Windows Serveur 2008

Transcription

1 2016 Windows Serveur 2008 CONFIGURATION DES SERVICES RESEAUX OLIVIER DEHECQ Olivier DEHECQ 1

2 Table des matières 1 Installation et configuration des serveurs Configuration et dépannage du système DNS DNS Configuration et gestion du service WINS Configuration et dépannage du protocole DHCP Configuration et dépannage du protocole IPv Configuration et dépannage du service de routage et d accès à distance Installation, configuration et dépannage du service de rôle serveur NPS Configuration de la sécurité IPSEC Analyse et dépannage de la sécurité IPSec Configuration et gestion du système de fichiers DFS Olivier DEHECQ 2

3 1 Installation et configuration des serveurs WS2008 Standard : 1500 (1 licence réelle = 1 licence virtuelle) WS2008 Entreprise : 6000 (1 licence réelle = 4 licences virtuelles /nœud) WS2008 Datacenter : (1 licence réelle par proc. = licences illimitées / nœud) Installation sans assistance : WDS +MDT (déploiement à distance + image sysprepée) Privilégier les nouvelles installations plutôt que des MàJ Penser à renommer la machine. Attention aux services qui utilisent Ipv6 avant de le désactiver (Exchange 2007 sur WS2008) Activer le bureau à distance Rôles > Services de rôle Rôles > Fonctionnalités (Client Telnet ou Framework.Net) En serveur Core : Hyper-V, ADDS, DNS + fonctionnalités SNMP, Telnet, WINS Olivier DEHECQ 3

4 2 Configuration et dépannage du système DNS 2.1 Historique : NetBIOS (couches 2 et 3) NetBEUI (broadcast ne passe pas les routeurs) NetBt (NetBIOS over TCP/IP) ARP CIFS Nom NetBios (15 octets + 1 octet pour le <service NetBIOS fourni>) Le nom doit être unique sur l'inter-réseau. C est une convention de nommage LMHOSTS ou WINS ou Broadcast pour résoudre le nom 2.2 NetBIOS Interroger le cache NetBIOS : nbtstat -c Types de nœuds NetBIOS : 1(B)roadcast 2 (P)eer to Peer 4 (M)ix 8 (H)ybride Broadcast Diffusion NBNS (WINS) WINS Fichier lmhosts (virer le.sam) Résolution des Noms d'hôte (DNS) WINS Diffusion DNS : Noms d'hôte (FQDN) = hôte. Nom-de-domaine hosts : /etc/hosts ou %systemroot%\system32\drivers\etc\hosts : BIND 2.3 Résolution Win9x Win NT Linux Win 2K et + Hosts DNS Cache DNS Hosts DNS NetBIOS (que pour Windows) Olivier DEHECQ 4

5 B 2.4 Installation du rôle serveur DNS Nota : Serveur de Nom = Name Server = NS DNS est une «base de données» hiérarchique distribuée Pc1.societe.local. = domaine racine(.) + local + societe.local 2.5 Configuration de DNS %systemroot%\system32\dns\ _ cache.dns noms des serveurs racine d internet (les 13 serveurs) Service > dns.exe daemon dns Administration : soit MMC > DNS ou dnscmd Les zones DNS intégrées AD ne sont pas administrables avec un éditeur de texte Olivier DEHECQ 5

6 2.6 Les enregistrements des serveurs DNS incluent SOA : RW zone concernée NS : autorité sur la zone (ZP/ZS)* CNAME : www = srv-web MX : serveur smtp du dom. SRV : _ldap = nom A : PTR = nom * ZP = Zone principale / ZS = Zone secondaire Olivier DEHECQ 6

