Eléments techniques tome I MAGRET 2012 V8.5 Installation Serveur Windows 2012 JPG GP - TC Mission TICE 06/2013
Table des matières 1. PREAMBULE... 2 2. SYSTEME D EXPLOITATION... 3 1.1. PRESENTATION... 3 1.1.1. Partition système.... 3 1.1.2. Partitions utilisateurs et applications.... 3 1.2. PROCEDURE D INSTALLATION OEM... 3 1.3. PROCEDURE D INSTALLATION VLK - MAK... 3 3. PARAMETRAGES DU SERVEUR... 6 3.1. RESEAU... 6 3.2. ACTIVATION DE WINDOWS... 7 3.3. NOMMAGE DU SERVEUR... 9 3.4. PARAMETRES DE CONTROLE DE COMPTE UTILISATEUR... 10 3.5. PARE-FEU... 11 3.6. PREPARATION DE LA PARTITION UTILE... 14 3.7. MONITEUR DES EVENEMENTS D ARRET... 15 3.8. UTILISATION A DISTANCE... 17 3.9. MISES A JOUR... 17 4. INSTALLATION DU DOMAINE... 19 4.1. PROMOTION DU SERVEUR EN CONTROLEUR DE DOMAINE... 19 4.2. PARAMETRAGE DES STRATEGIES DE COMPTES... 28 4.2.1. Stratégie du domaine... 28 4.2.2. Stratégie du contrôleur de domaine... 29 5. PARAMETRAGE DES ROLES DU SERVEUR... 32 5.1. LE SERVICE DNS... 32 5.1.1. Zone de recherche inversée... 32 5.1.2. Redirecteurs... 34 5.2. LES ROLES DE SERVEUR DHCP ET SERVEUR WEB... 37 5.3. PARAMETRAGES DU SERVEUR WEB... 43 6. PARAMETRAGES COMPLEMENTAIRES... 46 6.1. SYNCHRONISATION TEMPORELLE... 46 6.2. OBSERVATEUR D EVENEMENTS... 47 6.3. GESTION DE L ALIMENTATION... 48 6.4. MISES A JOUR AUTOMATIQUES... 49 7. INSTALLER UN AUTRE SERVEUR SUR LE DOMAINE... 50 1
1. Préambule Cette documentation technique n est utilisable que pour les versions 8.5 et futures des modules Magret. Cette nouvelle documentation est liée à l arrivée des serveurs Windows 2012 x64 Standard Edition et des stations Windows Seven et Windows 8 sur nos réseaux pédagogiques Magret 85 doit être installé de préférence sur des serveurs Windows 2012 Standard Edition version française et non anglaise ou multi langues. Les documents livrés avec cette version, tant pour l installation des serveurs (OS + Magret) que pour celle des stations, devront être rigoureusement suivis. Quelques règles de bon sens : sur un serveur contrôleur de domaine n est installé que le strict minimum nécessaire au bon fonctionnement du réseau. Si des outils alternatifs sont employés pour l installation du réseau, ceux-ci seront proprement désinstallés à la livraison. En règle générale on évitera d installer tout logiciel externe non livré avec le système d exploitation ou son kit de ressources. Tout nom de domaine sera de la forme D-<Nom Etablissement>.local. Il est très fortement déconseillé d utiliser le numéro RNE d établissement pour des problèmes de confusions avec le réseau administratif. En fonction des moyens de l'établissement, il est judicieux que les consoles de gestion de l antivirus académique, de gestion des solutions de clonage, du gestionnaire des matériels actifs, ou autres services «très communicants» soient installés sur un serveur membre secondaire. Ce serveur supplémentaire ne fait, dans la plupart des cas, pas partie des dotations des collectivités, mais peut être virtualisé. Si nous sommes ouverts à toutes les remarques ou suggestions, nous déclinerons toute responsabilité pour des installations ou des mises à jour à partir de documents non validés par la Mission TICE. Jean-Pierre Gau Guy Picou Thierry Chassain 2
2. Système d Exploitation 1.1. Présentation 2 partitions en général, dans certains cas exceptionnels, une troisième partition pourra être dédiée à un SLIS virtuel. Une partition cachée de 350Mo destinée à la restauration du système sera automatiquement crée à l installation. 