ENI Infrastructure réseau WS2008 Configuration et dépannage Olivier DEHECQ 2010-2011
Configuration et dépannage d une infrastructure réseau WS2008 Chapitre 1. installation et configuration des serveurs WS2008 standard : #1500 (1 licence réelle = 1 licence virtuelle) WS2008 entreprise : #6000 (1 licence réelle = 4 licences virtuelles /noeud) WS2008 datacenter : (1 licence réelle = licences illimitées / noeud) Installation sans assistance : WDS +MDT (déploiement à distance + image sysprepée) Privilégier les nouvelles installations plutôt que des MàJ Penser à renommer la machine. Attention au services qui utilisent Ipv6 avant de le désactiver (Exchange 2007 sur WS2008) Activer le bureau à distance Rôles > Services de rôle > Fonctionnalités (telnet telnet @IP 80 mais aussi WINS) En serveur Core : Hyper-V, ADDS, DNS + fonctionnalités SNMP, telnet, WINS Chapitre 2. Configuration et dépannage du système DNS Fondamental : historique :. NetBIOS (couches 2 et 3). NetBEUI : nom <=> @MAC (broadcast ne passe pas les routeurs). NetBt (NetBIOS over TCP/IP) nom <=> @IP ARP @IP <=> @MAC. CIFS nom (15 octets + 1 octet pour le <service NetBIOS fourni>) le nom doit être unique sur l'inter-réseau convention de nommage lmhosts ou wins ou broadcast pour résoudre le nom NetBIOS : Résolution NetBIOS @IP : cache NetBIOS nbtstat -c type de noeud NetBIOS 1(B)roadcast 2 (P)eer to Peer 4 (M)ix 8 (H)ybride diffusion WINS broadcast NBNS (WINS) WINS diffusion Fichier lmhosts (virer le.sam) Résolution des Noms d'hôte (DNS) 1
DNS : Noms d'hôte (FQDN) = hôte. Nom-de-domaine hosts : /etc/hosts ou %systemroot%\system32\drivers\etc\hosts BIND Résolution : Win9x Win NT Linux Win 2K et + Hosts Cache DNS Hosts DNS DNS NetBIOS (que pour Windows) Installation du rôle serveur DNS DNS est une «base de données» hiérarchique distribuée Pc1.societe.local. domaine racine(.) + local + societe.local 13 NS racine TLD :.com ;.net CCTLD (.fr ;.uk ) Peut se louer Propre à l organisation Configuration de DNS %systemroot%\system32\dns\ _ cache.dns noms des serveurs racine d internet (les 13 serveurs) Service > dns.exe daemon dns Administration : soit MMC > DNSou dnscmd Les zones DNS intégrées AD ne sont pas administrables avec un editeur de texte 2
Les enregistrements des serveurs DNS incluent : SOA : RW zone concernée A : nom @IP CNAME : www = srv-web MX : serveur smtp du dom. SRV : _ldap = nom NS : autorité sur la zone (ZP/ZS) PTR : @IP = nom PTR : Pointeur DNS : Hosting : stockage des enregistrements de ressources Résolveur : service des clients Requêtes DNS : Récursive : seule la réponse totale est acceptée Itérative : réponse partielle autorisée directe inversée Serveur DNS qui fait autorité : Serveur DNS qui ne fait pas autorité : - réponse totale - vérifie le cache - non (faisant autorité) - indications de racine - redirecteurs Requête récursive : Mail.contoso.com 1. est-ce que je fais autorité? 2. cache DNS serveur 3. racine DNS Serveur DNS client Requête itérative : 170.16.64.11 Mail.contoso.com? client Vas voir.com Racine (.) Va voir contoso.com 170.16.64.1 Serveur DNS.com A chaque fois, le serveur DNS Rajoute les infos à son cache Réponse faisant autorité contoso.com 3
Qu est-ce qu un redirecteur : Racine (.) Serveur cache Redirecteur.com Généralement, le DNS local Client DNS local contient : redirecteur + racine Redirection conditionnelle : Canal VPN Aparté NS : Name Server DNS : Domain Name Service A propos du «round robin» : Si un même nom possède plusieurs @IP (ex : www.google.com) le client reçoit tous les adresses IP qu il va utiliser aléatoirement, faisant une sorte de balance de charge. Cependant, si une @IP est dans le même réseau que le client, celui-ci ne reçoit que cette dernière (pour des raisons évidentes de proximité). Dans la mmc DNS> sur le serveur > affichage détaillé dnscmd /? ipconfig /displaydns ipconfig /flushdns nslookup afficher le cache du serveur DNS console afficher le cache local vider le cache local interroger le cache dns (et pas le cache local) 4
