Remplacement de Serveur : Windows Server 2000 par Windows Server 2003 avec migration des rôles FSMO

INSTITUT UNIVERSITAIRE DE TECHNOLOGIE DE ROUEN Centre de Formation Continue 17, rue Lavoisier 76821 Mont Saint Aignan Cedex MEMOIRE DE STAGE 2008 Stage effectué chez PROFIL INFORMATIQUE du 18 février 2008 au 6 juin 2008 Remplacement de Serveur : Windows Server 2000 par Windows Server 2003 avec migration des rôles FSMO Patrick LECOQ DUTSS Réseaux et Télécommunications PROFIL INFORMATIQUE Parc d activités Bertel 355 rue Victor Hugo BP 81-76302 Sotteville lès Rouen Cedex

Sommaire 2 Avant-Projet :...4 2.1 Introduction 2.2 La phase commerciale 2.3 Délais 2.4 Contraintes...5 3 Mise en route du projet :...6 3.1 Préparation en atelier...6 3.2 Configuration du service Serveur DNS...6 4 Intervention sur le site client :...10 4.1 Configuration...10 4.2 Sauvegarde du serveur Windows 2000...10 4.3 Préparation du serveur Windows 2000...10 4.4 Intégration du Serveur 2003 sur le domaine...12 4.5 Serveur 2003 contrôleur de domaine supplémentaire...13 4.6 Contrôle de la synchronisation d Active Directory...14 4.7 Migration des rôles FSMO...15 4.7.1 Définition des rôles FSMO...15 4.7.2 Identification des rôles FSMO...17 4.7.3 Transfert des rôles...18 4.7.4 Transfert maître de schéma...18 4.7.5 Transfert maître d attribution des noms de domaine...19 4.7.6 Transfert maître d'émulateur PDC...19 4.7.7 Transfert maître d identificateur relatif ou maître RID...19 4.7.8 Transfert maître d infrastructure...19 4.8 Paramétrage du catalogue global...19 4.9 Paramétrage du serveur de licence...20 4.10 Vérification des rôles...21 4.11 Sécurisation du nouveau serveur...23 4.12 Configuration des postes clients...23 4.13 Installation d un serveur DHCP...24 4.14 Suppression du contrôleur de domaine Windows 2000...26 5 La télémaintenance...29 6 Windows Server 2008...31 6.1 Présentation...31 6.2 Quelques nouvelles fonctionnalités :...32 Core Serveur...32 Active Directory...32 Windows PowerShell...32 Terminal Services...32 6.3 Remplacement du serveur...33 6.4 Conclusion...36 7 Annexes...37 7.1 Résultats de la commande DcDiag...37 7.2 Résultats de la commande NetDiag...37 Page 2 sur 40

7.3 Commande AdpPrep...39 7.4 commande NtdsUtil...39 7.5 Résultats du transfert des rôles avec NtdsUtil...40 Page 3 sur 40

Parmi les différentes activités que j ai réalisées j en ai choisi une, le remplacement d un serveur de domaine : En l occurrence le passage d un Windows 2000 Server vers un Windows 2003 RC2 Server chez un client de Profil Informatique. En partant de cette base je vous propose une méthode aussi complète que possible sur la migration d'active Directory, des cinq rôles FSMO, du catalogue global et du serveur de licences d'un serveur matériel vers un autre. Pour tout ce qui suit nous allons considérer que l ancien contrôleur de domaine à remplacer s appelle SRV2000 et le nouveau SRV2003A. 2 Avant-Projet : 2.1 Introduction Le Serveur Windows 2000 Server en place chez le client est poussif. Un serveur est utilisé 24h / 24h, 365j / 365j et au bout de trois années de fonctionnement cela représente déjà la bagatelle de 26280 heures. C est d ailleurs au bout de trois années que l on considère le matériel informatique comme les unités centrales, les serveurs, etc. amorti. Le serveur Windows 2000 du client a lui cinq années (soit 43 800 heures) de bon et loyaux services. Il lui manque maintenant de l espace disque, sa puissance est limitée et on constate une certaine obsolescence du matériel. Pour le confort des utilisateurs, la pérennité du matériel et la mise à niveau tant en sécurité, que des performances, il faut donc effectuer son remplacement. 2.2 La phase commerciale Une étude sur les besoins spécifiques du client par son commercial aboutira à l organisation de solutions les mieux adaptées. Puis une proposition commerciale sur le remplacement du serveur Windows 2000 est montée. En détaillant un peu cette proposition nous voyons très bien le bond technologique et le bond de performances que nous réalisons par rapport à un ancien serveur âgé de cinq ans. Serveur ACER Altos G540 Intel Xeon 5310 Ram 2 Go Disque 2 x 500 Go Les spécificités constructeur de ces serveurs sont : Prise en charge Raid 0/1 SATA natif Prise en charge RAID 5 SATA ou SAS en option Jusqu'à 8 disques durs Jusqu'à 32 Go de mémoire ECC DDR II Fonction Mirroring et Sparing mémoire Alimentation Six logements PCI Double Gigabit Ethernet intégré avec tolérance aux pannes Page 4 sur 40

