Groupe Eyrolles, 2004, ISBN : pour la version française.

Transcription

1 Groupe Eyrolles, 2004, ISBN : pour la version française.

2 7 Infrastructure TCP/IP : DHCP, WINS et DNS Que vous configuriez votre intranet familial composé de deux ordinateurs afin de partager une connexion Internet ou que vous tissiez la toile d un Internet mondial, vous serez confronté à deux problèmes essentiels. Tout d abord, chaque ordinateur sur le réseau requiert une adresse IP unique et doit être configuré : il doit connaître l adresse de son routeur par défaut, son nom de domaine, l emplacement du serveur DNS le plus proche, etc. Ensuite, il a besoin d aide pour trouver son chemin sur le réseau : comment puis-je envoyer un courrier électronique à Jane qui se trouve dans l entreprise Acme? Comment me connecter au serveur qui me permettra d acheter des chaussures en ligne? Enfin plus simplement, comment puis-je trouver un serveur qui pourra m authentifier? Les réseaux Microsoft qui s appuient sur TCP/IP ont besoin de trois technologies pour la configuration IP et la gestion des noms : DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name System) et WINS (Windows Internet Name Service). Parmi les trois, WINS fait figure de relique : il s agit d une technologie que vous devriez en théorie pouvoir abandonner, mais dont vous ne pouvez vous débarrasser en pratique que si votre réseau n inclut que des ordinateurs et des applications Windows 2000 ou plus récentes. Ce chapitre est essentiel parce que si vous ne soignez pas particulièrement la conception de votre infrastructure DNS, Active Directory fonctionnera très mal. En bien des manières, on peut considérer que DNS constitue le socle fondateur d Active Directory. DHCP : configuration TCP/IP automatique Au chapitre 6, vous avez appris à configurer IP sur un système Windows Server À présent, vous devez vous poser la question suivante : «Est-il vraiment souhaitable que je me déplace auprès de stations de travail différentes pour réaliser cela manuellement à chaque fois?». Évidemment non. Qui souhaiterait devoir se souvenir de l adresseip qui a été attribuée à tel ordinateur du parc afin de s assurer qu elle ne soit pas réattribuée à tel autre? DHCP simplifie considérablement cette tâche. Voyons comment l installer. Simplifier l administration TCP/IP : BOOTP La première fois que j ai configuré les ordinateurs de mon entreprise avec TCP/IP, en 1993, j ai dû conserver la liste des ordinateurs et des adressesip dans un calepin. Il s agissait en quelque sorte d un annuaire de toutes les adresses IP utilisées. Bien évidemment, j étais contraint de le consulter à chaque fois que je configurais TCP/IP sur un nouvel ordinateur. J ai donc décidé de conserver cette liste sur l un de mes serveurs, dans une sorte de fichier HOSTS. Ce fichier servait à deux choses : en premier lieu, il m indiquait quelles adresses IP avaient déjà été attribuées ; en second lieu, il me fournissait un fichier HOSTS qui pouvait être copié sur le disque dur de l ordinateur local. Je me suis cependant vite aperçu que cette approche était stupide : tenir un registre des adresses IP et des ordinateurs qui les utilisent est une tâche mnémonique et mécanique, autrement dit, le genre de travail auquel les ordinateurs excellent. Les acteurs du monde Internet se firent apparemment la même réflexion et inventèrent un protocole TCP/ IP appelé BOOTP (bootstrap protocol ou protocole d amorçage), décrit dans la RFC 951.

3 226 Windows Server 2003 Le principe de BOOTP était simple : l administrateur réseau dressait d abord la liste des adresses MAC de chaque carte LAN. Ensuite, il attribuait une adresse IP à chaque adresse MAC. Un serveur sur l intranet de l entreprise conservait ces paires adresse MAC/adresse IP sous forme de table. Ensuite, lorsqu une station de travail acceptant BOOTP démarrait, elle diffusait une requête pour une adresse IP. Le serveur BOOTP reconnaissait l adresse MAC du diffuseur et lui fournissait l adresse IP correspondante. L apport de BOOTP ne s arrêtait pas là. Une fois qu un serveur BOOTP fournissait une adresse IP à un ordinateur, il lui livrait également un petit système d exploitation de démarrage, un «chargeur d amorçage». Ce nouveau système représentait une amélioration considérable par rapport à l ancien système d adressage IP statique. BOOTP fut donc (et reste encore) un excellent moyen de configurer TCP/IP sur un ordinateur sans avoir à se rendre physiquement sur place. En effet, lorsqu il était nécessaire de modifier les adresses IP d un groupe d ordinateurs ou lorsqu on ajoutait un nouvel ordinateur, il suffisait de modifier le fichier sur le serveur BOOTP. L autre grand intérêt de BOOTP tient à ce qu il permet d éviter les problèmes de configuration statique incorrecte. Par exemple, supposons que l utilisateur Tom se trouve à côté de l utilisateur Dick. L ordinateur de Dick n accède pas au réseau correctement. Tom, toujours prêt à rendre service, propose son aide: «Écoute, moi, j accède au réseau sans problème : on n a qu à copier tous les réglages de configuration de mon ordinateur sur le tien». Résultat : les deux ordinateurs possèdent des configurations identiques et notamment les mêmes adresses IP, après quoi ni Tom ni Dick ne peuvent plus accéder correctement au réseau! En revanche, si l ordinateur de Tom est simplement configuré pour récupérer son adresse IP de son serveur BOOTP local, le fait de configurer l ordinateur de Dick de manière identique ne pose pas de problème, car ces réglages indiquent que l ordinateur de Dick doit récupérer sa propre adresse du serveur BOOTP. Dick obtient en fin de compte une adresse différente (à supposer que l administrateur réseau ait spécifié une adresse IP pour l adresse MAC de Dick), et tout se passe sans problème. DHCP : BOOTP en version améliorée L attribution d adresses IP à partir d un emplacement central est une fonction épatante de BOOTP, mais le processus n est pas dynamique et, dans l univers informatique, on se soucie en général peu d obtenir du code d amorçage depuis un serveur centralisé ; comme vous le savez sans doute, on a tendance à amorcer les ordinateurs à partir d une puce ROM appelée BIOS, puis par un programme situé sur un disque dur local. En outre, BOOTP requiert que l administrateur réseau retrouve auparavant toutes les adresses MAC des cartes Ethernet sur le réseau. Ce n est pas impossible, mais cela peut être fastidieux (en général, la commande ipconfig /all fournit ces renseignements). Enfin, il n est pas possible de distribuer des adresses IP temporaires, comme une adresse IP pour un portable utilisé par un utilisateur invité (je suppose que l on pourrait conserver un magasin de cartes Ethernet PCMCIA dont les adresses MAC ont été préinstallées dans la base de données BOOTP, mais même ainsi, cela représenterait une certaine quantité de travail). Quelqu un a donc proposé un outil simplifié semblable à BOOTP mais qui ne se focalise pas sur la mise à disposition du code d amorçage : DHCP. DHCP est une version améliorée de BOOTP : vous spécifiez une plage d adresses IP qui peuvent être utilisées et DHCP les distribue (premier arrivé, premier servi) à tout ordinateur qui les requiert. Si vous souhaitez que DHCP fonctionne à la manière de BOOTP, cela reste possible ; DHCP peut préattribuer des adresses IP à des adresses MAC particulières (on parle alors de «réservation» DHCP), comme le faisait BOOTP. DHCP requiert des adresses IP fixes uniquement pour quelques ordinateurs, comme le serveur BOOTP/ DHCP et la passerelle par défaut. DHCP et BOOTP utilisent tous deux les ports UDP 67 et 68 : vous ne pourrez donc pas installer à la fois un serveur BOOTP et un serveur DHCP sur le même ordinateur. Comme Microsoft ne fournit pas de serveur BOOTP, cette remarque n est donc pertinente que si vous essayez d installer un serveur BOOTP d une tierce partie. Windows NT 4 et ses versions ultérieures vous permettent également transformer un ordinateur en agent de relais BOOTP. Si vous activez ce logiciel sur un serveur DHCP, le serveur cesse de fournir des adresses IP. Voyons d abord comment placer un serveur DHCP sur votre réseau de manière à ce que les adresses IP puissent être distribuées. Après cela, nous verrons comment fonctionne DHCP.

4 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Évitez l adressage IP statique : utilisez DHCP partout! Dans quelques instants, nous verrons comment configurer des serveurs DHCP et distribuer des adresses IP. Avant cela, il faut cependant répondre à une importante question générale liée à la configuration réseau : quels sont les ordinateurs qui doivent posséder des adresses IP statiques et quels sont ceux qui doivent obtenir leurs adresses des serveurs DHCP? En général, les seuls ordinateurs qui doivent posséder des adresses IP statiques sont vos serveurs WINS, DNS et DHCP. De fait, vous placerez d ailleurs probablement vos fonctions de serveurs WINS, DNS et DHCP sur les mêmes ordinateurs. «Eh, mais attendez», vous entend-je déjà crier, «est-ce que vous suggérez que je laisse mes contrôleurs de domaine, serveurs de messagerie, serveurs Web et ainsi de suite avoir des adresses IP aléatoires flottantes attribuées au bon vouloir de DHCP?». Non, pas du tout. Souvenez-vous que vous pouvez attribuer une adresse IP particulière à une adresse MAC particulière, grâce aux réservations DHCP. Ce que je suggère consiste donc à établir par avance quels ordinateurs ont besoin d adresses IP fixes, puis à obtenir les adresses MAC des cartes réseau de ces ordinateurs et enfin à créer des réservations DHCP pour ces ordinateurs (nous verrons comment le faire dans un instant). Installer et configurer des serveurs DHCP Les serveurs DHCP sont les ordinateurs qui fournissent des adresses IP aux ordinateurs qui requièrent un accès au LAN. DHCP ne fonctionne que si le logiciel TCP/IP sur les stations de travail est configuré de manière à interopérer avec DHCP, autrement dit, si le logiciel TCP/IP contient un client DHCP. De nos jours, pratiquement tous les systèmes d exploitation compatibles avec les technologies réseau incluent des clients DHCP (Mac, Linux et tous les systèmes d exploitation Microsoft bureau et serveur depuis 1994). Installer le service DHCP Pour vous préparer à la configuration de DHCP, commencez par les tâches suivantes : Ayez une adresse IP prête pour votre serveur DHCP il s agit de l un des ordinateurs de votre réseau qui doivent impérativement posséder une adresse IP statique. Déterminez les adresses IP libres que vous pouvez distribuer. Ces adresses IP disponibles seront utilisées pour créer un pool d adresses IP. Le logiciel qui fait de votre serveur un serveur DHCP s installe de la même manière que la plupart des autres services réseau, à l aide du module Ajouter ou supprimer des composants Windows du Panneau de configuration. Voici les étapes à suivre : 1. Ouvrez le module Ajout/Suppression de programmes du Panneau de configuration (Démarrer>Panneau de configuration>ajoutwsuppression de programmes). 2. Cliquez sur Ajouter ou supprimer des composants Windows et patientez quelques instants avant que l Assistant Composants de Windows se lance. 3. Cliquez sur Services de mise en réseau, puis cliquez sur le bouton Détails. 4. Cliquez sur la case à cocher Protocole DHCP (Dynamic Host Configuration Protocol). 5. Cliquez sur OK pour retourner à la fenêtre Assistant Composants de Windows. 6. Cliquez sur Suivant pour installer le service. Le système indique qu il configure les composants. L opération prend un certain temps, éventuellement quelques minutes. Assurez-vous que vous avez le CD Windows Server 2003 à portée de main : l assistant vous demandera de l insérer. Après quelques parties de Solitaire, l écran final de l Assistant Composants de Windows apparaît. 7. Cliquez sur Terminer pour finaliser le processus. 8. Cliquez sur Fermer pour refermer la fenêtre Ajouter ou supprimer des composants Windows. Vous serez content d apprendre qu il n est pas nécessaire de redémarrer l ordinateur après cela. DHCP se contrôle avec la console DHCP, qui se trouve dans les outils d administration : Démarrer>Outils d administration>dhcp. Lancez-la. Cette console s apparente à la plupart des autres en se divisant entre un volet gauche et un volet droit. Votre serveur apparaît dans le volet de gauche, accompagné par un signe plus. Cliquez dessus pour faire apparaître les éléments présentés dans la figure 7-1.

5 228 Windows Server 2003 Figure 7-1 Écran d ouverture du gestionnaire DHCP. Notez que ce composant logiciel enfichable liste le serveur dans le volet de gauche ; de fait, vous pouvez contrôler autant de serveurs DHCP que vous le souhaitez depuis ce programme. Tout ce qu il suffit de faire est d ajouter un serveur DHCP à la liste de serveurs à contrôler, en sélectionnant Ajouter un serveur dans le menu Action. Autoriser des serveurs DHCP (pour les utilisateurs Active Directory) Avant de poursuivre, je dois ajouter une note ici concernant DHCP et Active Directory, car si vous exécutez AD, vous ne pourrez pas faire fonctionner votre serveur DHCP sans un petit ajustement (voilà pourquoi cette remarque intervient dès à présent et non au chapitre suivant). Si vous n exécutez pas AD, n hésitez pas à sauter cette section, mais ne l oubliez pas, sans quoi vous le regretteriez par la suite lorsque vous déciderez finalement d exécuter AD. Cliquez sur le signe plus à côté de la petite icône qui ressemble à une tour d ordinateur figure 7-1. Un petit cercle se trouve à côté. En raison de sa petite taille, il se peut que vous ne puissiez pas le distinguer dans la capture d écran, mais à gauche de dc1.bigfirm.biz [ ] se trouve une petite flèche qui pointe vers le bas, de couleur rouge. Cette signalétique livre une indication fort utile. Sous NT 4, 3.51 et 3.5, toute personne possédant un CD d installation Server NT pouvait installer un Server NT sur un ordinateur et se faire administrateur de ce serveur. Avec ces pouvoirs administratifs, cette personne pouvait ensuite installer un serveur DHCP. Or, la tâche du serveur DHCP, souvenez-vous, est de distribuer des adresses IP aux ordinateurs qui souhaitent faire partie du réseau. Le problème survient lorsque l administrateur de ce nouveau serveur décide d offrir une série d adresses IP qui n ont aucun sens, dans une plage d adresses IP que votre entreprise ne possède pas. Résultat? Dès qu un ordinateur dans l entreprise requiert une adresse IP, il recherche un serveur à proximité capable de la lui fournir. Le serveur possédant les adresses incohérentes répond, comme le font les serveurs valides, mais probablement plus vite que les autres (il n a rien d autre à faire). De nombreux ordinateurs clients se retrouvent alors avec des adresses IP incorrectes. Ces adresses ne routent pas les données et les personnes qui les récupèrent sont donc incapables d atteindre quelque ressource que ce soit sur le réseau. Pourquoi quelqu un configurerait-il un serveur avec des adresses bidons? En général, l intention n est pas malveillante. Il est bien plus courant qu une personne soit simplement en train d essayer d en apprendre plus sur DHCP et installe un serveur DHCP afin de se faire la main, sans réaliser que les serveurs DHCP «de test» ne se distinguent en rien des serveurs DHCP «réels» aux yeux des ordinateurs clients. Ce type de serveur DHCP est appelé serveur DHCP «verreux». Windows 2000 Server et les versions ultérieures résolvent ce problème en désactivant les nouveaux serveurs DHCP jusqu à ce qu un membre du groupe le plus puissant de niveau forêt d AD, à savoir le groupe Admi-

6 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE nistrateurs de l entreprise (vous en apprendrez plus à ce sujet au prochain chapitre) les «autorise» dans l annuaire Active Directory. Avec ces versions de Windows Server, n importe qui peut installer un serveur DHCP, mais le serveur ne commence à distribuer des adresses IP qu une fois qu il y a été autorisé. Ce n est pas un système infaillible, puisque seuls des ordinateurs membres de domaines Active Directory requièrent cette autorisation. Quelqu un qui souhaiterait malicieusement installer un serveur DHCP pourri pourrait simplement installer une copie de Windows Server 2003 et ne pas joindre le domaine, puis installer un serveur DHCP. Notez cependant que ce cas n est pas le plus courant. Pour autoriser un serveur avec la console DHCP, lancez le composant logiciel enfichable DHCP lorsque vous êtes connecté en tant qu administrateur de l entreprise. Dans la console DHCP, cliquez sur le serveur, puis sélectionnez Action>Gérer les serveurs autorisés pour afficher la boîte de dialogue présentée figure 7-2. Figure 7-2 Liste des serveurs DHCP autorisés. Vous remarquerez qu il n y a pour l instant aucun serveur autorisé. Incluons donc notre serveur. Cliquez sur Autoriser et vous verrez la boîte de dialogue présentée figure 7-3. Figure 7-3 Autorisation d un nouveau serveur DHCP. J ai tapé l adresse IP de ce serveur. Cliquez sur OK. Confirmez votre souhait d ajouter ce serveur en cliquant sur Oui. Cliquez sur Fermer pour refermer la boîte de dialogue Gérer les serveurs autorisés. La console DHCP ressemble maintenant à celle de la figure 7-1, à ceci près que la flèche rouge pointant vers le bas est maintenant remplacée par une flèche verte pointant vers le haut. Cliquez sur le serveur et appuyez sur F5 si vous souhaitez actualiser l affichage pour faire apparaître la flèche verte. En général, il est cependant nécessaire de fermer et rouvrir le gestionnaire DHCP afin que la modification prenne effet. À présent, vous pouvez distribuer des adresses IP avec ce serveur. Si Active Directory n est pas installé, il n y a pas à autoriser le serveur, puisqu aucune autorité n existe qui permettrait de le faire. Toutefois, vous devez noter une particularité importante liée au fait que les serveurs 2000 et 2003 autorisent les serveurs DHCP : si vous exécutez un serveur DHCP sur un réseau dépourvu d annuaire Active Directory et que vous installez soudain un AD, le serveur DHCP le détecte, même s il ne fait pas partie du domaine AD. Il se ferme donc ensuite. Cela me pose à chaque fois problème lorsque je donne des cours sur Active Directory : d abord, je fais fonctionner les serveurs DHCP et DNS, puis je crée l AD, mais j oublie après d autoriser le serveur DHCP déjà actif, qui détecte la présence d Active Directory et se désactive lui-même. Souvenez-vous donc de cela afin de ne pas être piégé. À présent, revenons à nos problèmes d installation DHCP.

