Windows Serveur 2008

Transcription

1 2013 Windows Serveur 2008 CONFIGURATION DES SERVICES RESEAUX OLIVIER D. D. Olivier 1

2 Table des matières 1 Installation et configuration des serveurs Configuration et dépannage du système DNS Configuration et gestion du service WINS Configuration et dépannage du protocole DHCP Configuration et dépannage du protocole IPv Configuration et dépannage du service de routage et d accès à distance Service de rôle Serveur NPS Configuration de la sécurité IPSEC Analyse et dépannage de la sécurité IPSec Configuration et gestion du système de fichiers DFS D. Olivier 2

3 1 Installation et configuration des serveurs A propos du prix des licences : WS2008 Standard (675 TTC) : permet 1 licence réelle + 1 licence virtuelle/nœud WS2008 Entreprise (2300 TTC) : permet 1 licence réelle + 4 licences virtuelles/nœud WS2008 Datacenter (3700 TTC) : permet 1 licence réelle par processeur + licences illimitées / nœud) Installation de Windows Server 2008 : Exemple d utilisation des licences réelles et virtuelles Il peut-être recommandé d utiliser des images sysprepée + déploiement à distance pour les serveurs (WDS et MDT) Privilégier une nouvelle installation plutôt que la mise à jour de l OS d un serveur existant Penser à renommer le serveur et à activer le bureau à distance Attention aux services qui utilisent IPv6 avant de le desactiver (exemple : Exchange 2007 sur WS2008) Installation de rôles et de fonctionnalités : Gestionnaire de serveur Installation de rôles, de services de rôles, de fonctionnalités (telnet, wins ) D. Olivier 3

4 2 Configuration et dépannage du système DNS Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine (FQDN 1 ) en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom. 2.1 Historique NetBIOS et le modèle en couches TCP/IP NetBEUI (non routable) associe un nom d ordinateur à une adresse MAC. Utilise le broadcast. En NetBIOS, le nom d ordinateur doit faire 15 caractères maxi (15 octets). De plus le nom doit être unique sur l inter-réseau. LMHOSTS et WINS broadcastent pour résoudre les noms (donc ne passent pas les routeurs). NetBT (NetBIOS over TCP/IP) associe un nom d ordinateur à une adresse IP ARP traduit une adresse IPv4 en adresse MAC (entre la couche 2 et la couche 3) CIFS est l ancêtre de SMB et SMB2 qui sont des protocoles de partages de fichiers et imprimantes. 2.2 NetBIOS over TCP/IP Interroger le cache NetBIOS : C:\> nbtstat -c Type de noeud NetBIOS : 1(B)roadcast 2 (P)eer to Peer 4 (M)ix 8 (H)ybride broadcast diffusion NBNS (WINS) WINS Fichier lmhosts (virer le.sam) Résolution des Noms d'hôte (DNS) Ordre d interrogation des différents services : de haut en bas WINS diffusion DNS : associe un noms d'hôte (FQDN) à une adresse IP. 1 FQDN : Fully Qualified Domain Name. Nom d hôte suivi d un point et du nom de domaine. Exemple : pc1.domaine.local D. Olivier 4

5 Fichier hosts : contenu dans /etc/hosts (systèmes Unix) ou %systemroot%\drivers\etc\hosts (systèmes Windows). Il associe les noms d hôtes aux adresses IP. C est le fonctionnement de BIND 2.3 Résolution Windows 9x Windows NT Linux Windows 2000 et + Hosts DNS Cache DNS Hosts DNS NetBIOS (que pour Windows) BInstallation du rôle serveur DNS Le service DNS est une «base de données» hiérarchique distribuée : 2.4 Configuration de DNS Le. (correspondant au domaine racine) doit être indiqué dans le FQDN Le fichier %systemroot%\system32\dns\cache.dns contient les noms des 13 serveurs racine d internet. Le service DNS (ou daemon) est visible dans les services sous le nom DNS Administration du service DNS : MMC.EXE > DNS C:\> dnscmd Nota : les zones DNS intégrées AD ne sont pas administrables avec un éditeur de texte D. Olivier 5

