Module 10 : Gestion et analyse de l'accès réseau Table des matières Vue d'ensemble 1 Leçon : Gestion des services d'accès réseau 2 Leçon : Configuration de l'enregistrement sur un serveur d'accès réseau 9 Leçon : Collecte et analyse des données d'accès réseau 24 Atelier A : Gestion et analyse de l'accès distant 33
Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2003 Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.
Module 10 : Gestion et analyse de l'accès réseau iii Notes de l'instructeur Présentation : 1 heure Atelier : 30 minutes Ce module donne aux stagiaires les connaissances et les compétences requises pour gérer et analyser l'accès réseau de clients d'accès à distance, de réseau privé virtuel (VPN, Virtual Private Network) et d'accès sans fil. À la fin de ce module, les stagiaires seront à même d'effectuer les tâches suivantes :! gérer les services d'accès réseau ;! configurer l'enregistrement sur le serveur d'accès réseau ;! collecter et analyser les données d'accès réseau. Documents de cours Pour animer ce module, vous devez disposer des éléments suivants :! Fichier Microsoft PowerPoint 2182A_10.ppt.! Document Valeurs du plan d'implémentation situé dans l'annexe à la fin du manuel de travail du stagiaire. Important Il est recommandé d'utiliser PowerPoint 2002 ou une version ultérieure pour afficher les diapositives de ce cours. Si vous utilisez la Visionneuse PowerPoint ou une version antérieure de PowerPoint, il se peut que toutes les fonctionnalités des diapositives ne s'affichent pas correctement. Préparation Pour préparer ce module, vous devez effectuer les tâches suivantes :! lire tous les documents de cours relatifs à ce module ;! réaliser les applications pratiques et l'atelier ;! vous exercer à présenter toutes les procédures ; Une procédure comporte généralement un titre qui commence par Comment! consulter les cours et modules constituant les connaissances préalables requises.
iv Module 10 : Gestion et analyse de l'accès réseau Comment animer ce module Cette section contient des informations qui ont pour but de vous aider à animer ce module. Procédures, applications pratiques et ateliers Procédures Expliquez aux stagiaires de quelle manière les procédures, les applications pratiques et les ateliers ont été conçus pour ce cours. Un module comprend deux ou plusieurs leçons. La plupart des leçons comprennent des procédures et une application pratique. Une fois que les stagiaires ont terminé les leçons, le module enchaîne sur un atelier. Les procédures permettent à l'instructeur de montrer comment effectuer une tâche. Les stagiaires n'effectuent pas les tâches en même temps que l'instructeur. Ils se servent des étapes décrites pour effectuer l'application pratique à la fin de chaque leçon. Important Il est recommandé à l'instructeur de présenter chacune des tâches des procédures. Vous pouvez utiliser les ordinateurs London ou Glasgow pour montrer ces procédures. Il est important de ne pas modifier les paramètres qui pourraient nuire à la réalisation des applications pratiques et de l'atelier. Applications pratiques Ateliers Après avoir traité le contenu d'une rubrique et présenté les procédures de la leçon, expliquez qu'une application pratique est une occasion pour le stagiaire de s'entraîner à accomplir les tâches décrites dans la leçon. À la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique toutes les tâches abordées dans l'ensemble du module. En utilisant des scénarios correspondant à la fonction, l'atelier propose aux stagiaires des instructions présentées sous la forme de deux colonnes. La colonne de gauche indique la tâche à effectuer (par exemple, créer un groupe). La colonne de droite contient les instructions qui seront nécessaires aux stagiaires pour effectuer la tâche (par exemple, à partir de la console Utilisateurs et ordinateurs Active Directory, double-cliquez sur le nœud du domaine). Si les stagiaires ont besoin d'instructions détaillées pour mener à bien l'atelier, ils disposent d'un corrigé de chacun des ateliers sur le CD-ROM du stagiaire. Ils peuvent également se reporter aux applications pratiques et aux procédures du module. Leçon : Gestion des services d'accès réseau Instructions relatives à la gestion des services d'accès réseau Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon.! Expliquez comment appliquer les instructions pour gérer les services d'accès réseau en vous reportant à la diapositive. Visionnez la diapositive animée avant la classe.
Module 10 : Gestion et analyse de l'accès réseau v Comment gérer les clients d'accès distant Application pratique : Gestion du service d'accès distant! Montrez comment envoyer un message à un client d'accès distant unique.! Montrez comment envoyer un message à tous les clients d'accès distant.! Montrez comment déconnecter un client d'accès distant.! Montrez comment démarrer et arrêter le service Routage et accès distant.! Indiquez aux stagiaires qu'ils peuvent se reporter aux procédures de la leçon.! Demandez aux stagiaires de lire le scénario.! Demandez aux stagiaires de réaliser les tâches suivantes : se connecter à l'ordinateur de leur partenaire en utilisant la connexion VPN ; vérifier la durée de la connexion pour le client d'accès distant ; envoyer un message à tous les clients d'accès distant ; vérifier que le message s'affiche, puis se déconnecter de l'ordinateur de leur partenaire ; vérifier la durée de la connexion du client d'accès distant ; arrêter le service Routage et accès distant ; démarrer le service Routage et accès distant.! Réunissez la classe une fois que tous les stagiaires ont fini l'application pratique et discutez des résultats. Leçon : Configuration de l'enregistrement sur un serveur d'accès réseau Types d'enregistrements du service Routage et accès distant Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon.! Présentez les trois types d'enregistrements pris en charge par le service Routage et accès distant.! Décrivez l'enregistrement des événements. Soulignez que le suivi consomme des ressources système et qu'il doit être utilisé avec modération.! Décrivez l'enregistrement de l'authentification locale et de la gestion des comptes.! Décrivez l'enregistrement de l'authentification et de la gestion des comptes RADIUS (Remote Authentication Dial-In User Service). Enregistrement de l'authentification et de la gestion des comptes! Définissez l'enregistrement de l'authentification et de la gestion des comptes.! Expliquez les avantages de l'enregistrement de l'authentification et de la gestion des comptes.! Exposez les propriétés du fichier journal.! Décrivez les types d'enregistrements de requêtes.