On ajoutera : Deux barrettes mémoires DDR II 667MHz de 1Go Une alimentation redondante et branchement à chaud Deux disques durs de 80 Go S-ATA 7200 Trmn Un lecteur de sauvegarde à bande ACER (AIT-2 Turbo) 80/200 SCSI-160 int Une carte contrôleur Adaptec 29160 Ultra 160 SCSI 32 bits PCI Pack de 5 cassettes de sauvegarde ACER AIT 80/206 Microsoft Windows 2003 Server R2 Par la suite on remplacera deux HUBs 24 ports par deux Switchs 24 ports fluidifiant d autant plus le trafic réseau. Les prestations de service sont : Installation du serveur Installation de Windows 2003 Server R2 et des 50 licences d accès Installation du serveur installation de l onduleur Installation et paramétrage de la sauvegarde création d un job de sauvegarde et automatisation de celui-ci identification des supports de sauvegarde sauvegarde et test de restauration des données. Installation du serveur en serveur de domaine Rétrogradation du serveur existant en serveur membre (Windows 2000) Installation d un antivirus sur le serveur Création de l Active Directory 2.3 Délais Après la commande, il y a en moyenne trois semaines pour une livraison possible. On peut détailler ces trois semaines, par deux semaines pour l approvisionnement des différents composants et de une semaine pour la fabrication et la mise en configuration en atelier. 2.4 Contraintes Une intervention sur site chez le client entraîne irrémédiablement des contraintes qu il faut prendre en compte. Nous avons eu pour ce client peu de contrainte. Cette mission devait se faire en semaine sur deux jours en deux fois une journée. D une manière générale la mission se déroule en fonction du planning du client et de ses contraintes. Aussi il peut arriver qu une partie de la mission se déroule hors du temps de travail des employés comme en fin d après-midi, le samedi et le dimanche. Aujourd hui l outil informatique est vital pour les entreprises. Les interventions dans la mesure du possible doivent donc être les plus transparentes possible pour les utilisateurs. Page 5 sur 40

3 Mise en route du projet : Après l acceptation de la proposition commerciale et la réception des différentes pièces composant la commande client, on passe à la préparation en atelier. 3.1 Préparation en atelier La préparation en atelier commence par le regroupement des différents éléments constituant la commande. Suivant les options choisies par le client on montera sur le serveur: Des barrettes mémoires Un ou plusieurs disques Alimentation redondante Lecteur de sauvegarde à bande, etc. On procédera ensuite au montage du RAID. Ici c est deux disques 80 Go en RAID 1 pour le système et deux autres disques de 500 Go chacun en RAID 1 pour les données. Dans un cas général, toutes les combinaisons sont possibles mais nous avons plus souvent la configuration avec deux disques systèmes en RAID1 et plusieurs disques (trois minimum) montés en RAID 5 pour les données. Après l installation du matériel, on procédera à : o o o o o L installation de l O.S (Operating System) ici de Windows Server 2003R2. L installation de l antivirus. Puis de la mise à jour de Windows 2003 Server et de l antivirus. Installation du logiciel de sauvegarde ici Arcserve. Et éventuellement l installation et la configuration des services DNS, WINS et DHCP si la configuration du client est parfaitement connue. 3.2 Configuration du service Serveur DNS DNS (Domain Name System) est un service de noms qui fait la correspondance (le mappage) entre les noms d ordinateurs (nom d hôte) et les adresses IP. C est une base de donnée distribuée hiérarchisée. Nous allons installer le service serveur DNS sur le serveur 2003. Cliquez sur «Démarrer», «Panneau de configuration», «Ajout/Suppression de programmes», «Ajouter/Supprimer des composants Windows», «Services de mise en réseau», «détails» et «Système DNS». Mettre le suffixe DNS principal ici «2lions.local» dans la fenêtre «Nom d ordinateur NetBios et suffixe DNS». («Poste de travail», Click droit «Propriétés», «Nom de l ordinateur», «Modifier», «Autres») Page 6 sur 40

Démarrez la console Gestionnaire DNS «Démarrer», «Outils d administration», «DNS» Click droit sur «Zone de recherche directe (nom du serveur : ici SRV2003A), «Nouvelle zone» Créer une «Zone principale» Rentrez le «Nom de la zone ici «2lions.local»» Créez le fichier de zone Autorisez que les mises à jour dynamiques sécurisées et non sécurisées. Puis Cliquez sur «Terminer» pour valider. Page 7 sur 40

Faites les mêmes étapes depuis l ajout d une nouvelle zone en choisissant «Zone de recherche inversée» «Zone principale», Rentrez le «ID réseau» «Suivant», «Suivant» et «Terminer». Page 8 sur 40

Créez un pointeur correspondant au serveur dans la zone de recherche inversée. Redémarrez le serveur DNS. Puis vérification du DNS avec la commande «nslookup». La commande «nslookup» est intégrée au système d'exploitation. «nslookup» permet de tester la résolution des noms d'hôtes en adresses IP et inversement. On utilise «nslookup» pour vérifier le bon fonctionnement du serveur DNS. Lorsque l'on tape nslookup en mode texte, une invite de commande apparaît. Le nom d'hôte et l'adresse IP du serveur DNS par défaut sont affichés. Page 9 sur 40