7 230 Windows Server 2003 Créer une plage d adresses : les étendues DHCP Cette console DHCP ne contient pas grand-chose que l on puisse examiner. C est normal, car aucune étendue n a encore été configurée. Une «étendue»? De quoi s agit-il? Créer l étendue Pour que DHCP distribue des adresses IP, il doit connaître la plage d adresses IP dans laquelle il peut les puiser. Microsoft appelle «étendue» cette plage d adresses et les informations descriptives qui lui sont associées. Pour créer une étendue, cliquez du bouton droit sur l icône du serveur et choisissez Nouvelle étendue, afin de lancer l Assistant Nouvelle étendue. Cliquez sur Suivant pour passer l écran d introduction. Dans l écran suivant, identifiez simplement l étendue, en lui donnant un nom et en l accompagnant d un commentaire. Fournissez les indications appropriées pour votre réseau et cliquez sur Suivant pour afficher l écran de la figure 7-4. Figure 7-4 Définition de la plage d adresses IP. Spécifier la plage d adresses IP L étendue est simplement une plage d adresses IP, autrement dit un pool dans lequel des adresses IP particulières peuvent être puisées. Dans l exemple de la figure 7-4, j ai créé une étendue qui va de à : en d autres termes, je vais utiliser DHCP pour m aider à créer et gérer des adresses non routables d un intranet de classe C. Je ne souhaite pas traiter des étendues en détail dès à présent (nous reviendrons sur le cas des étendues multiples par la suite), mais il convient d indiquer rapidement les raisons pour lesquelles vous pourriez avoir plusieurs étendues sur un même serveur DHCP. Vous pouvez attribuer une étendue à chaque sous-réseau servi par vos serveurs DHCP (et oui, il est possible qu un serveur DHCP gère plusieurs sous-réseaux). En revanche, un serveur DHCP ne permet pas de créer plusieurs étendues dans le même sous-réseau. Je montrerai cependant dans un instant comment amener plusieurs serveurs à agir comme serveurs DHCP, afin de prendre le relai en cas de pannes. Je donne à DHCP la responsabilité de distribuer toutes mes adresses Internet, mais cela n est évidemment pas cohérent, car je dois avoir au moins une adresse IP statique : celle de mon serveur DHCP. Je dois donc demander à mon serveur DHCP de ne pas distribuer cette adresse particulière. Comment faire? Cliquez sur Suivant pour afficher l écran de la figure 7-5, où nous allons indiquer au serveur quelles adresses éviter. Comme vous le voyez, j ai exclu plusieurs adresses : l adresse.1 est celle de la passerelle par défaut, un routeur NAT, tandis que l adresse.10 est celle du serveur lui-même. Notez que vous pouvez directement spécifier des adresses particulières ; vous n êtes pas obligé de spécifier chaque fois une adresse de départ et une adresse de fin pour une plage.

8 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Figure 7-5 Exclusion de plages d adresses. Spécifier d autres plages : les étendues globales Comme vous l avez lu au chapitre 6, il existe en général une relation bijective entre les segments de réseau physiques et les sous-réseaux. IP a été conçu pour permettre aux systèmes qui le peuvent de communiquer directement entre eux au lieu de solliciter des routeurs. Quelquefois, vous verrez cependant deux sous-réseaux séparés sur un unique segment. En général, cela est dû au fait qu un unique réseau ne permet pas de contenir tous les ordinateurs du segment. Par exemple, si vous avez démarré votre entreprise avec 180 hôtes et acquis un réseau /24, vous aurez assez d adresses pour 254machines, à supposer que vous n ayez pas opéré de découpage en sous-réseaux. Que se passe-t-il cependant lorsque le parc de votre entreprise passe à 300 ordinateurs? Vous pouvez alors recontacter votre FAI et lui demander un autre réseau /24, afin d obtenir 254nouvelles adresses. Vous avez à présent deux réseaux. Vous pourriez diviser votre réseau en deux segments et appliquer un jeu d adresses différent à chacun. Il se peut cependant que vous ne souhaitiez pas procéder ainsi : supposons que votre segment puisse inclure tous vos ordinateurs et que vous ne voyiez pas l intérêt de vous embarrasser de routeurs supplémentaires : comment faire? Créez une «étendue globale». Les étendues globales contiennent plusieurs plages d adresses IP (plusieurs étendues) qui sont appliquées à un même segment. Cela peut être fait simplement : définissez deux étendues séparées sur un serveur DHCP, cliquez du bouton droit sur le serveur et choisissez Nouvelle étendue globale pour créer l étendue globale. Vous pourrez ensuite ajouter des étendues à l étendue globale comme il vous plaît ; n oubliez pas que vous devrez peut-être modifier le masque de sous-réseau afin de l adapter à la plage d adresses à présent plus étendue. Comment fonctionnent les étendues globales? Lorsque vous placez un nouvel ordinateur sur ce sous-réseau et qu il diffuse un message pour trouver un serveur DHCP et obtenir une adresses IP, va-t-il recevoir son adresse de la première étendue ou de la seconde? Peu importe. Si vous insérez deux sous-réseaux IP sur le même segment physique simplement parce que vous êtes à court d adresses IP sur un sous-réseau existant, peu importe qu une station de travail obtienne une adresse IP de la première plage d adresses ou de la seconde, car tous les routeurs de l entreprise savent comment retrouver l une ou l autre plage. De temps en temps, il peut cependant arriver que vous ayez une bonne raison d avoir deux plages d adresses IP sur le même réseau physique : par exemple, une plage est composée d adresses IP attribuées par l IANA ou un FAI, et l autre d adresses non routables. Vous aurez probablement alors de bonnes raisons de vouloir contrôler quels ordinateurs récupèrent les adresses routables et lesquels se voient attribuer les adresses non routables. Comment DHCP peut-il vous aider? Après tout, la plages routable et la plage non routable se trouvent dans le même rayon de diffusion. Lorsqu une station de travail demande une adresse au serveur DHCP, comment ce dernier sait-il s il doit attribuer à la station une adresse routable ou non routable?

9 232 Windows Server 2003 DHCP n a aucun moyen de le savoir : il n est pas magicien. Il faut qu il y ait un réglage sur le client pour donner à DHCP un indice concernant le réseau dont il souhaite être membre, à savoir le réseau routable ou le réseau non routable. Dans un tel cas, vous devez déterminer quels ordinateurs doivent aller dans le réseau routable et lesquels doivent se trouver dans le réseau non routable, puis entrer leurs adresses MAC à la main dans DHCP en utilisant des réservations (nous reviendrons sur ce sujet dans un instant), comme les administrateurs réseau le font lorsqu ils utilisent BOOTP au lieu de DHCP. Définir la durée de bail De retour à l assistant, cliquez sur Suivant pour afficher l écran de la figure 7-6. Figure 7-6 Définition de la durée de bail. Comme vous allez le voir sous peu, le serveur DHCP ne donne pas à l ordinateur client une adresse IP qu il doit utiliser indéfiniment. Le client n obtient l adresse IP que pour une période spécifique appelée «bail». Lorsque la durée du bail est écoulée, le client doit renouveler son bail, requérir une nouvelle adresse auprès d un serveur DHCP ou cesser immédiatement d utiliser IP. Quelle doit-être la durée du bail? S il s agissait d un réel problème lorsque DHCP est apparu avec NT 3.5, ce n est plus un véritable souci aujourd hui, pour peu que vous fixiez une durée suffisamment longue. La valeur par défaut de huit jours est généralement satisfaisante. En fait, ceci est vrai sauf si vous créez un sous-réseau qui doit servir des ordinateurs se connectant avec les cartes réseau sans fil 802.1x. Ces connexions ont un terme généralement plus court, aussi peut-il s avérer judicieux dans ce cas de définir des baux plus courts. Que faire si votre sous-réseau inclut à la fois les connexions câblées et sans fil? Dans ce cas, c est à vous de décider : court, long ou entre les deux? Nous traiterons plus en détail des durées de bail lorsque nous reviendrons sur le sujet de DHCP par la suite. Cliquez sur Suivant pour atteindre l écran de la figure 7-7. Définir les options client Vous souvenez-vous de ces innombrables options de la boîte de dialogue Propriétés TCP/IP avancées lorsque vous configuriez les adresses IP statiques au précédent chapitre? Vous serez heureux d apprendre que vous n aurez pas à vous rendre auprès de chaque station de travail pour les configurer, car DHCP vous permet de le faire directement depuis le serveur. DHCP peut fournir des valeurs par défaut pour tout un ensemble de paramètres TCP/IP, dont les suivants : Passerelle par défaut ; Nom de domaine; Serveur DNS ; Serveur WINS.

10 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Figure 7-7 Écran de configuration des options DHCP. Notez que j ai fait référence à des «valeurs par défaut». Vous pouvez modifier localement chacune de ces options sur la station de travail. Par exemple, si vous avez indiqué que, par défaut, le serveur DNS de toutes les stations est alors que vous souhaitez qu un ordinateur en particulier utilise à la place le serveur DNS à l adresse , vous pouvez tout simplement vous rendre sur l ordinateur concerné et utiliser le bouton Avancé dans la page des propriétés TCP/IP (consultez le chapitre 6 pour voir la marche à suivre) afin d entrer un nom DNS. Bien que le serveur DHCP offre l adresse de serveur DNS à l ordinateur, le logiciel client DHCP voit que l ordinateur a été configuré de manière à utiliser l adresse et utilise donc cette adresse plutôt que Toutes les autres options fournies par DHCP seront cependant conservées. La règle générale peut ainsi se définir de la manière suivante : INFO Toutes les caractéristiques TCP/IP spécifiquement configurées sur le client, comme le serveur DNS ou le serveur WINS, supplantent les valeurs fournies par DHCP. Cliquez sur Suivant pour indiquer à DHCP que vous souhaitez configurer ces options et voir la première option client présentée figure 7-8. Figure 7-8 Définition de la passerelle par défaut.

11 234 Windows Server 2003 Souvenez-vous qu au chapitre 6, j ai indiqué que lors de la configuration de TCP/IP sur un système Windows, les quatre principales caractéristiques sont l adresse IP, le masque de sous-réseau, l adresse de la passerelle par défaut et la ou les adresse(s) de serveur(s) DNS. Par défaut, tout bail DHCP fournit les deux premières indications. L option qui nous occupe à présent est la troisième. Bien que vous puissiez entrer n importe quel nombre de passerelles, il est inutile d en spécifier plusieurs. Je n ai jamais rencontré de situation où le système IP de Microsoft pouvait utiliser une deuxième, troisième ou quatrième passerelle en découvrant que la première est indisponible. En fait, Microsoft recommande spécifiquement que vous n indiquiez qu une seule passerelle par défaut sur un système, même s il possède plusieurs cartes d interface réseau avec des connexions Internet indépendantes! Afin de suivre ce conseil, je n ai spécifié qu une seule passerelle, comme le montre la figure 7-8. Cliquez sur Suivant pour passer au prochain écran d options. Dans cet écran de l assistant, vous indiquez au serveur DHCP qu en baillant une adresse IP de cette étendue à un ordinateur client, il doit également définir le nom de domaine DNS de cet ordinateur client en lui donnant une valeur particulière (win2ktest.com, dans le cas présent) et indiquer au client qu il peut trouver des serveurs DNS à une adresse donnée. J ai choisi pour ma part de ne pas spécifier de serveur DNS, car toutes les étendues dans mon entreprise partagent deux serveurs DNS et je ne souhaite pas avoir à réentrer ces serveurs pour chaque étendue. Comme vous le verrez sous peu, je peux au lieu de cela indiquer simplement : «Attribue ce serveur DNS à toutes les étendues». J ai néanmoins spécifié un suffixe DNS (bigfirm.biz) pour tous les systèmes. De cette manière, le nom DNS de chaque système se termine par bigfirm.biz, grâce à quoi le système s enregistre lui-même auprès du serveur DNS de bigfirm.biz, comme vous l apprendrez dans la section DNS de ce chapitre. Cliquez sur Suivant pour atteindre l écran de la figure 7-9. Nous sommes encore pour la plupart contraints de nous préoccuper des serveurs WINS. C est à cet endroit que vous indiquez au client où trouver les serveurs WINS de votre entreprise. Figure 7-9 Spécification des serveurs WINS. Activer l étendue Cliquez sur Suivant pour commencer à travailler avec l étendue. Voilà tout pour les options de base de l étendue. L assistant s arrête donc là. En s arrêtant, il vous demande si vous souhaitez dès à présent que le serveur commence à distribuer des baux d adresses IP. Cliquez sur Oui, puis sur Suivant et l assistant s arrête, en activant l étendue. La console DHCP ressemble alors à celle de la figure En prenant une minute pour observer la hiérarchie de la figure 7-10, vous obtiendrez plusieurs indications sur le fonctionnement de DHCP. Bien que cet écran ne présente qu un seul serveur (l ordinateur à l adresse ), la console vous permet de contrôler un nombre indéfini de serveurs DHCP depuis cet emplacement central. Chaque serveur peut servir plusieurs sous-réseaux, avec une plage d adresses IP (c est-

12 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Figure 7-10 Console DHCP avec une étendue activée. à-dire une étendue) pour chaque sous-réseau. Vous ne verrez apparaître dans cet exemple qu une unique étendue, mais il peut en exister un grand nombre : j ai vu un grand serveur DHCP d entreprise en héberger 1 200! Dans l étendue se trouvent plusieurs informations : la plage d adresses (Pool d adresses), la liste des adresses que ce serveur a distribuées (Baux d adresses), les adresses que nous avons préattribuées aux systèmes particuliers (Réservations, j y reviendrai dans un instant) et des paramètres TCP/IP particuliers que le serveur DHCP doit donner à tous les clients (Options d étendue). Si vous cliquez sur Options d étendue, vous remarquerez que les options incluent un paramètre que nous n avons pas configuré : Type de nœud WINS/NBT. C est la formule du jargon DHCP qui indique que l ordinateur client sera configuré pour utiliser un serveur WINS (en d autres termes, que le client sera configuré pour ce qui s appelle un «mode hybride» nous reviendrons là-dessus dans la section sur WINS). Définir les options pour toutes les étendues Tout en bas de la liste du volet de gauche se trouve un dossier appelé Options de serveur. Les options de serveur sont utiles lorsque vous placez plusieurs étendues sur un serveur. Supposons par exemple que vous ayez trois sous-réseaux différents et deux cents ordinateurs. Vous n avez que deux serveurs DNS et ces ordinateurs servent l ensemble de votre entreprise. En configurant ces étendues, il serait fastidieux d avoir à retaper ces serveurs DNS (les deux mêmes à chaque fois) pour chacune des trois étendues. Le dossier Options de serveur résout ce problème en vous permettant de définir des options qui s appliquent à toutes les étendues d un serveur donné, en une seule opération. Cliquez du bouton droit sur le dossier Options de serveur et choisissez Configurer les options pour afficher la boîte de dialogue présentée figure Ici, j ai cliqué sur DNSServers ; comme vous pouvez le remarquer, la section inférieure de la boîte de dialogue me permet alors d entrer des adresses de serveurs DNS. Si vous faites dérouler la liste des options, vous remarquerez qu un très grand nombre d options DHCP sont proposées. S il vous semble qu il y a là foule de paramètres tristement délaissés qui ne demandent qu à être utilisés, retenez-vous : le client DHCP de Microsoft (la partie de Windows, DOS, Windows9x, NT, Windows 2000, XP et 2003 qui sait comment obtenir des adresses IP d un serveur DHCP) ne sait pas comment utiliser ces options, à l exception de celles que j ai mentionnées. Microsoft ne les a incluses que pour offrir des solutions de compatibilité avec BOOTP. Forcer l attribution d une adresse IP particulière à un client : réservation DHCP Dans certains cas, le principe de fonctionnement BOOTP ne paraît pas être si mauvais, car il peut être souhaitable que certains ordinateurs particuliers se voient attribuer des adresses IP bien spécifiques. DHCP permet de le faire facilement à l aide de réservations.

13 236 Windows Server 2003 Figure 7-11 Boîte de dialogue des options de serveur. Dans la console DHCP, vous découvrirez un dossier appelé Réservations. Cliquez dessus du bouton droit et choisissez Nouvelle réservation pour afficher la boîte de dialogue de la figure Figure 7-12 Réservation d une adresse IP. Dans cet exemple, j ai attribué l adresse.115 à un ordinateur possédant une adresse MAC donnée. Jusque-là, DHCP ne paraît pas avoir particulièrement changé depuis NT 4. C est globalement vrai, mais les étendues globales et la prise en charge du DNS dynamique sont à présent proposées même sur les systèmes qui ne comprennent pas le DNS dynamique. Il existe en outre une autre différence intéressante. Après avoir créé une réservation, ouvrez le dossier Réservations et vous verrez un objet représentant cette réservation. Cliquez du bouton droit dessus et choisissez Configurer les options. Dans la boîte de dialogue résultante, vous remarquerez que vous pouvez configurer le serveur DNS, le nom de domaine, le serveur WINS et différentes autres options pour cette réservation spécifique! Voilà une fonctionnalité fort utile. Options avancées : les classes d utilisateurs et les classes de fournisseurs Comme vous l avez remarqué, vous pouvez attribuer différentes options DHCP soit à toutes les étendues (dossier Options de serveur), soit à une étendue particulière. Vous avez même vu que vous pouvez attribuer des options DHCP à la réservation d un ordinateur particulier. Il existe cependant un autre moyen d attribuer des options, grâce aux classes d utilisateurs et aux classes de fournisseurs.