vi Module 10 : Gestion et analyse de l'accès réseau Comment configurer l'enregistrement de l'authentification et de la gestion des comptes Fichiers journaux pour des connexions spécifiques Comment configurer l'enregistrement pour des types de connexions spécifiques Application pratique : Configuration de l'enregistrement sur un serveur d'accès réseau! Montrez comment activer la gestion des comptes Microsoft Windows.! Montrez comment configurer l'enregistrement de l'authentification locale et de la gestion des comptes.! Montrez comment configurer l'enregistrement de l'authentification et de la gestion des comptes RADIUS.! Décrivez un journal PPP (Point-to-Point Protocol).! Décrivez un journal d'audit.! Décrivez un journal Oakley.! Montrez comment configurer l'enregistrement PPP.! Montrez comment configurer l'enregistrement Oakley pour une connexion L2TP/IPSec (Layer Two Tunneling Protocol/Internet Protocol security).! Montrez comment configurer l'enregistrement d'audit pour une connexion L2TP/IPSec.! Indiquez aux stagiaires qu'ils peuvent se reporter aux procédures de la leçon.! Demandez aux stagiaires de lire le scénario.! Demandez aux stagiaires de réaliser les tâches suivantes : configurer l'enregistrement de l'authentification locale sur leur serveur d'accès distant ; vérifier que le fichier journal n'existe pas ; arrêter et démarrer le service Routage et accès distant ; vérifier que le fichier journal existe.! Réunissez la classe une fois que tous les stagiaires ont fini l'application pratique et discutez des résultats. Leçon : Collecte et analyse des données d'accès réseau Pourquoi collecter des données de performance? Cette section décrit les méthodes pédagogiques à mettre en œuvre pour cette leçon.! Donnez les raisons justifiant la collecte des données de performance. Outils de collecte des données d'accès réseau! Décrivez les outils permettant de collecter les données d'accès réseau, notamment les outils Moniteur système, Journaux et alertes de performance, et Moniteur sans fil. Exposez les types d'informations que les étudiants peuvent collecter avec ces outils et les problèmes d'accès réseau qui peuvent être isolés à l'aide de ces informations.! Donnez des exemples et une description des objets et des compteurs les plus couramment utilisés pour analyser les serveurs d'accès réseau.
Module 10 : Gestion et analyse de l'accès réseau vii Comment analyser l'activité réseau sans fil Application pratique : Collecte et analyse des données d'accès réseau! Montrez comment activer ou désactiver l'enregistrement des informations sur les clients d'accès sans fil.! Montrez comment afficher des détails sur les points d'accès réseau sans fil.! Montrez comment afficher des détails sur les clients réseau sans fil.! Indiquez aux stagiaires qu'ils peuvent se reporter aux procédures de la leçon.! Demandez aux stagiaires de lire le scénario.! Demandez aux stagiaires de réaliser les tâches suivantes : déterminer les outils à utiliser ; configurer leurs journaux de performance.! Réunissez la classe une fois que tous les stagiaires ont fini l'application pratique et discutez des résultats.
Module 10 : Gestion et analyse de l'accès réseau 1 Vue d'ensemble ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Objectif Ce module présente les compétences et les connaissances requises pour gérer et analyser l'accès réseau de clients d'accès distant, VPN et d'accès sans fil. À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :! gérer les services d'accès réseau ;! configurer l'enregistrement sur le serveur d'accès réseau ;! collecter et analyser les données d'accès réseau.
2 Module 10 : Gestion et analyse de l'accès réseau Leçon : Gestion des services d'accès réseau ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Objectifs Ce module présente les compétences et les connaissances requises pour effectuer des tâches de gestion de base sur les services d'accès réseau fournis par le service Routage et accès distant. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! appliquer les instructions relatives à la gestion d'un serveur d'accès distant ;! gérer les clients d'accès distant.
Module 10 : Gestion et analyse de l'accès réseau 3 Instructions relatives à la gestion des services d'accès réseau ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Instructions pour arrêter et démarrer le service Routage et accès distant Vous devrez parfois arrêter le service Routage et accès distant. Cette opération est nécessaire si vous souhaitez modifier l'emplacement d'un serveur d'accès distant qui se trouve dans les locaux de votre organisation ou si vous souhaitez réparer ou mettre à niveau du matériel. Veuillez tenir compte des instructions suivantes pour minimiser l'impact causé par l'arrêt planifié du service Routage et accès distant sur vos clients. Lorsque vous devez arrêter le service Routage et accès distant, veuillez effectuer les tâches suivantes : 1. configurer un serveur d'accès distant de remplacement ; 2. planifier l'interruption lorsque l'activité de l'entreprise est minimale ; 3. envoyer un message à vos clients pour les alerter de l'heure de début et de la durée de l'interruption planifiée ; 4. utiliser la console Routage et accès distant pour déconnecter les éventuels clients qui ne se seraient pas déconnectés des serveurs d'accès distant ; 5. arrêter le service Routage et accès distant.