7 3 DNS DNS est utilisé pour faire : Hosting : stockage des enregistrements de ressources Résolveur : service des clients 3.1 Requêtes DNS Une requête DNS peut être : Récursive : seule la réponse totale est acceptée Itérative : réponse partielle autorisée Mais aussi : Directe : le client demande le nom à partir de l adresse IP) Inversée : le client demande l adresse IP à partir du nom complet (nom complet = FQDN) Serveur DNS qui fait autorité : Serveur DNS qui ne fait pas autorité : - donne une réponse totale s il trouve - vérifie le cache - répond non s il ne trouve pas (faisant autorité) - indications de racine - redirecteurs Requête récursive Olivier DEHECQ 7

8 3.1.2 Requête itérative Qu est-ce qu un redirecteur Olivier DEHECQ 8

9 3.1.4 Redirection conditionnelle A propos du «round robin» Si un même nom possède (ex : le client reçoit tous les adresses IP qu il va utiliser aléatoirement, faisant une sorte de balance de charge. Cependant, si est dans le même réseau que le client, celui-ci ne reçoit que cette dernière (pour des raisons évidentes de proximité). Dans la mmc DNS > sur le serveur > affichage détaillé afficher le cache du serveur DNS C:\> dnscmd /? C:\> ipconfig /displaydns C:\> ipconfig /flushdns C:\> nslookup Console afficher le cache local vider le cache local interroger le cache DNS (et pas le cache local) 3.2 Configuration des zones DNS Délégation d autorité Zone : portion de l espace de nom sur laquelle le serveur fait autorité Olivier DEHECQ 9

10 SOA (NS0) une seule source d autorité NS NS0 NS NS1 NS NS plein d autres choses : CNAME ; A ) NS0 A NS1 A Zones de recherches directes Zones de recherches inversées : Réseau.in-addr.arpa (!) inverser la : devient Délégation de zone : 1) Configurer SRV1 (faisant autorité) : a. Zone Principale = toto.eni Olivier DEHECQ 10

11 b. Ajouter un enregistrement www A (pour faire un essai) c. Ajouter comme DNS principal le serveur SRV1 et tester ping Le serveur SRV1 doit répondre que c est qu on essaye d avoir 2) Sur SRV2 : ajouter une délégation : SRV1.eni.fr fait autorité pour toto.eni a. Ajouter comme DNS principal le serveur SRV2 (ne pas mettre SRV1 dans la liste des DNS) b. Faire un ipconfig /flushdns (pour vider le cache) puis tester ping Le serveur SRV2 doit s adresser à SRV1 et répondre que c est qu on essaye d avoir. Penser à mettre à jour le fichier de données (fichier texte) 3.3 Configuration des transferts de zone DNS AXFR : mise à jour IXFR : rechargement Synchronisation des données de zones DNS faisant autorité entre les serveurs DNS Principal : zone principale Maitre : source des infos lors de la réplication. Celui auprès de qui un serveur secondaire effectue les requêtes. Un maitre peut être ZS. Olivier DEHECQ 11

12 3.4 Fonctionnement DNS Notify Le serveur principal envoie les notifications aux serveurs secondaires Olivier DEHECQ 12

13 3.4.1 Protection des transferts de zones Restreindre le transfert de zones aux serveurs spécifiés (serveurs déclarés pour cette zone) Chiffrer le transfert de zones (IPSec ) Utiliser les zones intégrées AD Configurer ça sur l ordi : 1) Ajouter 1 ZP sur SRV1 2) Ajouter 1 ZS sur SRV2, SRV1 est maître 3) Aller sur SRV1 et dire que SRV2 est connu pour la notification (ou intervalle d actualisation) et le transfert de zones. ForestDNSZone : DomainDNSZone : répliqué sur tous les DC qui ont le rôle DNS dans la forêt répliqué sur tous les DC qui ont un rôle DNS dans le domaine Zones par défaut dans DNS WS2008 _msdsc.domaine : domaine : répliqué sur la forêt ; informations sur les DC répliqué sur le domaine (!) zones intégrées AD : nom de la zone = nom de la machine qui héberge la zone 3.5 Fonctionnalités TTL : durée de vie d un enregistrement. Indiquer une valeur nulle de TTL est utile pour le round robin. Le paramètre «tri de masque réseau» privilégie l adresse IP dans le réseau Vieillissement : Un enregistrement non actualisé est supprimé au bout de 14 jours (par défaut) Les enregistrements créés manuellement n expirent jamais (par défaut) Vieillissement défini sur la zone (zone) ou pour toutes les zones du serveur (serveur) Dns > serveur > propriétés avancées > lier les zones secondaires (compatible vieux BIND) Olivier DEHECQ 13

