Lagent de r elais transmet le message DH CPDISCOVER
au serveur DHCP
3)Le serveur envoie un message DHCPOFFER a lagent
de relais DHCP
4)Lagent de relais diffuse le paquet DHCPOFFER
5)CLIENT1 diffuse un paquet DHCPREQUEST
6)Lagent de relais transmet le message DHCPREQUEST
au serveur DHCP
7)Le serveur envoie un message DHCPACK a l agent de
relais DHCP8)Lagent de relais diffuse le paquet DHCPACK
Gestion dune base de donnes DHCPBase de donnes DHCPLa base de donnes DHCP est une base de donnesdynamique qui est mise jour lorsque les clients DHCPobtiennent ou librent leurs baux dadresses TCP/IP(Transmission Control Protocol/Internet Protocol).Journal daudit DHCP :
Un fichier journal daudit DHCP est un journal o sont
consigns des vnements relatifs un service, parexemple le moment o :1)le service dmarre ou sarrte
;2)des autorisations ont t vrifies ; 3)des adresses IPsont loues, renouveles, libres ou refuses.
-
7/31/2019 L_administration Sous WIN 2003
2/2
DNS
DfinitionDNS est une base de donnes distribue hirarchise qui
contient les mappages de noms dhtes DNS des
adresses IPFonction de DNS
1)DNS prend en charge laccs aux ressources laide de
noms alphanumriques.3)Avec DNS, les noms dhtes rsident dans une base de
donnes qui peut tre distribue entre plusieurs serveurs,
ce qui diminue la charge de chaque serveur et permet
dadministrer le systme de noms par partitions.
2)DNS prend en charge des noms hirarchiques et
permet dinscrire divers types de donnes en plus du
mappage de noms dhtes adresse IP qui est utilis
dans les fichiers Hosts.une comparaison entre les noms NetBios et DNS :Noms dordinateur NetBios : Type(Plat) Taille maximale(15 caractres) Services de noms(WINS, monodiffusionNetBios, fichier Lmhosts)Noms dordinateur DNS : Type(Hirarchique) Taillemaximale (63 octets par tiquette 255 octets par FQDN )Services de noms(DNS, fichier Hosts)
Espace de noms de domaines
est une arborescence hirarchise de noms utilise parDNS pour identifier et trouver un hte donn dans un
domaine donn, par rapport la r acine de larborescence
Fonctioneent :Organiser les noms de ressource en une
structure logique facile a comprendre
1)Domaine : toute arborescence ou sousarborescence se
trouvant dans lespace de noms de domaine.
2)Domaine racine : Reprsent par un( .)indiquant que le
nom et a la racise cest--dire au plus haut niveau
3)Domaine de niveau suprieur : Cest la partie a
lextrme droite qui dfinit le statut organisationnel (.com, .ma..)
4)Domaine de second niveau : Un nom de domaine de
second niveau est un nom unique de longueur variable.Dans lexemple www.microsoft.com, le nom de second
niveau est la portion .microsoft du nom de domaine,
inscrite par InterNIC et affecte Microsoft Corporation.
5)Sous-domaine : Quand une organisation subdivise son
nomde domaine en ajoutant des services ou
dpartemeny reprsent par une portion distincte dans le
nom de domaine (drif.ofppt.ma)
6)Nom de domaine pleinement qualifi : est un nom de
domaine DNS qui a t dfini de faon non ambigu pourindiquer avec certitude son emplacement dans
larborescence de lespace de noms de domaine.
les r equtes DNS
Une requte est une demande de rsolution de noms
envoye un serveur DNS. Il existe deux types de
requtes : requtes rcursives et requtes itratives.
Requte rcursive :
-le client DNS demande au serveur de fournir une
rponse complte.
-le serveur peut uniquement renvoyer une rponse
complte ou indiquer quil ne sait pa s rsoudre le nom
-Une requte rcursive ne peut pas tre redirige vers unautre serveur DNS.
-Les requtes rcursives sont lances par un client DNSou par un serveur DNS configur pour utiliser des
redirecteurs
-La rponse une requte rcursive peut tre positive oungative.
Les donnes demandes.
Un message derreur indiquant que les donnes du type
demand nexistent pas.
Un message indiquant que le nom de domaine spcifi
nexiste pas.
Fonctionnement dune requte rcursive
1. Le client envoie une requte rcursive au serveur DNS
local.
2. Le serveur DNS local essaie de trouver une rponse
dans la zone de recherche directe et dans le cache.