4 Module 10 : Gestion et analyse de l'accès réseau Comment gérer les clients d'accès distant ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction La console Routage et accès distant vous permet d'effectuer les tâches suivantes :! envoyer un message aux clients pour les notifier qu'ils doivent basculer vers un autre serveur d'accès distant ;! déconnecter les éventuels clients qui n'auraient pas basculé vers un autre serveur d'accès distant. Remarque Il est recommandé de se connecter avec un compte ne bénéficiant pas de privilèges administratifs et d'utiliser la commande Exécuter en tant que avec un compte d'utilisateur disposant des autorisations nécessaires pour effectuer cette tâche. Procédure pour envoyer un message à un client d'accès distant unique Pour envoyer un message à un client d'accès distant unique : 1. Ouvrez une session en utilisant un compte d'utilisateur ne disposant pas de droits d'administration. 2. Cliquez sur Démarrer, puis sur Panneau de configuration. 3. Dans le Panneau de configuration, ouvrez Outils d'administration, cliquez avec le bouton droit sur Routage et accès distant, puis sélectionnez Exécuter en tant que. 4. Dans la boîte de dialogue Exécuter en tant que, sélectionnez L'utilisateur suivant, puis tapez un compte d'utilisateur et un mot de passe disposant des autorisations appropriées pour effectuer la tâche. Cliquez sur OK. 5. Ouvrez la console Routage et accès distant, puis cliquez sur Clients d'accès distant. 6. Cliquez avec le bouton droit sur le nom de l'utilisateur approprié, cliquez sur Envoyer un message, puis sur OK.
Module 10 : Gestion et analyse de l'accès réseau 5 Procédure pour envoyer un message à tous les clients d'accès distant Procédure pour déconnecter un client d'accès distant Procédure pour démarrer et arrêter le service Routage et accès distant Pour envoyer un message à tous les clients d'accès distant : 1. Ouvrez la console Routage et accès distant, puis cliquez avec le bouton droit sur Clients d'accès distant. 2. Sélectionnez Envoyer à tous, puis cliquez sur OK. Pour déconnecter un client d'accès distant : 1. Ouvrez la console Routage et accès distant, puis cliquez avec le bouton droit sur Clients d'accès distant. 2. Sélectionnez le nom de l'utilisateur approprié, puis cliquez sur Déconnecter. Après avoir déconnecté tous les clients d'un serveur d'accès distant, vous pouvez arrêter le service pour ce serveur. Pour démarrer et arrêter le service Routage et accès distant : 1. Dans l'arborescence de la console Routage et accès distant, cliquez sur État du serveur. 2. Dans le volet d'informations, cliquez avec le bouton droit sur le nom d'un serveur, pointez sur Toutes les tâches, puis effectuez l'une des opérations suivantes : Pour démarrer le service, cliquez sur Démarrer. Pour arrêter le service, cliquez sur Arrêter. Remarque Vous pouvez aussi démarrer et arrêter le service Routage et accès distant en utilisant, respectivement, les commandes net start remoteaccess et net stop remoteaccess.
6 Module 10 : Gestion et analyse de l'accès réseau Application pratique : Gestion du service d'accès distant ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Objectif Instructions Scénario Application pratique Dans cette application pratique, vous allez gérer le service d'accès distant. Pour effectuer cette application pratique, reportez-vous au document Valeurs du plan d'implémentation situé dans l'annexe à la fin du manuel de travail du stagiaire Vous devez ouvrir une session avec un compte ne disposant pas d'informations d'identification administratives, puis utiliser la commande Exécuter en tant que avec un compte d'utilisateur disposant des informations d'identification administratives appropriées pour effectuer cette tâche. Le serveur d'accès distant de votre laboratoire doit être arrêté pour procéder à une mise à niveau matérielle. L'ingénieur système a créé un serveur d'accès distant de remplacement pour prendre en charge les clients d'accès distant lors de l'interruption planifiée. Vous allez arrêter le serveur d'accès distant de manière adéquate.! Se connecter à l'ordinateur de son partenaire en utilisant la connexion VPN! Effectuez cette tâche sur l'ordinateur avec le numéro de stagiaire le plus grand. 1. Sur le Bureau, double-cliquez sur Nom_Ordinateur VPN (où Nom_Ordinateur est l'ordinateur de votre partenaire). 2. Dans la boîte de dialogue Connexion à Nom_Ordinateur VPN, tapez les informations suivantes, puis cliquez sur Connexion. a. Nom d'utilisateur : Nom_OrdinateurAdmin (où Nom_Ordinateur est le nom de votre ordinateur) b. Mot de passe : P@ssw0rd 3. Vérifiez qu'une bulle contextuelle s'affiche dans la zone de notification et indique que Nom_Ordinateur VPN est maintenant connecté.
Module 10 : Gestion et analyse de l'accès réseau 7 4. Sur le Bureau, cliquez avec le bouton droit sur Nom_Ordinateur VPN, puis cliquez sur État. 5. Dans la boîte de dialogue État de Nom_Ordinateur VPN, vérifiez que le champ État indique Connecté et notez la valeur du champ Durée.! Vérifier la durée de la connexion pour le client d'accès distant! Effectuez cette tâche sur l'ordinateur avec le numéro de stagiaire le plus petit. 1. Ouvrez la console Routage et accès distant. 2. Dans l'arborescence de la console Routage et accès distant, sélectionnez Clients d'accès distant. 3. Dans le volet d'informations Clients d'accès distant, sous Nom d'utilisateur, vérifiez que nwtraders\nom_ordinateuradmin est affiché, puis notez la durée.! Envoyer un message à tous les clients d'accès distant! Effectuez cette tâche sur l'ordinateur avec le numéro de stagiaire le plus petit.! Audience : Envoyer à tous! Texte du message : Ce serveur d'accès distant va s'arrêter dans 10 minutes! Vérifier que le message s'affiche, puis se déconnecter de l'ordinateur de son partenaire! Effectuez cette tâche sur l'ordinateur avec le numéro de stagiaire le plus grand.! Consultez le texte dans la boîte de message Service Affichage des messages.! Déconnectez-vous de Nom_Ordinateur VPN (où Nom_Ordinateur est l'ordinateur de votre partenaire).! Vérifier la durée de la connexion du client d'accès distant! Effectuez cette tâche sur l'ordinateur avec le numéro de stagiaire le plus petit. 1. Ouvrez la console Routage et accès distant. 2. Dans l'arborescence de la console Routage et accès distant, sélectionnez Clients d'accès distant. 3. Dans le menu Action, cliquez sur Actualiser. 4. Dans le volet d'informations Clients d'accès distant, vérifiez qu'aucun élément n'est affiché.