6 Clients, serveur DNS dans le LAN, serveurs DNS sur Internet 2.5 Les enregistrements des serveurs DNS incluent SOA : Source de nom (serveur principal de la zone). Nom du serveur qui a un accès en écriture sur la zone concernée NS : Serveurs de noms. Noms des serveurs ayant autorité sur la zone (serveur principaux + serveurs secondaires). CNAME : Enregistrement d alias. Par exemple, www est souvient utilisé pour nommer srv-web MX : Enregistrement de serveur de messagerie. Nom du serveur SMTP du domaine. SRV : Enregistrement de service. Par exemple _LDAP A : enregistrement d hôte IPv4 AAAA : enregistrement d hôte IPv6 PTR : pointeur. Permet de trouver le nom à partir de l adresse IP Un serveur DNS peut faire : 2.6 Requêtes DNS Hosting : stockage des enregistrements de ressources Résolveur : service des clients (va interroger les autres serveurs DNS Une requête peut être : Récursive : seule la réponse totale est acceptée (réponse venant d un serveur faisant autorité) Itérative : une réponse partielle est acceptée Une requête peut aussi être : Directe : on recherche l adresse IP, le service, le MX, etc. à partir du FQDN Inversée : on recherche le FQDN à partir de l adresse IP Un serveur qui fait autorité sur la zone : 1. Donne une réponse totale 2. Sinon il dit que l enregistrement n existe pas (cette réponse fait autorité) Un serveur DNS qui ne fait pas autorité sur la zone : 1. Vérifie son cache pour savoir s il peut donner une réponse totale 2. S il ne trouve pas, il interroge les indications de racine 3. Sinon il interroge les redirecteurs D. Olivier 6

7 2.7 Requête récursive Fonctionnement de la requête récursive 2.8 Requête itérative 2.9 Qu est-ce qu un redirecteur Fonctionnement de la requête itérative Fonctionnement d un redirecteur D. Olivier 7

8 2.10 Redirection conditionnelle Fonctionnement d un redirecteur conditionnel 2.11 A propos du «round robin» Si un même nom possède plusieurs adresses IP, le client reçoit toutes les adresses IP qu il va utiliser aléatoirement, faisant une sorte de balance de charge. Exemple : A A A Cependant, si une adresse IP est dans le même réseau que le client, celui-ci ne reçoit que cette dernière (pour des raisons évidentes de proximité) Commandes utiles Afficher le cache du serveur DNS : Outils d administration > DNS > Affichage détaillé Console d administration DNS : C:\> dnscmd /? Afficher le cache local : C:\> ipconfig /displaydns Interroger le cache du serveur DNS (et pas le cache local) : C:\> nslookup D. Olivier 8

9 2.13 Configuration des zones DNS Délégation d autorité Délégation d autorité Chaque serveur DNS «supérieur» effectue une délégation d autorité au serveur DNS «inférieur» Une zone est une portion de l espace de nom sur laquelle le serveur fait autorité. Exemple de contenu d une zone et zone de stub Une zone principale est une copie en lecture/écriture d une base de données DNS. Une zone secondaire est une copie en lecture seule d une base de données DNS. Une zone de stub est une copie d une zone contenant uniquement des enregistrements utilisés pour localiser des serveurs de noms. Une zone intégrée à Active Directory est une zone dont les données sont copiées dans Active Directory plutôt que dans des fichiers de zone. D. Olivier 9