4 Intervention sur le site client : 4.1 Configuration Le site client est composé de trois serveurs : Un Windows 2000 Server, un TSE et un Linux. Il se compose d une quarantaine d utilisateurs principalement sous Windows 2000 et XP. La gestion des adresses IP est du type statique. 4.2 Sauvegarde du serveur Windows 2000 On commencera par la sauvegarde du serveur 2000. Cette sauvegarde nous servira en cas de défaillance lors du basculement de l'ancien serveur vers le nouveau serveur. Dans le menu «Démarrer», «Exécuter», puis tapez «ntbackup», puis cliquez sur l onglet sauvegarde et cochez «Etat du système». 4.3 Préparation du serveur Windows 2000 Nous avons la configuration IP suivante : IP : 10.10.10.10 MASQUE : 255.0.0.0 DNS : 10.10.10.10 Page 10 sur 40

On doit vérifier que les dernières mises à jour ont été effectuées sur le serveur Windows 2000. Le serveur devra être au minimum avec le Service Pack 2. On vérifie aussi l absence d erreur dans les journaux d événements Puis on passera les commandes «Dcdiag.exe» et «Netdiag.exe». La commande «Dcdiag» permet de faire un diagnostic complet du contrôleur de domaine et la commande «Netdiag» effectue un diagnostic sur le réseau. Ces deux commandes MS-DOS se trouve sur le CD de Windows 2003 Server dans : «support\tools\support». Double cliquez sur «suptools.msi» pour installer le Windows Support Tools puis fermer la session et la rouvrir pour que Windows mette à jour le «PATH». Après ces vérifications on passera à la phase de préparation du serveur proprement dite. Nous devons préparer le schéma Active Directory Windows 2000 afin d être compatible avec le schéma Windows 2003. Toujours sur le CD Windows 2003 Server dans le serveur Windows 2000, nous ferons deux commandes «adprep» dans le répertoire /I386 du CD. «adprep /forestprep» (Mise à jour des informations au niveau de la forêt. Elle doit être exécutée sur le contrôleur de rôle de schéma.) Frappez un «c» et validez par «Entrée» Puis «adprep /domainprep /gpprep» (Met à jour les informations au niveau du domaine. Le commutateur /gpprep met à jour les autorisations sur les objets stratégie de groupe dans Active Directory et SYSVOL. Elle doit être exécutée sur le contrôleur de rôle d'infrastructure) Page 11 sur 40

Dans le cas ou l on a plusieurs contrôleurs, on attendra que la réplication soit complète. 4.4 Intégration du Serveur 2003 sur le domaine Il ne faut en aucun cas reprendre le même nom que l ancien contrôleur de domaine. Cela pourrait provoquer une instabilité du système. Sur le serveur «SRV2003A» nous avons la configuration IP suivante : IP : 10.10.10.11 MASQUE : 255.0.0.0 DNS : 10.10.10.10 Après la préparation du serveur Windows 2000, on mettra le nouveau serveur Windows 2003 sur le domaine en tant que serveur membre. («Poste de travail», Click droit «Propriétés», «Nom de l ordinateur», «Modifier», Membre de «Domaine») Page 12 sur 40

4.5 Serveur 2003 contrôleur de domaine supplémentaire Nous allons maintenant passer le nouveau serveur membre Windows 2003 en contrôleur de domaine. Pour cela exécutez la commande «Démarrer», «Exécuter», puis tapez «dcpromo» et «validez». choisissez «Contrôleur de domaine supplémentaire pour un domaine existant» puis cliquez sur «Suivant». Entrez le nom d utilisateur, le mot de passe, et le domaine d un compte Administrateur puis cliquez sur «Suivant». Entrez le nom DNS complet du domaine pour lequel ce serveur deviendra un contrôleur de domaine supplémentaire puis cliquez sur «Suivant». Validez les dossiers où sont stockés la base de données et le journal Active Directory puis cliquez sur «Suivant». Cliquez sur «Suivant» pour valider l emplacement pour le dossier Sysvol. Entrez le mot de passe administrateur de restauration des services d annuaire puis cliquez sur «Suivant» s affiche alors le résumé puis enfin «Suivant». Page 13 sur 40

L installation d Active Directory est lancée. A la fin, l assistant installation Active Directory confirme la bonne installation, vous pouvez alors cliquer sur «Terminer» Le serveur Windows 2003 est maintenant configuré comme contrôleur de domaine supplémentaire pour le domaine «2lions.local». 4.6 Contrôle de la synchronisation d Active Directory Il faut maintenant s assurer que la synchronisation entre les deux contrôleurs fonctionne. Page 14 sur 40

Dans les outils d administration sur les deux serveurs cliquez sur «Sites et services Active Directory». Développez «Sites», «Premier-Sites-par-defaut», «Servers», puis les deux serveurs l un après l autre «NTDS Settings». Click droit sur «<généré automatiquement>» puis «répliquer maintenant». 4.7 Migration des rôles FSMO 4.7.1 Définition des rôles FSMO Sous Windows NT 4.0, les contrôleurs de domaine suivent un schéma maître/esclave. Il y a les contrôleurs de domaine principaux ou PDC (Primary Domain Controler) accessibles en lecture/écriture et les contrôleurs de domaine secondaires ou BDC (Backup Domain Controler) uniquement accessibles en lecture. Dans un domaine Windows 2000/2003/2008, cette notion n existe plus, on parle de contrôleurs de domaine multimaîtres. En effet, il utilise un modèle de réplication multimaitre selon lequel tout contrôleur de domaine peut traiter les modifications d annuaire et les répliquer automatiquement sur les autres contrôleurs de domaine. Cependant, au niveau de la forêt doivent se trouver certaines fonctions assurées par un ou plusieurs contrôleurs jouant le rôle de maîtres d'opérations appelés encore OM (Operation Master) ou FSMO Flexible Single Master Operations. Page 15 sur 40