14 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Pour amener un ordinateur à faire partie d une classe d utilisateurs, il suffit de lui indiquer qu il est membre de cette classe. Il peut être utile par exemple d utiliser des classes «ordinateurs portables» ou «ordinateurs de test». Les ordinateurs sont aussi potentiellement membres de classes de fournisseurs, mais vous ne pouvez pas contrôler cette appartenance : ce réglage est prédéfini dans les systèmes d exploitation. Par exemple, tous les ordinateurs Windows 2000 sont automatiquement membres des classes de fournisseurs appelées Microsoft et Microsoft Windows 98. Les classes de fournisseurs déterminent les options disponibles pour votre client DHCP. Vous pouvez utiliser DHCP pour appliquer une option particulière à un système particulier. La classe de fournisseurs détermine les options disponibles pour le système (la classe Options DHCP standards inclut les options habituelles conformes à la RFC que vous connaissez déjà ; les options de fournisseur Microsoft proposent de nouvelles options non standards qui ne sont applicables que sur un ordinateur exécutant un système d exploitation Microsoft) et la classe d utilisateurs détermine s il faut appliquer ou non ces options. Il est ainsi possible d utiliser les options d utilisateurs et de fournisseurs pour établir une règle de ce type : «si ce système est membre de la classe ordinateurs portables IBM (une classe d utilisateurs), alors configurez l option Routeur (qui fait partie de la classe de fournisseurs Options DHCP standards)». Pour afficher les contrôles de classe d utilisateurs et de fournisseurs, procédez de la manière suivante : 1. Ouvrez la console DHCP (Démarrer>Outils d administration>dhcp). 2. Ouvrez les options d une étendue ou du serveur en cliquant du bouton droit sur le dossier Options d étendue ou Options de serveur et en choisissant Configurer les options. 3. Cliquez sur l onglet Paramètres avancés pour afficher la page présentée figure Figure 7-13 Onglet Paramètres avancés présentant les listes déroulantes des classes de fournisseurs et d utilisateurs. Classes de fournisseurs prédéfinies Cliquez sur la liste déroulante Classe de fournisseurs et vous verrez quatre options : Options DHCP standard, Options Microsoft, Options Microsoft Windows 2000 et Options Microsoft Windows 98 (il est intéressant de constater qu il existe des options Windows 2000, mais pas d options Windows XP ou Windows Server ). Lorsque la classe Options DHCP standard est sélectionnée, vous obtenez toutes les options habituelles : Router, Nom de domaine DNS, Serveur de temps, Serveur de noms, etc. Lorsque vous cliquez sur les Options Microsoft, quelques options supplémentaires non RFC apparaissent. L option Microsoft de désactivation du NetBIOS indique à l ordinateur de fermer l interface NetBIOS sur TCP (NetBT). Si vous ne savez pas de quoi il s agit, ne vous inquiétez pas : j en traiterai dès que j en aurai fini avec DHCP. En résumé, il s agit d un élément logiciel dont dépendent pratiquement tous les logiciels

15 238 Windows Server 2003 compatibles NT antérieurs à Windows Si l une de vos stations de travail NT 4 doit se connecter à un domaine Active Directory, vous avez besoin de NetBT. La plupart des réseaux modernes contiennent encore suffisamment d éléments antérieurs à Windows 2000 pour que NetBT reste requis, mais d ici un certain temps (peut-être en 2004 ou en 2005?), on peut penser que nous pourrons fermer NetBT. Dès que vous pourrez le faire, n attendez pas, car le réseau sera sensiblement plus rapide. Pour fermer NetBT, cochez la case Option Microsoft de Désactivation du NetBIOS, qui activera le champ Entrée de données/long ; tapez 0x2. Cochez l Option Microsoft de Résiliation du bail DHCP lors de l extinction et remplissez le champ Entrée de données/long avec la valeur 0x1 pour l activer. Ce paramètre indique aux systèmes Windows 2000 et ultérieurs qu ils doivent résilier leur bail DHCP à la fermeture. En quoi est-ce utile? Considérez ce cas de figure : un employé travaille sur son ordinateur portable au bureau durant la journée, en le connectant au réseau de l entreprise via une connexion Ethernet. Il ferme l ordinateur et l emmène à la maison. À la maison, il souhaite vérifier s il a de nouveaux messages. Il relie donc le portable à une ligne téléphonique afin de se connecter à distance. Il allume l ordinateur, qui détecte la présence d une carte Ethernet possédant un bail DHCP. L ordinateur essaie de recontacter le serveur DHCP mais échoue. Cela ne pose pas problème : le bail n expire pas tout de suite, aussi l ordinateur configure-t-il simplement une pile TCP/IP par-dessus la carte Ethernet qui n est connectée à rien. L utilisateur tente de se connecter à distance par modem et l ordinateur possède maintenant deux piles IP : l une effectivement connectée, via le modem, et l autre qui ne fait rien. Certains services se lient à la carte Ethernet inutile et l utilisateur obtient des erreurs ou des ralentissements de services. Il existe une première solution : indiquer à l utilisateur de désactiver la carte Ethernet. Une autre solution consiste à demander à l utilisateur de taper ipconfig/release avant de fermer l ordinateur au travail. La solution la plus simple est toutefois d activer la présente fonction, qui résilie les baux DHCP à la fermeture de l ordinateur (les utilisateurs qui ont des connexions Ethernet à la maison seraient également tracassés, aussi s agit-il d une bonne solution dans tous les cas). La troisième option vous permet de modifier la métrique par défaut des passerelles fournies par DHCP. En toute honnêteté, je ne vois pas vraiment l utilité de cette option. Sélectionnez la classe de fournisseurs Options Microsoft Windows 2000 et vous obtiendrez les trois mêmes options. Sélectionnez Options Microsoft Windows 98 et vous n en verrez aucune : apparemment, Microsoft a codé en dur la classe de fournisseurs 98 mais n en a pas fait grand-chose. Notez bien à nouveau que vous ne pouvez pas créer vos propres classes de fournisseurs. Classes d utilisateurs prédéfinies Cliquez maintenant sur la liste déroulante Classe d utilisateurs. Vous verrez trois classes d utilisateurs prédéfinies : Classe BOOTP par défaut, Classe d utilisateurs par défaut et Classe de routage et d accès distant par défaut. Classe BOOTP par défaut Tous vos systèmes Windows 2000, XP et 2003 sont membres de cette classe. Classe d utilisateurs par défaut C est la classe dont un système est membre lorsqu il possède un client DHCP qui ne sait pas gérer les classes d utilisateurs (les classes d utilisateurs n étaient même pas un standard RFC pleinement reconnu lorsque Microsoft a commercialisé Windows 2000). Un système NT 4 se retrouverait donc avec la classe d utilisateurs par défaut. Classe de routage et d accès distant par défaut Si vous êtes connecté via RRAS, il s agit de votre classe. Cette classe peut être très utile. Par exemple, l Aide DHCP pour Windows 2000 montre comment définir les durées de baux pour les utilisateurs à distance (membres de la classe Routage et accès distant par défaut) en leur attribuant des valeurs plus courtes que celles des autres utilisateurs, afin que ceux qui ne visitent en général un site que pour une seule journée se voient attribuer des baux d une journée au lieu de baux d une semaine. Pour savoir à quelle classe d utilisateurs un système appartient (il n existe pas de méthode équivalente pour afficher les classes de fournisseurs d un système), tapez ipconfig /showclassid *. Voici un exemple de sortie de cette commande : C:\>ipconfig /showclassid * Configuration IP de Windows

16 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE ID de classe DHCP pour la carte "Connexion au réseau local": DHCP ClassID Name : Default Routing and Remote Access Class DHCP ClassID Description.... : User class for remote access Clients DHCP ClassID Name : Default BOOTP Class DHCP ClassID Description.... : User class for BOOTP Clients DHCP ClassID Name : Laptop DHCP ClassID Description.... : Identifies laptops Dans cet exemple, l ordinateur est membre de trois classes d utilisateurs : Classe BOOTP par défaut (il s agit d un ordinateur Windows 2000), Classe de routage et d accès distant par défaut et une classe appelée Ordinateur portable (que j ai créée). Notez cependant que vous pouvez obtenir des résultats différents avec la sortie de ipconfig /showclassid * selon le système d exploitation de l ordinateur sur lequel vous l exécutez. Pour d obscures raisons, j obtiens des ID de classe différents selon que j exécute cette commande sur des ordinateurs Windows 2000 ou sur des ordinateurs XP et Classes d utilisateurs personnalisées Comment ai-je défini ma propre classe d utilisateurs? Il m a fallu deux étapes. Tout d abord, j ai informé le serveur DHCP de l existence de la nouvelle classe d utilisateurs, puis j ai indiqué à certaines de mes stations de travail qu elles faisaient partie de cette classe. Les nouvelles classes d utilisateurs se créent dans la console DHCP. Cliquez du bouton droit sur l icône du serveur et choisissez Définir les classes des utilisateurs, afin d accéder à la boîte de dialogue présentée figure Figure 7-14 Classes d utilisateurs DHCP. Cette boîte de dialogue ne présente pas la Classe d utilisateurs par défaut ; toutefois, votre serveur DHCP (en fait, tous les serveurs DHCP Windows 2000 et ultérieurs) en fait partie. Créons une nouvelle classe et utilisons-la. Supposons que je souhaite attribuer à toutes les personnes du bâtiment 12 le suffixe de domaine b12.bigfirm.biz. Pour créer la nouvelle classe d utilisateurs, je clique sur Ajouter. Ensuite, dans le champ Nom d affichage, je tape Building12, puis dans le champ Description, je saisis machines in Building 12, comme le montre la figure En ce qui concerne les saisies de la boîte de dialogue, la seule partie qui ne soit pas évidente est celle de l ID : vous devez cliquez avec la souris dans la zone vide sous le mot ASCII pour pouvoir saisir l identifiant de classe. L identifiant ne peut pas contenir de blancs. Cliquez sur OK puis sur Fermer pour revenir à la console DHCP. Ensuite, cliquez à nouveau du bouton droit sur le dossier Options de serveur et choisissez Configurer les options. Cliquez sur Paramètres avancés. Notez que dans la liste déroulante Classe d utilisateurs se trouve maintenant une classe appelée Building12 (la casse est importante, comme vous le verrez dans un instant). Choisissez Building12. À présent, le but est d attribuer un suffixe DNS particulier aux membres de Building12 : cela fait partie des options par défaut, aussi pour la classe Vendor, choisissez simplement Options standard DHCP. Recherchez la ligne 015 Nom de domaine DNS, sélectionnez-la, et dans le champ Entrée de données/valeur de chaîne, entrez b12.bigfirm.biz et cliquez sur OK. Vous êtes prêt côté serveur.

17 240 Windows Server 2003 Figure 7-15 Nouvelle classe d utilisateurs pour le Bâtiment 12. Ne vous inquiétez pas au sujet de la valeur hexadécimale côté gauche : il ne s agit que d un autre moyen d entrer les données. Ensuite, trouvez un ordinateur et faites-en un membre de la classe d utilisateurs Building12. Ouvrez une invite de commandes et tapez ceci : ipconfig /setclassid "Connexion au réseau local" Building12 Ensuite, tapez ipconfig /renew et vous devriez obtenir une sortie de ce type : Configuration IP de Windows 2000 Carte LAN Ethernet : Suffixe DNS propre à la connexion : b12.bigfirm.biz. Adresse IP : Masque de sous-réseau : Passerelle par défaut : ID de classe DHCP : Building12 Deux remarques au sujet de cette sortie. Tout d abord, notez que dans la ligne ipconfig /setclassid, j ai placé la mention Connexion au réseau local entre guillemets. Il s agit du nom de votre carte réseau. Vous ne saviez pas qu elle possédait un nom? Souvenez-vous de ce que vous avez lu au chapitre6. Pour vérifier cela, cliquez du bouton droit sur Connexions réseau et choisissez Ouvrir. La fenêtre résultante contient une icône pour une connexion LAN et un nom associé à cette connexion. Le nom par défaut est Connexion au réseau local, mais vous pouvez le modifier si vous le souhaitez. Si vous possédez plusieurs cartes réseau, vous aurez un nom différent à chaque fois. Si cela ne marche pas la première fois, ne soyez pas surpris : le processus est un peu chaotique lors de la première utilisation. Je n ai aucune explication à cela. Essayez la commande ipconfig /release, après la commande /setclassid et avant la commande ipconfig /renew. La classe d utilisateurs DHCP survivra aux redémarrages ; pour effacer les informations de classe d utilisateurs, tapez ceci : ipconfig /setclassid "Connexion au réseau local"

18 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Et si le nom de votre carte réseau n est pas Connexion au réseau local, remplacez évidemment cette mention par le nom approprié. Si vos installations sont contrôlées par des scripts, vous pouvez également définir un ID de classe de la carte en ajoutant ce paramètre à sa section [MS_TCPIP parameters] : DHCPClassId = name Configuration serveur avancée Avant de laisser de côté le sujet de la configuration, considérons certains des éléments de configuration serveur globaux : en particulier, la journalisation et l enregistrement de clients DNS. Dans la console DHCP, cliquez du bouton droit sur le serveur et choisissez Propriétés. Vous verrez une page composée de trois onglets. Le premier, appelé Général, est présenté figure Figure 7-16 Onglet Général des configurations serveur. Le principal élément à remarquer est l option Enregistrement d audit. Il s agit d une option par défaut, aussi ne vous souciez pas de devoir la cocher. Où le journal se trouve-t-il conservé? Tout d abord, il faut savoir qu il y a sept journaux, un pour chaque jour de la semaine, ce qui facilite la recherche de l enregistrement d une action intervenue un jour donné. Les journaux sont simplement au format ASCII : vous pouvez donc les examiner avec le Bloc-notes (on aurait cependant aimé que la console DHCP permette de les examiner directement...). Ils se trouvent dans le dossier \windows\system32\dhcp. Les fichiers de journaux portent les noms des jours de la semaine. Voici un extrait de l un de ces fichiers : 63,07/03/99,00:44:30,Restarting rogue detection,,, 51,07/03/99,00:45:30,Authorization succeeded,,win2ktest.com, 11,07/03/99,00:47:09,Renew, , PC400.win2ktest.com,00105A27D97A 10,07/03/99,00:48:00,Assign, , PC400.win2ktest.com, A27D97A ,07/03/99,00:48:00,Assign, , PC400.win2ktest.com, A27D97A ,07/03/99,01:51:51,Restarting rogue detection,,, 51,07/03/99,01:52:52,Authorization succeeded,,win2ktest.com, La détection de serveur Rogue est un processus par lequel le serveur DHCP essaie de trouver des serveurs DHCP non autorisés. Pour tromper ces infâmes, le serveur DHCP prétend astucieusement qu il n est qu un

19 242 Windows Server 2003 simple ordinateur à la recherche d une adresse IP. Il obtient des offres de la part d autres serveurs DHCP et vérifie ensuite leurs adresses IP d après la liste des serveurs autorisés de l annuaire Active Directory. S il prend un chenapan la main dans le sac, il en fait rapport dans l Observateur d événements. Sur la troisième ligne, vous voyez que l ordinateur à l adresse a «renouvelé» son adresse IP (autrement dit, il a demandé au serveur DHCP : «Vous m avez donné une fois cette adresse IP et le bail arrive à terme ; puis-je étendre ce bail?»). Les deux instructions Attribuer donnent les adresses.2 et.3 à PC400 pour qu il les distribue (en effet, PC400 est un serveur d accès distant et il a besoin d adresses IP à donner à ses clients). La page de propriétés possède un autre onglet intéressant, l onglet DNS. Cliquez dessus pour afficher les options présentées figure Figure 7-17 Configuration du client DNS dynamique depuis DHCP. DNS fera l objet d autres sections dans ce chapitre, mais permettez-moi de brûler quelques peu les étapes en expliquant rapidement le fonctionnement de ce système. DNS est une base de données d ordinateurs et de noms : mon serveur DNS local est l ordinateur qui sait qu il y a un ordinateur nommé dc1.bigfirm.biz possédant l adresse IP Comment sait-il cela? Sous NT 4, il fallait démarrer un programme appelé Gestionnaire DNS et entrer manuellement ces informations. Avec le client DNS intégré de Windows 2000 et des systèmes d exploitation ultérieurs, dc1.bigfirm.biz est suffisamment intelligent pour communiquer avec son serveur DNS local. En outre, le serveur DNS (qui exécute Windows Server 2003, mais n importe quel serveurdns sur Windows 2000 Server ou ultérieur fonctionnerait également) est suffisamment intelligent pour «entendre» ces informations; les serveursdns plus anciens ne s attendraient pas à ce que des ordinateurs s inscrivent eux-mêmes auprès de leur serveur DNS local et le serveur DNS local n aurait de toutes façons aucune idée de ce qu il faut faire avec ces informations. Les serveurs DNS postérieurs à 1998 possèdent en revanche une fonction appelée DNS dynamique, qui leur permet d accepter ces informations nom/adresse (enregistrements de noms) de la part d autres ordinateurs, au lieu qu une personne doive saisir manuellement ces informations. Il y a deux points importants à noter dans le paragraphe précédent. Tout d abord, le serveur DNS doit être suffisamment intelligent pour écouter les enregistrements de noms qui sont émis de la part des clients, et réagir en conséquence. Ensuite, les clients doivent être suffisamment intelligents pour émettre ces informations d enregistrements de noms! Si ma station de travail exécute NT 4 et non Windows 2000 ou ultérieur, elle n a pas été programmée pour offrir des informations de nom/adresse à son serveur DNS et c est bien normal, parce que la technologie DNS dynamique n existait pas en 1996 lorsque Microsoft a conçu NT 4! Du point de vue du serveur DNS, ces clients n existent même pas. Le serveur DNS n a aucun moyen de déterminer qu ils sont là.

20 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE On comprend donc l intérêt de la boîte de dialogue de la figure Ce serveur DHCP saura lorsqu il distribue une adresse IP à un ordinateur que ce dernier ne reconnaît pas le DNS dynamique. Bien que le serveur DHCP ne puisse pas modifier le code s exécutant sur le client plus ancien, il peut compenser son manque de connaissances et enregistrer les informations de nom/adresse auprès de DNS pour lui. Pour cela, cochez l option appelée Mettre à jour dynamiquement les enregistrements PTR et A DNS pour des clients DHCP qui ne nécessitent aucune mise à jour 1. Grâce à elle, DHCP fournira les enregistrements DNS pour les systèmes plus anciens. Analyser les informations DHCP Une fois que vous avez un serveur DHCP opérationnel, il se peut que vous souhaitiez connaître le nombre de baux restants, savoir à qui ces baux sont attribués, etc. Pour cela, ouvrez le dossier Baux d adresses. Ce dossier présente tous les baux DHCP en cours, l ordinateur qui les possède (son nom) et l adresse MAC de cet ordinateur. Combien d adresses reste-t-il? Cliquez du bouton droit sur n importe quelle étendue et choisissez Afficher les statistiques. Le message de la figure 7-18 s affiche. Figure 7-18 Statistiques des baux. En seulement quelques clics, vous pouvez faire apparaître ce message et voir si votre réseau est à court d adresses IP. Reconstruire un serveur DHCP endommagé De temps à autre, il peut arriver que quelque chose cloche et que vous perdiez un serveur DHCP. Les étendues, les réservations, pouf! Tout disparaît, et vous vous retrouvez devant une ou deux heures de travail de configuration. Vous pouvez éviter cela à l aide d une simple commande. Windows Server 2003 vous permet de configurer votre serveur DHCP comme vous le souhaitez puis de sauvegarder sa configuration à l aide de la commande suivante : netsh dhcp server dump Si vous ne vous trouvez pas devant le serveur, tapez à la place : netsh dhcp server adresseip dump De nombreuses lignes d informations de configuration s affichent à l écran. Sauvegardez-les en les redirigeant vers un fichier ASCII : netsh dhcp server dump > dhcpbackup.txt 1. NdT : la formule anglaise, that do not request updates a été improprement traduite dans l interface par «qui ne nécessitent pas de mises à jour» (au contraire!). Il aurait fallu traduire : «qui ne font pas de demandes de mise à jour» (d où l intérêt de prendre les devants pour eux).