10 2.14 Exemple de fichier de zone Contenu du fichier : C:\Windows\System32\dns\domtest.dns IN SOA bdc.domtest.local. hostmaster.domtest.local. ( 28 ; serial number 900 ; refresh 600 ; retry ; expire 3600 ) ; default NS 600 A e e-8acb-e7648ad02831._msdcs 600 CNAME bdc.domtest.local. _kerberos._tcp.premier-site-par-defaut._sites.dc._msdcs 600 SRV bdc.domtest.local. _ldap._tcp.premier-site-par-defaut._sites.dc._msdcs 600 SRV bdc.domtest.local. _kerberos._tcp.dc._msdcs 600 SRV bdc.domtest.local. _ldap._tcp.dc._msdcs 600 SRV bdc.domtest.local. _ldap._tcp.d3d3d075-d100-4f22-b3d5-c3a90b domains._msdcs 600 SRV bdc.domtest.local. _ldap._tcp.pdc._msdcs 600 SRV bdc.domtest.local. _kerberos._tcp.premier-site-par-defaut._sites 600 SRV bdc.domtest.local. _ldap._tcp.premier-site-par-defaut._sites 600 SRV bdc.domtest.local. _kerberos._tcp 600 SRV bdc.domtest.local. _kpasswd._tcp 600 SRV bdc.domtest.local. _ldap._tcp 600 SRV bdc.domtest.local. SRV bdc. _kerberos._udp 600 SRV bdc.domtest.local. _kpasswd._udp 600 SRV bdc.domtest.local. bdc A DomainDnsZones 600 A _ldap._tcp.premier-site-par-defaut._sites.domaindnszones 600 SRV bdc.domtest.local. _ldap._tcp.domaindnszones 600 SRV bdc.domtest.local. ForestDnsZones 600 A _ldap._tcp.premier-site-par-defaut._sites.forestdnszones 600 SRV bdc.domtest.local. _ldap._tcp.forestdnszones 600 SRV bdc.domtest.local. PDC A On peut même se faire une idée de l infrastructure qui ici ne comprend que 2 hôtes : BDC ( ) qui est DNS principal et contrôleur de domaine (SRV _ldap) PDC2 ( ) qui est membre de la zone D. Olivier 10

11 2.15 Zones de recherches directes 2.16 Zones de recherches inversées Convention de nommage : Exemple de zone de recherche directe et de zone de recherche inversée Le nom est du type adresse_inversée_réseau.in-addr.arpa Adresse inversée réseau : pour un réseau partie réseau = adresse réseau inversée = Attention : le nom FQDN contient un. à la fin. Exemple : pc1.domaine.local Délégation de zone Sur le serveur NS1-societe faisant autorité pour la zone societe.local : Définir en tant que zone principale, ajouter les enregistrements Sur le serveur NS1-domaine : Ajouter une délégation indiquant que NS1-societe.societe.local fait autorité pour societe.local D. Olivier 11

12 BConfiguration des transferts de zone DNS Fonctionnement de la réplication de zone DNS Une requête AXFR est une requête de mise à jour de la zone Une requête IXFR est une requête de rechargement de la zone Serveur maitre : source des infos lors de la réplication. Celui auprès de qui un serveur secondaire effectue les requêtes. Un maitre peut être Zone Secondaire Fonctionnement DNS Notify 2.20 Protection des transferts de zones Le serveur principal envoie les notifications aux serveurs secondaires Principes : Restreindre le transfert de zones aux serveurs spécifiés (serveurs déclarés pour cette zone) Chiffrer le transfert de zones (IPSec ) Utiliser les zones intégrées AD Configurer la restriction du transfert de zone : 1. Ajouter une Zone Principale sur SRV1 2. Ajouter une Zone Secondaire sur SRV2. SRV1 est maître. 3. Aller sur SRV1 et dire que SRV2 est connu pour la notification (ou intervalle d actualisation) et le transfert de zones. D. Olivier 12