14 4 Configuration et gestion du service WINS 4.1 Pourquoi WINS 4.2 Vue d ensemble WINS TTL = 6j (avec renouvellement possible à 50%) 4.3 Le traitement en rafale Actif par défaut TTL = 5 + t A 50% le client retente Olivier DEHECQ 14

15 4.4 Processus de résolution des noms Utilise le port TCP Configuration du serveur Installation : Fonctionnalités > Ajouter fonctionnalité > Serveur WINS Gestion : mmc.exe > WINS Configuration : WINS > Serveur > Propriétés > Intervalles délais avant suppression, etc. Supprimer : supprimer enregistrement supprimer enregistrement + réplication de la suppression nbtstat 4.6 Réplication réenregistrer les infos de l ordinateur sur le serveur Sauvegarde online de WINS, mais restauration offline! La base de données WINS n est pas hiérarchisée Réplication par émission Il faut un émetteur + un récepteur Toutes les N modifications : REPLICATION Olivier DEHECQ 15

16 4.6.2 Réplication par réception : Toutes les T heures : REPLICATION Les deux réplications fonctionnent ensemble. Il faut donc les configurer toutes les deux Configurer la réplication WINS > partenaire de réplication (faire sur les 2 serveurs WINS) " > propriétés : définir réplication/émission réplication /réception " > " > avancé : définir des partenaires est l adresse des multidiffusions des serveurs WINS Attention : il ne faut pas activer la configuration auto des partenaires : bouffe la bande passante 4.7 Migration de WINS vers DNS Nom court : nom_hote [.stagiaires.local.] C est le nom court qui est utilisé lors des ping Suffixe DNS : liste qui distibue des suffixes utilisés pour les noms courts Attention : via DHCP on ne peut pas fournir plusieurs noms courts Olivier DEHECQ 16

17 5 Configuration et dépannage du protocole DHCP 5.1 Vue d ensemble DHCP Présentation DHCP : Dynamic Host Configuration Protocol. Permet de réduire la charge administrative en configurant automatiquement les interfaces réseau (adresse IP, masque, passerelle) Inconvénient de DHCP : Il faut un serveur DHCP en environnement local Attention aux serveurs DHCP non fiables Comment le protocole DHCP alloue des adresses IP Principe du bail ipconfig /renew ipconfig /release renouvelle le bail casse le bail Olivier DEHECQ 17

18 5.1.4 Obtention d une adresse IP 5.2 Renouvellement de bail DHCP - à 50% : DHCPREQUEST en unicast (actualise) - à 87,5% : DHCPREQUEST en broadcast - à 100% : DHCPDISCOVER en broadcast >100% : APIPA = /16 Réparer : ipconfig /renew vide les caches ARP, NetBIOS, DNS Le serveur peut envoyer une requête DHCPNAK en réponse à un DHCPREQUEST _ le serveur a redonné l adresse IP ailleurs _ le client envoie un DHCPDISCOVER en broadcast 5.3 Autorisation du service DHCP Sur AD on peut déclarer les serveurs DHCP comme étant autorisés à démarrer (Win2K et +) Le serveur DHCP n est pas obligé d être membre d AD Le groupe «Administrateurs de l entreprise» peut autoriser les serveurs DHCP Si un serveur DHCP fonctionnait avant puis ajout AD et non déclaré : il ne fonctionne plus Olivier DEHECQ 18