Configuration des zones DNS Délégation d autorité Zone : portion de l espace de nom sur laquelle le serveur fait autorité SOA (NS0) NS NS0 NS NS1 NS0 IP0 NS1 IP1 + reste (CNAME ; A ) NS0 A IP0 NS1 A IP1 plusieurs SOA Zones de recherches directes: 2 Zones de recherches inversées : Réseau.in-addr.arpa (!) inverser la partie @IP : 1.2.3.4 4.3.2.1 partie hôte >> type >> nom FQDN. 5
Délégation de zone : 1) Configurer SRVx : ZP = toto.eni + Ajouter un A www (+ ping www.toto.eni) 2) Sur SRVy : ajouter une délégation :SRVx.eni.fr fait autorité pour toto.eni penser à mettre à jour le fichier de données (fichier texte) Configuration des transferts de zone DNS AXFR : mise à jour IXFR : rechargement Synchronisation des données de zones DNS faisant autorité entre les serveurs DNS Principal : zone principale Maitre : source des infos lors de la réplication. Celui auprès de qui un serveur secondaire effectue les requêtes. Un maitre peut être ZS. Fonctionnement DNS Notify Le serveur principal envoie les notifications aux serveurs secondaires Protection des transferts de zones 6 Restreindre le transfert de zones aux serveurs spécifiés (serveurs déclarés pour cette zone) Chiffrer le transfert de zones (IPSec ) Utiliser les zones intégrées AD Configurer ça sur l ordi : 1) Ajouter 1 ZP sur SRV1 2) Ajouter 1 ZS sur SRV2, SRV1 est maître 3) Aller sur SRV1 et dire que SRV2 est connu pour la notification (ou intervalle d actualisation) et le transfert de zones. ForestDNSZone : répliqué sur tous les DC qui ont le rôle DNS dans la forêt DomainDNSZone : répliqué sur tous les DC qui ont un rôle DNS dans le domaine
Zones par défaut dans DNS WS2008 _msdsc.domaine : répliqué sur la forêt ; informations sur les DC domaine : répliqué sur le domaine (!) zones intégrées AD : nom de la zone = nom de la machine qui héberge la zone Fonctionnalités TTL : durée de vie d un enregistrement Valeur nulle utile pour le round robin. «tri de masque réseau» privilégie @IP dans le réseau Vieillissement : Intervalle de non actualisation Intervalle d actualisation T=0 T=1j T=7j T=7j (de+) Création enregistrement Actualise Actualise PC1=IP1 PC1=IP1 PC1=IP1 Un enregistrement non actualisé est supprimé au bout de 14 jours (par défaut) Les enregistrements créés manuellement n expirent jamais (par défaut) Vieillissement défini sur la zone (zone) ou pour toutes les zones du serveur (serveur) Dns> serveur > propriétés avancées >lier les zones secondaires (compatible vieux BIND) Chapitre 3. Configuration et gestion du service WINS Pourquoi WINS Vue d ensemble WINS TTL = 6j (avec renouvellement possible à 50%) 7
Le traitement en rafale : Aftif Actif par défaut TTL = 5 + t A 50% le client retente Processus de résolution des noms Port utilisé : TCP137 Serveur Fonctionnalités > ajouter fonctionnalité > serveur WINS puis mmc WINS WINS> serveur > propriétés > intervalles délai avant suppression, etc. Supprimer : supprimer enregistrement supprimer enregistrement + réplication de la suppression nbtstat réenregistrer les infos de l ordinateur sur le serveur Sauvegarde online de WINS, mais restauration offline! La base de données WINS n est pas hiérarchisée 8
Réplication Réplication par émission Il faut un émetteur + un récepteur Toutes les N modifications : REPLICATION Réplication par réception : Toutes les T heures : REPLICATION Les deux réplications fonctionnent ensemble les configurer toutes les deux. Configurer la réplication WINS> partenaire de réplication (faire sur les 2 serveurs WINS) " > propriétés définir réplication/émission réplication /réception " > " > avancé : définir des partenaires 224.0.1.24 adresse des multidiffusions des serveurs WINS (!) ne pas activer la configuration auto des partenaires : bouffe la bande passante Migration de WINS vers DNS Nom court : nom_hote [.stagiaires.local.] utilisé lors des ping Suffixe DNS : liste qui distibue des suffixes utilisés pour les noms courts (!) via DHCP on ne peut pas fournir plusieurs noms courts 9