13 Rappels, pour les zones intégrées Active Directory : La partition ForestDNSZone est répliquée sur tous les DC qui ont le rôle DNS dans la forêt La partition DomainDNSZone est répliquée sur tous les DC qui ont un rôle DNS dans le domaine 2.21 Zones par défaut d un DNS WS2008 _msdsc.domaine : répliqué sur la forêt ; informations sur les DC (cette zone est notamment utilisée pour les transferts de données entre les DC du domaine. domaine : répliqué sur le domaine Attention : pour les zones intégrées AD, nom de la zone = nom de la machine qui héberge la zone 2.22 Fonctionnalités TTL : durée de vie d un enregistrement Une valeur nulle de TTL est utile pour le round robin. «tri de masque réseau» dans le réseau Vieillissement : Un enregistrement non actualisé est supprimé au bout de 14 jours (par défaut) Les enregistrements créés manuellement n expirent jamais (par défaut) Vieillissement défini sur la zone (zone) ou pour toutes les zones du serveur (serveur) D. Olivier 13

14 3 Configuration et gestion du service WINS 3.1 Utilisation Le service WINS est obligatoire pour les raisons suivantes : Les anciennes versions des systèmes d exploitation Microsoft confient la résolution de noms au service WINS Dans le cas où certaines applications, généralement les plus anciennes, utilisent des noms NetBIOS Dans le cas où vous devez utiliser l inscription des noms dynamiques en une partie Dans le cas où les utilisateurs ont besoin de fonctionnalités de navigateur réseau Voisinage réseau et Favoris réseau Dans le cas où vous n utilisez pas Windows Server 2008 en tant qu infrastructure DNS 3.2 Vue d ensemble de WINS Inscription et libération de l enregistrement TTL = 6j (avec renouvellement de l enregistrement possible à 50%) BLe traitement en rafale : Temps de renouvellement = 5 secondes + durée aléatoire D. Olivier 14

15 3.4 Processus de résolution des noms 3.5 Configurer le service Installation : Le port utilisé pour les requêtes WINS est TCP137 Gestionnaire de serveur > Ajouter fonctionnalité > Serveur WINS Gestion : Outils d administration > WINS Configurer les délais avant suppression, intervalle de renouvellement : WINS > Serveur >> Propriétés > Onglet intervalles Supprimer : il est possible de supprimer un enregistrement ou bien de supprimer un enregistrement + répliquer la suppression aux autres serveurs WINS. Réenregistrer les informations de l ordinateur sur le serveur WINS : C:\> nbtstat La sauvegarde WINS est online, mais la restauration est offline. La base de données WINS n est pas hiérarchisée/ 3.6 Réplication Les réplications par émission et les réplications par réception fonctionnent ensemble. Il faut donc les configurer toutes les deux Réplication par émission Il faut deux serveurs WINS : un émetteur + un récepteur Toutes les N modifications : réplication D. Olivier 15

16 Fonctionnement de la réplication par émission Réplication par réception Toutes les T heures : réplication Fonctionnement de la réplication par émission Configurer la réplication A faire sur les deux serveurs WINS qui répliquent ensemble : Outils d administration > WINS > partenaire de réplication Propriétés des partenaires de réplication : définir réplication par émission réplication par réception Onglet avancé des propriétés des partenaires de réplication : définir les partenaires Nota : l adresse des multidiffusions des serveurs WINS est Attention : ne pas activer la configuration auto des partenaires : bouffe la bande passante 3.7 Migration de WINS vers DNS Lors des ping, quand on utilise un nom court, le suffixe DNS est implicite. C:\> ping pc01 [.domaine.local.] Attention : via DHCP on ne peut pas fournir plusieurs noms courts D. Olivier 16

17 4 Configuration et dépannage du protocole DHCP 4.1 Vue d ensemble DHCP Présentation : DHCP (Dynamic Host Configuration Protocol) : protocole de configuration automatique des hôtes (TCP/IP). L objectif de DHCP est de réduirela charge administrative ainsi que d éviter les erreurs de configuration. Inconvénient : il faut un serveur DHCP dans le domaine local. Il faut aussi faire attention aux serveurs DHCP non fiables. Configuration manuelle de TCP/IP VS configuration automatique de TCP/IP Comment le protocole DHCP alloue des adresses IP : Un peu de vocabulaire Renouveller le bail (l hôte «loue» une adresse IP auprès du serveur) : C:\> ipconfig /renew Casser le bail (déconfigurer DHCP sur le client) C:\> ipconfig /release D. Olivier 17