21 244 Windows Server 2003 Ensuite, lorsque le serveur DHCP tombe en miettes, tout ce qu il vous suffit de faire est de placer le service de serveur DHCP sur un autre ordinateur, de copier votre fichier de sauvegarde et d utiliser netsh exec, de la manière suivante : netsh exec dhcpbackup.txt Vous ne récupérerez pas les informations de baux en cours, mais vous récupérerez toutes les autres informations : les classes, les options, les étendues, les réservations, etc. DHCP côté client À présent que vous avez configuré DHCP sur un serveur, comment indiquer aux clients d utiliser ce serveur DHCP? C est très simple. Tout système d exploitation Microsoft, de Windows for Workgroups à Windows 9x ou de NT 3.x à Windows 2000, possède la configuration DHCP comme option d installation, bien que certains de ces clients se réfèrent à une configuration «automatique» plutôt qu à une configuration DHCP (en passant, le logiciel Client pour les réseaux Microsoft pour DOS et Windows supporte DHCP également). Une fois qu un système a obtenu une adresseip, vous pouvez la retrouver en ouvrant une invite de commandes sur ce système et en tapant ipconfig /all. Sur une station de travail Windows 95, cliquez sur Démarrer>Exécuter, puis tapez winipcfg et appuyez sur Entrée. Windows 98 prend en charge à la fois IPConfig et WinipCfg. Windows NT se limite à IPConfig. IPConfig est utile pour «bidouiller» les autres clients DHCP également. Vous pouvez forcer un client DHCP à abandonner son adresse IP fournie par DHCP et à en rechercher une autre en tapant d abord ipconfig /release puis ipconfig /renew. Windows XP et Windows Server 2003 ont une commande unique permettant de reconstruire une connexion IP : netsh int ip reset nomfichier Où nomfichier est un fichier qui fait état du progrès de la commande. Je vous recommande vivement d apprendre cette commande si vous utilisez Windows XP ou Windows Server 2003 (et si vous n avez pas Windows Server 2003, je me demande pourquoi vous lisez ce livre!) ; elle est plus fiable que la paire de commandes ipconfig. Détail du fonctionnement de DHCP Voilà pour la configuration de DHCP. Mais comment ce protocole fonctionne-t-il, et plus concrètement, pourquoi lui arrive-t-il de ne pas fonctionner? DHCP fournit des adresses IP en recourant au principe des baux clients. Lorsqu un ordinateur (un client DHCP) a besoin d une adresse IP, il la demande au serveur DHCP (la manière qu il a de s y prendre est importante et nous y reviendrons dans un instant). Le serveur DHCP distribue une adresse IP au client, mais uniquement pour une période de temps limitée : d où le terme de «bail» IP. Vous aurez peut-être remarqué que vous pouvez définir la durée d un bailip depuis DHCP: cliquez du bouton droit sur n importe quelle étendue et choisissez Propriétés ; c est l un des réglages proposés dans la boîte de dialogue résultante. Le client connaît ensuite la durée du bail qui lui a été accordée. Même lorsque vous le redémarrez ou le réinitialisez, votre ordinateur se souvient du bail qui était actif et de la durée qui lui a été accordée pour ce bail. Retrouver les informations de bail du client Sur un ordinateur Windows 3.x, les informations de bail sont conservées dans le fichier DHCP.BIN du dossier Windows. Sur un ordinateur Windows 95, elles se trouvent dans HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\VxD\DHCP\Dhcp-infoxx, où xx correspond à deux chiffres quelconques.

22 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Si vous souhaitez activer ou désactiver les messages d erreur du client DHCP sur un ordinateur Windows95, il s agit de la valeur PopupFlag dans la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\VxD\DHCP. Utilisez pour désactiver les messages (équivalent de false) ou pour les activer (équivalent de true). Vous pouvez également ouvrir l invite de commandes et taper ipconfig /release pour effacer ces informations. Pour retrouver l entrée du Registre qui contient les informations de baux DHCP sur un ordinateur NT, lancez REGEDIT et recherchez DHCPIPAddress dans HKEY_ LOCAL_MACHINE\System\CurrentControlSet. La ou les clés qui apparaissent correspondent à l emplacement de ces informations. Sur un système Windows 2000, il s agira probablement de hkey_local_machine\system\ currentcontrolset\services\tcpip\parameters\interfaces. À l intérieur, vous trouverez des GUID (ID uniques globaux, du type {CE52A8C0-B126-11D2-A5D2-BFFEA72FC}) pour chaque carte et connexion RAS potentielle. Il y a une valeur DHCPIPAddress pour chaque carte qui obtient son adresse de DHCP. Sur les systèmes Windows XP, il s agit simplement de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services et vous remarquerez ces clés avec des noms de GUID tout en haut de la liste. Chacune de ces clés possède une clé Parameters\TCPIP à l intérieur. Supprimez la clé de GUID et vous éliminez tous les réglages pour cette carte. Quant à savoir quel GUID correspond à quelle carte, comment dire? C est au petit bonheur la chance : faites des tests pour le découvrir. Si votre ordinateur possède un bail de quatre jours sur une adresse et que vous le redémarrez deux jours après le début du bail, il ne demande pas aveuglément une nouvelle adresse IP. Au lieu de cela, il retourne auprès du serveur DHCP qui lui a fourni son adresse IP et requiert la même adresse IP qu il a obtenue auparavant. Si le serveur DHCP est toujours opérationnel, il accepte la demande et permet à la station de travail d utiliser l adresse IP. À l inverse, si le serveur DHCP a perdu ses informations de baux suite à une catastrophe quelconque, il peut, soit donner l adresseip à l ordinateur (si personne n est déjà en train de l utiliser), soit transmettre un accusé de réception négatif (NACK) à l ordinateur et consigner ce refus dans le journal des événements. A priori, votre station de travail doit être suffisamment intelligente pour rechercher un nouveau serveur DHCP (d expérience, j ai cependant constaté que les stations de travail ne sont pas toujours si futées qu elles sont censées l être). Comme BOOTP, DHCP se souvient des correspondances entre les adresses IP et les ordinateurs auxquels elles sont attribuées en mettant en relation chaque adresse IP avec une adresse MAC (autrement dit, Ethernet). Normalement, un serveur DHCP ne peut transmettre de nouvelles informations de bail à un client qu à des intervalles prédéfinis, mais les clients DHCP «s enregistrent» également lors de leur redémarrage. Le fait de redémarrer une station de travail permet ainsi à DHCP de réinitialiser toutes les modifications de bail, comme les masques de sous-réseaux et les services DNS. Obtenir une adresse IP de la part de DHCP : considérations détaillées Un client DHCP obtient une adresse IP d un serveur DHCP à la suite d un processus en quatre étapes : 1. Un message DHCPDISCOVER diffuse une requête à tous les serveurs DHCP à portée d écoute, en sollicitant une adresse IP. 2. Les serveurs répondent avec une offre DHCPOFFER d adresses IP et de durées de baux. 3. Le client choisit l offre qui paraît la plus intéressante et diffuse un message DHCPREQUEST pour confirmer l adresse IP. 4. Le serveur distribuant l adresse IP termine la procédure en retournant un DHCPACK, acquiescant à la demande. Requête DHCP initiale : DHCPDISCOVER Tout d abord, le client DHCP envoie un message appelé DHCPDISCOVER, qui dit en substance : «Y a-t-il des serveurs DHCP dans les parages? Si oui, j aimerais une adresse IP». La figure 7-19 présente ce message. Vous vous demandez sans doute comment un ordinateur peut communiquer s il n a pas d adresse. C est possible grâce à un autre protocole que TCP : UDP (User Datagram Protocol). Il ne s agit pas d une créature NetBIOS ou NetBEUI ; c est encore un élément de la suite TCP/IP. Pour suivre tous ces messages DHCP, il y a plusieurs éléments à observer. En premier lieu, je mentionne à la fois les adresses MAC (les adresses Ethernet 48 bits uniques) et les adresses IP, parce que comme vous

23 246 Windows Server 2003 Figure 7-19 DHCP étape 1 : DHCPDISCOVER. Client DHCP Serveur DHCP Adr. Ethernet : Adr. IP : «Y a-t-il un serveur DHCP par ici?» Adr. Ethernet : Adr. IP : Adresse IP utilisée : (diffusion) Adresse Ethernet utilisée : FFFFFFFFFFFF (diffusion) ID de transaction : allez le voir, elles racontent en somme des histoires différentes. Par ailleurs, un ID de transaction est associé à chaque paquet DHCP. Il permet au client, lorsqu il reçoit une réponse d un serveur, d identifier la demande à l origine de cette réponse. Dans le cas présent, notez que l adresse IP à laquelle le message est transmis est Il s agit de l adresse générique désignant «quiconque se trouve sur ce sous-réseau». L adresse aurait également fonctionné, à supposer qu il s agisse d un réseau de classe C qui n a pas été divisé en sous-réseaux, mais signifie presque toujours «quiconque peut m entendre». Si vous configurez vos routeurs pour relayer les diffusions, se propagera sur l ensemble du réseau, ce que ne ferait pas Notez également l adresse Ethernet de destination, qui est FFFFFFFFFFFF. C est la formule Ethernet qui équivaut à «Tout le monde une diffusion». DHCP offre des adresses de près et de loin Tous les serveurs DHCP à portée d écoute (autrement dit, tous ceux qui reçoivent le datagramme UDP) répondent au client par une offre, en proposant une adresse IP comme celle présentée figure Notez bien qu il s agit d une offre, et non de l adresse IP finale. Figure 7-20 DHCP étape 2 : DHCPOFFER. Client DHCP Adr. Ethernet : Adr. IP : Adr. Ethernet : Adr. IP : Serveur DHCP «Vous pouvez avoir pour deux jours.» Adresse IP utilisée : (diffusion) Adresse Ethernet utilisée : FFFFFFFFFFFF (diffusion) ID de transaction : 14321

24 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Cette étape d offre dans le processus DHCP est essentielle parce que, comme je l ai suggéré, il est possible que plusieurs serveurs DHCP entendent la demande originale du client. Si tous les serveurs DHCP jetaient une adresse IP sous le nez du client infortuné, ce dernier se retrouverait avec plusieurs adresses IP et des adresses seraient gaspillées puisque les serveurs DHCP les considéreraient prises et ne pourraient les distribuer à d autres ordinateurs. Aparté : saute-mouton sur les routeurs Avant de poursuivre, considérons l un des problèmes connexes auxquels vous aurez sans doute déjà songé. Étant donné que le client DHCP utilise des diffusions pour trouver un serveur DHCP, quel rôle tiennent les routeurs dans tout cela? Le message UDP original («Y a-t-il des serveurs DHCP aux alentours?») est une diffusion. Or, comme vous le savez, les routeurs ne relaient généralement pas les diffusions (ce qui réduit les congestions réseau et s avère être l un des rôles positifs des routeurs) et si les requêtes DHCP ne passent pas les routeurs, cela semble impliquer qu il faut avoir un serveur DHCP sur chaque sous-réseau, ce qui semble réellement excessif. Le standard BOOTP a contourné ce problème avec la RFC1542, une spécification qui contraint les routeurs à reconnaître les diffusions BOOTP et à les transmettre aux autres sous-réseaux. La fonction doit être implémentée dans le logiciel de vos routeurs ; elle est communément appelée «relais BOOTP». Les fabricants de routeurs IP, comme Compatible Systems, Cisco et Bay Networks, appliquent presque tous la RFC Les nouveaux routeurs la proposent probablement en standard ; les plus anciens peuvent requérir une mise à niveau logicielle. Une autre approche consiste à utiliser un système Windows 2000 ount comme routeur, puisque le logiciel de routage de Windows 2000 etnt est compatible avec la RFC Que faire cependant si vous avez des routeurs passifs ou des administrateurs de routeurs qui refusent d activer le relais BOOPT? Dans ce cas, vous pouvez désigner un ordinateur NT, Windows 2000 ou Windows Server 2003 comme «agent de relais DHCP». L agent de relais DHCP est simplement un ordinateur qui consacre une portion de sa puissance processeur à écouter les diffusions DHCP clientes. L agent de relais DHCP sait qu il n y a pas de serveur DHCP sur le sous-réseau (parce que vous le lui avez dit), mais il sait qu il en existe un sur un autre sous-réseau (parce que vous le lui avez dit également). L agent de relais récupère donc la diffusion DHCP cliente et la convertit en une communication point à point directement dirigée vers le serveur DHCP. Les communications IP dirigées peuvent évidemment traverser des routeurs, aussi le message parvient-il au serveur DHCP. De quoi avez-vous besoin pour créer un agent de relais DHCP? Avec NT 4, vous pouviez utiliser n importe quel ordinateur, qu il s agisse d une station de travail ou d un serveur. Windows2000 et Windows Server 2003, plus contrariants, incluent un logiciel qui ne permet de créer un agent de relais qu avec la version Server du système. Pour faire d un ordinateur un agent de relais DHCP, ouvrez le Panneau de configuration, puis l applet Réseau. Cliquez sur l onglet Protocoles et double-cliquez sur le protocole TCP/IP. Dans la boîte de dialogue résultante, cliquez sur l onglet Relais DHCP. Dans l onglet Relais DHCP, cliquez sur le bouton Ajouter et indiquez l adresseip du ou des serveurs DHCP. La boîte de dialogue est simple, mais il y a deux choses qui perturbent les utilisateurs lorsqu il s agit de faire d un ordinateur un agent de relais. ASTUCE L agent de relais DHCP NT peut s exécuter sur n importe quel système NT. Ce système n a pas besoin d être un routeur. Ne faites jamais d un serveur DHCP un agent de relais DHCP. Cela n aura qu un seul effet : faire oublier à la machine qu elle est un serveur DHCP et l amener au lieu de cela à transmettre toutes les requêtes qu elle entend à un autre serveur DHCP. Je ne comprends d ailleurs pas pourquoi cette stupide fonction d agent de relais DHCP n est pas tout simplement grisée sur les serveurs DHCP, comme c est le cas pour l option Obtenir une adresse IP d un serveur DHCP. Pour transformer un système Windows 2000 Server ou Windows Server 2003 (souvenez-vous : Server uniquement) en un agent de relais DHCP, vous devez utiliser le service Routage et accès distant. A priori, toute configuration RRAS fera l affaire; vous n avez pas besoin d activer le routage WAN ou l accès à distance (reportez-vous au chapitre 6 pour en apprendre plus sur la configuration d un système RRAS).

25 248 Windows Server 2003 Cliquez sur Démarrer>Outils d administration>routage et accès distant, puis cliquez du bouton droit sur le nom du serveur et choisissez Configurer le routage et l accès distant pour lancer l assistant, puis choisissez Configuration personnalisée. Cliquez sur Suivant, cochez l option Routage réseau et quittez l assistant. L écran principal de la console Routage et accès distant apparaît. Ouvrez l objet Routage IP (cliquez sur le signe plus). L un des objets qu il contient est un dossier appelé Général. Cliquez du bouton droit sur le dossier Général et choisissez Nouveau protocole de routage. Dans la boîte de dialogue qui apparaît, sélectionnez l option Agent de relais DHCP et cliquez sur OK. De retour à la console Routage et accès distant, un objet appelé Agent de relais DHCP apparaît à présent sous Routage IP, comme le montre la figure Figure 7-21 La console Routage et accès distant avec l agent de relais DHCP. Cliquez du bouton droit sur l objet Agent de relais DHCP et choisissez Propriétés pour afficher l écran de configuration de l agent de relais. L agent se configure en indiquant où trouver les serveurs DHCP. Entrez l adresse IP d un serveur DHCP et cliquez sur Ajouter pour l ajouter à la liste. Pour finir, vous devez activer l agent afin qu il écoute les requêtes DHCP sur le réseau local. Cliquez du bouton droit sur Agent de relais DHCP et choisissez Nouvelle interface. Choisissez Connexion au réseau local et cliquez sur OK. Cliquez sur OK à nouveau. L agent est actif sur le réseau. Ces explications sur les agents de relais et la compatibilité des routeurs avec la RFC 1542 me conduisent à une nouvelle question. Que se passe-t-il si un serveur DHCP d un autre sous-réseau a donné une adresse IP à notre client? Le client ne se trouve-t-il pas placé sur le mauvais sous-réseau? Si un serveur DHCP sert plusieurs sous-réseaux différents, comment sait-il de quel sous-réseau une requête entrante provient? DHCP résout ce problème grâce au relais BOOTP. En supposant que vos routeurs implémentent le relais BOOTP, la requête DHCP originale d un client les atteint tous. Toutefois, comment empêcher un serveur DHCP dans un sous-réseau fictif z d attribuer une adresse z à un ordinateur qui se trouve dans un autre sous-réseau, z? C est simple. Lorsque le routeur transmet la requête BOOTP, il attache un petit mot disant «ce message provient de z». Le serveur DHCP reçoit ces informations et ne répond donc que s il possède une étendue dans z. Notez que bien qu il s agisse d une diffusion au niveau du protocole de couche supérieure (UDP), le protocole de couche inférieure Ethernet se comporte comme si ce n était pas le cas, et l adresse Ethernet incorporée au message est l adresse du client, et non l adresse de diffusion (FFFFFFFFFFFF). Notez également que l ID de transaction sur la réponse correspond à l ID de transaction de la requête d origine. Fin de l aparté. Revenons à notre précédent sujet, en voyant comment ce client obtient son adresse de DHCP.

26 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Choisir parmi les offres Le client DHCP examine ensuite les offres qu il reçoit et choisit celle qui lui convient «le mieux», du moins si l on en croit les termes de la documentation Microsoft. D expérience (et j en ai pas mal sur ce rayon), «mieux» n est qu une autre manière de dire «en premier». Il semble en fait que l offre acceptée soit celle du premier serveur à répondre. Le client transmet alors un autre datagramme UDP (une autre diffusion), comme le montre la figure Figure 7-22 DHCP, étape 3 : DHCPREQUEST. Client DHCP Serveur DHCP Adr. Ethernet : Adr. IP : Adr. Ethernet : Adr. IP : «Puis-je avoir l'adresse IP ? Et merci pour les autres offres, mais non merci.» Adresse IP utilisée : (diffusion) Adresse Ethernet utilisée : FFFFFFFFFFFF (diffusion) ID de transaction : Il s agit d une diffusion parce que ce message a deux fonctions. Tout d abord, la diffusion retourne effectivement au serveur offrant si la première diffusion l a atteint, ce qui a de toute évidence été le cas. Ensuite, cette diffusion est un autre moyen de dire aux autres serveurs DHCP qui ont proposé une offre : «Désolé les gars, mais j ai choisi cette offre-là». Notez que les adresses Ethernet et IP sont toutes deux des diffusions et qu il y a un nouvel ID de transaction. Le bail est signé Pour finir, le serveur DHCP répond avec la toute nouvelle adresse IP, comme le montre la figure Il indique également au client son nouveau masque de sous-réseau, la durée de bail et toutes les autres informations que vous avez spécifiées (passerelle, serveur WINS, serveur DNS, etc.). À nouveau, notez qu il s agit d une diffusion UDP, mais que l adresse Ethernet est dirigée, tandis que l ID de transaction correspond à l ID de la précédente requête. Pour voir à quoi ressemble votre configuration IP, tapez ipconfig /all. Il se peut que les informations remplissent la console en entier, aussi pouvez-vous ajouter l option more à la commande. Cette option fonctionne sur les ordinateurs DOS, Windows for Workgroups et NT. Les ordinateurs Windows 95 possèdent une version graphique d IPConfig appelée WINIPCFG. Mon bail est perdu! Il faut vendre! Que se passe-t-il lorsque le bail arrive à terme? Dans ce cas, vous êtes censé ne plus utiliser l adresse IP. Il y a cependant peu de chances que vous perdiez ce bail : le logiciel DHCP client de Windows est en général assez vigilant et conserve les baux aussi longtemps que possible. Lorsque le bail atteint la moitié de sa durée de vie, le client DHCP commence à renégocier le bail IP en transmettant une requête DHCP au serveur qui lui a fourni son adresse IP à l origine. Les adresses IP et Ethernet sont toutes les deux spécifiques au serveur.