Les cinq rôles FSMO sont les suivants : Contrôleur de schéma : - Le contrôleur de schéma contrôle toutes les mises à jour et les modifications apportées au schéma. - Il contient la liste des classes d'objets et des attributs utilisés pour la création d'objet dans Active Directory. - Il réplique les mises à jour apportées au schéma sur les tous autres contrôleurs de domaine de la forêt via la partition de schéma. - Il autorise uniquement les administrateurs du schéma à modifier le schéma. Il peut y avoir qu un seul contrôleur de schéma dans la forêt entière. Maître d attribution des noms de domaine : Ce maître d'opération, unique dans une forêt, se charge de contrôler l ajout ou la suppression de domaines dans la forêt. En effet, lorsque vous ajoutez des contrôleurs de domaine dans une forêt Active Directory, le maître d'attribution des noms de domaine est le seul contrôleur de domaine capable d'ajouter le nouveau domaine. De part cette fonction, il permet d'éviter l'insertion de domaine ayant le même nom dans la forêt. Il peut y avoir qu un seul maître d'attribution de noms de domaine dans la forêt entière. Maître Emulateur PDC: Le maître d'émulateur PDC assure 4 fonctions au sein d'un domaine Active Directory : - Il permet la compatibilité avec des contrôleurs de domaine du type Windows NT et réplique les mises à jour à destination des contrôleurs secondaire de domaine NT (Backup Domain Controller). Aussi, l'émulateur PDC est un contrôleur de domaine qui se proclame contrôleur principal de domaine (PDC) auprès des stations de travail, des serveurs membres et des contrôleurs de domaine fonctionnant avec des versions antérieures de Windows. - La gestion du verrouillage des comptes utilisateurs et du changement des mots de passe. - Les mécanismes de synchronisation horaire sur tous les contrôleurs de domaine du domaine, ils sont par exemple nécessaires aux horodatages insérés dans les paquets d authentification Kerberos v.5. - Il est utilisé pour réaliser les modifications des stratégies de groupe du domaine (Groupe Policy Object) afin d'interdire toute possibilité d écrasement et de conflit. Il peut à tout moment y avoir qu'un seul contrôleur de domaine qui agit comme maître d'émulateur de contrôleur de Domaine principal dans chaque domaine dans la forêt. Page 16 sur 40

Maître d identificateur relatif ou maître RID : Dès qu'un contrôleur de domaine crée une entité de sécurité (un objet tel qu'un utilisateur, un groupe, un ordinateur), il attribue à cet objet un identificateur de sécurité unique, le SID (Security IDentifier). Ce SID est composé de deux blocs : un SID de domaine (identique pour tous les objets du domaine), et un identifiant relatif (RID), qui est unique pour chaque SID d'objet créé dans le domaine. Le contrôleur de domaine possédant le rôle de maître RID est responsable pour un domaine particulier du traitement des requêtes de pool RID provenant de tous les contrôleurs de domaine, de générer les identificateurs de (SID)... Il ne peut à tout moment y avoir qu'un seul contrôleur de domaine agissant comme maître RID dans le domaine. Maître d infrastructure : L'infrastructure est chargée de mettre à jour les références des objets en comparant ses données d annuaire à celles du catalogue global. Si les données sont périmées, le maître d infrastructure demande les données mises à jour dans le catalogue global et réplique ensuite les modifications sur les autres contrôleurs de domaine. Il ne peut à tout moment y avoir qu'un seul contrôleur de domaine agissant comme maître d'infrastructure dans chaque domaine. Les deux premiers rôles Contrôleur de schéma et Maître d attribution des noms de domaine sont assignés au niveau de la forêt. Les trois derniers Emulateur PDC, Maître d identificateur relatif ou maître RID et Maître d infrastructure au niveau du domaine. Par défaut le premier contrôleur de domaine d une nouvelle forêt cumule les cinq rôles. A noter : Les deux rôles contrôleur de schéma et maître d attribution de noms de domaine ne doivent pas être séparés. Pour des réseaux importants, on peut envisager de séparer sur des contrôleurs de domaine distincts le maître RID et l émulateur PDC. En règle générale, on ne place pas le maître d infrastructure sur un contrôleur de domaine hébergeant un catalogue global. 4.7.2 Identification des rôles FSMO Cliquez sur «Démarrer», sur «Exécuter», tapez «cmd» dans la zone Ouvrir, puis validez par «OK». Tapez «dcdiag /test:knowsofroleholders /v» et appuyez sur «ENTRÉE». Page 17 sur 40