18 Obtention d une adresse IP : 1. Le client envoie une requête DHCPDISCOVER (source : ; destination : ) 2. Tous les serveurs répondent par un paquet DHCPOFFER 3. Le client accepte la premier offre et rebroadcaste un paquet DHCPREQUEST 4. Le serveur DHCP qui a gagné unicaste un paquet DHCPACK contenant toutes les informations 4.2 Renouvellement de bail DHCP à 50% : DHCPREQUEST en unicast (actualise sa configuration actuelle) à 87,5% : DHCPREQUEST en broadcast (actualise en essayant de trouver tous les serveurs dispo) à 100% : DHCPDISCOVER en broadcast (demande un nouveau bail) au délà de100% : d autoattribue une adresse de type APIPA = /16 Un serveur peut renvoyer un paquer DHCPNAK en réponse à un DHCPREQUEST dans le cas où l adresse IP a été redonnée ailleurs. Dans ce cas le client renvoit un DHCPDISCOVER en broadcast. Pour réparer une configuration réseau bancale (vider les caches ARP, NetBIOS, DNS) : C:\> ipconfig/renew 4.3 Autorisation du service DHCP Sur AD on peut déclarer les serveurs DHCP comme étant autorisés à démarrer (Windows 2000 et +) Le serveur DHCP n est pas obligé d être membre d AD Le groupe Administrateurs de l entreprise peut autoriser les serveurs DHCP Attention : Si un serveur DHCP fonctionnait avant puis ajout AD et non déclaré, alors il ne fonctionne plus Fonctionnement d un relais DHCP Attention : pour que les requêtes DHCP passent les routeurs, il faut autoriser [UDP 67] D. Olivier 18

19 Configuration des étendues et des options DHCP : Une étendue est un ensemble d adresses IP pouvant être «louées» à des clients DHCP. Pour les réservations, il est conseillé d utiliser les adresses mac plutôt que les adresses IP. A propos des étendues DHCP Si le nombre d hôtes DHCP augmente et dépasse l étendue, on peut regrouper plusieurs étendues en «super étendue» pour que DHCP : attribue des adresses à partir de l étendue1 quand l étendue1 est pleine, attribue des adresses à partir de l étendue2 4.4 Les options DHCP Ces options peuvent s appliquer au niveau : Du serveur DHCP (exemple : configuration DNS) De l étendue (exemple : passerelle par défaut) De la classe (liée à l OS) Du client réservé (configuration manuelle du client) Les options configurables sont : Serveur DNS Nom DNS Passerelle par défaut Serveur WINS Durée de bail Configuration de la classe : C:\> ipconfig /setclassid <nom-interface-rso> "nom de la classe" Afficher la classe utilisateur : C:\> ipconfig /all 4.5 Réservation Une réservation permet de donner une adresse IP spécifique à un poste dont on a renseigné l adresse MAC. Les réservations sont à configurer poste par poste. D. Olivier 19

20 4.6 Gestion d une base de données DHCP Les sauvegardes des bases DHCP peuvent être : synchrone (sauvegardes à intervalles réguliers) asynchrone (sauvegardes déclenchée manuellement) Principe de la réconciliation 4.7 Migration de serveurs DHCP Sur le futur serveur : Configurer les étendues Sur l ancien serveur : Diminuer la durée des baux Ajouter peu à peu les exclusions Résoudre les conflits lors des migrations (utilise ICMP 2 ) : Outils d administration > DHCP > IPv4 >> Propriétés avancées > Tentative de résolution des conflits 4.8 Serveur DHCP de secours L objectif est de couvrir le risque de déni de service. Un rapport 80/20 est utile pour un reboot du serveur DHCP principal Si l indisponibilité risque d être plus longue qu un reboot, penser à changer le pourcentage ou la durée des baux. Sur le serveur principal : étendue = , plage d exclusion : Sur le serveur de secours : étendue = , plage d exclusion : ICMP (Internet Control Message Protocol) est un protocole utilisé pour véhiculer les messages de contrôles et d erreurs. Exemple : ICMP est utilisé pour véhiculer les PING D. Olivier 20