8 Module 10 : Gestion et analyse de l'accès réseau! Arrêter le service Routage et accès distant! Effectuez cette tâche sur l'ordinateur avec le numéro de stagiaire le plus petit.! Outil d'administration : Routage et accès distant! Démarrer le service Routage et accès distant! Effectuez cette tâche sur l'ordinateur avec le numéro de stagiaire le plus petit.! Outil d'administration : Routage et accès distant
Module 10 : Gestion et analyse de l'accès réseau 9 Leçon : Configuration de l'enregistrement sur un serveur d'accès réseau ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Objectifs de la leçon Cette leçon présente les compétences et les connaissances requises pour utiliser certains types d'enregistrements en vue d'isoler les problèmes courants liés à l'accès réseau. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! décrire les types d'enregistrements pris en charge par le service Routage et accès distant ;! expliquer ce qu'est l'enregistrement de l'authentification et de la gestion des comptes ;! configurer l'enregistrement de l'authentification et de la gestion des comptes ;! identifier les fichiers journaux utilisés pour des connexions spécifiques ;! configurer l'enregistrement pour des types de connexions spécifiques.
10 Module 10 : Gestion et analyse de l'accès réseau Types d'enregistrements du service Routage et accès distant ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Enregistrement des événements Un serveur qui exécute le service Routage et accès distant prend en charge trois types d'enregistrements :! L'enregistrement des événements! L'enregistrement de l'authentification locale et de la gestion des comptes! L'enregistrement de l'authentification et de la gestion des comptes RADIUS Vous pouvez utiliser l'enregistrement des événements pour enregistrer les erreurs, les avertissements et d'autres informations détaillées en rapport avec le serveur d'accès distant dans le journal d'événements système. Vous pouvez activer l'enregistrement des événements et configurer les niveaux des événements enregistrés sous l'onglet Enregistrement dans la boîte de dialogue Propriétés du serveur d'accès distant. Par exemple, le journal des événements peut enregistrer, outre les utilisateurs dont l'accès a été refusé et les raisons de ces refus d'accès, l'arrêt et le démarrage du service d'accès distant. Dans la boîte de dialogue Propriétés du serveur d'accès distant, vous pouvez aussi activer l'enregistrement d'informations supplémentaires sur le service Routage et accès distant. Lorsque vous activez l'enregistrement, l'ordinateur crée plusieurs fichiers journaux détaillés dans le répertoire %systemroot%\tracing. Celui-ci contient un enregistrement plus détaillé des fonctions du service Routage et accès distant. Remarque Le suivi utilise des ressources système et doit être utilisé avec modération pour tenter d'identifier les problèmes réseau.
Module 10 : Gestion et analyse de l'accès réseau 11 Enregistrement de l'authentification locale et de la gestion des comptes Enregistrement de l'authentification et de la gestion des comptes RADIUS Le service Routage et accès distant prend en charge l'enregistrement des informations d'authentification et de gestion des comptes pour les tentatives de connexion lorsque l'authentification Microsoft Windows ou le fournisseur de gestion des comptes est configuré. Cet enregistrement est différent des événements qui sont enregistrés dans le journal d'événements système. L'enregistrement de l'authentification et de la gestion des comptes s'avère particulièrement utile pour isoler les problèmes liés aux stratégies d'accès distant. Pour chaque tentative d'authentification, le nom de la stratégie d'accès distant qui a accepté ou rejeté la connexion est enregistré. Un serveur qui exécute le service Routage et accès distant prend en charge l'enregistrement des informations d'authentification et de gestion des comptes pour les connexions d'accès distant à un serveur RADIUS lorsque l'authentification et la gestion des comptes RADIUS sont activées. L'enregistrement de l'authentification et de la gestion des comptes RADIUS est différent des événements qui sont enregistrés dans le journal d'événements système. Vous pouvez utiliser les informations qui sont enregistrées sur votre serveur RADIUS pour faire le suivi de l'usage de l'accès distant et des tentatives d'authentification. Par exemple, le journal de la gestion des comptes RADIUS enregistre les informations relatives aux connexions, notamment la durée de la connexion au serveur d'accès distant.