19 Filtrage des requêtes DHCP au niveau 2-3 : n autoriser UDP67 que sur certains ports Configuration des étendues et des options DHCP Conseil : référencer les adresses mac plutôt que les adresses IP Une Etendue est un ensemble d adresses IP affectées à des clients Olivier DEHECQ 19

20 5.3.2 Super étendue Si le nombre augmente et dépasse l étendue, on peut regrouper plusieurs étendues pour que DHCP : Attribue des adresses à partir de l étendue1 Quand l étendue1 est pleine, attribue des adresses à partir de l étendue2 5.4 Les options DHCP : Serveur DNS Peut s appliquer au niveau de : Nom DNS Passerelle par défaut Serveur WINS Durée de bail - serveur (ex. : DNS) - étendue (ex. : passerelle par défaut) - classe (liée à l OS) Configuration de la classe utilisateur (machine) C:\> ipconfig /setclassid <nom-interface-rso> "nom de la classe" C:\> ipconfig /all permet d afficher la classe utilisateur - client réservé (entrée manuellement) 5.5 Réservation spécifique réservée à un client, réservations à configurer pour chaque poste 5.6 Gestion d une base de données DHCP Sauvegarde synchrone (intervalles réguliers) ou asynchrone (déclenchée manuellement) Olivier DEHECQ 20

21 5.7 Migration DHCP > IPv4 > propriétés avancées : tentative de résolution des conflits (lors des migrations) Serveur DHCP de secours Pour couvrir le risque de déni de service / 20 : utile pour un reboot du serveur DHCP principal. Si la coupure est plus longue qu un reboot de serveur, penser à changer le pourcentage ou la durée des baux. Olivier DEHECQ 21

22 5.8 DHCP et DNS : DNS > Zones : mise à jour dynamique (via DHCP) Sans DDNS Avec DDNS (Méthode 1 Méthode 2) Privilégier la méthode 2 DHCP > IPv4 > Propriétés > DNS super utile : méthode1 ou méthode2 ; MàJ auto (lors des baux) Pour pouvoir mettre à jour les serveurs DNS à partir des DHCP non intégrés AD : DNS Proxy Utilisateurs DHCP : accès en lecture seule Olivier DEHECQ 22

23 6 Configuration et dépannage du protocole IPv6 6.1 Vue d ensemble IPv6 Les adresses IPv6 vont de 0:0:0:0 à FFFF:FFFF:FFFF:FFFF Préfixes IPv6 type binaire Nomenclature IPv6 Monodiffusion globale : jusqu à 3000: Monodiffusion de liaison locale (semblable à discover) FE80: Monodiffusion de site local (abandonné) Multidiffusion FF : Monodiffusion unique locale FC00: Loopback Que des 0 et 1 à la fin ::1 Nota : de plus les masques sont au format CIDR Monodiffusion globale Répartition Rôle Qui? Nombre de possibilités Racine IRCANN 128 bits Régions RIS RIPE ; ARIN 2340::/12 soit 2^116 possibilités ISP : FAI FAI1 (2340:1111::/32) ; FAI2 2^30 FAI/région ; 2^96 possibilités Olivier DEHECQ 23

24 Sociétés Société1 (2340:1111:AAAA::/48) 2^80 possibilités En bits : Type d adresses : Type Utilisation Nomenclature IPv6 Monodiffusion globale Routables sur internet 2000: jusqu à 3000: Monodiffusion de liaison locale Monodiffusion de site local Sert à s attribuer automatiquement une adresse, ne passe pas les switchs Abandonné FE80: Multidiffusion Multicast et broadcast FF : Monodiffusion unique locale N est pas routable sur internet. Il faut un routeur NAT pour internet FC00: Loopback Comme ::1 Identifiant de zone : FE80::260:d0ff:fee9:4143%3 définit l interface : id de zone Les ports : les crochets sont utilisés pour éviter les ambiguïtés Configuration automatique des adresses IPv6 : Olivier DEHECQ 24