1.1.1. Partition système. Une partition système de 250 Go minimum appelée SYSTEME. Dans cette partition sont installés: le système Windows Server 2012 (x64) Magret 1.1.2. Partitions utilisateurs et applications. Une deuxième partition occupant le reste du volume appelée UTILE. Dans cette partition seront implantés : les applications mutualisées les espaces utilisateurs des outils de gestion des stations Si on envisage de virtualiser le SLIS sur le Serveur01, on pourra lui dédier une troisième partition d environ 100Go. Remarque : 2 possibilités pour démarrer l installation, à partir : du CD bootable du constructeur (DELL, HP,...), puis du DVD de la version OEM de Windows 2012 fourni avec la machine. du DVD de Windows Server 2008R2 x64 Standard Edition en version VLK - MAK. 1.2. Procédure d installation OEM La procédure décrite ci-dessous démarre après avoir booté sur le CD-ROM du constructeur, renseigné les divers champs requis pour la configuration du système RAID et recopié le DVD de la version OEM de Windows 2012 fourni avec la machine sur le disque. 1.3. Procédure d installation VLK - MAK C'est la méthode classique où le fournisseur du matériel n'a pas prévu de procédure d'installation automatique et où l établissement a acquis une version VLK - MAK du système d exploitation ; il faut alors penser à préparer le système RAID et les volumes avant l installation effective du système d exploitation. On sélectionne la version standard avec interface graphique. Après avoir accepté la licence, choisir l installation personnalisée : 3
Dans le cadre de cette procédure, on peut être amené à choisir les Options de lecteur avancées pour définir l emplacement et la taille de la partition Système. Il y aura création automatique d une partition de 350 Mo réservée au système d exploitation, pour une éventuelle restauration. Après redémarrage, il est obligatoire de définir un mot de passe complexe pour l administrateur local (8 caractères lettres et chiffres, par exemple Matice31) : 4
La session s ouvre automatiquement sur le Gestionnaire de serveur. 5
3. Paramétrages du serveur 3.1. Réseau Dans la zone de notification, ouvrir le Centre réseau et partage et choisir de modifier les paramètres de la carte. Décocher les options inutiles (Planificateur de paquets QoS, Protocole IPV6) et éditer les propriétés de la connexion au réseau local pour le protocole TCP/IPV4. 6
Vérifier les champs selon la configuration de l établissement indiquée par le plan d'adressage académique où chaque établissement reçoit une plage de 16 adresses de la forme 10.255.X.Y Si Y est l'adresse de réseau (inutilisable), Y+15 est l'adresse de broadcast (inutilisable), Y+14 est l'adresse du parefeu (PFS dans le cadre de l architecture cible, SLIS dans les autres cas) et Y+13 l'adresse du Serveur01. La passerelle du serveur est le pare-feu de l établissement. Le serveur est son propre serveur DNS. Pas de DNS secondaire. 3.2. Activation de Windows Selon le type de support du système d exploitation, il peut être nécessaire de procéder à l activation de Windows. Dans le gestionnaire de serveur, au niveau du Tableau de bord, l activation de Windows sera le premier message important. 7
Le lien ouvre la fenêtre d activation, on clique directement sur le bouton Activer pour une version OEM du système d exploitation. Pour une version VLK, il faut modifier la clef d activation et la valider, ce qui se fait par script. On ouvre une fenêtre Powershell depuis la barre des tâches et on exécute la commande slmgr ipk suivie de la clef d activation, pour l installer. L activation est ensuite lancée par la commande slmgr -ato 8
3.3. Nommage du serveur Dans le gestionnaire de serveur, catégorie Serveur local, on clique sur le nom en cours du serveur. Ce qui a pour effet d ouvrir la boîte de dialogue classique des Propriétés Système, où l on clique sur le bouton Modifier. On peut alors choisir de renommer le serveur en Serveur01. 9
Un récapitulatif des propriétés s affiche et l on doit redémarrer obligatoirement. 3.4. Paramètres de contrôle de compte utilisateur Après l ouverture de session, on ouvre le panneau de configuration en amenant la souris dans le coin supérieur droit de l écran et en choisissant Paramètres. Puis on sélectionne le centre des comptes utilisateurs. On choisit de modifier les paramètres de contrôle de compte utilisateur. 10