Les cinq rôles sont le serveur nommé «SRV2000» (CN=SRV2000) 4.7.3 Transfert des rôles Il existe plusieurs méthodes pour transférer les rôles par exemple en cliquant sur Démarrer, sélectionnez «Outils d'administration», puis cliquez sur «Utilisateurs et ordinateurs Active Directory», Click droit sur le nom du domaine, puis cliquez sur «Maître d opérations» J ai choisi la méthode par ligne de commande avec «NtdsUtil» clairement efficace et plus simple. La commande NtdsUtil effectue la maintenance de base de données du magasin Active Directory, la gestion et le contrôle des opérations à maître unique flottant (FSMO), et le nettoyage des méta-données laissées par les contrôleurs de domaines abandonnés, ceux qui sont supprimés du réseau sans avoir été désinstallés. Pour obtenir de l aide sur NtdsUtil à n importe quel moment taper «?» NtdsUtil peut être lancé d un des deux contrôleurs, dans notre exemple nous allons prendre l ancien contrôleur «SRV2000», cliquez sur «Démarrer», sur «Exécuter», tapez «cmd» dans la zone Ouvrir, puis validez par «OK». Tapez «ntdsutil», «Entrée», ntdsutil: tapez «roles», fsmo maintenance: tapez «connections», server connections: tapez «connect to server (nom du contrôleur destination ici «SRV2003A»», Liaison à SRV2003A... Connecté à SRV2003A en utilisant les informations d'identification d'un utilisateur connecté localement server connections: tapez «quit». fsmo maintenance: 4.7.4 Transfert maître de schéma A l invite fsmo maintenance: Tapez «transfer schema master» puis confirmez. Page 18 sur 40

4.7.5 Transfert maître d attribution des noms de domaine A l invite fsmo maintenance: Tapez «transfer domain naming master» puis confirmez. 4.7.6 Transfert maître d'émulateur PDC A l invite fsmo maintenance: Tapez «transfer pdc» puis confirmez. 4.7.7 Transfert maître d identificateur relatif ou maître RID A l invite fsmo maintenance: Tapez «transfer rid master» puis confirmez. 4.7.8 Transfert maître d infrastructure A l invite fsmo maintenance: Tapez «transfer infrastructure master» puis confirmez. Tapez «quit» deux fois pour sortir de NtdsUtil. Vous trouverez en annexe toutes les commandes et leurs résultats de cette manipulation. 4.8 Paramétrage du catalogue global Il faut à présent élire en tant que catalogue global le contrôleur «SRV2003A». Allez dans «Outils d administration» puis «Sites et Services Active Directory». Click droit sur «NTDS Settings» du serveur «SRV2003A», puis cliquez sur «Propriétés» et cochez la case «Catalogue Global», puis «OK». Page 19 sur 40

4.9 Paramétrage du serveur de licence Toujours dans la console «Sites et Services Active Directory» Développez «Sites», «Premier-Site-par-defaut», puis double cliquez sur «Licensing Site Settings», puis «Modifier», et rentrez le nom du nouveau contrôleur de domaine, puis enfin validez par «OK». Répliquez à nouveau les connexions manuellement. Page 20 sur 40

4.10 Vérification des rôles Les cinq rôles FSMO sont maintenant attribués au contrôleur de domaine «SRV2003A». Pour vérifier ce qui a été fait jusqu'à maintenant nous allons utiliser le petit utilitaire «Replmon». Cet utilitaire est disponible sur le cd-rom dans :\SUPPORT\TOOLS. Installez cet utilitaire. A la fin de l installation, vous pouvez fermer et ouvrir la session, pour que Windows mette à jour le «PATH». Cliquez sur «Démarrer», «Exécuter» et tapez «Replmon» et «OK». L utilitaire «Replmon» s ouvre. Click sur «Edit», puis «Add Monitored Server» Cliquez sur «Search the directory for the server to add», entrez le nom de domaine, puis sélectionnez le serveur qui nous intéresse, ici «SRV2003A». Click droit sur le nom du serveur «SRV2003A», choisissez «Propriétés» et sélectionnez l onglet «FSMO Roles». Sélectionnez aussi l onglet «Server Flags» et contrôlez les informations. Page 21 sur 40

Page 22 sur 40

Vérifiez l absence d erreur dans les journaux d événements 4.11 Sécurisation du nouveau serveur Parce qu'un système est caractérisé par le niveau de sécurité de son maillon le plus faible, de la même façon qu'une chaîne, la sécurité doit être abordée dans un contexte global. Voici une liste non exhaustive des différents points à réaliser, liste évolutive selon la configuration du système d information. Sauvegarde du serveur : o Le logiciel de sauvegarde étant installé, il faut maintenant le configurer et créer les jobs de sauvegarde. o Identifiez les supports de sauvegarde et les stocker dans un endroit sécurisé. o Ensuite effectuez un test de sauvegarde et de restauration des données. o Effectuez ces tests régulièrement. Désactivez l écran de veille Désactivez tous les services inutilisés. Auditez l ouverture de session Planifiez les mises à jour de sécurités ou prioritaires. Activez les mises à jour dynamiques sécurisées intégrées à Active Directory sur le serveur DNS Utilisez des mots de passe forts Compte Administrateur : o Créez un second compte ayant tous les privilèges de l administrateur o Renommez le compte Administrateur et ne pas l utiliser. (secours) o Créez un compte Administrateur sans aucun droit 4.12 Configuration des postes clients A ce stade, nous pouvons changer le DNS du nouveau contrôleur. La configuration IP est maintenant : SRV2003A : IP : 10.10.10.11 MASQUE : 255.0.0.0 DNS : 10.10.10.11 Il faut migrer sur le nouveau serveur : Les scripts d ouverture, fermeture de session, etc. Les profils utilisateurs. Les différents dossiers utilisateurs et le commun. La nouvelle adresse IP du DNS, etc. C est ce qu on appelle le glissement. Page 23 sur 40