3. Sil trouve la r ponse la requte, le serveur DNS larenvoie au client.
4. Sil ne trouve pas de rponse, le serveur DNS utilise
ladresse dun redirecteur ou des indications de racinepour chercher plus haut dans larborescence.
Requtes itrativesUne requte itrative est une requte envoye un
serveur DNS dans laquelle le client DNS demande la
meilleure rponse que peut fournir le serveur DNS sans
faire appel dautres serveurs DNS. Les requtes
itratives sont parfois appeles requtes non rcursives.
Fonctionnement dune requte itratives
1. Le serveur DNS local reoit une requte rcursive dunclient DNS.
2. Le serveur DNS local envoie une requte itrative au
serveur racine pour obtenir un serveur de noms faisantautorit.
3. Le serveur Racine rpond par une rfrence un
serveur DNS plus proche du nom de domaine demand.
4. Le serveur DNS local envoie ensuite une requte
itrative au serveur DNS plus proche du nom de domaine
demand.
5. Le processus continue jusqu ce que le serveur DNS
local reoive une rponse faisant autorit.
6. Cette rponse est alors envoye au client DNS.
Dfinition dun redirecteur :Un redirecteurest un serveur DNS que dautres serveursDNS internes dsignent comme responsable du transfert
des requtes pour la rsolution de noms de domainesexternes ou hors site.
Les indications de racineLes indications de racine sont des enregistrements de
ressources DNS stocks sur un serveur DNS qui
rpertorient les a dresses I P des serveurs ra cines du
systme DNS.
Fonction dune indication de racine
-le serveur DNS reoit une requte DNS, il consulte sa
mmoire cache. Sil na pas ladresse IP du serveur DNS
faisant autorit pour ce domaine et quil e st configuravec les adresses IP des indications de racine, le serveurDNS interroge un serveur racine sur le domaine situ
gauche du domaine racine de la requte.
-Le serveur continue de parcourir le FQDN jusquua cequa ce quil trouve le serveur faisont autorit
-Les indications de racine sont stockes dans le fichier
Cache.dns qui se trouve dans le dossier
%Systemroot%\System32\Dns.
Les redirecteurs
Un redirecteur est un serveur DNS que dautres serveurs
DNS internes dsignent comme responsable du transfert
des requtes pour la rsolution de noms de domaines
externes ou hors site.
La mis een cache du serveur DNS
La mise en cache est le processus qui consiste stockertemporairement dans un sous-systme de mmoire
spcial des informations ayant fait lobjet dun accs
rcent pour y accder plus rapidement ensuite.
Fonctionnement du cache des serveurs DNS
Les donnes places dans la memoire cache ont une
dure de vir TTL qui dcrement avec le temps.le serveurdoit alors les supprims du mmoire cache
Configuration des zones DNS
Enregistrements de ressourcesA : rsout un dhte en adresse IP
PTR : Rsout une adresse IP en nom dhte
SOA : premier enregistrement dans tout fichier de zoneSRV : Rsout les noms des serveurs qui fournissent des
services
NS : identifie le serveur DNS associ a chaque zone
MX : serveur de messagerie.
CNAME :Rsout un nom dhte en nom dhte
Zones DNS
Une zone est un ensemble de mappages de nom dhte
adresse IP pour des htes situs dans une portioncontigu de lespace de noms DNS.
Les donnes dune zone sont gres sur un serveur DNS
et peuvent tre stockes de deux manires : En tant que fichier de zone plat contenant des listes de
mappages ;
Dans une base de donnes Active Directory.Un serveur DNS fait autorit pour une zone sil hberge
les enregistrements de ressources correspondant aux
noms et aux adresses que les clients demandent dans le
fichier de zone.
Une zone DNS est :
-soit une zone principale, secondaire ou de stub.
- soit une zone de recherche directe ou inverse.
Scurisation dune zone DNS
Pour plus de scurit, vous pouvez contrler lespersonnes autorises administrer les zones DNS en
modifiant la li ste de contrle daccs. La liste DACL
permet de contrler les autorisations accordes auxutilisateurs et aux groupes Active Directory qui peuvent
contrler les zones DNS.
Types de zones DNS1)Zone principale : Une zone pr incipale est lexemplaire
faisant autorit de la zone DNS. Les enregistrements de
ressources y sont crs et grs.
2)Zone secondaire : Une zone secondaire est une copie
en lecture seule de la zone DNS.