Positionner le curseur à Ne jamais m avertir. 3.5. Pare-Feu Windows 2012 dispose de trois niveaux de pare-feu qu il convient de désactiver pour assurer le bon fonctionnement ultérieur des services Magret. Depuis le panneau de configuration, Système et sécurité, ouvrir le centre du pare-feu Windows, (ou depuis le menu Outils du gestionnaire de serveur) et sélectionner les paramètres avancés. 11
Désactiver les trois pare-feu pour les profils de domaine, privé et public en cliquant systématiquement sur Appliquer pour valider les trois onglets. 12
Au final on obtient : 13
3.6. Préparation de la partition Utile Depuis le gestionnaire de serveur, positionné sur le serveur local, on sélectionne Gestion de l ordinateur depuis le menu Outils. Lancer le gestionnaire de disque. Attention les vues ci-dessous, issues d un serveur virtualisé, ne sont pas représentatives d une machine physique disposant d un seul volume regroupant plusieurs disques en RAID 5. 14
Formater en NTFS la deuxième partition et la renommer Utile. Modifier les lettres de lecteurs amovibles pour imposer D : à la partition Utile. Par exemple : 3.7. Moniteur des événements d arrêt Ce moniteur impose la justification de chaque arrêt du serveur. Pour le désactiver, on ouvre sous PowerShell la console d édition de la stratégie locale en exécutant gpedit.msc. Dans le modèle d administration Système on désactive «Afficher le moniteur d évènements de mise hors tension». 15
16
3.8. Utilisation à distance Dans les propriétés de l ordinateur, ouvrir les paramètres système avancés, onglet Utilisation à distance, où l on autorise les connexions à distance. 3.9. Mises à jour Windows 2012 étant un «jeune système d exploitation», il est conseillé d appliquer les mises à jour ou services Pack disponibles avant les prochaines étapes de préparation du serveur. Il est tout d abord nécessaire d activer Windows Update depuis le gestionnaire de serveur ou le panneau de configuration. 17
On choisit le mode «Télécharger les mises à jour mais me laisser choisir s il convient de les installer». Proscrire le mode installation automatique, qui provoquerait des redémarrages intempestifs. Lancer la recherche des mises à jour. Les télécharger et les installer. Le redémarrage sera obligatoire. 18
4. Installation du Domaine 4.1. Promotion du serveur en Contrôleur de Domaine Dans le Tableau de bord du gestionnaire de serveur, on choisit le menu «Ajouter des rôles et des fonctionnalités» Choisir une installation basée sur un rôle ou une fonctionnalité. Sélectionner le serveur de destination. 19
Il n est plus possible d exécuter la commande dcpromo, même dans un script PowerShell : 20
On continue donc avec le gestionnaire de rôles de serveurs où l on sélectionne les Services AD DS. Vérifier la coche de la case «inclure les outils de gestion». 21
A partir du menu Fonctionnalités, on sélectionne la Gestion de Stratégie de groupe On ouvre le menu AD DS : 22
On confirme les sélections d installation. L installation démarre. A la fin de cette première phase, un lien vers une étape supplémentaire devient actif «Promouvoir ce serveur en contrôleur de domaine». 23
La configuration de déploiement débute. Indiquer le nom du domaine sous la forme FQDN : D-ETABLISSEMENT.local Choisir ensuite les niveaux fonctionnels maximaux pour la forêt et le domaine: Windows Server 2012. On laisse la coche active du service DNS obligatoire pour un DC. 24
Passer outre le message d avertissement pour les options DNS. 25
Vérifier le nom de domaine Netbios. Ne pas modifier les chemins d accès d Active Directory. Un écran récapitule pour terminer les options choisies. 26