Dans notre exemple de base, l infrastructure réseau utilise l adressage IP statique, nous devons donc passer sur tous les postes clients changer l adresse IP du serveur DNS. L utilisation d un serveur DHCP nous aurait évité d aller sur tous les postes clients avec la gêne des utilisateurs que cela a provoqué. Dans ces conditions nous pouvons en profiter pour installer un serveur DHCP tout en conservant la philosophie de l adressage IP statique. 4.13 Installation d un serveur DHCP Le serveur DHCP (Dynamic Host Configuration Protocol) utilisant le protocole DHCP permet le contrôle centralisé de l adressage IP. Il fournit aux clients DHCP une adresse IP, masque de sous-réseau, passerelle par défaut, un ou plusieurs serveurs DNS, un ou plusieurs serveurs WINS. Faites «Démarrer», «Gérer votre serveur», «Ajouter ou Supprimer un rôle», «Suivant», choisissez «Serveur DHCP», «Suivant», cliquez sur «annuler» pour ne pas utiliser l assistant et «Terminer». Toujours dans «Gérer votre serveur», cliquez «Gérer ce serveur DHCP», dans la console click droit sur «SRV2003A», «Nouvelle étendue», «Suivant», mettez un nom pour l étendue puis «Suivant». Créez une nouvelle étendue dans la plage d adresse IP Début : 10.10.10.1 et Fin : 10.10.10.254, «Suivant», Créez une plage d adresse exclue Début : 10.10.10.1 et Fin : 10.10.10.34, Créez une autre plage d adresse exclue Début : 10.10.10.75 et Fin : 10.10.10.254, Cliquez sur «Suivant», «Suivant», Page 24 sur 40

Configurez les options maintenant : o Adresse du routeur (Passerelle par défaut 10.10.10.254), o Nom de domaine et le ou les serveurs DNS «SRV2003A», «Résoudre», «Ajouter» et «Suivant», o Eventuellement le serveur WINS, «Suivant» et activez cette étendue, «Suivant» et «Terminer». Pour pouvoir utiliser un serveur DHCP dans le domaine, il faut d abord l autoriser dans Active Directory. Click droit sur SRV2003A et «Autoriser», puis redémarrer le serveur DHCP. Le serveur tel qu il est configuré attribuera pour chaque client DHCP une adresse IP dynamique dans une plage de quarante adresses IP c est à dire : de 10.10.10.35 à 10.10.10.74. Avec DHCP nous avons plusieurs moyens d assigner des adresses permanentes aux clients. On peut utiliser le paramètre illimité dans les propriétés de l étendue. On peut aussi réserver des adresses IP par client en la reliant avec l adresse MAC de la carte réseau. On peut visualiser l adresse MAC du poste en tapant la commande «ipconfig /all». On peut aussi la visualiser à travers le réseau en faisant un ping du poste cible par exemple : «ping 10.10.10.35» suivie de la commande «arp a». Pour réserver une adresse IP : Click droit sur «réservations», «Nouvelle réservations» Rentrez le nom de la réservation, l adresse IP du poste, l adresse MAC et la Description, Cliquez sur «Ajouter» pour créer la nouvelle réservation, Puis «Fermer» pour terminer. Page 25 sur 40

On peut noter que si on créé quarante réservations, nous faisons le plein des adresses disponibles. Si un autre poste client fait une demande d attribution d adresse IP, la demande sera refusée. Nous avons alors un fonctionnement quasi similaire à un adressage IP statique mais avec toute la souplesse du serveur DHCP. 4.14 Suppression du contrôleur de domaine Windows 2000 Avant de supprimer notre ancien serveur, notre nouveau serveur 2003 étant finaliser, une sauvegarde du système peut être effectuée. Les configurations IP sont maintenant : SRV2000 : IP : 10.10.10.10 MASQUE : 255.0.0.0 DNS : 10.10.10.11 SRV2003A : IP : 10.10.10.11 MASQUE : 255.0.0.0 DNS : 10.10.10.11 Nous allons maintenant supprimer notre ancien contrôleur de domaine Windows2000 «SRV2000». Pour cela exécutez la commande «Démarrer», «Exécuter», puis tapez «dcpromo» et validez. Ne pas cochez : «Ce serveur est le dernier contrôleur de domaine du domaine», sinon, le domaine Active Directory sera perdu, «Suivant», Page 26 sur 40

Puis tapez le mot de passe du compte Administrateur et «Suivant», Au résumé, faites «Suivant». Active Directory est supprimé et l ordinateur «SRV2000» est maintenant serveur membre du domaine «2lions.local». Cliquez sur «Terminer». Redémarrez le serveur. Click droit sur le poste de travail, «Propriétés». Dans l onglet «Identification réseau», Cliquez sur «Propriété». Sélectionnez «Groupe de travail» et rentrez un nom par exemple WORKGROUP, Validez par OK. Page 27 sur 40