27 250 Windows Server 2003 Figure 7-23 DHCP, étape 4 : DHCPACK. Client DHCP Serveur DHCP Adr. Ethernet : Adr. IP : Adr. Ethernet : Adr. IP : «Bien sûr ; prenez aussi ce masque de sous-réseau, cette adresse de serveur DNS, cette adresse de serveur WINS, ce type de nœud et ce nom de domaine.» Adresse IP utilisée : (diffusion) Adresse Ethernet utilisée : FFFFFFFFFFFF (diffusion) ID de transaction : Le serveur DHCP répond ensuite avec un message DHCPACK. L avantage de cette méthode tient à ce que le message DHCPACK contient toutes les informations que possédait le DHCPACK original (nom de domaine, serveur DNS, etc.). Vous pouvez ainsi modifier le serveur DNS, le serveur WINS, le masque de réseau et les autres paramètres correspondants, après quoi les nouvelles informations sont mises à jour périodiquement au niveau des clients, mais au plus tôt à la moitié de la durée de bail. Si le message DHCPACK n apparaît pas, le client DHCP continue de renvoyer la requête DHCP toutes les deux minutes jusqu à ce que le bail IP arrive à 87,5 % de son délai d expiration (on se demande d où sortent ces chiffres!). À ce moment là, le client revient simplement à zéro, en diffusant des messages DHCPDISCOVER jusqu à ce que quelqu un réponde. Si le bail expire sans qu un nouveau bail ne soit proposé, le client cesse d utiliser l adresse IP et désactive le protocole TCP/IP sur la station de travail. Si vous avez mal réglé les serveurs DHCP, le processus de renouvellement peut s enliser quelque peu. Il est judicieux dans ce cas de forcer la station de travail à reprendre le processus DHCP complet en tapant ipconfig /renew ou mieux même, ipconfig /release puis ipconfig /renew. Ces commandes permettent souvent de résoudre les problèmes DHCP. Même avec un bail illimité, le client DHCP établit une vérification auprès du serveur à chaque fois qu il redémarre. En conséquence, vous pouvez souvent passer de baux illimités à des baux fixes en modifiant simplement la valeur de bail au niveau du serveur. Ensuite, arrêtez et redémarrez le service DHCP. Concevoir des réseaux équipés de plusieurs serveurs DHCP La fonction du serveur DHCP ne fait à l évidence pas partie des charges que l on peut faire reposer sur les épaules d un unique serveur. Comment donc placer en ligne plusieurs serveurs DHCP afin d assurer une tolérance aux pannes? Microsoft paraît un peu confus lorsqu il s agit de proposer plusieurs serveurs DHCP pour un sous-réseau donné et a proposé différents conseils à différents moments. Voilà où je veux en venir : en fin de compte, je ne sais pas quelle est l approche officielle de Microsoft pour la tolérance aux pannes DHCP. Je sais cependant ce qui fonctionne ou a fonctionné pour moi. Comme de nombreuses autres personnes, j ai développé une approche similaire à celle du guide de formation NT. Je lance simplement DHCP sur plusieurs ordinateurs et je crée plusieurs étendues qui se réfèrent au même sous-réseau. Je m assure que les plages d adresses dans les étendues ne se recouvrent pas, et tout semble fonctionner pour le mieux.

28 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Pour ne rien omettre, il convient de noter cependant que vous pouvez établir une tolérance aux pannes pour les serveurs DHCP en plaçant votre serveur DHCP sur un cluster de plusieurs ordinateurs. La solution est parfaitement valide, mais elle est loin d être bon marché. Résolution des noms : introduction à WINS, NetBIOS, DNS et Winsock Considérez les deux commandes suivantes, toutes deux émises en direction du même serveur : ping server01.bigfirm.com et net use * \\server01\mainshr Dans la commande ping, le serveur est désigné par la formule server01.bigfirm.com. Dans la commande net use, ce même serveur est appelé server01. Cette différence est importante, pour plusieurs raisons. Ping s appuie sur une interface de programmation orientée Internet appelée Winsock, et tout programme exécutant Ping a généralement besoin d accéder à ce que l on appelle un serveur DNS afin d exécuter la commande ping. La commande net use s appuie sur une interface Microsoft de programmation orientée réseau appelée NetBIOS, et tout programme exécutant net use a généralement besoin d accéder à ce que l on appelle un serveur WINS pour exécuter la commande. Replaçons un certain nombre de notions en perspective afin de comprendre Winsock, DNS, NetBIOS et WINS. Deux lignages différents, deux noms différents La commande ping est très clairement une commande de type TCP/IP/Internet. Vous ne pouvez pas l exécuter à moins d exécuter TCP/IP et de fait, il s agit d une commande valide sur un ordinateur Unix, VMS, Macintosh ou MVS pour autant que cet ordinateur exécute la pile de protocoles TCP/IP. À l inverse, net use est une commande réseau Microsoft. Vous pouvez exécuter la commande net use sur un réseau NT quel que soit le protocole que vous exécutez, mais la commande ne sera généralement pas valide sur un ordinateur Unix, VMS, Macintosh, etc. En général, les technologies réseau Microsoft sont plutôt conçues pour ne fonctionner que sur des PC. Interface de programmation d application = modularité La différence tient à l API (Application Programming Interface) réseau sur laquelle l application est conçue. API? Mais qu est-ce que c est donc? Eh bien, il y a des années, la plupart des logiciels PC ne comprenaient rien aux réseaux. Ce n est plus le cas aujourd hui. Les ordinateurs de bureau (les clients) utilisent des logiciels réseau également. Toutefois, les programmeurs qui ont construit ces applications réseau (les clients de serveurs de fichiers ou les navigateurs Web, ne sont généralement pas les programmeurs qui ont écrit le reste des logiciels réseau (les pilotes de cartes réseau, les protocoles, etc.). Les différents éléments de logiciel réseau sont généralement conçus pour s emboîter les uns avec les autres de manière modulaire. L interface entre un protocole et les applications qui s appuient dessus est appelée API ou Application Programming Interface (interface de programmation d application). Les API s apparentent en quelque sorte aux commandes d une voiture. Le volant, l accélérateur et les différents autres éléments forment l interface que vous voyez, et vous apprenez à les utiliser pour piloter la voiture. Il se peut que vous n ayez aucune idée

29 252 Windows Server 2003 de ce qui se trouve sous le capot de la voiture : vous vous contentez d appuyer sur l accélérateur et la voiture va plus vite. L API de la voiture est constituée de quelques commandes «primitives» : faire freiner la voiture, faire accélérer la voiture, changer de vitesse, etc. Il n existe pas encore de commande du type «garer la voiture», mais vous pouvez y parvenir en assemblant différentes commandes primitives de manière à former cette action globale. Le grand intérêt de cette API automobile générique tient à ce que, une fois que vous avez appris à conduire une voiture, vous pouvez immédiatement en utiliser une autre. En d autres termes, vous êtes vousmême une «application conçue pour l API des contrôles du pilote de voiture». À l inverse, considérez maintenant la manière dont les pilotes d avions privés apprennent à voler. Ils ont deux pédales dans leur avion, mais la pédale de gauche les fait tourner à gauche et celle de droite les fait tourner à droite. Une personne entraînée comme pilote d avion privé serait une «application conçue pour l API d avion privé». Si vous prenez une personne entraînée pour piloter un avion et que vous la placez dans une voiture sans aucune formation préalable, vous n obtiendrez pas de bons résultats. De la même manière, si une application est conçue pour une API réseau spécifique, elle ne fonctionnera pas sur une autre. En revanche, si vous construisiez une voiture dont les contrôles fonctionnaient à la manière de ceux d un avion, vous permettriez aux pilotes d avions de la conduire sans problème. NetBIOS et Winsock En extrapolant un peu, je pourrais dire que les voitures et les avions ne sont rien d autre que des moyens différents de résoudre un même problème : celui du transport. De la même manière, les différents fabricants réseau se sont attaqués au cours des années au même problème et ont proposé différentes solutions. En particulier, depuis 1985, Microsoft a construit ses applications réseau par-dessus une API réseau appelée NetBIOS (Network Basic Input-Output System), qui est apparue pour la première fois sur un produit d une entreprise appelée Sytek et a été par la suite promu et étendu par IBM et Microsoft. L univers Internet a cependant utilisé une API réseau différente, appelée sockets. Dans l univers Microsoft, la version propriétaire de sockets s appelle Winsock. Souvenez-vous que l intérêt de l API tient à ce qu elle sépare vos applications réseau de votre fournisseur réseau : vous n avez pas besoin d acheter votre système d exploitation réseau auprès de la même personne qui vous a vendu votre logiciel de télécopie réseau. Votre réseau peut-il se contenter des interfaces de programmation Winsock ou NetBIOS? Il est probable que non. Il faut que vous exécutiez les programmes NetBIOS parce que tout ce qui a été écrit pour les réseaux Microsoft avant Windows 2000 l a été pour tourner sur NetBIOS. Il faut que vous exécutiez des programmes Winsock parce qu il existe un très grand nombre d applications Internet (les applications Web et de messagerie en premier lieu, mais bien d autres également) conçues pour fonctionner avec Winsock. En fait, l un des changements majeurs de NT apportés par Windows 2000 (et les systèmes ultérieurs) tient à ce que la plupart des éléments réseau de Windows 2000 fonctionnent parfaitement sur Winsock et ne nécessitent pas du tout NetBIOS (pas tous : par exemple, les configurations Exchange 2000 nécessitent NetBIOS, ainsi que les clusters serveur ou la possibilité de restreindre les utilisateurs à ne se connecter qu à des stations de travail spécifiques). Toutefois, tous les systèmes Windows 9x, Workgroups ou NT qui doivent accéder à des données sur des serveurs Windows 2000 ou Server 2003 le font via NetBIOS. De manière similaire, toutes les applications antérieures à Windows 2000 qui s exécutent sur un système Windows 2000 ne peuvent fonctionner que sur NetBIOS, même si tous les systèmes dans le réseau sont des systèmes Windows En fin de compte, pratiquement tous les systèmes Windows 2000 nécessitent donc de fait une infrastructure NetBIOS complète. Définition de la résolution des noms NetBIOS et Winsock ont en commun un même objectif : gérer des noms d ordinateurs conviviaux avec lesquels il est aisé de travailler. Tout ordinateur sur Internet et sur pratiquement tous les réseaux Windows Server 2003 possède une adresse IP unique, mais personne ne souhaite utiliser cette adresse pour identifier des serveurs. Lorsqu on ouvre Mes emplacements réseau, les serveurs doivent posséder des noms du type \ \PERSONNEL plutôt que , et Amazon souhaite pouvoir vous indiquer que vous pouvez acheter des livres à l adresse plutôt qu à l adresse On a donc besoin d une sorte de serveur de bases de données qui puisse traduire en et \\PERSONNEL en

30 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Ce problème de conversion d un nom en une adresse IP est appelé «résolution des noms». Pour NetBIOS et Winsock, il s agit du même problème, mais les solutions sont différentes. NetBIOS cherche à opérer la résolution de noms à partir d un serveur WINS (Windows Internet Name Service). Winsock cherche à le faire à partir d un serveur DNS (Domain Name System). Gérer les noms hérités et NetBIOS : WINS Les vétérans de NT 4 qui espéraient que WINS mordrait la poussière dès Windows 2000, ou à tout le moins avec Windows Server 2003, doivent ravaler leur trompette : il semble malheureusement que l on soit encore contraint de le supporter. Voyons donc comment prendre en charge ce «système de résolution des noms hérité» («hérité», est le terme informatique officiel désignant «toute vieillerie exaspérante qui nous a poussé à opter pour la mise à niveau en premier lieu, mais dont, en fin de compte, on n arrive pas à se débarrasser, ce qui nous oblige au final à supporter non seulement les tout nouveaux gadgets incompréhensibles, mais avec eux aussi ces antiquités exécrées» vous voyez, «hérité», ça sonne mieux). NetBIOS sur TCP/IP NBT) L API NetBIOS est implémentée sur les protocoles NetBEUI(, IPX/SPX et TCP/IP distribués par Microsoft. La version Microsoft de TCP/IP est ainsi légèrement différente de celle que l on trouve par exemple sur Unix ; cette dernière a toutes les chances de ne pas contenir l API NetBIOS, mais possède probablement uniquement l API sockets TCP/IP (souvenez-vous que comme pour toutes les implémentationspc de TCP/IP, la version Microsoft des sockets est l API Winsock). NetBIOS est essentiel dans l implémentation Microsoft de TCP/IP, afin de satisfaire les systèmes d exploitation et logiciels hérités. Or, NetBIOS sur TCP (généralement abrégé NBT ou NetBT) a besoin d un résolveur de noms. La résolution de noms NetBIOS sur TCP/IP n est pas une mince affaire à gérer. De nombreuses personnes en ont fait le constat et deux RFC ont été consacrées à ce sujet : les RFC 1001 et 1002, publiées en Nœuds B, nœuds P et nœuds M La RFC a attaqué ce problème en proposant diverses options. La première option était assez simpliste, puisqu elle proposait d effectuer simplement des diffusions. L ordinateur utilisant des diffusions pour résoudre des noms NetBIOS en adresses IP est appelé un «nœud B». Pour savoir qui se trouve être serveur01, un PC exécutant le logiciel de nœud B se contentait donc de crier son message : «Hé! Y a-t-il quelqu un qui réponde au nom de serveur01?». Simple, certes, mais fatalement voué à l échec : rappelez-vous en effet ce qui se passe avec les diffusions lorsqu elles atteignent des routeurs ; étant donné que les routeurs ne rediffusent pas les messages sur d autres sous-réseaux, ce type de résolution de noms ne fonctionne correctement que sur les réseaux constitués d un seul sous-réseau. La deuxième option consistait à créer un serveur de noms et à l utiliser. Lorsqu un ordinateur avait besoin de résoudre le nom d un autre ordinateur, il lui suffisait de transmettre un message point à point à l ordinateur exécutant le logiciel de serveur de noms. Puisque les messages point à point sont retransmis par les routeurs, cette seconde approche était fonctionnelle sur les réseaux routés. Un ordinateur utilisant un serveur de noms pour résoudre des noms NetBIOS en adresses IP est appelé un «nœud P». L idée est bonne également, mais elle s attire tous les problèmes du DNS : quel serveur de noms utiliser? Doit-il être dynamique? Etc. En passant, notez que le serveur de noms pour la résolution des noms NetBIOS est appelé serveur de noms NetBIOS ou NBNS (NetBIOS Name Server). L approche la plus complexe pour la résolution des noms NetBIOS sur TCP/IP a été décrite dans les RFC comme étant le «nœud M» ou nœud mixte. Ce nœud utilise une combinaison de diffusions et de communications point à point avec un serveur de noms NetBIOS. Microsoft respecte les RFC, enfin presque Lorsque Microsoft s est lancé avec TCP/IP, il a implémenté un type de logiciel de nœud M. Il s agissait en partie d un système point à point, puisque vous pouviez rechercher des adresses dans le fichier HOSTS ou dans

31 254 Windows Server 2003 un fichier appelé LMHOSTS et si vous aviez un serveur DNS, vous pouviez à chaque fois vous y référer. À l exception de ces options, la pile TCP/IP de Microsoft était cependant principalement du type nœud B, ce qui vous limitait à des réseaux constitués d un unique sous-réseau. À l évidence, un véritable serveur de noms NetBIOS était requis et idéalement, il fallait qu il soit aussi simple à utiliser que possible. Puisque les RFC étaient muettes concernant les particularités des serveurs de noms NetBIOS, les fournisseurs avaient toute licence pour inventer des modèles propriétaires et le firent évidemment ; plusieurs d entre eux se lancèrent en fait dans l aventure, avec le résultat que l on pouvait escompter : aucun de ces serveurs ne pouvait communiquer avec les autres. C est alors que WINS entre en action. WINS n est rien d autre que le service NBNS propriétaire de Microsoft. Ce qui le fait sortir du lot, c est l importance de Microsoft dans la profession. Microsoft a suffisamment d influence pour créer un système propriétaire et le faire accepter par un tel nombre d utilisateurs qu il devient de facto un standard. Le logiciel client NetBIOS sur TCP de Microsoft implémente non seulement les nœuds B, P et M, mais également un quatrième nœud non spécifié dans la RFC. Microsoft l appelle le nœud H ou nœud hybride. Attendez un peu, le nœud M n est-il pas lui-même un nœud normalisés? Si. Les nœuds M et H (notez bien qu à cette date, les nœuds M sont standardisés par les RFC tandis que les nœuds H ne le sont pas) utilisent tous deux des nœud B et P, mais l implémentation est différente : Avec un nœud M, la résolution de noms s opère en diffusant d abord (nœud B), puis, en cas d échec, en communicant directement avec le NBNS (nœud P). Avec un nœud H, le test porte d abord sur le NBNS. Si celui-ci n est d aucune aide, une diffusion est tentée. Nœud M et nœud H Vous vous demandez peut-être : «Voyons, pourquoi souhaiterait-on commencer par une diffusion avant de consulter le serveur de noms? Pourquoi encombrer le câble réseau avec des diffusions inutiles alors que l on peut facilement s adresser directement à la source et réduire le trafic réseau?». C est en fait une question d optimisation globale du trafic. Souvenez-vous que les RFC relatives à NetBIOS sur TCP ont été écrites dans les années 1980, à une époque ou l ordinateur moyen possédait une fréquence d horloge de 8 MHz et un bus interne de 5 MHz. Un réseau Ethernet rempli d ordinateurs XT n aurait même pas pu charger suffisamment le réseau pour que l on s en rende compte. Le goulot d étranglement des réseaux de ces temps-là était le processeur ou la vitesse de disque sur le serveur réseau. Lorsque le réseau incluait des routeurs (et si ce n était pas le cas, les diffusions auraient tout simplement suffi), ces routeurs étaient connectés à des liens réseaux WAN coûteux à 9 600, ou bps. Comparativement, le LAN se présentait comme une ressource aux capacités presque illimitées, et on pourrait se permettre de gaspiller des milliers de diffusions. À l inverse, si l on avait augmenté le trafic sur le WAN en amenant chaque ordinateur à demander des noms NetBIOS (en supposant que le serveur de noms NetBIOS se trouve de l autre côté du lien WAN), cela aurait considérablement réduit l efficacité de ce WAN coûteux. En outre, on supposait alors que la majorité des communications s effectuait sur le LAN, aussi les diffusions suffisaient-elles le plus souvent pour la résolution des noms. Résultat : les nœuds M. Le tableau de la situation n était pas le même en 1994, lorsque Microsoft a inventé WINS : les LAN étaient saturés et les liens WAN bien meilleur marché : les nœuds H étaient alors mieux adaptés. Vous pouvez forcer n importe quel client DHCP à être un nœud B, P, M ou H. Le type de nœud WINS/ NBNS est l une des options que vous pouvez configurer via DHCP. Vous lui donnez une valeur numérique pour définir la technique de résolution des noms NetBIOS du client. Une valeur de 1 crée un nœud B, 2 crée un noeud P, 4 crée un nœud M et 8 crée un nœud H, le type de nœud recommandé. Comprendre les noms NBT sur votre système L un des principaux aspects de l architecture NetBIOS concerne son utilisation prodigue des noms. Une station de travail peut se voir associer jusqu à 16 noms. Les noms dans NetBIOS sont soit des noms de groupes, qui peuvent être partagés (les groupes de travail et les domaines en sont deux exemples), soit des noms normaux, qui ne peuvent pas être partagés, comme les noms d ordinateurs. Comme vous le verrez