Une vérification de la configuration est proposée. On ignore l avertissement sur la délégation DNS et on lance l installation. Le redémarrage sera automatique. 27
4.2. Paramétrage des stratégies de comptes 4.2.1. Stratégie du domaine Depuis les outils du gestionnaire de serveur, ouvrir le gestionnaire des stratégies de groupe. Choisir de modifier l objet stratégie de groupe «Default Domain Policy». Il s agit tout d abord de modifier les stratégies de mot de passe dans les paramètres de sécurité, stratégies de comptes. Il faut modifier la durée de vie maximale des mots de passe qui par défaut est de 42 jours et la longueur minimale du mot de passe qui est à 7 caractères avec des exigences de complexité. On choisit de ne pas donner de limite de temps à la durée de vie maximale des mots de passe (la valeur par défaut sera donc 0). Pour les mots de passe la longueur minimale est fixée de 6 à 8 caractères et les exigences de complexité ne sont pas activées. 28
Modifier les stratégies pour obtenir : 4.2.2. Stratégie du contrôleur de domaine On revient dans le gestionnaire des stratégies de groupe où l on choisit de modifier l objet «Default Domain Controllers Domain Policy» Il s agit tout d abord de modifier les stratégies de mot de passe dans les paramètres de sécurité, stratégies de comptes. 29
Modifier les stratégies pour obtenir le même paramétrage que précédemment : Il est nécessaire de désactiver la surveillance des communications non numériquement signées pour assurer le bon fonctionnement de la liaison Magret SLIS. Dans le même éditeur de stratégies, ouvrir les stratégies locales, options de sécurité. 30
Désactiver les deux stratégies Serveur réseau Microsoft : communications signées numériquement. 31
5. Paramétrage des rôles du serveur 5.1. Le service DNS 5.1.1. Zone de recherche inversée Le serveur01 possède le rôle de serveur DNS mais pour le réseau local. On doit préciser les redirecteurs DNS externes pour résoudre les requêtes vers l Internet. Depuis gestionnaire de serveur, ouvrir le gestionnaire DNS. Un assistant propose de créer une nouvelle zone de recherche inversée. Suivant. On coche Zone principale, et Enregistrer dans Active Directory. Suivant. 32
Cette zone de recherche inversée IPV4 sera conforme au plan d adressage et au masque de réseau. Elle sera de type 10.in-addr.arpa Donc ne saisir que 10 dans la fenêtre suivante. 33
Remarque : Si l établissement dispose d une ZMI, il est nécessaire de créer une deuxième Zone de Recherche inverse pour l ID Réseau [192.168.220], en suivant la même procédure. 5.1.2. Redirecteurs On ouvre à présent les propriétés de Serveur01, pour préciser vers quels serveurs DNS officiels seront redirigées les requêtes des stations du domaine. 34
La carte réseau (ou l agrégat de cartes) adressée 10.255.X.Y+13 doit être la seule qui écoute les requêtes. On doit ensuite paramétrer les redirecteurs vers lesquels seront redirigées les requêtes DNS reçues. Bouton Modifier. 35
Pour les lycées reliés au réseau ASTER saisir les adresses 194.214.239.1 et 194.254.31.201 et attendre leur résolution (3 secondes normalement). Pour les collèges disposant de l architecture cible, saisir les adresses DNS du fournisseur d accès Internet. Pour les collèges hors architecture cible ou établissements non reliés à Aster, saisir uniquement l adresse du proxy. Pour vérifier le bon fonctionnement du rôle DNS, l onglet analyse permet d effectuer deux tests de requêtes simple et récursive. La réponse «Correct» doit être quasi instantanée. 36
5.2. Les rôles de serveur DHCP et serveur Web Depuis le gestionnaire de serveur on choisit d ajouter des rôles et des fonctionnalités. Cocher Serveur DHCP et Serveur Web. Le paramétrage s effectue avant l installation proprement dite. 37
Pas de services de rôles requis pour le serveur DHCP. Par contre pour le serveur Web, il est nécessaire d ajouter les services «Publication WebDAV» et «Authentification de base». 38