Redémarrez le poste. L ordinateur «SRV2000» ne fait plus partie du domaine «2lions.local». Sur le Serveur 2003, cliquez sur «Démarrer», «Exécuter», dans ouvrir : «dnsmgmt.msc», La console DNS s ouvre. Supprimez toutes traces de «SRV2000» adresse IP 10.10.10.10 dans la zone recherche directe et dans la zone recherche inversée. Dans la console «Utilisateurs et Ordinateurs Active Directory», Page 28 sur 40

Dossier «Computers» supprimez «SRV2000». Dans la console «Sites et Services Active Directory», «Premier-Site-par-defaut», «Servers», supprimez «SRV2000». Nous avons maintenant supprimer toutes les traces et nous pouvons retirer notre ancien Serveur Windows 2000. 5 La télémaintenance La télémaintenance consiste en la maintenance à distance d'un système informatique via un moyen de communication. En informatique, elle consiste à prendre le contrôle d'un ordinateur distant, généralement celui d'un utilisateur en difficulté, via le réseau local ou Internet, afin d'effectuer à distance des opérations sur cet ordinateur. La télémaintenance peut également servir à effectuer les opérations nécessaires au bon fonctionnement du système informatique. L avantage de la télémaintenance est une économie sur les frais de déplacement et permet également une intervention très rapide sur le système d information. Avec la télémaintenance on peut effectuer un diagnostic pour préparer les interventions sur site. Enfin la télémaintenance occupe 20% du temps d un administrateur réseau. On effectue la télémaintenance informatique par le biais de logiciels : Avec le bureau à distance : Au préalable, l option «Autoriser les utilisateurs à se connecter à distance à cet ordinateur» devra être cochée dans les propriétés système (Propriétés du poste de travail) de l ordinateur distant, puis «utilisation à distance». Depuis le poste distant ouvrez l utilitaire connexion à distance en cliquant sur «Démarrer», «Accessoires», «Communications» et «Connexions bureau à distance» Page 29 sur 40

Avec des logiciels tiers comme NtrConnect ou LogMeIn qui sont fonctionnels avec les firewalls et les box de nos fournisseurs internet. Ces deux logiciels sont similaires, dans notre exemple nous allons maintenant installer LogMeIn. L installation de LogMeIN est simple : o Allez sur le site de LogMeIN : https://secure.logmein.com/home.asp o Créez d abord un compte, o Puis «Se connecter avec ce compte», o Cliquez sur «+ ajouter un ordinateur», o Cliquez sur «Installer LogMeIn Free sur cet ordinateur», «Continuer», o «Télécharger maintenant», «Exécuter», o Après le téléchargement cliquez sur «Exécuter», «Suivant», «J accepte», «Suivant» et enfin «Terminer». Page 30 sur 40

L ordinateur est maintenant listé sur la page d accueil lorsque vous êtes authentifié sur le site de LogMeIn. Il suffira de cliquer sur l ordinateur pour prendre son contrôle via l interface de votre navigateur préféré. La connexion et le logiciel sont entièrement sécurisés et il faudra vous authentifier suivant un compte local de l ordinateur distant. On peut mettre une sécurité supplémentaire en désactivant LogMeIn lorsque l on ne l utilise pas: Click droit sur l icône et «Désactiver». On activera ou on désactivera LogMeIn uniquement lors de séance de télémaintenance. 6 Windows Server 2008 Maintenant il me parait intéressant de se projeter sur la nouvelle édition de Windows Server. Aussi, en se basant sur les manipulations précédentes, nous allons voir si elles sont facilement transposables à Windows Server 2008. 6.1 Présentation Windows Server 2008 est sorti le 15 février 2008 et on constate du premier coup d œil que son interface et ses fonctionnalités sont similaires à Windows Vista. Les deux systèmes sont basés sur le même noyau, le noyau Kernel Windows NT version 6.0. Tout comme Vista, Windows Server 2008 demande beaucoup de ressources. La configuration minimale : Processeur à 1GHz 512 Mo de mémoire vive, 4 Go maximum pour les systèmes 32 bits. 8 Go d espace disque La configuration recommandée est un processeur double cœur supérieur à 2 Ghz, de 2Go de mémoire ou plus et 80Go d espace disque ou 40 Go (Installation Server Core) sera nécessaire pour pouvoir exploiter au mieux les fonctionnalités du système. Existant en version 32 bits et 64 bits, Windows Server 2008 sera le dernier système serveur de Microsoft à supporter la plateforme 32 bits. La famille du système d exploitation Windows Server 2008 se compose des versions Standard Edition, Entreprise Edition et Data Center Edition. Page 31 sur 40