21 4.9 DHCP et DNS Configurer la mise à jour dynamique des enregistrements DNS (DDNS = Dynamic DNS) Outils d administration > DNS > Zones > mise à jour dynamique (via DHCP) Sans DDNS (et dans les cas des clients à adresse IP statique, non DHCP), c est le client qui effectue les enregistrements A et PTR auprès du serveur DNS principal. Les deux méthodes d enregistrements DDNS. Privilégier la méthode en bleu Méthode de configuration d enregistrements DDNS sur le serveur DHCP : Outils d administration > DHCP > IPv4 > Propriétés > DNS Pour pouvoir mettre à jour les serveurs DNS à partir des serveurs DHCP non intégrés AD : L ordinateur doit faire partie du groupe DNS Proxy Le groupe utilisateurs DHCP n a qu un droit en lecture seule au DHCP. Ils peuvent cependant ouvrir la MMC du service DHCP pour en lire les informations. D. Olivier 21

22 5 Configuration et dépannage du protocole IPv6 5.1 Vue d ensemble IPv6 Les différences entre IPv4 et IPv6 Format des adresse IPv6 = de 0000:0000:0000:0001 à FFFF:FFFF:FFFF:FFFF (hexadécimal) Préfixes des adresses IPv6 : Adresse de monodiffusion globale : entre 2000:xxx et 3FFF:xxx Adresse de monodiffusion de liaison locale (équivalent à discover) : commence par FE80:xxx Adresse de multidiffusion (multicast) : FFxx:xxx Adresse de monodiffusion unique locale : FC00:xxx Adresse de loopback : ::1 De plus, les masques sont au format CIDR. Répartition des adresses : Rôle Qui? Nombre de possibiliés Racine IRCANN 128 bits Régions RIS RIPE ; ARIN 2340::/12 soit 2^116 possibilités ISP : FAI FAI1 (2340:1111::/32 ; FAI2 2^30 FAI/région ; 2^96 possibilités Sociétés Société1 (2340:1111:AAAA::/48) 2^80 possibilités Attribution des adresses IPv6 en bits : 001 region ISP Société 2 16 sous réseaux Hôtes D. Olivier 22

23 Type d adresses : Adresses de liaison locale (FE80:xxx) : sert à s attribuer automatiquement une adresse (autodhcp). Ne passe pas les switchs Adresses uniques locales (FC00:xxx) : ne sont pas routables sur internet. On doit donc utiliser un routeur NAT pour l accès internet Adresses uniques globales (entre 2000:xxx et 3FFF:xxx) : routable sur internet Les routeurs IPv6 on des adresses anycast en plus des autres adresses Identifiant de zone : FE80::260:d0ff:fee9:4143%3 définit l interface : id de zone Les ports : utilisé pour éviter les ambiguïtés Configuration DHCP des adresses IPv6 : Attribution d une adresse DHCP IPv6 Provisoire Préféré Obsolète Non Valide (Peut initier ou Répondre à des appels) (peut finir une conversation) VALIDE Durée de vie préférée D. Olivier 23

24 5.2 Cohabitation de IPv4 avec IPv6 Exemple de cohabitation IPv4 etipv6 Nota important : La méthode du schéma ci-dessus est à mettre en pratique lors d une migration d IPv4 vers IPv6! La pile IP (IPv4 / IPv6) : Windows Vista et + savent faire de l IPv6 Si DNS est activé en même temps que la pile IPv4/IPV6, cela génère deux fois plus de requêtes DNS. Le traffic augmente donc. DNS prend en compte les enregistrements AAAA (IPv6) ainsi que les PTR associés Les couches des piles IPv4, IPv6 et IPv6 sur IPv4 D. Olivier 24