12 Module 10 : Gestion et analyse de l'accès réseau Enregistrement de l'authentification et de la gestion des comptes ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Définition Avantages de l'enregistrement de l'authentification et de la gestion des comptes L'enregistrement de l'authentification et de la gestion des comptes est un processus qui enregistre des informations détaillées sur les requêtes de connexion d'accès distant. Vous pouvez utiliser les informations enregistrées pour faire le suivi de l'usage de l'accès distant et des tentatives d'authentification. En configurant et en utilisant des fichiers journaux pour faire le suivi des informations d'authentification, vous pouvez simplifier l'administration de votre service d'accès distant. Vous pouvez configurer et utiliser des journaux pour faire le suivi des informations de gestion des comptes (par exemple, des enregistrements d'ouverture et de fermeture de session) pour conserver des enregistrements à des fins de facturation. L'enregistrement de l'authentification et de la gestion des comptes s'avère particulièrement utile pour isoler les problèmes liés aux stratégies d'accès distant. Pour chaque tentative d'authentification, le nom de la stratégie d'accès distant qui a accepté ou rejeté la tentative de connexion est enregistré. Les informations d'authentification et de gestion des comptes sont enregistrées dans un fichier journal configurable ou dans des fichiers stockés dans le dossier %systemroot%\system32\logfiles. Les fichiers journaux sont enregistrés dans le service d'authentification Internet (IAS, Internet Authentication Service) ou dans un format compatible avec les bases de données, ce qui permet d'ouvrir directement le fichier journal dans n'importe quel programme de bases de données pour l'analyser. Vous pouvez configurer le service Routage et accès distant et le service IAS pour envoyer directement les informations d'authentification et de gestion des comptes à un serveur de bases de données qui permet à plusieurs serveurs d'entrer des données dans la même base de données.
Module 10 : Gestion et analyse de l'accès réseau 13 Propriétés d'un fichier journal Types d'enregistrements de requêtes Lors de la configuration de l'enregistrement, vous pouvez spécifier les éléments suivants :! les requêtes à enregistrer ;! le format du fichier journal ;! la fréquence de création des nouveaux journaux ;! la détection automatique du fichier journal le plus ancien lorsque le disque est plein ;! l'emplacement où les fichiers journaux sont enregistrés ;! les informations contenues dans les enregistrements du fichier journal. Tous les types d'enregistrements de requêtes sont désactivés par défaut. Au début, il est recommandé d'activer l'enregistrement des requêtes d'authentification et de gestion des comptes. Vous pouvez ajuster vos méthodes d'enregistrement après avoir déterminé les données qui répondent le mieux à vos besoins. Comme l'illustre le tableau suivant, vous pouvez sélectionner les types de requêtes à enregistrer. L'origine et la destination des éléments du fichier journal varient selon qu'ils sont soumis par un client RADIUS à un serveur RADIUS ou selon qu'ils sont enregistrés localement dans un fichier journal Routage et accès distant à l'aide de l'authentification et de la gestion des comptes Windows.
14 Module 10 : Gestion et analyse de l'accès réseau Types de requêtes Requêtes de gestion des comptes Requêtes d'authentification Statut périodique Description des entrées du journal Accounting-on indique que le serveur est en ligne et qu'il est prêt à accepter des connexions. Accounting-off indique que le serveur va être mis hors connexion. Accounting-start indique le début d'une session utilisateur. Accounting-stop indique la fin d'une session utilisateur. Demandes d'authentification enregistre les attributs entrants envoyés par un utilisateur tentant de se connecter. Ces entrées dans le fichier journal ne contiennent que des attributs entrants. Acceptations et refus d'authentification enregistre les entrées qui indiquent si l'utilisateur est accepté ou rejeté. Statut périodique enregistre les entrées pour les requêtes de gestion des comptes par intérim qui sont fournies par certains serveurs d'accès distant au cours de sessions. Requêtes Gestion de compte par intérim enregistre les entrées qui sont fournies périodiquement par le serveur d'accès distant au cours d'une session utilisateur. Remarque Vous pouvez enregistrer la gestion des comptes, l'authentification et le statut périodique dans une base de données Microsoft SQL Server. Pour plus d'informations, consultez la rubrique «Enregistrement dans un journal de la base de données SQL Server» dans l'aide de Windows Server 2003.
Module 10 : Gestion et analyse de l'accès réseau 15 Comment configurer l'enregistrement de l'authentification et de la gestion des comptes ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Pour configurer l'enregistrement de l'authentification et de la gestion des comptes, vous devez tout d'abord activer l'authentification Windows ou la gestion des comptes Windows. Vous pouvez ensuite configurer le type d'activité que vous souhaitez enregistrer (activité d'authentification et de gestion des comptes) et les paramètres du fichier journal. Si l'ordinateur exécutant le service Routage et accès distant est configuré pour l'authentification RADIUS ou le fournisseur de gestion des comptes, et que le serveur RADIUS est un ordinateur exécutant Windows Server 2003 et le service IAS, les informations d'enregistrement sont enregistrées sur l'ordinateur serveur IAS. Remarque Il est recommandé de se connecter avec un compte ne bénéficiant pas de privilèges administratifs et d'utiliser la commande Exécuter en tant que avec un compte d'utilisateur disposant des autorisations nécessaires pour effectuer cette tâche. Procédure pour activer la gestion des comptes Windows Pour activer la gestion des comptes Windows : 1. Ouvrez la console Routage et accès distant, cliquez avec le bouton droit sur le nom du serveur pour lequel vous souhaitez configurer la gestion des comptes Windows, puis cliquez sur Propriétés. 2. Sous l'onglet Sécurité, dans Fournisseur de comptes, cliquez sur Gestion des comptes Windows, puis sur OK.