Chapitre 4. Configuration et dépannage du protocole DHCP Vue d ensemble DHCP Présentation : DHCP : Dynamic Host Configuration Protocol Réduire la charge administrative Inconvénient : Il faut un serveur DHCP en environnement local (attention aux serveurs DHCP non fiables) Comment le protocole DHCP alloue des adresses IP : Client non DHCP Client2 DHCP Client1 DHPC création d un bail DBB DHCP (étendue) renouvellement du bail Principe du bail : ipconfig /renew ipconfig /release Obtention d une adresse IP : Serveur DHCP renouvelle le bail casse le bail UDP67 UDP68. DHCPDISCOVER : src (0.0.0.0) dest (255.255.255.255). DHCPOFFER : tous les srvdhcp répondent. Client accepte la 1 er offre et la rebroadcaste : DHCPREQUEST. le srvdhcp qui a gagné unicaste un paquet DHCPACK + options 10
Renouvellement de bail DHCP : - à 50% : DHCPREQUEST en unicast (actualise) - à 87,5% : DHCPREQUEST en broadcast - à 100% : DHCPDISCOVER en broadcast >100% : APIPA = 169.254.0.0/16 Réparer : ipconfig /renew + vide les caches ARP, NetBIOS, DNS Le serveur peut envoyer une requête DHCPNAK en réponse à un DHCPREQUEST _ le serveur a redonné l adresse IP ailleurs _ le client envoie un DHCPDISCOVER en broadcast Autorisation du service DHCP Sur AD on peut déclarer les serveurs DHCP comme étant autorisés à démarrer (Win2K et +) Le serveur DHCP n est pas obligé d être membre de AD Le groupe Administrateurs de l entreprise peut autoriser les serveurs DHCP (!) Si un serveur DHCP fonctionnait avant puis ajout AD et non déclaré il ne fonctionne plus Filtrage des requêtes DHCP au niveau 2-3 autoriser UDP67 que sur certains ports Configuration des étendues et des options DHCP : Référencer les adresses mac plutôt que les adresses IP Etendue : ensemble d adresses IP affectées à des clients Etendue1 : 192.168.0.0/24 DHCPDISCOVER DHCP OFFER Etendue2 : 192.168.1.0/24 Unicast serveur DHCP.254 192.168.1.0/24 192.168.0.0/24 DHCPOFFER 11 Relais DHCP 192.168.1.2 DHCPDISCOVER <gi-addr>192.168.1.2
Super étendue : Etendue1 192.168.0.0/24 Etendue1 192.168.0.0/24 Carte rso avec 2@IP LAN Super étendue Si le nombre augmente et dépasse l étendue, on peut regrouper plusieurs étendues pour que DHCP : - attribue des adresses à partir de l étendue1 - quand l étendue1 est pleine, attribue des adresses à partir de l étendue2 Les options DHCP : Serveur DNS Peut s appliquer au niveau de : Nom DNS - serveur (ex. : DNS) Passerelle par défaut - étendue (ex. : passerelle par défaut) Serveur WINS - classe (liée à l OS) Durée de bail - client réservé (entrée manuellement) Configuration de la classe utilisateur (machine) : ipconfig /setclassid <nom-interface-rso>"nom de la classe" ipconfig /all permet d afficher la classe utilisateur Réservation : @IP spécifique réservée à un client, réservations à configurer pour chaque poste Gestion d une base de données DHCP Sauvegarde synchrone (intervalles réguliers) ou asynchrone (déclenchée manuellement) DHCP DBB DHCP Registre infos détaillées infos résumées Comparaison (réconcilier) et remise en état si différences Migration migration Sur l ancien serveur : DBB DHCP. diminuer la durée des baux DBB DHCP. ajouter peu à peu les exclusions (on laisse les 2 serveurs allumés Ancien DHCP Nouveau DHCP continuité du service) DHCP> IPv4 > propriétés avancées tentative de résolution des conflits (lors des migrations) _ utilise ICMP 12
Serveur DHCP de secours Pour couvrir le risque de déni de service 80 / 20 : utile pour un reboot du serveur DHCP principal Si c est plus long qu un reboot, penser à changer le pourcentage ou la durée des baux. 192.168.1.206-192.168.1.254 DHCP et DNS : DNS> Zones mise à jour dynamique (via DHCP) Sans DDNS Avec DDNS (Méthode 1 Méthode 2) Recherche inversée A Zone dom.local PTR PTR DNS DNCP DHCP PTR + A SOA? A IP statique IP dynamique DDNS CL1.dom.local CL2 Privilégier la méthode 2 DHCP> IPv4 > Propriétés > DNS super utile : méthode1 ou méthode2 ; MàJ auto (lors des baux) Pour pouvoir mettre à jour les serveurs DNS à partir des DHCP non intégrés AD : DNS Proxy Utilisateurs DHCP : accès en lecture seule 13