25 6.2 Cohabitation de IPv4 avec IPv6 Ce schéma est à mettre en pratique lors d une migration d IPv4 vers IPv6! Pile IP : IPv4 / IPv6 Pour Windows Vista et plus récents : si DNS est activé en même temps qu IPv6 et IPv4 alors il y a envoi de 2 requêtes DNS. Le trafic augmente De plus DNS prend évidemment en compte les types AAAA + recherches inversées Olivier DEHECQ 25

26 Olivier DEHECQ 26

27 7 Configuration et dépannage du service de routage et d accès à distance NAS : Network Access Service (exemple : switch, serveur VPN, point d accès WiFi, DSLAM ) 7.1 Configuration de l accès réseau Composants : Serveur VPN : utilisé pour faire du routage et de l accès à distance Serveur NPS (Network Policy Server) : Authentification RADIUS Fournir un accès aux ressources d un réseau privé à des utilisateurs distants Traduire des adresses réseau (NAT) AAA (Authentication, Autorization, Accounting) Authentication : cryptage (MS-CHAPv2, EAP (PEAP, TSL, EAP-MSCHAPv2) Autorization : fournir une adresse IP Accounting : Journalisation Olivier DEHECQ 27

28 467B 7.2 Configuration de l accès VPN Types de trames : Cryptages : DES : 56 bits 3DES : 3x56 bits AES : 128 bits NAT-T : pour la translation des adresses NAT (cas de box internet) Olivier DEHECQ 28

29 PAT-T : pour la translation des adresses PAT : translation de port (cas des box internet) 7.3 Site à Site Configuration requise : Deux interfaces réseau (privée + publique) sur le serveur Allocation d adresses IP (statique ou DHCP) Fournisseur d authentification (NPS ou RADIUS ou serveur VPN) 7.4 Configuration de l accès par rapport au serveur Stratégie réseau : Conditions détermine l autorisation par utilisateur et par groupe utilisateur Contraintes ( 2000 Natif) Paramètres paramètres appel entrant (utilisateur + ordinateur) Routage et accès réseau > connexion et stratégie de groupe Serveur NPS > Stratégies réseaux > ajouter une stratégie Statégie1 condition1 1 refuser/autoriser Statégie2 condition2 2 refuser/autoriser StatégieN conditionn refuser/autoriser Olivier DEHECQ 29

30 + Journalisation (demande de comptes / demande d authentification) Il faut garder 1 an de logs internet (demander au conseil juridique) Kit d Administration de Connection Manager : fonctionnalité pour créer un média d auto configuration des clients VPN Outils de dépannage : Olivier DEHECQ 30

31 8 Installation, configuration et dépannage du service de rôle serveur NPS RADIUS «Remote Authentication Dial-In User Service» est un service NPS (Microsoft) : avant IAS est service aussi Serveur NPS =Serveur RADIUS + Proxy RADIUS + Protection d accès au réseau Les Clients RADIUS font : De l authentification (authentication) De la journalisation (accounting) Le Proxy RADIUS : Route les requêtes RADIUS vers serveur RADIUS (en fonction des protocoles, du type de tunnel ) NPS est utilisé pour : Protection du réseau, Accès câblé et sans fil, RADIUS, Passerelle Terminal Server Olivier DEHECQ 31

32 8.1 Installation Rôle > Service de stratégie et d accès réseau > Service NPS : serveur NPS On peut aussi utiliser la commande netsh Serveur RAS et IAS : machines pouvant accéder aux comptes : À configurer Sur le serveur VPN (qui est client RADIUS) Routage et accès distant > serveur > propriétés > sécurité > configurer le serveur d authentification / configurer le serveur d accounting Groupe de serveurs : Serveurs RADIUS vers lesquels le proxy radius va pointer 8.2 Méthode d authentification pour un serveur NPS Méthodes existantes MS-CHAPv2 ; EAP ; (+ les plus anciens) Accès non authentifié (clients WI-FI ou réseau public avec un switch) portail captif http Certificats (méthode EAP-TLS ou PEAP-TLS) possibles sur le serveur VPN o Autorité de certification o Certificat d ordinateur client (ex : sur clé USB) o Certificat d utilisateur (sur un support) en + du login/mot de passe o Certificat de serveur (pas obligatoire). Pour qu un serveur prouve son ID au client Journalisation : Si on gère soi-même les certificats, il faut que le client y fasse confiance autorité de confiance Serveur NPS > gestion : journalisation (sur un autre emplacement que C:\ pour éviter disque plein) Olivier DEHECQ 32