32 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE rapidement, WINS tient registre de tous ces noms. Vous serez donc sans doute curieux de les connaître. Prenons donc quelques instants pour examiner plus attentivement les noms NetBIOS de votre système. Pour afficher les noms associés à votre station de travail, ouvrez une invite de commandes dans un ordinateur Windows for Workgroups, Windows 95, NT, Windows 2000 ou XP et tapez nbtstat -n. Vous obtiendrez une sortie de ce type : Adresse IP du noeud : [ ] ID d étendue: [] Table nom local NetBIOS Nom Type Statut GX240 <00> UNIQUE Inscrit WIN2KTEST <00> Groupe Inscrit GX240 <03> UNIQUE Inscrit GX240 <20> UNIQUE Inscrit WIN2KTEST <1E> Groupe Inscrit MM100 <03> UNIQUE Inscrit Dans cet exemple, les noms WIN2KTEST correspondent à mon groupe de travail et à mon domaine. GX240 est le nom de mon ordinateur et MM100 mon propre nom (notez que NetBIOS enregistre non seulement le nom de l ordinateur, mais également le nom de la personne). Pour afficher la liste des noms enregistrés sur n importe quel ordinateur de votre réseau, tapez nbtstat -A <adresse IP>, où -A doit être une lettre majuscule. Pourquoi y a-t-il plusieurs GX240? Chaque partie différente du logiciel client de réseau Microsoft requiert des noms pour elle-même : ces composants récupèrent donc le nom de votre ordinateur et lui ajoutent une paire de chiffres hexadécimaux. C est ce que représentent les mentions <00>, <20>, etc. : il s agit de suffixes contrôlés par des programmes particuliers. Par exemple, si un autre utilisateur sur le réseau souhaite se connecter à un partage appelé STUFF sur cet ordinateur, il peut taper net use * \\gx240\stuff et le logiciel redirecteur sur son ordinateur opère une résolution de nom NetBIOS sur le nom GX240<00>, puisque le suffixe <00> est utilisé par le redirecteur. Le tableau 7-1 présente les suffixes et les programmes qui les utilisent. Tableau 7-1 Exemples de noms d ordinateur Nom unique <nom ordinateur>[00h] <nom ordinateur>[03h] <nom ordinateur>[06h] <nom ordinateur>[1fh] <nom ordinateur>[20h] <nom ordinateur>[21h] <nom ordinateur>[beh] <nom ordinateur>[bfh] <nom utilisateur>[03h] <nom domaine>[1bh] Composant qui les utilise Service de station de travail. Il s agit d un nom de base que chaque acteur dans un réseau Microsoft possède, quel que soit son pouvoir au sein du réseau. Service Messenger. Utilisé pour les alertes ou les pop-up. Les messages NET SEND utilisent ce nom. Sans ce nom, vous ne pouvez pas recevoir de messages NET SEND (ni le spam irritant que certaines personnes vous infligent à l aide de ce service). Service de serveur d accès distant. Service NetDDE. N apparaît que si NetDDE est actif ou si vous exécutez une application NetDDE. Service de serveur. Le nom n apparaît que sur les ordinateurs dont le partage de fichiers et d impression est activé. Service de client d accès distant. Agent de Moniteur réseau. Utilitaire de Moniteur réseau. Service Messenger. Tout ordinateur exécutant le service Messenger (autrement dit, à peu près n importe quel client réseau Microsoft) l aura, afin que les commandes NET SEND transmises à un utilisateur puissent être reçues. Ce système est le contrôleur de domaine principal (ou émulateur CDP, si le domaine est un domaine Active Directory). Il n en existe qu un seul par domaine.

33 256 Windows Server 2003 Tableau 7-1 Exemples de noms d ordinateur (suite) Nom unique <nom domaine>[1ch] <nom domaine>[1dh] <nom domaine>[00h] <nom groupe de travail>[00] <nom domaine>[1eh] <nom groupe de travail>[1eh] MSBrowse Composant qui les utilise Indique que cet ordinateur est un contrôleur de domaine sur ce domaine. Dans les domaines NT 4, il peut s agir d un contrôleur de domaine principal ou secondaire. Il ne s agit donc pas d un nom unique : plusieurs CD peuvent exister, donc plusieurs systèmes peuvent avoir ce nom. Explorateur maître. Indique que l ordinateur est un membre du domaine et/ou du groupe de travail. Si un client est un membre d un groupe de travail dont le nom est différent d un domaine, aucun nom de domaine n est enregistré sur le client. Utilisé pour les choix d explorateur. Indique que cet ordinateur acceptera d être un explorateur. N apparaît que sur des serveurs (pouvant potentiellement être des explorateurs). Explorateur maître de domaine. Quel que soit le type d ordinateur que vous ayez sur un réseau d entreprise Microsoft, il possède au moins un nom enregistré : le nom <nom ordinateur>[00]. Généralement, les ordinateurs enregistrent également <nom groupe de travail>[00], qui les proclame membres d un groupe de travail. Il s agit des deux seuls noms que vous verrez sur une station de travail exécutant l ancien client de réseau Gestionnaire LAN sans le service Messenger ou sur une station de travail Windows for Workgroups 3.1 (et non 3.11) pour laquelle le partage de fichiers et d impression est désactivé. La plupart des logiciels clients modernes possèdent également le service Messenger : leurs noms <nom ordinateur>[03] et <nom utilisateur>[03] sont donc également enregistrés. Lorsque les fonctions de partage de fichiers et/ou d impression sont activées sur un ordinateur, le nom <nom ordinateur>[20] est également ajouté. Les serveurs acceptent tous d être candidats comme explorateur maître par défaut, aussi à moins que vous ne configuriez spécifiquement votre ordinateur pour qu il ne se propose pas comme candidat, le nom <nom groupe de travail>[1e] apparaît sur n importe quel ordinateur proposant le partage de fichiers ou d impression. Si l ordinateur se trouve être l explorateur maître, il possède le nom <nom groupe de travail>[1d] également. Les stations de travail utilisent le nom [1D] pour obtenir initialement une liste de serveurs explorateurs lorsqu elles démarrent : elles diffusent un message visant à vérifier si l ordinateur [1D] existe et si c est le cas, l ordinateur [1D] présente à la station de travail une liste d explorateurs potentiels. Les explorateurs maîtres obtiennent également le nom réseau [01][02] MSBROWSE [02][01]. Il s agit d un nom de groupe et seuls les explorateurs «maîtres» en sont membres. Les explorateurs maîtres utilisent ce nom pour se découvrir les uns les autres. Résolution de noms avant WINS : LMHOSTS Les clients écrits avant WINS ou les clients pour lesquels aucun serveur WINS n est spécifié essaient de résoudre les noms NetBIOS en adresses IP à l aide de plusieurs méthodes. Les outils qu ils utilisent sont les suivants : un fichier HOSTS, s il existe ; des diffusions ; un fichier LMHOSTS, s il existe ; un serveur DNS, s il existe. Vous avez déjà rencontré HOSTS auparavant ; il s agit d un simple fichier ASCII, dont chaque ligne contient une adresse IP, et au moins un espace et un nom. LMHOSTS fonctionne de manière similaire. Il est judicieux d en connaître le fonctionnement, car ce fichier permet de résoudre de nombreux problèmes de résolution de noms avec les serveurs antérieurs à Windows 2000 et même des ordinateurs Windows 2000 Server ou Windows Server 2003 dans une entreprise dotée de domaines Windows 2000 et NT 4.

34 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Permettez-moi d insister : ne passez pas cette section. Il ne s agit pas d un cours d histoire. Bien souvent, c est le seul moyen de résoudre des problèmes réseau, même avec Windows Server Introduction à LMHOSTS Souvenez-vous que HOSTS est un fichier ASCII qui liste des adresses IP et des noms Internet, comme ceci : ducky.mallard.com jabberwock.carroll.com Le raisonnement de Microsoft a été simple: si un simple fichier ASCII pouvait remplacer DNS pour résoudre des noms Winsock, pourquoi ne pas créer un fichier ASCII pour contenir des noms NetBIOS? C est ce que fait le fichier LMHOSTS. LMHOSTS est constitué de paires d adresses IP et de noms, comme HOSTS, sauf que les noms sont des noms NetBIOS de 15 caractères et non des noms Internet : ducky jabberwock J ai supposé dans les précédents exemples que les noms NetBIOS étaient identiques à la partie la plus à gauche du nom Internet, mais ce n est pas nécessairement le cas, comme vous vous en souvenez peut-être en vous remémorant les explications au précédent chapitre sur la configuration TCP/IP des systèmes. Représenter les suffixes hexadécimaux dans LMHOSTS Comment gérer les caractères non imprimables dans un nom NetBIOS, comme le <1B> utilisé par le contrôleur de domaine principal ou le <1C> utilisé par tous les contrôleurs de domaine? Souvenez-vous que les suffixes hexadécimaux correspondent toujours au seizième caractère dans un nom NetBIOS, donc écrivez les noms NetBIOS suffixés de la manière suivante : Entourez le nom de guillemets. Ajoutez suffisamment d espaces à la fin du nom pour avoir 15 caractères dans le nom. Après les espaces, ajoutez \0x suivi du code hexadécimal. Par exemple, supposons que j aie un domaine nommé clouds et un contrôleur de domaine nommé \\cumulonimbus à l adresse Je crée un fichier LMHOSTS que je peux placer sur des systèmes du réseau afin qu ils puissent trouver \\cumulonimbus et le reconnaître comme contrôleur de domaine principal pour clouds. Le fichier LMHOSTS pourrait ressembler à ceci : cumulonimbus "clouds \0x1B" Il indique que l ordinateur à l adresse IP possède deux noms (ou plutôt, au moins deux noms). clouds étant un mot de six lettres, j ai ajouté neuf espaces à sa suite. Utiliser les suffixes hexadécimaux pour résoudre les problèmes d authentification Supposons que, malgré tous vos efforts, l un de vos systèmes ne parvienne absolument pas à trouver un contrôleur de domaine (CD). Autre possibilité, vous avez un domaine Active Directory et un domaine NT 4 entre lesquels vous essayez d établir une relation d approbation, mais AD semble incapable de trouver le domaine NT 4 ou vice versa. Dans ce genre de cas, vous devrez recourir aux grands moyens : LMHOSTS. Je vais vous présenter une astuce à laquelle vous pouvez recourir pour prendre un système particulier et le «raccorder» à un CD particulier. Lorsque vous exploitez cette astuce sur une station de travail récalcitrante, vous réalisez deux choses. Tout d abord, vous forcez la station de travail à utiliser un CD particulier au moment de l authentification. Ensuite, vous supprimez toutes les autres méthodes de la station de travail permettant de trouver des CD : le CD que vous désignez dans LMHOSTS a donc intérêt à être opérationnel!

35 258 Windows Server 2003 Les systèmes qui se connectent à des réseaux de type NT 4 ou, en l occurrence, des annuaires Active Directory en mode mixte (mes excuses une fois encore, mais je vous dirai tout à ce sujet au prochain chapitre) interrogent NetBIOS en recherchant un ordinateur possédant un nom identique à celui du nom de domaine, mais suffixé par 1C. Comme vous venez de le voir, vous pouvez créer une entrée LMHOSTS qui fait exactement cela en ajoutant suffisamment d espaces afin d avoir 15 caractères entre le guillemet ouvrant et le début de la partie \0x. Supposons donc que j aie des difficultés avec un système qui paraît incapable de voir qu il existe un CD nommé saturnv dans un domaine nommé boosters. Supposons en outre que saturnv soit le CD principal de ce domaine, et que son adresse soit Je crée dans ce cas les entrées LMHOSTS suivantes : saturnv "boosters \0x1C" #PRE "boosters \0x1B" #PRE Ces trois entrées font référence au même ordinateur. La première indique que son nom est saturnv, la deuxième qu il s agit d un contrôleur de domaine d un domaine appelé boosters et la dernière qu il s agit non seulement d un contrôleur de domaine, mais plus exactement du contrôleur de domaine principal de ce domaine. J expliquerai la présence des mentions #PRE d ici quelques paragraphes. Un suffixe spécial pour les contrôleurs de domaine : #DOM Dans la plupart des cas, le seul suffixe hexadécimal dont vous aurez à vous préoccuper est <1C>, qui représente le statut de contrôleur de domaine. Vous pouvez créer une entrée comme précédemment, avec un suffixe \0x1C, ou utiliser une métacommande spéciale que Microsoft a incluse dans LMHOSTS : #DOM. Pour indiquer qu une entrée donnée est un contrôleur de domaine, saisissez une entrée LMHOSTS normale pour l ordinateur, mais ajoutez #DOM: à la fin de la ligne, puis le nom du contrôleur de domaine. Dans l exemple de cumulonimbus, vous pourriez enregistrer le nom de cumulonimbus et spécifier qu il s agit d un contrôleur de domaine pour clouds de la manière suivante : cumulonimbus #DOM:clouds \x01c et #DOM se comportent cependant un peu différemment, d après ce que j ai constaté. Si vous saisissez une entrée \x01c dans un fichier LMHOSTS, l ordinateur NT l utilise elle et elle seule, en ignorant WINS ou toute autre information. Si vous devez utiliser une entrée \0x1C, assurez-vous donc qu elle est exacte! En outre, si vous essayez d informer un ordinateur NT au sujet de plusieurs contrôleurs de domaine dans un domaine donné en utilisant le suffixe \0x1C, l ordinateur ne tient compte que du dernier mentionné dans le fichier LMHOSTS. «Écoutez-moi!» : la commande #PRE Comme je n ai pas encore traité de WINS en détail, ces explications viennent un peu à contre-courant, mais puisqu il est question de LMHOSTS, le moment s avère après tout bien choisi. Comme vous l apprendrez par la suite, les clients normaux de type nœud H transmettent d abord leurs questions de résolution de noms à un serveur WINS, avant de consulter leur fichier local LMHOSTS, s il en existe un. Ce n est que si le serveur WINS fait état d un échec («Désolé, je ne peux pas résoudre ce nom») que le client cherche dans son fichier LMHOSTS. Il arrivera cependant que vous souhaitiez dire à un PC : «J ai une entrée particulière ici dans le fichier LMHOSTS qui est plus importante que tout ce que pourrait vous dire WINS. Si vous recherchez ce nom NetBIOS précisément, utilisez l entrée LMHOSTS au lieu d interroger WINS». Pour ces entrées, vous pouvez utiliser la métacommande #PRE. Dans le cas de cumulonimbus, la précédente ligne ressemblerait alors à ceci : cumulonimbus #DOM:clouds #PRE Si WINS et LMHOSTS proposent des réponses conflictuelles à la question : «Quelle est l adresse IP de cumulonimbus?», alors en général, le client s en remet à WINS plutôt qu à LMHOSTS. En d autres termes,

36 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE WINS l emporte par défaut. #PRE permet de donner la priorité à une entrée LMHOSTS sur tout ce que WINS peut indiquer. LMHOSTS centralisé : #INCLUDE, #ALTERNATE LMHOSTS est puissant mais peut requérir de nombreux allers-retours, car pour en bénéficier, le fichier LMHOSTS doit se trouver sur le PC de l utilisateur. Beurk! Cela signifie que vous devez courir dans tous les sens pour remplacer l ancien fichier LMHOSTS avec le nouveau sur chaque ordinateur. Existe-t-il un autre moyen? Oui. Vous pouvez placer un petit fichier LMHOSTS sur l ordinateur d un utilisateur à l aide d une simple commande dont le message est sommairement le suivant : «Rendez-vous sur ce serveur pour lire le fichier LMHOSTS principal». Mieux encore, vous pouvez spécifier autant de sauvegardes pour ce serveur que vous le souhaitez. Tout cela s opère à l aide des métacommandes #INCLUDE et #ALTERNATE. Voici un fichier LMHOSTS d exemple : #BEGIN_ALTERNATE #INCLUDE \\shadows\stuff\lmhosts #INCLUDE \\vorlons\stuff\lmhosts #INCLUDE \\centauri\stuff2\lmhosts #END_ALTERNATE Vous pouvez utiliser #INCLUDE sans les métacommandes #ALTERNATE, mais il me semble que si vous allez vous mettre en peine de créer un fichier LMHOSTS centralisé, autant proposer une tolérance aux pannes. J espère en outre qu il va sans dire que \\shadows, \\vorlons et \\centauri doivent être sur le même sous-réseau que le PC client, sans quoi vous devrez ajouter quelques lignes avant la commande #BEGIN_ALTERNATE pour indiquer au PC où trouver ces trois serveurs. #INCLUDE prend aussi les noms de fichiers locaux: #INCLUDE D:\MORENAME LMHOSTS est un outil très puissant qui garde son intérêt dans les réseaux d aujourd hui qui utilisent NetBIOS, car comme vous allez le voir, WINS n est pas dépourvu de défauts. WINS : un service de noms NetBIOS pour Windows Vous avez vu que l univers réseau avant WINS était plutôt sinistre, puisque tout le monde communiquait par diffusion et que de nombreuses questions (c est-à-dire des requêtes de résolutions) restaient sans réponse. Voyons maintenant ce qui se passe avec WINS. WINS requiert une version Server NT ou ultérieure Pour faire fonctionner WINS, vous devez installer un système Server NT 4 ou ultérieur (WINS ne tourne sur rien d autre, pas même sur une station de travail NT) afin qu il agisse en tant que serveur WINS. Ce dernier œuvre ensuite en tant que serveur de résolution de noms NetBIOS, en tenant registre des ordinateurs sur le réseau et en fournissant les informations de résolution de noms requises. WINS contient les enregistrements de noms Lorsqu un client WINS (formule raccourcie désignant «tout PC exécutant un type de logiciel client de réseau TCP/IP d entreprise Microsoft conçu pour utiliser WINS pour la résolution des noms NetBIOS sur TCP/IP») démarre, il se présente auprès du serveur WINS ou, selon la terminologie WINS, opère un enregistrement de nom (en fait, la plupart des ordinateurs possèdent plusieurs noms NetBIOS, aussi le client WINS les enregistre-t-il chacun auprès de WINS). Le client connaît l adresse IP du serveur WINS, soit parce que vous l avez codée en dur directement dans les paramètres TCP/IP de la station de travail, soit parce que la station de travail a obtenu une adresse WINS de DHCP lorsque son bail IP lui a été alloué.