Chapitre 5. Configuration et dépannage du protocole IPv6 Vue d ensemble IPv6 Préfixes IPv6 : Monodiffusion globale : 001 2000: - 3000: Monodiffusion de liaison locale : 11111110 10 FE80: discover Monodiffusion de site local : 11111110 11 abandonné Multidiffusion : 11111111 FF Monodiffusion unique locale : FC00 Loopback : ::1 De plus les masques sont au format CIDR Répartition! Racine IRCANN (128 bits) Régions RIR RIPE ; ARIN (2340::/12 soit 2 116 possibilités) ISP : FAI FAI1 (2340:1111::/32) FAI2 (2 20 FAI/région ; 2 96 possibilités) SOCIETES Societe1 (2340:1111:AAAA::/48)... (2 80 possibilités) en bits : 001 region ISP Société 2^16 sous réseaux Hôtes 0 12 32 48 64 128 Type d adresses : Adresses de liaison locale : sert à s attribuer automatiquement une adresse, ne passe pas les switchs Adresses uniques locales : ne sont pas routables sur internet Routeur NAT pour internet Adresses uniques globales : routable sur internet Les routeurs on en + des adresses anycast Identifiant de zone : FE80::260:d0ff:fee9:4143%3 définit l interface : id de zone Les ports : http://@ipv6 :8000 http://[@ipv6] :8000 utilisé pour éviter les ambiguïtés 14
Configuration automatique des adresses IP : Provisoire Préféré Obsolète Non Valide (peut initier ou (peut finir une répondre à des appels) conversation) Durée de vie préférée VALIDE Cohabitation de IPv4 avec IPv6 Ce schéma est à mettre en pratique lors d un migration de IPv4 vers IPv6! Pile IP : IPv4 / IPv6 Pour Windows Vista et + Si DNS est activé en même temps qu IPv6+IPv4 envoi de 2 requêtes DNS le trafic augmente De plus DNS prend évidemment en compte les AAAA + inversés 15
Chapitre 6. Configuration et dépannage du service de routage et d accès à distance NAS : Network Access Service (exemple : switch, serveur VPN, pt d accès WiFi, DSLAM ) Configuration de l accès réseau Composants : Service VPN : Routage et accès à distance Serveur NPS (Network Policy Server) : Authentification RADIUS Fournir un accès aux ressources d un réseau privé à des utilisateurs distants Traduire des adresses réseau (NAT) AAA : Authentication, Autorization, Accounting Authentication : cryptage (MS-CHAPv2, EAP (PEAP, TSL, EAP-MSCHAPv2) Autorization : fournir une adresse IP Accounting : Journalisation Configuration de l accès VPN 16
DES : 56 bits 3DES : 3x56 bits AES : 128 bits NAT-T : pour la translation des adresses NAT (cas de box internet) PAT-T : pour la translation des adresses PAT %au port (cas des box internet) Site à Site : Configuration requise : Deux interfaces réseau (privée + publique) sur le serveur Allocation d adresses IP (statique / DHCP) Fournisseur d authentification (NPS / RADIUS ou serveur VPN) Configuration de l accès par rapport au serveur Stratégie réseau : Conditions Contraintes ( 2000 Natif) Paramètres détermine l autorisation par utilisateur et par groupe utilisateur paramètres appel entrant (utilisateur + ordinateur) 17
Routage et accès réseau> connexion et stratégie de groupe Serveur NPS> Stratégies réseaux > ajouter une stratégie Statégie1 condition1 1 refuser/autoriser Statégie2 condition2 2 refuser/autoriser StatégieN conditionn refuser/autoriser + Journalisation (demande de comptes / demande d authentification) Logs internet = 1 an (demander au conseil juridique) Kit d Administration de Connection Manager fonctionnalité pour créer un média d auto configuration des clients VPN Outils de dépannage : 18
Chapitre 7. Installation, configuration et dépannage du service de rôle serveur NPS RADIUS : Remote Authentication Dial-In User Service service NPS (Microsoft) : avant IAS service Serveur NPS =Serveur RADIUS + Proxy RADIUS + Protection d accès au réseau Client RADIUS : - Authentification (authentication) - Journalisation (accounting) Proxy RADIUS : Routage de requêtes RADIUS vers serveur RADIUS (en fonction des protocoles, du type de tunnel ) NPS pour : - Protection du réseau, - Accès câblé et sans fil, - RADIUS, - Passerelle Terminal Server 19