16 Module 10 : Gestion et analyse de l'accès réseau Procédure pour configurer l'enregistrement de l'authentification locale et de la gestion des comptes Pour configurer l'enregistrement de l'authentification locale et de la gestion des comptes : 1. Ouvrez la console Routage et accès distant. 2. Dans l'arborescence de la console, cliquez sur Connexion par accès distant. 3. Dans le volet d'informations, cliquez avec le bouton droit sur Fichier local, puis cliquez sur Propriétés. 4. Dans la boîte de dialogue Propriétés de Fichier local, sous l'onglet Paramètres, sélectionnez une ou plusieurs des options suivantes : Requêtes de gestion de compte : cette option enregistre des informations telles que le début et la fin d'une session utilisateur. Requêtes d'authentification : cette option enregistre des informations qui indiquent par exemple si la requête d'accès d'un utilisateur est acceptée ou rejetée. Statut périodique : cette option enregistre des informations telles que les requêtes de gestion des comptes par intérim. Pour enregistrer ces requêtes, l'attribut Acct-Interim-Interval RADIUS doit être configuré dans le profil d'accès distant du serveur IAS. 5. Dans la boîte de dialogue Propriétés de Fichier local, sous l'onglet Fichier journal, sélectionnez les options d'enregistrement appropriées : a. Répertoire : chemin d'accès au dossier où sont enregistrés les fichiers journaux. b. Format : IAS ou Compatible avec les bases de données. c. Créer un nouveau fichier journal : Tous les jours, Toutes les semaines, Tous les mois, Jamais (taille de fichier non limitée), Lorsque le fichier journal atteint cette taille. 6. Dans la boîte de dialogue Propriétés de Fichier local, sous l'onglet Fichier journal, sélectionnez, s'il y a lieu, Lorsque le disque est plein, supprimer les anciens fichiers journaux, puis cliquez sur OK. Remarque Lorsque vous modifiez le fournisseur d'authentification ou le fournisseur de gestion des comptes sous l'onglet Sécurité, vous devez arrêter et démarrer le service Routage et accès distant pour que ces modifications entrent en vigueur. Procédure pour configurer la gestion des comptes RADIUS Pour configurer la gestion des comptes RADIUS : 1. Ouvrez la console Routage et accès distant. 2. Cliquez avec le bouton droit sur le nom du serveur sur lequel vous souhaitez configurer la gestion des comptes RADIUS, puis cliquez sur Propriétés. 3. Sous l'onglet Sécurité, dans le champ Fournisseur de comptes, cliquez sur Gestion de comptes RADIUS, puis sur Configurer. 4. Dans la boîte de dialogue Gestion de comptes RADIUS, cliquez sur Ajouter. 5. Dans la boîte de dialogue Ajouter un serveur RADIUS, dans le champ Nom du serveur, tapez le nom d'hôte du serveur RADIUS.
Module 10 : Gestion et analyse de l'accès réseau 17 6. Dans la boîte de dialogue Ajouter un serveur RADIUS, cliquez sur Modifier. 7. Dans la boîte de dialogue Modifier le secret, dans les champs Nouveau secret et Confirmez le nouveau secret, tapez le secret, puis cliquez sur OK. 8. Dans la boîte de dialogue Gestion de comptes RADIUS, cliquez sur OK. 9. Dans la boîte de dialogue Propriétés de Nom_Serveur, cliquez sur OK.
18 Module 10 : Gestion et analyse de l'accès réseau Fichiers journaux pour des connexions spécifiques ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Journal PPP Journal d'audit Pour collecter des informations détaillées et isoler les problèmes liés au serveur d'accès distant, vous pouvez configurer d'autres fonctions d'enregistrement. Soyez prudent lorsque vous activez ce type d'enregistrement car il peut accroître considérablement la charge sur le serveur d'accès distant. Vous pouvez utiliser l'enregistrement PPP pour enregistrer la série de fonctions de programmation et les messages de contrôle PPP lors d'une connexion PPP. L'enregistrement PPP constitue une source précieuse d'informations pour résoudre l'échec d'une connexion PPP. Vous pouvez utiliser le composant logiciel enfichable Observateur d'événements pour afficher les événements suivants relatifs à la sécurité IPSec :! Les événements Agent de stratégie IPSec dans le journal d'audit.! Les événements IKE (Internet Key Exchange) dans le journal de sécurité (détails de l'association de sécurité). Pour afficher ces événements, activez l'audit des succès ou des échecs pour la stratégie d'audit Auditer les événements de connexion pour votre domaine ou votre ordinateur local.! Les événements de modification de la stratégie IPSec dans le journal de sécurité. Pour afficher ces événements, activez l'audit des succès ou des échecs pour la stratégie d'audit Auditer les modifications de stratégie pour votre domaine ou votre ordinateur local.! Les événements d'abandon par paquet du pilote IPSec dans le journal système. Dans la famille Windows Server 2003, vous pouvez activer l'enregistrement des événements relatifs aux paquets du pilote IPSec à l'aide de l'outil de ligne de commande Netsh ipsec. Pour activer l'enregistrement des paquets entrants et sortants abandonnés, spécifiez la valeur 7. À l'invite de commandes, tapez netsh ipsec dynamic set config ipsecdiagnostics 7, puis redémarrez l'ordinateur.