37 260 Windows Server 2003 Vous vous souvenez peut-être que le client obtient en fait deux adresses IP, l une pour un serveur WINS «principal» et l autre pour un serveur WINS «secondaire». Le client tente d obtenir l attention du serveur principal et s enregistre sur cet ordinateur. Si le serveur WINS principal ne répond pas avant un délai donné, le client essaie ensuite de s enregistrer auprès du serveur WINS secondaire. Si le serveur secondaire communique avec le client, mais pas le serveur principal, le client s enregistre effectivement avec le serveur secondaire. Vous pouvez vérifier cela en tapant ipconfig /all sur le client. Entre autres choses, cette commande indique l adresse du serveur WINS contacté. Si cette adresse est celle du serveur secondaire, vous savez que le serveur principal était trop occupé pour répondre. Cet indice de diagnostic s avère être important, comme vous le constaterez par la suite lorsque nous verrons comment concevoir des systèmes avec plusieurs serveurs WINS. Au cours du processus qui l amène à enregistrer son nom auprès d un serveur WINS, la station de travail s assure qu elle possède un nom unique. Si le serveur WINS voit qu il y a un autre ordinateur possédant le même nom, il indique à la station de travail : «Vous ne pouvez pas utiliser ce nom». La requête d enregistrement de nom et la reconnaissance sont tous deux des messages IP dirigés, qui traversent donc les routeurs. En outre, lorsqu une station de travail se ferme, elle transmet une requête de «libération de nom» au serveur WINS lui indiquant que la station de travail n aura plus besoin du nom NetBIOS, ce qui permet au serveur WINS de l enregistrer pour un autre ordinateur. Modes d échec des clients WINS Mais que se passe-t-il si quelque chose cloche? Que se passe-t-il par exemple si vous essayez d enregistrer un nom qu une autre station de travail possède déjà ou si une station de travail constate que le serveur WINS est indisponible? Les doublons de noms sont gérés simplement : au lieu de transmettre une réponse «réussite» à la station de travail, le serveur WINS transmet un message «échec». En réaction, la station de travail considère que le nom n a pas été enregistré et ne l inclut pas dans sa table de noms NetBIOS. La commande nbtstat -n ne fait alors pas apparaître le nom. Toutefois, si une station de travail ne peut pas trouver le serveur WINS lorsqu elle démarre, elle cesse tout simplement d agir comme nœud NBT hybride et revient à l ancienne méthode des nœuds B Microsoft modifiés, ce qui signifie qu elle dépend en grande partie des diffusions mais consulte également LMHOSTS (et éventuellement HOSTS, si elle est configurée pour cela) si le fichier existe. C est mon nom, mais pour combien de temps? Comme DHCP, WINS n enregistre les noms que pour une période donnée appelée «intervalle de renouvellement». Par défaut, cette période est fixée à 6 jours (144 heures). Il semble que la durée la plus courte acceptée par WINS soit de quarante minutes. Tout comme les clients DHCP qui tentent de renouveler leurs baux à l avance, les clients WINS transmettent des «requêtes de renouvellement de noms» au serveur WINS avant que leur nom n expire en fait, bien avant. Selon la documentation de Microsoft, les clients WINS tentent de renouveler leur nom très peu de temps après qu ils n aient été enregistrés : après un huitième de l intervalle de renouvellement (les tests que j ai effectués montrent en fait qu il s agit de trois huitièmes, mais ce n est pas très important). Le serveur WINS réinitialise généralement la durée restante avant que le nom ne soit renouvelé (ce temps est quelquefois appelé durée de vie). Lorsque le client a renouvelé son nom une fois, il ne le renouvelle plus tous les huitièmes de sa durée de vie, mais à la moitié de sa durée de vie (mes tests concordent avec ces indications). Installer WINS L installation de WINS est semblable à celle de tous les autres logiciels présentés dans le livre. Lorsque vous déterminez le nombre de serveurs WINS dont vous avez besoin et l endroit où les placer, gardez à l esprit que vous n avez pas besoin de placer un serveur WINS sur chaque sous-réseau (c est même l un des grands intérêts de WINS). Il est cependant judicieux d avoir un deuxième ordinateur faisant office de serveur WINS, simplement pour assurer la relève en cas de pannes. Souvenez-vous que si une station de travail ne peut pas trouver un serveur WINS, elle passe à la diffusion, ce qui limite ses capacités de résolution de noms uniquement à son sous-réseau local et l amène à diffuser beaucoup de messages, d où un trafic

38 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE accru sur le sous-réseau. Pourquoi un client WINS ne trouverait-il pas un serveur WINS s il en existe un d opérationnel? En temps normal, le client trouverait le serveur sans problème, mais dans quelques cas, il se peut que le serveur WINS soit trop occupé pour répondre suffisamment rapidement au client, auquel cas le client s en détourne. Cela n arrivera probablement que rarement, à moins que vous ne surchargiez le serveur WINS. L un des moyens les plus courants de surcharger un serveur WINS consiste à placer la fonction de serveur WINS sur un ordinateur qui fait déjà office de contrôleur de domaine. Pensez-y un instant : à quel moment le serveur WINS se trouve-t-il le plus occupé? C est à la première minute de la journée, lorsque tout le monde démarre son ordinateur et que les noms sont enregistrés. À quel moment le contrôleur de domaine est-il le plus occupé? C est à la première minute de la journée également, lorsque tout le monde se connecte. Si possible, ne placez donc pas la fonction de serveur WINS sur un contrôleur de domaine, ni sur un système doté de plusieurs cartes réseau. Voilà où le serveur secondaire s avère utile. Si vous possédez un contrôleur de domaine de sauvegarde, placez également un serveur WINS sur cet ordinateur. Le logiciel WINS n utilise en fait que peu du temps CPU, aussi n affectera-t-il probablement pas les performances de votre serveur à moins que vous n ayez des milliers d utilisateurs qui sollicitent tous le même serveur WINS. Si c était le cas, je dédierais pour ma part un ordinateur uniquement au rôle de serveur WINS. Pour installer un serveur WINS, suivez ces étapes : 1. Ouvrez le Panneau de configuration (Démarrer>Panneau de configuration>ajout/suppression de programmes). 2. Cliquez sur Ajouter ou supprimer des composants Windows et patientez le temps que l Assistant Composants de Windows s affiche. 3. Cliquez sur le composant Services de mise en réseau puis sur le bouton Détails. 4. Cliquez sur la case à cocher Service WINS (Windows Internet Name Service). 5. Cliquez sur OK pour retourner à la boîte de dialogue Assistant Composants de Windows. 6. Cliquez sur Suivant pour installer le service. Le système indique qu il «configure les composants» pendant un moment (probablement quelques minutes). Ensuite, l écran de fin de l assistant Composants de Windows apparaît. 7. Cliquez sur Terminer pour refermer l assistant. 8. Fermez la fenêtre Ajouter ou supprimer des composants Windows. Aucun redémarrage n est requis. Vous verrez dans le menu Démarrer>Outils d administration que vous avez un nouveau composant logiciel enfichable appelé WINS. Lancez-le et cliquez sur le signe plus à côté du serveur. La console WINS doit alors ressembler à celle de la figure Les serveurs WINS n ont pas besoin d être autorisés comme les serveurs DHCP. La première chose à faire sur votre serveur WINS est de l informer des ordinateurs sur votre sous-réseau qui ne sont pas des clients WINS mais utilisent NetBIOS sur TCP/IP. Il n y en aura pas beaucoup, mais ils existent peut-être. Par exemple, il se peut que vous ayez des ordinateurs Windows antérieurs à Les ordinateurs avec des adresses IP codées en dur n ont pas besoin d être entrés, pour autant qu ils utilisent WINS : s ils connaissent les adresses d un serveur WINS principal ou secondaire, ils enregistrent leur nom auprès de ce serveur. Si vous possédez un ancien système requérant un mappage statique, cliquez du bouton droit sur Inscriptions actives et choisissez Nouveau mappage statique, pour afficher la boîte de dialogue présentée figure Si vous possédez un fichier LMHOSTS, vous pouvez aussi cliquer sur le menu Action, puis sur Importer un fichier LMHOSTS : le programme utilise alors ces informations pour construire une base de données de mappage statique.

39 262 Windows Server 2003 Figure 7-24 Écran initial de la console WINS. Figure 7-25 Table de mappage statique. Configurer un serveur WINS Cliquez du bouton droit sur le serveur dans le volet de gauche de la console WINS et choisissez Propriétés. Vous verrez apparaître une page de propriétés semblable à celle de la figure WINS sauvegarde régulièrement sa base de données (étape utile pour la récupération après incident) si vous indiquez un nom de répertoire dans le champ Chemin par défaut de la copie de sauvegarde. Vous pouvez même utiliser un nom UNC, comme \\ajax\central\wins. Une case à cocher vous permet d indiquer à WINS d effectuer également une sauvegarde à chaque fois que le serveur est fermé. Cliquez sur l onglet Vérification de la base de données pour afficher la page de la figure Il s agit d une réelle amélioration par rapport au service WINS de NT 4. WINS a toujours rencontré des problèmes de par sa nature de base de données distribuée : les enregistrements de noms étant transmis sur le réseau, il arrive que les bases de données se corrompent. La corruption se propage et avant même que vous ne vous en rendiez compte, vous effacez vos bases de données WINS et devez alors tout recommencer à zéro. L option en haut de l écran demande à votre serveur WINS de vérifier périodiquement ses enregistre-

40 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Figure 7-26 Page de propriétés de configuration du serveur. Figure 7-27 Configuration de la vérification WINS. ments en les comparant à ceux d un autre serveur dans votre entreprise. C est une très bonne idée. Si vous activez cette fonction, optez par exemple pour un intervalle de vérification de 24heures, comme Microsoft le propose par défaut, en faisant porter la comparaison sur la base du propriétaire plutôt que sur un serveur aléatoire. «Propriétaire», dans la terminologie WINS, signifie «le serveur WINS qui a provoqué l enregistrement de nom original». Il peut ainsi arriver dans un environnement doté de plusieurs serveurs WINS que j enregistre le nom de mon ordinateur avec le serveur WINS 1, qui en fait part ensuite au serveur WINS 2 (cela se passe automatiquement, souvenez-vous, vous n avez rien à faire pour que votre système s enregistre avec WINS à part spécifier un serveur WINS dans vos paramètres TPC/IP). Le serveur WINS 2 peut rencontrer un problème et corrompre l enregistrement concernant mon ordinateur, mais la vérification effectuée auprès du serveur WINS 1 révélera le problème et le serveur WINS 2 sera immédiatement remis en état. Cliquez sur l onglet Avancé pour afficher la page présentée figure Le premier élément intéressant ici est la journalisation. Vous pouvez conserver la journalisation activée, mais réfléchissez à deux fois avant de journaliser les événements détaillés. Si vous activez cette fonction, WINS ajoute de nombreuses informations à l Observateur d événements, ce qui le ralentit considérablement. Cette fonction peut être utile si vous essayez de comprendre le fonctionnement de WINS sur un petit réseau, mais j ai rencontré des cas où le serveur WINS en est même venu à se paralyser complètement!

41 264 Windows Server 2003 Figure 7-28 Configuration de serveur WINS avancée. L option Activer la prise en charge du traitement en rafale est une solution de contournement permettant de gérer un ancien problème de WINS. WINS est surtout occupé en début de journée, lorsque tout le monde se connecte et essaie d enregistrer le nom de son système. Avant d enregistrer un nom, WINS doit cependant vérifier sa base de données afin de s assurer qu il n y a pas de doublons et garantir que personne n essaie d enregistrer un nom d ordinateur qui existe déjà. Or, cela prend du temps et WINS propose un moyen de tricher. Puisqu il y a de fortes chances que tôt le matin (lorsque le réseau est très actif), les enregistrements soient de simples enregistrements, WINS passe en mode rafale, ce qui signifie qu il accepte à peu près tous les enregistrements. Il dit ensuite : «revenez me voir et réenregistrez-vous dans quelques minutes», ce qui lui donne l opportunité de vérifier réellement l enregistrement lorsque l activité décroît. Le serveur ne passe en mode rafale que lorsqu il a un grand nombre de requêtes d enregistrement en suspens dans sa file d attente. Combien? C est ce que permettent de définir les boutons radio : ils indiquent avec quelle rapidité WINS passe en mode rafale. La valeur par défaut convient sans doute, mais si vous recevez un grand nombre de refus d enregistrements (WINS ne répondant tout simplement pas), passez le seuil à Faible. Concevoir un réseau doté de plusieurs serveurs WINS Jusqu à présent, j ai traité du cas où vous aviez un serveur WINS et une série de clients. J ai également mentionné la possibilité d utiliser un serveur WINS secondaire, en suggérant que cela pouvait être utile. Comment devez-vous installer ce deuxième serveur WINS? Et qu en est-il du troisième, du quatrième et ainsi de suite? Enfin, pendant que nous y sommes : combien de serveurs WINS devez-vous avoir? Plusieurs serveurs, une base de données L idée de l environnement multiserveur WINS est de pouvoir avoir par exemple un serveur en Europe, un autre en Afrique et un autre encore aux États-Unis. Les européens opèrent leurs enregistrements avec le serveur européen, les africains avec le serveur africain et les américains avec le serveur américain. Ensuite, à intervalles réguliers, les trois serveurs WINS se consultent et créent une liste internationale maître des enregistrements WINS, une sorte de fusion des trois bases de données. Comment procèdent-ils? Il est bien évident qu il ne serait pas souhaitable de transmettre (ou «répliquer», selon la terminologie WINS) la base de données de noms africaine sur les liens WAN vers l Europe et les États-Unis, notamment parce qu elle ne risque pas de changer considérablement entre d un jour à l autre. Pour résoudre ce problème, WINS horodate et attribue des numéros de séquence aux enregistrements de noms afin d économiser la bande passante WAN. Voilà qui est parfait en théorie, mais en pratique, cela signifie que les serveurs WINS à qui l on demande d opérer ces tris et ces fusions seront assez occupés en ce

42 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE qui concerne leur processeur et failliront à leur rôle de résolveurs de noms. Il paraît donc judicieux de ne désigner qu un nombre relativement petit de serveurs (par exemple, un seul) pour s occuper principalement des tris et fusions de synchronisation. Minimiser le nombre de serveurs WINS Les gens s imaginent que, comme avec les contrôleurs de domaine, il est idéal d avoir un serveur WINS local et d en posséder beaucoup au total. Ce n est pas vrai. En fait, il convient de minimiser autant que possible le nombre de serveurs WINS. La présence d un serveur WINS local semble être la solution rêvée, parce que cela permet de réaliser rapidement des résolutions de noms NetBIOS pour les ordinateurs voisins. En fait, dans l idéal, il faudrait installer à chaque emplacement un serveur WINS qui n opère que des résolutions de noms ; mais souvenezvous que chaque serveur WINS réalise deux choses : il résout des noms et en enregistre. Voilà à mon sens la raison essentielle pour laquelle de nombreux réseaux WINS sont si irritants. Si vous pouviez tout simplement dire : «Rendez-vous sur l ordinateur local X pour les résolutions de noms, mais pour les occasions plus rares où vous avez besoin d effectuer un enregistrement de nom, passez par le WAN pour atteindre le serveur WINS central nommé Y», alors WINS poserait bien moins de problèmes. Bien sûr, les authentifications matinales seraient légèrement plus lentes, étant donné que les enregistrements s effectueraient via le WAN, mais vous éviteriez les bases de données WINS corrompues, fait si courant dans les installations WINS à grandes échelles. Il est aisé de comprendre pourquoi cela se passe ainsi. Le fait de fusionner deux bases de données WINS en une seule base est très simple. En fusionner trois est déjà plus compliqué, et la fusion de 100 bases pourrait représenter une grande quantité de travail, peut-être même plus que ne le permettent les capacités de traitement d un moteur de base de données WINS. Voilà pourquoi pendant des années, Microsoft a soutenu qu aucune entreprise sur la planète entière n avait besoin de plus de 14serveurs WINS. En outre, plus le nombre de serveurs est important, plus il y a de chances que la base de données se corrompe. Les gens souhaitent un serveur WINS local pour la résolution des noms, mais n en retirent en fait que peu de bénéfices. Si votre serveur WINS se trouvait séparé de vous par un lien WAN, combien de temps prendrait la résolution de noms? Il faut savoir qu une requête et une réponse de résolution de noms complète n atteint que 214octets. À 56 Kbps, cela fait trois centièmes de seconde. Voilà un cas où le WAN ne constituera pas le goulet d étranglement! WINS peut avoir ses défauts, mais s il a été conçu et même intelligemment conçu pour une chose, c est bien pour répondre rapidement à des requêtes de résolution de noms. Même un ordinateur 486 à 66 MHz exécutant un serveur WINS NT 4 peut gérer 750 requêtes de résolution par minute. Lorsqu il est question de serveurs WINS, souvenez-vous donc d une seule chose : moins il y en a, mieux ça marche. Ajouter le deuxième serveur WINS Ces avertissements proférés, rappelons cependant qu il est tout à fait judicieux d utiliser un deuxième serveur WINS. Lorsque vous installez un client TCP/IP Microsoft, on vous demande des adresses de serveurs WINS principal et secondaire. Lorsque votre PC démarre, il se dirige vers le serveur WINS principal et essaie d enregistrer son nom NetBIOS auprès de ce serveur. S il y parvient, il n essaie même pas de contacter le serveur WINS secondaire, à moins qu une tentative de résolution de nom subséquente échoue. Les implications de ce fonctionnement sont importantes : supposez que vous ayez été un bon administrateur réseau et que vous ayez créé un serveur WINS de sauvegarde, puis fait pointer tous les champs Serveur WINS secondaire sur ce serveur de sauvegarde. Le serveur principal tombe en panne. Que se passe-t-il? Eh bien pas grand-chose. Ce serveur WINS secondaire n en sait pas long, puisque personne ne s est jamais enregistré auprès de lui. Si un client WINS a réussi à s enregistrer avec son serveur principal, il n essaie pas de s enregistrer avec le serveur secondaire. Si le serveur principal tombe en panne et que tout le monde commence à demander au serveur secondaire de résoudre des noms, le serveur secondaire répond tout simplement : «Désolé, je ne peux pas répondre à cette question». Vous devez donc convaincre le serveur principal de répliquer ses informations vers le serveur secondaire. Par chance, il existe un moyen simple : les partenaires émetteurs/collecteurs.