25 6 Configuration et dépannage du service de routage et d accès à distance NAS : Network Access Service. Service d accès réseau. Exemples : switch, serveur VPN, point d accès WiFi, DSLAM, etc. 6.1 Configuration de l accès réseau Composants utilisés pour le routage et l accès à distance Service utilisé pour la configuration du routage et de l accès à distance : Rôles du serveur > Service VPN Service utilisé pour l authentification RADIUS : Rôles du serveur > Serveur NPS (Network Policy Server) RADIUS permet de : Fournir un accès aux ressources d un réseau privé à des utilisateurs distants Traduire des adresses réseau (NAT) RADIUS fonctionne sur le principe du AAA : Authentication : cryptage (MS-CHAPv2, EAP (PEAP, TSL, EAP-MSCHAPv2) Autorization : fournir une adresse IP Accounting : Journalisation D. Olivier 25

26 6.2 Configuration de l accès VPN Composants utilisés lors de l accès VPN Les communications VPN utilisent un canal sécurisé (tunnel de communication). Tunnel de type PPTP Tunnel de type L2TP De plus, il existe 3 niveaux de cryptage : L2TP sur IPsec. IPsec ajoute du cryptage DES : 56 bits 3DES : 3x56 bits AES : 128 bits D. Olivier 26

27 NAT-T est utilisé pour la translation des adresses NAT (cas des box internet) PAT-T est utilisé pour la translation des adresses PAT. Une adresse PAT est une adresse IP liée à un numéro de port de routeur (cas des box internet) 6.3 Site à Site : Configuration requise pour faire du VPN site à site : Deux interfaces réseau (privée + publique) sur le serveur Allocation d adresses IP (statique / DHCP) Fournisseur d authentification (NPS / RADIUS ou serveur VPN) 6.4 Configuration de l accès par rapport au serveur La stratégie réseau détermine les autorisations selon les Utilisateurs et selon les groupes utilisateurs (depuis Windows Serveur 2000). Les critères paramétrables sont : Conditions Contraintes Paramètres d appels entrant (Utilisateur / Ordinateur) Application de la stratégie pour l autorisation ou le refus de connexion D. Olivier 27

28 Paramétrage des stratégies d accès réseau : Outils d administration > Routage et accès réseau > connexion et stratégie de groupe Définition des stratégies d accès réseau : Outils d administration > Serveur NPS > Stratégies réseaux > ajouter une stratégie Exemple de stratégies définies : Statégie1 condition1 1 refuser/autoriser Statégie2 condition2 2 refuser/autoriser StatégieN conditionn refuser/autoriser + Journalisation (demande de comptes / demande d authentification) Attention : la loi française oblige à garder les logs internet pendant 1 an Il est possible de créer un média d autoconfiguration des clients VPN : Gestionnaire de serveur > Fonctionnalité > Kit d Administration de Connection Manager 6.5 Outils de dépannage : Trousse à outil de dépannage du réseau D. Olivier 28

29 7 Service de rôle Serveur NPS Le but de ce rôle est d authentifier, autoriser et journaliser les accès distants. RADIUS : Remote Authentication Dial-In User Service, est aussi appelé AAA. Le service Windows à installer est NPS (sur les vieux serveurs : service IAS) Un serveur NPS contient les fonctions de Serveur RADIUS + Proxy RADIUS + Protection d accès au réseau Exemples d utilisations du service RADIUS Les clients RADIUS (en rouge sur le schéma ci-dessus) effectuent : Authentification (authentication) Journalisation (accounting) Le Proxy RADIUS route les requêtes RADIUS vers le bon serveur RADIUS (en fonction des protocoles, du type de tunnel ) On utilise le service NPS pour : Protection du réseau, Accès câblé et sans fil, RADIUS, Passerelle Terminal Server D. Olivier 29