On confirme les configurations. 39
L installation débute. Pas de redémarrage requis. 40
Une post configuration du rôle DHCP sera nécessaire. On constate que le gestionnaire de serveur local s est étoffé, ainsi que le menu Outils. On ouvre le nouveau menu DHCP Un clic droit donne accès au gestionnaire DHCP. 41
On ajoute une Etendue DHCP, dont les adresses seront utilisées par les portables personnels, mais aussi pour les opérations de multidiffusion d images de stations. Le bail est choisi pour la durée minimale de 8 heures (Réseaux sans fil) et l on peut choisir de diffuser le routeur (SLIS), le serveur DNS et le nom de domaine. Le service DHCP sera autorisé et l étendue active dès l installation effective du rôle. 42
5.3. Paramétrages du Serveur Web Dans le cadre des Environnements Numériques de Travail, il est nécessaire d installer le service IIS pour pouvoir publier les ressources individuelles et les ateliers au travers des WebDav. On ouvre le gestionnaire IIS. On peut ignorer le Microsoft Web Platform. On sélectionne les règles de création WebDAV. 43
On ajoute une règle de création. On revient sur l authentification. Désactiver l authentification anonyme et activer l authentification de base sur le domaine. 44
On activera également l exploration de répertoire. 45
6. Paramétrages complémentaires 6.1. Synchronisation temporelle Comme les serveurs W2003 ou W2008, le serveur W2012 n est pas son propre serveur de temps et il est nécessaire de le synchroniser avec une source externe à l établissement. Ouvrir PowerShell et saisir w32tm /config /syncfromflags:manual /manualpeerlist:ntp.laas.fr /reliable:yes /update Avec la commande «w32tm /query /configuration», on vérifie la connexion au serveur de temps choisi (ntp.laas.fr). La réponse est très fournie 46
6.2. Observateur d événements Si la surveillance des journaux de l observateur d événements est importante, en particulier après tout redémarrage du serveur, il est bon de vider régulièrement les journaux avant qu ils atteignent leur taille limite. En particulier le journal d événement Sécurité est paramétré pour auditer par défaut tous les événements réussis sur le domaine et donc se remplit rapidement. Il est plus judicieux de n auditer que les échecs pour détecter plus facilement les causes de problèmes éventuels. Il faut donc intervenir sur les Stratégies d Audit du contrôleur de domaine. On ouvre l éditeur de stratégie de groupe et l objet de stratégie «Default Domain Controllers Policy» En éditant les propriétés de chaque classe d audit, on définit les audits suivants : 47
6.3. Gestion de l alimentation Depuis la rubrique Matériel Options d alimentation du panneau de configuration, on choisit le mode Performances élevées. On modifie les paramètres de ce mode pour n avoir jamais de passage en veille. 48
6.4. Mises à jour automatiques Si après l installation, on lance une mise à jour de Windows, il est conseillé par la suite d éviter les mises à jour automatiques du système. On modifie donc les paramètres de Windows Update dans la rubrique Système et sécurité. A LA FIN CETTE PHASE ET AVANT L INSTALLATION DE MAGRET : REMARRAGE DU SERVEUR OBLIGATOIRE 49
7. Installer un autre serveur sur le domaine Sauf cas très particuliers, on n installera pas de second contrôleur de domaine sur un réseau existant. On se contentera d installer un serveur membre qui permettra de déporter des utilisateurs, des ateliers, des applications mutualisées, ou des services lourds (Console de gestion de l antivirus académique, Console de la SYMANTEC Solution GHOST Suite,...). Ce serveur sera installé de la façon suivante : Même version d OS et Service Pack que le contrôleur de domaine. 2 partitions. Pas de service DNS Intégré au domaine seulement Passerelle : Pare-feu de l établissement (PFS ou SLIS) Serveur DNS : SERVEUR01 Adressage en 10.255.X.Y+11 50