43 266 Windows Server 2003 Garder le second serveur à jour En général, vous devez configurer deux serveurs WINS comme partenaires émetteur/collecteur, mais il est possible de les amener à se découvrir les uns les autres à l aide d un paramètre dans la console WINS. Cliquez du bouton droit sur le dossier Partenaires de réplication, choisissez Propriétés et cliquez sur l onglet Avancé pour afficher l écran de la figure Figure 7-29 Choix de la découverte automatique des partenaires de réplication. Ici, j ai coché la case Activer la configuration automatique des partenaires, qui amène le serveur WINS à diffuser périodiquement un message (il s agit en fait d une multidiffusion) visant à retrouver d autres serveurs WINS et à se répliquer automatiquement. Cela ne fonctionne toutefois que pour les serveurs WINS sur le même sous-réseau, car la plupart des routeurs ne relaient pas les multidiffusions IP. Sur un gros réseau, c est fort ennuyeux, mais pour un petit réseau, cela évite des ennuis à l administrateur et lui fait gagner du temps. L autre solution consiste à présenter les partenaires de réplication l un à l autre. Les réplications de base de données WINS transfèrent des données depuis un partenaire émetteur vers un partenaire collecteur. Ces termes méritent quelques explications. Supposons pour les besoins de la démonstration que vous ayez deux ordinateurs nommés Principal et Secondaire. Supposons en outre que Principal soit l ordinateur qui obtienne les dernières informations, puisqu il s agit du serveur WINS principal, et que tout ce que vous souhaitez faire avec Secondaire (le nom de l ordinateur qui fait office de serveur WINS secondaire) soit de l utiliser comme sauvegarde pour les informations de Principal. Secondaire n a donc jamais véritablement d informations à proposer à Principal. Dans ce cas, vous devez configurer Principal de manière à «émettre» les modifications de sa base de données vers Secondaire. Vous pouvez demander à un serveur WINS d établir un partenariat d émission, de collecte ou d émission/ collecte avec un autre serveur WINS en cliquant du bouton droit sur le dossier intitulé Partenaires de réplication et en choisissant Nouveau partenaire de réplication. L adresse IP du serveur WINS avec lequel vous souhaitez établir la relation de réplication vous est demandée. Dans le cas d un partenariat d émission/collecte, les données vont de Principal à Secondaire selon un des deux moyens suivants. Tout d abord, Secondaire (le partenaire collecteur) peut requérir que Principal (le partenaire émetteur) le mette à jour, en ne lui indiquant que ce qui a changé dans la base de données. Autre possibilité, Principal peut dire à Secondaire : «Il y a eu pas mal de changements depuis la dernière fois que je t ai mis à jour. Tu devrais vraiment demander une mise à jour». J ai mis la dernière phrase en italique afin de souligner que c est en réalité le partenaire collecteur qui prend l initiative de demander une mise à jour. Tout ce que le partenaire émetteur «émet» vraiment, c est en fait une suggestion que le partenaire collecteur se mette au travail et commence à requérir des mises à jour.

44 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Cela dit, pourrais-je simplement demander à Secondaire d être un partenaire collecteur avec Principal, sans dire à Principal d être un partenaire émetteur pour Secondaire? Ne suffirait-il pas de dire à Secondaire : «Initie une conversation de réplication avec Principal toutes les huit heures»? Il semblerait que l on puisse procéder ainsi, puisque Principal n aurait plus alors à s atteler à sa tâche d émetteur. Il y a cependant un piège. Si Secondaire commençait sa collecte auprès de Principal, Principal refuserait de répondre à sa requête à moins qu il n ait été configuré comme partenaire émetteur, car souvenez-vous, les serveurs WINS sont configurés par défaut pour refuser les requêtes de réplication de tous les ordinateurs à l exception des partenaires. Les services WINS sont totalement indépendants de la sécurité de domaine Active Directory, tout comme DHCP. Un serveur WINS peut servir des stations de travail au travers de l ensemble du réseau. En fait, si votre réseau est connecté à Internet et ne possède pas de pare-feu, vous pourriez même publier l adresse de votre serveur WINS et d autres réseaux sur Internet pourraient partager ses capacités d exploration (que ce soit l effet recherché ou non, voilà une autre question!). Contrôler la réplication Vous voyez maintenant qu il faut faire de Secondaire un partenaire collecteur de Principal et faire de Principal un partenaire émetteur de Secondaire. Qu est-ce qui déclenche la réplication? Quel est le déclencheur du processus de réplication de la base de données WINS? Pour le voir, cliquez du bouton droit sur n importe quel serveur listé dans le dossier Partenaires de réplication, choisissez Propriétés et cliquez sur l onglet Avancé. Vous verrez un écran semblable à celui de la figure Figure 7-30 Configuration de la réplication WINS. Souvenez-vous que le partenaire émetteur et le partenaire collecteur peuvent l un ou l autre entamer la conversation. Dans le premier cas, vous configurez un partenaire émetteur afin qu il tape sur l épaule de son partenaire et lui suggère d entamer une session de réplication, en fonction du nombre de modifications de la base de données. Vous pouvez dire à Principal : «Notifie Secondaire dès que 50 modifications sont intervenues sur ta base de données WINS» (ou le nombre que vous souhaitez, pourvu qu il soit supérieur à 19). Le nombre minimal de modifications que NT vous permet d utiliser pour déclencher la réplication est de 20 (vous pouvez aussi déclencher la réplication manuellement depuis la console WINS). La valeur par défaut, de zéro, désactive tout simplement le déclenchement par l émetteur. Le partenaire collecteur ne peut à l inverse pas savoir combien de modifications sont intervenues et a donc besoin d un autre moyen de savoir quand demander la mise à jour. Les partenaires collecteurs effectuent donc des demandes à des intervalles définis, qui peuvent être spécifiés en minutes, en heures ou en jours. En fin de compte, il suffit le plus souvent de configurer les relations de réplication WINS en conservant les paramètres par défaut, notamment si la structure WINS est conçue selon le modèle de conception «hub

45 268 Windows Server 2003 and spoke», comme vous allez le voir maintenant. Vous pourriez cependant avoir intérêt à diminuer la fréquence de réplication dans une grande entreprise. Concevoir une réplication WINS Microsoft a maintenant des années d expérience pour l assistance technique de gros clients utilisant WINS et certains de ses spécialistes m ont recommandé l adoption d une architecture de partenaires émetteur/ collecteur dite «conception hub and spoke». Elle est illustrée figure Figure 7-31 Configuration de serveur WINS principal/ secondaire suggérée. Stations de travail WINS principal WINS principal Stations de travail WINS secondaire Stations de travail WINS principal Le but de ce modèle de conception est de préserver la réactivité des serveurs WINS tout en continuant de gérer la réplication. Dans ce schéma, vous voyez trois réseaux différents, chacun servi par un serveur WINS appelé WINS Principal. Dans chaque réseau, chaque station de travail pointe sur le serveur WINS local comme serveur principal et sur l ordinateur central appelé Serveur WINS secondaire comme serveur WINS secondaire. En d autres termes, chaque ordinateur de l entreprise désigne cet ordinateur central comme son serveur WINS secondaire et un ordinateur plus proche comme serveur WINS principal. Ce système fonctionne parce que chaque serveur WINS n est informé au sujet d un ordinateur particulier que par un seul serveur WINS, au lieu de l être par plusieurs partenaires de réplication. Résultat : pas de confusion possible. La tâche principale du serveur WINS central est de récolter les bases de données des trois serveurs principaux, de les regrouper en une unique base de données WINS de niveau entreprise et de répliquer cette base de données vers les serveurs principaux locaux. Chaque serveur WINS principal désigne alors le serveur WINS central comme son seul partenaire émetteur/collecteur. De nombreuses entreprises implémentent une structure en maillage, où chaque serveur WINS désigne tous les autres serveurs WINS comme partenaire émetteur/collecteur. Suit alors un vrai cauchemar de corruption de bases de données WINS et de pertes d enregistrements. Pour ajouter un autre serveur WINS, assurez-vous simplement qu il possède une connectivité au serveur WINS central et faites-en un partenaire émetteur/collecteur de cet ordinateur. Si vous vous retrouvez avec un trop grand nombre de serveurs WINS pour un seul ordinateur central, placez simplement des «hubs and spokes» aux extrémités des «hubs and spokes», de manière à construire une hiérarchie. Quel que soit le type d architecture de réplication WINS que vous créez, assurez-vous qu il n existe pas de boucle dans votre réplication. Par exemple, si un serveur WINS A se réplique vers B, qui se réplique vers C, qui se réplique vers A, les enregistrements seront répliqués à l infini, ce qui provoquera des dysfonctionnement du service WINS.

46 Infrastructure TCP/IP : DHCP, WINS et DNS CHAPITRE Éviter les problèmes WINS Certaines personnes chez Microsoft m ont indiqué que WINS cause plus d appels d assistance technique que n importe quelle autre technologie réseau centrale de NT. Cela ne surprendra aucun de ceux qui ont essayé de résoudre des problèmes liés au service WINS. Voici quelques conseils qui vous feront gagner du temps et vous éviteront d engraisser financièrement Microsoft pour faire fonctionner un produit que vous lui avez déjà acheté. Les serveurs WINS doivent pointer vers eux-mêmes comme serveur WINS principal uniquement Lorsque vous configurez la pile TCP/IP sur un serveur WINS, n indiquez aucune valeur pour le serveur WINS secondaire, ni dans le champ Principal, indiquez la valeur du serveur lui-même. Cela permet de parer au cas où le serveur WINS est occupé mais requiert de réenregistrer sa propre adresse. Puisqu il est occupé, il ne peut cependant pas (dur à croire, mais c est ainsi) se répondre suffisamment rapidement à luimême. Du coup, le logiciel client WINS sur le serveur WINS recherche un autre serveur WINS et les enregistrements de noms du serveur WINS A finissent sur le serveur WINS B. Le service WINS devient alors instable, car le logiciel serveur WINS est conçu de manière à supposer que le nom de chaque serveur WINS est enregistré dans sa propre base de données. Soyez prudent lors de la réplication sur des serveurs WINS de test N installez pas un serveur WINS «test» dans l idée d enregistrer quelques noms dessus, avant d amener un serveur WINS «de production» à collecter les noms du serveur test, pour fermer ensuite le serveur WINS test une fois pour toutes. WINS refusera de supprimer les noms qu il a reçus d un autre serveur, aussi anciens et expirés qu ils soient, jusqu à ce qu il puisse vérifier s il doit le faire auprès du serveur WINS qui les a émis à l origine. Si vous fermez le serveur test et ne le rallumez jamais, ces enregistrements ne partiront jamais sans une intervention chirurgicale! Pour supprimer tous les enregistrements créés par un serveur WINS défunt, rendez-vous sur l un de ses partenaires de réplication et lancez la console WINS. Cliquez du bouton droit sur le dossier Inscriptions actives, puis choisissez Toutes les tâches>supprimer le propriétaire. Cela permet à WINS de purger les enregistrements de l ancien propriétaire. N utilisez pas des ordinateurs multirésidents pour vos serveurs WINS Un PC équipé de plusieurs cartes réseau peut entendre les communications de plusieurs sous-réseaux. Voilà qui met WINS dans l embarras lorsqu un serveur WINS est multirésident, car WINS devient quelquefois confus quant à la provenance des enregistrements de noms. Plusieurs Service Packs ont prétendu régler ce problème, mais chaque nouvelle version charrie son lot de nouveaux problèmes. Ma suggestion : n utilisez pas d ordinateurs multirésidents pour vos serveurs WINS. En passant, le même conseil s applique aux CDP. Les PC multirésidents ne doivent pas être utilisés comme CDP. Cela tient au fait que le CDP se retrouve en fin de compte être l explorateur maître d un domaine et à nouveau, le fait que des annonces de groupe de travail proviennent de plusieurs segments réseau différents provoque des problèmes pour le logiciel explorateur. N utilisez pas un contrôleur de domaine comme serveur WINS Comme je l ai expliqué précédemment, les fonctions de contrôleur de domaine et de serveur WINS sont fortement sollicitées au même moment. Le fait d attribuer la double casquette de CD et de serveur WINS à un même ordinateur en fera un CD médiocre doublé d un serveur WINS médiocre (évidemment, sur un petit réseau, ce problème ne se pose pas : si vous avez 25 utilisateurs, considérez-vous libre de faire de votre ordinateur un contrôleur de domaine, un serveur WINS, DHCP, DNS et même un serveur de fichiers assurez-vous cependant de savoir comment récupérer les données en cas de désastre!). Supprimer, désactiver et purger des enregistrements WINS À un moment ou à un autre, vous examinerez votre base de données de noms WINS et réaliserez qu elle contient toute une série d anciens enregistrements inutiles dont vous aimeriez vous débarrasser. Comme je l ai mentionné précédemment, certains de ces enregistrements peuvent être des résidus laissés par un ancien

47 270 Windows Server 2003 serveur à présent défunt. Ces enregistrements peuvent aisément être supprimés : choisissez simplement la fonction Supprimer le propriétaire, comme je l ai indiqué précédemment. Pour certains autres enregistrements, l approche peut cependant être un peu différente. Considérez de quelle manière un enregistrement est créé et propagé dans l entreprise. Un ordinateur nommé TRAY s enregistre auprès du serveur WINS 1. Cette opération engendre un enregistrement dans la base de données du serveur WINS 1. On dit que ce dernier est le «propriétaire» de cet enregistrement. À présent, supposons que le serveur WINS 1 réplique l enregistrement du nom de TRAY (ou plus vraisemblablement, les enregistrements) vers le serveur WINS 2. Le serveur WINS 2 contient maintenant des copies de ces enregistrements, mais il sait également que le serveur WINS 1, et non lui-même, en est le propriétaire. Même si le serveur WINS 2 devait répliquer ces enregistrements vers un autre serveur, il ne se les approprierait pas pour autant ; il indiquerait au nouveau serveur WINS : «Tiens, si tu n es pas au courant, voici des enregistrements pour l ordinateur TRAY, mais ce n est pas moi qui les ai découverts, c est le serveur WINS 1 qui l a fait. Il possède les enregistrements du nom de TRAY». Supposons ensuite que nous décommissionnions le serveur TRAY. En travaillant sur le serveur WINS 2, vous (administrateur) remarquez que l enregistrement TRAY est toujours dans la base de données WINS, et vous le supprimez (dans le dossier Inscriptions actives, cliquez du bouton droit sur un enregistrement et choisissez Supprimer). Une boîte de dialogue apparaît qui vous demande de choisir entre deux actions possibles : Supprimer l enregistrement de ce serveur uniquement ; Répliquer la suppression de l enregistrement sur d autres serveurs (désactiver). Si vous deviez choisir la première option, TRAY disparaîtrait de la console WINS du serveur WINS 2 pendant un moment. La prochaine fois que les serveurs WINS 1 et WINS 2 entameraient une réplication, WINS 1 dirait à WINS 2 : «Mais enfin, pourquoi n as-tu pas d enregistrements pour TRAY?». En un clin d œil, TRAY serait de retour sur la piste. Comment donc supprimer TRAY pour de bon? Il suffit d opter pour l autre solution: la désactivation. Lorsque vous désactivez un enregistrement, vous ne le supprimez pas de la base de données ; au lieu de cela, il est marqué comme «éteint». L intérêt de la désactivation est le suivant : le serveur WINS 2 a déjà rayé TRAY de sa liste, mais il sait que le reste de l entreprise ne sait pas que TRAY mange à présent les pissenlits par la racine, parce que le serveur WINS 1 possède l enregistrement TRAY. La prochaine fois que le serveur WINS 1 réplique un enregistrement TRAY vers le serveur WINS 2, ce dernier peut être tenté d insérer un nouvel enregistrement dans sa base de données pour un ordinateur nommé TRAY ; toutefois, il remarque l enregistrement désactivé avec le nom de TRAY et peut donc en conclure : «Ah, je dois ignorer cet enregistrement ; mes informations sont plus récentes que celles du serveur WINS 1». Lorsque le serveur WINS 2 se réplique ensuite vers le serveur WINS 1, il lui indique que TRAY est désactivé, afin que WINS 1 le désactive aussi dans sa base de données. TRAY finit ainsi par être marqué comme désactivé dans l entreprise WINS tout entière. En passant, notez que les entrées désactivées ne sont pas purgées d une base de données WINS jusqu à ce que WINS exécute une opération de nettoyage. Celle-ci intervient par défaut tous les trois jours, mais vous pouvez la déclencher depuis la console WINS en cliquant du bouton droit sur un serveur et en choisissant Nettoyer la base de données. Si, quelle qu en soit la raison, vous stoppez le service WINS plus souvent que tous les trois jours, votre base de données WINS ne sera jamais nettoyée. Dans ce cas, initiez manuellement le nettoyage depuis la console WINS. Une structure de réplication WINS mal conçue peut nécessiter l aide de quelques opérations de désactivation et la console graphique WINS de Windows Server 2003 s avère très utile pour cela. Lorsque vous cliquez sur Supprimer, vous avez le choix : supprimer ou désactiver. Désactivez toujours si vous souhaitez supprimer un enregistrement sur le serveur X alors que vous travaillez depuis le serveur Y. Supprimez au lieu de désactiver si vous vous trouvez installé devant le serveur qui possède l enregistrement que vous êtes sur le point de supprimer. Si vous constatez que malgré vos efforts pour vous en débarrasser, un enregistrement ne cesse de revenir, désactivez-le au lieu de le supprimer.