30 7.1 Installation Installation du serveur NPS : Rôle > Service de stratégie et d accès réseau > Service NPS Configuration du réseau : C:\> netsh Le groupe «Serveur RAS et IAS» doit contenir les machines clients RADIUS Routage et accès distant > serveur > propriétés > sécurité > configurer le serveur d authentification / configurer le serveur d accounting Le proxy doit pointer vers les serveurs RADIUS. Ceux-ci sont définis dans «groupes de serveurs». Utilité du proxy RADIUS 7.2 Méthode d authentification pour un serveur NPS MS-CHAPv2 ; EAP ; (+ les plus anciens) Accès non authentifié (clients WI-FI ou réseau public avec un switch) portail captif http Certificats (méthode EAP-TLS ou PEAP-TLS) possibles sur le serveur VPN o Autorité de certification o Certificat d ordinateur client (ex : sur clé USB) o Certificat d utilisateur (sur un support), en + du login/mdp o Certificat de serveur (pas obligatoire) pour qu un serveur prouve son ID au client Si on gère soi-même les certificats, il faut que le client y fasse confiance. Il faut donc définir une «autorité de confiance» 7.3 Journalisation Ne pas journaliser sur le disque C:\ pour éviter des problèmes de disque plein Serveur NPS > gestion journalisation D. Olivier 30

31 8 Configuration de la sécurité IPSEC IPsec est utilisé pour la mise en place de protocoles sécurisés (entre autres) Présentation d IPsec IPSec doit être configuré sur tous les intervenants Deux protocoles sont utilisés par IPSec : ESP (authentification ; intégrité ; chiffrement) AH (authentification ; intégrité ; anti-relecture) Paramétrage d IPsec : Pare-feu Windows avec fonctionnalités avancées C:\> netsh Configurer les règles de sécurité : Mise en œuvre en mode transport (machine/machine) ou tunnel Isolation Mode transport : D. Olivier 31

32 Mode tunnel : Paramétrage d IPsec : wf.msc > paramètres > paramètres IPSec Il faut aussi configurer les paramètres de profil (privé / public / de domaine).... ainsi que les règles de sécurité de connexion (à faire sur les 2 ordinateur : de chaque côté) Nota : sur les anciens OS (Windows XP, Windows 2003 et moins) l IPsec se configure avec : Secpol.exe > Stratégie de sécurité IP D. Olivier 32

33 9 Analyse et dépannage de la sécurité IPSec Sous Windows XP, pour configurer la journalisation d IPsec : MMC > Moniteur de securite IP Sous Windows Vista, pour configurer la journalisation d IPsec : wf.msc 374BDépannage de la sécurité IPSec : Arrêter IPsec : Services > Agent de stratégie IPsec > arrêter Vérifier les communication : C:\> ping xxx.xxx.xxx.xxx Attention : si on fait de la prise en main à distance, il faut gérer un filtre «autorisé» pour la tester Méthodologie de dépannage d IPsec : 1. Vérifier les paramètres du pare-feu 2. Démarrer IPSec + IPSecMon 3. Vérifier si ça vient d une GPO activée désactivée 4. Vérifier la compatibilité des GPO 5. Vérifier le moniteur de sécurité IP Dépannage d IKE : 1. Connectivité IPSec IKE 2. Pare-feu? port? 3. Oakley.log Attention : il est conseillé d avoir une carte réseau avec un coprocesseur dédié IPSec (si cryptage) pour réduire la charge du microprocesseur. D. Olivier 33

34 10 Configuration et gestion du système de fichiers DFS 10.1 DFS : Distributed File System Le principe de DFS est de faire de la haute disponibilité du service de Fichiers. Principe et vocabulaire de DFS DFS : structure virtuelle de partage + redondance et réplication des données La redondance est particulièrement intéressante en inter-sites Installation du rôle DFS : Gestion du serveur > Rôles > Service de fichiers Gestion du serveur > Service de rôle de serveur de fichiers > système de fichiersdfs 10.2 Scénarios mettant en jeu la réplication DFS Exemples de cas d utilisation conseillée de DFS D. Olivier 34