Module 10 : Gestion et analyse de l'accès réseau 19 Pour isoler les négociations de mode principal ou de mode rapide qui ont échoué, la manière la plus simple et la plus rapide consiste à activer l'enregistrement d'audit pour les événements ISAKMP (Internet Security Association and Key Management Protocol) et à afficher les événements dans l'observateur d'événements. Journal Oakley Lorsque vous activez l'audit des succès ou des échecs pour la stratégie d'audit Auditer les événements de connexion, la sécurité IPSec enregistre le succès ou l'échec de chaque négociation de mode principal ou de mode rapide ainsi que l'établissement et l'arrêt de chaque négociation sous forme d'événements distincts. L'activation de ce type d'audit peut cependant avoir pour conséquence de remplir le journal de sécurité d'évènements IKE. Par exemple, pour les serveurs qui sont connectés à Internet, des attaques visant le protocole IKE peuvent remplir le journal de sécurité d'évènements IKE. Les événements IKE peuvent aussi remplir le journal de sécurité pour les serveurs qui utilisent la sécurité IPSec pour protéger le trafic vers plusieurs clients. Pour éviter de remplir le journal d'évènements IKE, vous pouvez désactiver l'audit pour les événements IKE dans le journal de sécurité en modifiant le Registre. Vous pouvez utiliser le journal Oakley pour afficher des détails sur le processus d'établissement d'une association de sécurité. Le journal Oakley doit être activé dans le Registre ; il n'est pas activé par défaut. Après avoir activé le journal Oakley, stocké dans le dossier %systemroot%\debug, celui-ci enregistre toutes les négociations de mode principal ou de mode rapide ISAKMP. Un nouveau fichier Oakley.log est créé chaque fois que l'agent de stratégie IPSec est démarré, l'ancienne version du fichier Oakley.log étant alors enregistrée sous le nom Oakley.log.sav.
20 Module 10 : Gestion et analyse de l'accès réseau Comment configurer l'enregistrement pour des types de connexions spécifiques ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Vous pouvez utiliser les fonctions de diagnostic d'accès distant qui sont disponibles dans la famille Windows Server 2003 pour collecter des journaux et des informations détaillés sur une connexion d'accès distant. Une fois le dépannage terminé, il est recommandé de désactiver l'enregistrement. Remarque Il est recommandé de se connecter avec un compte ne bénéficiant pas de privilèges administratifs et d'utiliser la commande Exécuter en tant que avec un compte d'utilisateur disposant des autorisations nécessaires pour effectuer cette tâche. Procédure pour configurer l'enregistrement PPP Pour configurer l'enregistrement PPP : 1. Dans la console Routage et accès distant, cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Propriétés. 2. Dans la boîte de dialogue Propriétés de Nom_Serveur, sous l'onglet Enregistrement, sélectionnez l'une des options suivantes : Enregistrer uniquement les erreurs dans le journal Enregistrer les erreurs et les avertissements Enregistrer tous les événements Ne pas rentrer d'événements 3. Sous l'onglet Enregistrement, sélectionnez, s'il y a lieu, Enregistrer les informations d'accès à distance et routage supplémentaires, puis cliquez sur OK. Cette option enregistre les événements du processus d'établissement de la connexion PPP.
Module 10 : Gestion et analyse de l'accès réseau 21 Procédure pour configurer l'enregistrement Oakley pour une connexion L2TP/IPSec Pour configurer l'enregistrement Oakley pour une connexion L2TP/IPSec : 1. Pour activer le journal Oakley, attribuez la valeur 1 au paramètre de Registre DWORD HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ PolicyAgent\Oakley\EnableLogging (le journal Oakley n'existe pas par défaut et doit être par conséquent créé). Remarque Pour plus d'informations sur l'ajout de valeurs à des clés de Registre, consultez la documentation de Windows Server 2003. 2. Pour activer le nouveau paramètre de Registre EnableLogging après avoir modifié sa valeur : a. Arrêtez le service Routage et accès distant en tapant net stop remoteaccess à l'invite de commandes. b. Arrêtez les services IPSec en tapant net stop policyagent à l'invite de commandes. c. Démarrez les services IPSec en tapant net start policyagent à l'invite de commandes. d. Démarrez le service Routage et accès distant en tapant net start remoteaccess à l'invite de commandes. Procédure pour configurer l'enregistrement d'audit pour une connexion L2TP/IPSec Pour configurer l'enregistrement d'audit pour une connexion L2TP/IPSec : 1. Attribuez la valeur 1 au paramètre de Registre KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\ DiagnosticMode. 2. Pour activer le nouveau paramètre de Registre DiagnosticMode après avoir modifié sa valeur : a. Arrêtez le service Routage et accès distant en tapant net stop remoteaccess à l'invite de commandes. b. Arrêtez les services IPSec en tapant net stop policyagent à l'invite de commandes. c. Démarrez les services IPSec en tapant net start policyagent à l'invite de commandes. d. Démarrez le service Routage et accès distant en tapant net start remoteaccess à l'invite de commandes. Remarque Le pilote IPSec n'écrit les événements dans le journal système qu'une fois par heure. Pour plus d'informations sur l'enregistrement des événements du pilote IPSec, consultez les Kits de ressources techniques de Windows.
22 Module 10 : Gestion et analyse de l'accès réseau Application pratique : Configuration de l'enregistrement sur un serveur d'accès distant ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Instructions Scénario Application pratique Dans cette application pratique, vous allez configurer l'enregistrement sur un serveur d'accès distant. Vous devez ouvrir une session avec un compte ne disposant pas d'informations d'identification administratives, puis utiliser la commande Exécuter en tant que avec un compte d'utilisateur disposant des informations d'identification administratives appropriées pour effectuer cette tâche. L'ingénieur système a créé un plan d'enregistrement pour le serveur d'accès distant dans le laboratoire. Vous allez configurer le serveur d'accès distant pour enregistrer les données d'authentification et de gestion des comptes.! Configurer l'enregistrement de l'authentification locale sur votre serveur d'accès distant! Effectuez cette tâche sur les deux ordinateurs des stagiaires.! Outil d'administration : Routage et accès distant! Enregistrez les informations suivantes : Requêtes de gestion des comptes Requêtes d'authentification Statut périodique! Répertoire du fichier journal : C:\moc\2182\labfiles\lab10! Créez un nouveau fichier journal : Tous les jours! Vérifier que le fichier journal n'existe pas! Effectuez cette tâche sur les deux ordinateurs des stagiaires.! À l'aide de l'explorateur Windows, ouvrez : C:\moc\2182\labfiles\lab10! Vérifiez qu'il n'existe aucun fichier journal et laissez le dossier ouvert.