Installation Role > Service de strategie et d accès réseau > Service NPS serveur NPS netsh Serveur RAS et IAS machines pouvant accéder aux comptes Sur le serveur VPN (qui est client RADIUS) Routage et accès distant > serveur > propriétés > sécurité > configurer le serveur d authentification / configurer le serveur d accounting Groupe de serveurs : Serveurs RADIUS vers lesquels le proxy radius va pointer Méthode d authentification pour un serveur NPS - MS-CHAPv2 ; EAP ; (+ les plus anciens) - Accès non authentifié (clients WI-FI ou réseau public avec un switch) portail captif http - Certificats (méthode EAP-TLS ou PEAP-TLS) possibles sur le serveur VPN o Autorité de certification o Certificat d ordinateur client (ex : sur clé USB) o Certificat d utilisateur (sur un support), en + du login/mdp o Certificat de serveur (pas obligatoire) pour qu un serveur prouve son ID au client Si on gère soi-même les certificats, il faut que le client y fasse confiance autorité de confiance Journalisation : Serveur NPS > gestion journalisation (sur un autre emplacement que C:\ pour éviter disque plein) 20
Chapitre 8. Configuration de la sécurité IPSEC Protocole pour la mise en place de protocoles sécurisés (entre autres) IPSec est un filtre pour les paquets. Authentification Intégrité authentification et chiffrement du trafic (hôte/site hôte/hôte) Anti-relecture tunneling entre sites Cryptage réseau logiques (rares) Confidentialité IPSec doit être configuré sur tous les intervenants Deux protocoles utilisés par IPSec : - ESP (authentification ; intégrité ; chiffrement) - AH (authentification ; intégrité ; anti-relecture) Pare-feu Windows avec fonctionnalités avancée ou netsh Configurer les règles de sécurité : Mise en œuvre en mode transport (machine/machine) ou tunnel Isolation Mode transport : 21
Mode tunnel : Wf.msc> paramètres > paramètres IPSec + Configuration paramètres profil (privé / public / de domaine) + règle de sécurité de connexion (à faire sur les 2 ordinateur : de chaque côté) Stratégie de sécurité IP sur les anciens OS (XP, 2003 et -) IPSec peut définir des filtres Chapitre 9. Analyse et dépannage de la sécurité IPSec Moniteur de sécurité IP WinXP Journalisation IPSec Wf.msc Vista et + Dépannage de la sécurité IPSec 1) Arreter IPSec (services > agent de stratégie IPSec) ; ping pour vérifier les communications Si prise en main à distance : gérer un filtre autorisé pour tester 2) Vérifier les paramètres du pare-feu 3) Démarrer IPSec + IPSecMon 4) Vérifier si ça vient d une GPO activée désactivée 5) Vérifier la compatibilité des GPO 6) Vérifier le moniteur de sécurité IP Dépannage IKE : 1) Connectivité IPSec IKE 2) Pare-feu? port? 3) Oakley.log Avoir une carte réseau avec un coprocesseur dédié IPSec (si cryptage) réduire la charge P. 22
Chapitre 10. Configuration et gestion du système de fichiers DFS DFS : Distributed File System Structure virtuelle de partage + Redondance / Réplication des données Redondance : intérêt en inter-sites Rôle > services de rôle de serveur de fichiers > DFS Scénarios mettant en jeu la réplication DFS 1) Créer un espace de nom (autonome : cluster possible domaine) admins de domaine 2) Créer un dossier dans l espace de noms admins de domaine 3) Ajouter des cibles de dossiers adminlocal sur les serveurs Gestion du système de fichiers distribués DFS services > espace de noms DFS Réplication DFS Utilise le journal USN Installer DFS puis adprep, etc Vérifier si l antivirus ne pose pas de problèmes Attention aux fichiers modifiés sur plusieurs serveurs Création d un rapport de diagnostic de réplication DFS > réplication > nom > créer un rapport 23
Chapitre 11. Disponibilité des ressources Evolution «ultime» : cluster à baculement (WS2008 Ent.) Contraintes : - mise en œuvre - coût 24