Zone de stub
3 )Les zones de stub : sont des copies dune zone quicontiennent uniquement les enregistrements de
ressources ncessaires lidentification du serveur DNSfaisant autorit pour la zone en question. Une zone de
stub contient un sousensemble des donnes de la zone
qui se compose dun enregistrement SOA, NS et A,galement appel enregistrement de rsolution par
requtes successives.
Zones de recherche
1) Zone de recherche directe : Dans le systme DNS, une
recherche directe est un processus dinterrogation qui
recherche le nom affich du domaine DNS dun
ordinateur hte pour trouver son adresse IP
2 )Zone de recherche inverse :Dans le systme DNS,
une recherche inverse est un processus dinterrogationqui recherche l adresse IP dun ordinateur hte pour
trouver son nom a ffich dans le domaine DNS.
Transferts de zone DNSUn transfert de zone est le transfert total ou partiel des
donnes dune zone partir du serveur DNS vers un
serveurs DNS secondaires Il existe deux types de
transferts de zone DNS :1)Transfert de zone complet : Lorsquune requte DNS
est effectue avec le type de requte AXFR, la rponse
est un transfert de lintgralit de la zone. Une requteAXFR est une demande de transfert de zone complet.
2)Transfert de zone incrmentiel :Type de requte utilis
par certains serveurs DNS pour mettre jour etsynchroniser les donnes dune zone lorsque celle-ci a
subi des modifications depuis la dernire mise jour.
Processus de transfert de zone
SRV SECONDAIRE > REQUETE SOA POUR UNE ZONE
SRV PRINCIPALE > RQUETE A LA REQUETE SOA
SRV SECONDAIRE > Requte IXFR OU AXFR POUR UNE
ZONE
SRV PRONCIPALE> REPONCE A LA REQUETE IXFR(TRANSFERT DE ZONE)
Notification DNS (DNS Notify)
DNS Notify est une mise jour de la spcificationdorigine du protocole DNS qui permet dinformer le s
serveurs secondaires lorsquune zone est modifie.
Fonctionnement de DNS Notify
1. La zone locale hberge sur un serveur DNS principal
est mise jour.
2. Dans lenregistrement de ressource SOA, le champ
Numro de srie est mis jour pour indiquer quune
nouvelle version de la zone a t crite sur un disque.
3. Le serveur principal envoie un message de notification
tous les serveurs qui figurent dans sa liste denotification.
4. Tous les serveurs secondaires de l a zone qui reoiventle message de notification ragissent en renvoyant une
requte de type SOA au serveur principal expditeur de
la notification
Mise jour dynamique :
Une mise jour dynamiqueest le processus par lequelun client DNS cre, inscrit ou met jour de faon
dynamique ses enregistrements dans des zones
maintenues par des serveurs DN S qui pe uvent accepter
et traiter des messages pour des mises jourdynamiques
Dlgation dune zone DNSEn termes techniques, la dlgationest le processus quiaffecte lautorit sur les domaines enfants de votre
espace de noms DNS une autre entit en ajoutant des
enregistrements dans la base de donnes DNS
Surveillance du service DNS :
Nslookup : permet deffectuer des requtes de test vers
des serveurs DNS et dobtenir des rponses dtailles
depuis linvite de commande
Journal des vnements DNS :VLe journal desvnements DNS est un journal systme configur pour
nenregistrer que les vnements DNS
Enregistrement de dbogage DNS : Lenregistrement dedbogage DNS est un outil journal facultatif pour DNS,
qui stocke les informations DNS
Rsolution de noms NetBIOS laide du service
WINS
Composants du service WINS
Serveur WINS est un Ordinateur qui traite les requtes
dinscription de nom provenant des clients WINS, inscrit
les noms e t adresses I P du client, puis rpond aux
requtes de noms NetBIOS soumises par les clients. Le
serveur WINS renvoie ensuite ladresse IP dun nom
demand, si ce dernier figure dans la base de donnesdu serveur.
Base de donnes WINS stocke et rplique les
mappages des noms NetBIOS aux adresses IP dunrseau.
Client WINS est un Ordinateurs que vous pouvez
configurer pour utiliser directement un serveur WINS ;ces ordinateurs possdent gnralement plusieurs noms
NetBIOS .
Agents proxy WINSest un Ordinateur qui contrle la
diffusion des requtes de noms et rpond lorsque les
noms ne figurent pas sur le sous-rseau local. Le proxy
communique avec un serveur WINS pour rsoudre les
noms, puis les met en cache pour une priode donne.Prsentation dun type de nud NetBIOS
Nud de diffusion B : Mthode utilisant les diffusionspour linscri ption et la rsolution de noms.