33 9 Configuration de la sécurité IPSEC IPSec est un protocole utilisé pour la mise en place de protocoles sécurisés (entre autres). C est un filtre pour les paquets réseau. Il doit être configuré sur tous les intervenants Authentification Intégrité authentification et chiffrement du trafic (hôte/site hôte/hôte) Anti-relecture tunneling inter-sites Cryptage réseau logiques (rares) Confidentialité Deux protocoles sont utilisés par IPSec : ESP (authentification ; intégrité ; chiffrement) AH (authentification ; intégrité ; anti-relecture) Pare-feu Windows avec fonctionnalites avancee ou netsh 9.1 Configurer les règles de sécurité Mise en œuvre en mode transport (machine/machine) ou tunnel Isolation Mode transport Application de la couche IPSec sur les données transmises Olivier DEHECQ 33

34 Compatible avec : Association de sécurité ; ISAKMP (UDP500) ; Authentification PSK / Certificat / Kerberos / IKE Olivier DEHECQ 34

35 9.1.3 Mode tunnel Compatible avec : Authentification PSK / Certificat / IKE. Attention : pas compatible avec Kerberos Paramétrage : wf.msc > paramètres > paramètres IPSec + Configuration paramètres profil (privé / public / de domaine) + règle de sécurité de connexion (à faire sur les 2 ordinateur : de chaque côté) Stratégie de sécurité IP : sur les anciens OS (XP, 2003 et -) Nota : IPSec peut définir des filtres Olivier DEHECQ 35

36 10 Analyse et dépannage de la sécurité IPSec Moniteur de securite IP : WinXP Journalisation IPSec wf.msc : Vista et Dépannage de la sécurité IPSec Dépannage d IPSec : 1) Arrêter IPSec (services > agent de stratégie IPSec) ; ping pour vérifier les communications Si prise en main à distance : gérer un filtre autorisé pour tester 2) Vérifier les paramètres du pare-feu 3) Démarrer IPSec + IPSecMon 4) Vérifier si ça vient d une GPO activée désactivée 5) Vérifier la compatibilité des GPO 6) Vérifier le moniteur de sécurité IP Dépannage d IKE : 1) Connectivité IPSec IKE 2) Pare-feu? port? 3) Oakley.log Avoir une carte réseau avec un coprocesseur dédié IPSec (si cryptage) réduire la charge du microprocesseur. Olivier DEHECQ 36

37 11 Configuration et gestion du système de fichiers DFS 11.1 DFS : Distributed File System Structure virtuelle de partage + Redondance / Réplication des données Redondance : intérêt en inter-sites Rôle > services de rôle de serveur de fichiers > DFS 11.2 Scénarios mettant en jeu la réplication DFS 1) Créer un espace de nom (autonome : cluster possible domaine) admins de domaine 2) Créer un dossier dans l espace de noms admins de domaine 3) Ajouter des cibles de dossiers admin local sur les serveurs Gestion du système de fichiers distribués DFS : services > espace de noms DFS 11.3 Réplication DFS Utilise le journal USN Installer DFS puis adprep, etc Vérifier si l antivirus ne pose pas de problèmes Attention aux fichiers modifiés sur plusieurs serveurs Olivier DEHECQ 37

38 Création d un rapport de diagnostic de réplication : DFS > réplication > nom > créer un rapport 11.4 Disponibilité des ressources Evolution «ultime» : cluster à basculement (WS2008 Enterprise) Contraintes : Mise en œuvre Coût Olivier DEHECQ 38