Module 10 : Gestion et analyse de l'accès réseau 23! Arrêter et démarrer le service Routage et accès distant! Effectuez cette tâche sur les deux ordinateurs des stagiaires.! Outil d'administration : Routage et accès distant! Vérifier que le fichier journal existe! Effectuez cette tâche sur les deux ordinateurs des stagiaires.! Vérifiez que le fichier journal existe et fermez le dossier.
24 Module 10 : Gestion et analyse de l'accès réseau Leçon : Collecte et analyse des données d'accès réseau ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Introduction Objectifs de la leçon Cette leçon présente les compétences et les connaissances requises pour collecter et analyser des données d'accès réseau pour le service Routage et accès distant ou IAS. À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :! donner les raisons justifiant la collecte de données de performance pour l'accès réseau ;! identifier et décrire les différents outils utilisés pour collecter les données d'accès réseau ;! analyser l'activité réseau sans fil.
Module 10 : Gestion et analyse de l'accès réseau 25 Pourquoi collecter des données de performance? ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Raisons justifiant la collecte de données de performance L'analyse des performances système occupe un rôle important dans le maintien et l'administration de vos services d'accès réseau. Vous pouvez collecter des données de performance pour effectuer les tâches suivantes :! évaluer la charge de travail sur votre serveur et l'impact correspondant sur les ressources du système ;! observer les changements et les tendances de la charge de travail ;! faire le suivi de l'utilisation des ressources pour planifier les mises à niveau futures ;! tester des modifications de configuration ou d'autres réglages en analysant les résultats ;! isoler des problèmes tels que l'échec d'une connexion, l'abandon de connexions actives et les performances d'ensemble ;! cibler des composants ou des processus en vue de les optimiser.
26 Module 10 : Gestion et analyse de l'accès réseau Outils de collecte des données d'accès réseau ********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************* Outils de collecte des données Windows Server 2003 inclut les outils de collecte des données suivants pour vous aider à identifier et à prévoir les problèmes d'accès réseau : Moniteur système : cet outil vous permet d'afficher des données de performance en temps réel pour des composants et des services spécifiques. Vous pouvez utiliser le Moniteur système pour afficher des données de performance précédemment capturées ou archivées. Journaux et alertes de performance : cet outil vous permet de capturer dans un fichier journal des données de performance spécifiques pour des composants et des services au cours d'une période de temps configurable. Vous pouvez aussi définir des alertes qui déclenchent des actions lorsque certains événements se produisent, par exemple :! envoyer un message ;! exécuter un programme ;! écrire une entrée dans le journal d'événements d'applications ;! démarrer un journal lorsque la valeur d'un compteur sélectionné est supérieure ou inférieure à un paramètre spécifié. Moniteur sans fil : le service Configuration sans fil enregistre des informations dans le Moniteur sans fil. Celles-ci vous permettent d'effectuer les tâches suivantes :! identifier les changements de configuration du service ;! vérifier les événements enregistrés dans le journal du service Configuration sans fil qui sont générés en dehors de votre réseau sans fil, tels que des notifications d'événements médias, des événements 802.1x et des événements d'expiration du temporisateur ;! afficher des détails sur les points d'accès et les clients réseau sans fil. Vous pouvez utiliser les informations du journal pour isoler les problèmes que vous rencontrez avec votre service sans fil.
Module 10 : Gestion et analyse de l'accès réseau 27 Exemples d'objets courants Parmi les objets couramment utilisés pour analyser les serveurs d'accès réseau, on peut citer :! Mémoire, processeur, réseau et disque : ces objets contiennent des compteurs de service réseau standard que vous pouvez utiliser pour tous types de serveurs. Outre le service Routage et accès distant, le réseau est l'endroit où des goulots d'étranglement se produisent le plus fréquemment. Les services Routage et accès distant et IAS ne causent généralement pas une forte demande sur le processeur, la mémoire et le disque si le serveur est dédié aux fonctions d'appels entrants. Cependant, si un serveur d'accès distant ou un serveur IAS héberge également d'autres applications ou services, ceux-ci peuvent rivaliser pour l'obtention de ressources. Analysez ensuite globalement les quatre compteurs principaux pour le serveur pour vous assurer qu'une application ou un service spécifique n'abuse pas des ressources qui pourraient compromettre d'autres fonctions sur le serveur. Remarque Pour plus d'informations sur les objets de performance standard, consultez le cours 2149A : Maintenance d'un environnement Microsoft Windows Server 2003.! Serveur d'authentification IAS : cet objet contient des compteurs que vous pouvez utiliser pour analyser les requêtes entrantes et sortantes, ainsi que les erreurs du serveur d'authentification.! Clients d'authentification IAS : cet objet contient des compteurs que vous pouvez utiliser pour analyser les requêtes entrantes et sortantes, ainsi que les erreurs du client d'authentification.! IPv4 : cet objet contient des compteurs que vous pouvez utiliser pour isoler les données de performance TCP/IP, les erreurs, les échecs et les attaques réseau potentielles.! Ipv6 : cet objet contient les mêmes compteurs et fonctionnalités que l'objet IPv4, mais les compteurs de l'objet IPv6 s'appliquent au protocole IPv6.! Port RAS : cet objet contient des compteurs qui fournissent des informations sur les performances et la transmission des ports d'accès distant individuels.! Total des RAS : cet objet contient des compteurs qui fournissent des informations sur les performances et la transmission de l'ensemble des ports d'accès distant.