Nud point point P :Mthode nutilise pas de
diffusions car il interroge directement le serveur denoms, ce qui permet aux ordinateurs de r soudre le s
noms NetBIOS en franchissant les routeurs.
Nud M :Combine le nud B et le noeud P, mais
fonctionne par dfaut comme un noeud B. Si le noeud M
ne peut pas rsoudre un nom par diffusion, il utilise le
serveur de noms NetBIOS du noeud P.
Noeud hybride H : Combine le noeud P et le noeud B,
mais fonctionne par dfaut comme un noeud P. Si le
noeud H ne peut pas rsoudre un nom via le serveur denoms NetBIOS, il utilise une diffusion.
Configuration de la rplication WINS
Bien quun seul serveur WINS puisse traiter les re qutesde rsolution de noms NetBIOS pour des milliers de
clients, vous devez appliquer une tolrance aux pannes
supplmentaires en configurant un deuxime ordinateur
excutant Windows Server 2003. Cet ordinateur feraoffice de serveur WINS secondaire
Fonctionnement de la rplication par mission
La rplication par mission est le processus qui consiste copier les donnes WINS mises jour dun serveur WINS
sur dautres serveurs WINS, chaque fois que le serveur
WINS contenant ces donnes mises jour atteint unseuil de modifications spcifi.
1. Un partenaire metteur avertit ses partenaires de
rplication chaque fois que le nombre de modifications
apportes sa base de donnes WINS dpasse un seuil
spcifique, configurable.
2. Lorsque les partenaires de rplication rpondent sa
notification par une requte de rplication, le partenaire
metteur leur envoie les rplicas de ses nouvelles entresde base de donnes.Fonctionnement de la rplication par rception
La rplication par rception est le processus qui consiste
copier les donnes WINS mises jour dun serveurWINS sur un autre serveur WINS des intervalles
spcifis, configurables.
Le processus de rplication par rception se droule
comme suit :
1. Un partenaire rcepteur demande, intervalles
rguliers, les modifications apportes une base de
donnes WINS.
2. Les partenaires de rplication rpondent cette
demande en envoyant toutes les nouvelles entres de la
base de donnes au partenaire rcepteur.
Cration une OU :dsadd ou "ou=bernoussi,ou=casa,dc=yassine,dc=ma"
renommer une Ou :
dsmove "ou=yassi ne,dc=maroc,dc=ma" - newname
yassinet
dplacer une OU :
dsmove "ou=yassine,dc=maroc,dc=ma" -newparentou=casa,dc=maroc,dc=ma
Cration d'un utilisateur :
dsadduser"cn=yassine2,ou=casa,dc=yassine,dc=ma" -
samid yassine2-upn [email protected] -fn r akhif -ln yassine2
-display "yassine2 rakhif" -pwd P@ssw0rd
Cration d'un compte ordinateur :dsaddcomputer"cn=pc1,ou=casa,dc=yassine,dc=ma"
supprimer un compte utilisateur :
dsrm "cn=yassine,ou=casa,dc=yassine,dc=ma"
Modifier un compte d'utilisateur :
dsmod user "cn=yasine,ou=casa,dc=yassine,dc=ma" -te
065412541
Modifier un compte d'ordinateur :
dsmod computer "cn=pc1,ou=casa,dc=yassine,dc=ma" -
loc "batiment 2"Activer ou dsactiver un compte utilisateur :
dsmod user "ou=yassine,dc=maroc,dc=ma" -desabled
yes/noCration d'un groupe :
dsaddgroup"cn=group1,ou=casa,dc=yassine,dc=ma" -
secgrp yes -scope g/L -samid group1supprimer un groupe :
dsrm "cn=group1,ou=casablanca,dc=yassine,dc=ma"
Voir les groupes qu'un user apartient :
dsgetuser"cn=yassine,ou=casablanca,dc=yassine,dc=ma
"memberof
rechercher un utilisateur :dsquery user -name t*
rechercher un ordinateur :dsquery computer -name
pc*
Partager un fichier :net share dossier=c:/windows/dossier /cache:
'manual,documents,programs,none'
Monter un lecteur reseau :net use Z: \\serveurX\NomDossier
Dmonter un lecteur reseau :
net use Z: /deleteVoir les groupes qu'un user apartient :
dsgetuser"cn=yassine,ou=casablanca,dc=yassine,dc=ma
" -memberof