6.2 Quelques nouvelles fonctionnalités : Le support du Hot Plug PCI-Express. Le support du remplacement à chaud de la mémoire. Le support de l ajout et du remplacement à chaud des processeurs. Une option d autoréparation des systèmes de fichiers NTFS (Self-Healing) qui permet d optimiser le processus de correction des erreurs NTFS. Une couche réseau IPv6 native et une connectivité sans-fil native. L amélioration du déploiement, des outils de diagnostics, de supervision, de traçabilité des évènements et de rapports. L amélioration de la sécurité avec Bitlocker, ASLR et du pare-feu Windows. Le partitionnement de façon dynamique à l'aide du module Dynamic Hardware Partitioning et Auto-réparation NTFS. Core Serveur Il s'agit probablement de la nouvelle fonctionnalité la plus notable de Windows Server 2008. Au démarrage de Windows Server 2008, on peut choisir une installation minimale de Windows Server avec des fonctionnalités spécifiques et sans les fonctionnalités inutiles. La configuration et la maintenance sont effectuées intégralement au travers de l'interface de ligne de commande Windows, ou en se connectant à distance à la machine en utilisant une console de gestion Microsoft (Microsoft Management Console). Active Directory Active Directory comprend désormais les services d'identité, de certificats et de gestion numérique des droits. Microsoft a radicalement modifié Active Directory en réalignant la fonctionnalité d annuaire et en créant une famille de services apparenté : o Active Directory Domain Services AD DS, o Active Directory Federation Services AD FS, o Active Directory Lightweight Directory Services AD LDS, o Active Directory Certificate Services AD CS o et Active Directory Rights Management Services AD RMS. Un nouveau mode de fonctionnement est apparu, le contrôleurs de domaine en lecture seule RODC(read-only domaine controller). Windows PowerShell Windows PowerShell intègre le shell de ligne de commande et le langage de script pour permettre aux administrateurs de réaliser et d'automatiser plus efficacement les tâches d administrations répétitives. Terminal Services Terminal Services est désormais compatible avec le protocole de bureau à distance en version 6.0 (Remote Desktop Protocol 6.0). Il peut partager une application au travers d'une connexion de bureau à distance, à la place du bureau entier. Page 32 sur 40

6.3 Remplacement du serveur Nous avons la configuration IP suivante : SRV2000 : IP : 10.10.10.10 MASQUE : 255.0.0.0 DNS : 10.10.10.10 SRV2008 : IP : 10.10.10.12 MASQUE : 255.0.0.0 DNS : 10.10.10.10 1. On fait un diagnostic du domaine existant avec la commande «Dcdiag.exe». 2. Vérifiez les journaux d événements et effectuez une sauvegarde du serveur SRV2000. Mise à jour des informations au niveau de la forêt : Sur le CD Windows Server 2008 dans \sources\adprep 3. Tapez la commande «adprep /forestprep», qui doit être exécutée sur le contrôleur de rôle de schéma. Mise à jour des informations au niveau du domaine : 4. Tapez la commande «adprep /domainprep /gpprep», qui doit être exécutée sur le contrôleur de rôle d'infrastructure. Pour cette commande Windows Server 2008 demande que le domaine 2000 soit en natif. 5. Tapez le nouvelle commande Server 2008 «adprep /rodcprep», qui met à jour les autorisations pour activer la réplication des contrôleurs de domaine en lecture seule. Après la préparation du serveur Windows 2000, on passe au serveur Windows 2008 : 6. On effectue ensuite l intégration au domaine en tant que serveur membre du serveur 2008. 7. Tapez «dcpromo» pour installer Active Directory Page 33 sur 40

Page 34 sur 40

Ne pas tenir compte des messages d avertissements. (si étape 5 non effectuée par exemple) Décochez pour cet exemple, le catologue global et Contrôleur de domaine en lecture seule (RODC). 8. Contrôlez la synchronisation d Active Directory dans Sites et services Active Directory. 9. Affichage des rôles en tapant la commande «dcdiag /test:knowsofroleholders /v» Transfert des rôles FSMO: 10. Avec la commande «NtdsUtil», tapez «roles», «connections», puis «connect to server SRV2008, et enfin «quit». A l invite fsmo maintenance: 11. Tapez «transfer schema master» 12. Tapez «transfer domain naming master» 13. Tapez «transfer pdc» 14. Tapez «transfer rid master» 15. Tapez «transfer infrastructure master» (tapez «quit» deux fois pour sortir de NtdsUtil) 16. Allez dans «Outils d administration», «Sites et Services Active Directory», click droit sur «NTDS Settings» du serveur «SRV2008», «Propriétés» et cochez la case «Catalogue Global». 17. Toujours dans la console «Sites et Services Active Directory», puis «Sites», «Premier-Site-par-defaut», double cliquez sur «Licensing Site Settings», «Modifier» et rentrez le nom du nouveau contrôleur de domaine «SRV2008» puis enfin validez par «OK». 18. Répliquez à nouveau les connexions manuellement. («Sites et services Active Directory». Développez «Sites», «Premier-Sites-pardefaut», «Servers», puis les deux serveurs l un après l autre «NTDS Settings». Click droit sur «<généré automatiquement>» puis «répliquer maintenant») 19. Vérification des rôles avec la commande «netdom query fsmo» : Page 35 sur 40

20. Effectuez une sauvegarde système du nouveau serveur. 21. Supprimez l ancien serveur Windows 2000 du domaine avec la commande «Démarrer», «Exécuter» et «dcpromo» et redémarrez. 22. Quittez le domaine en mettant le serveur en groupe de travail et nettoyez les éventuelles dernières traces sur le nouveau serveur 2008 dans «Sites et Services Active Directory». 6.4 Conclusion Pour conclure, le remplacement du serveur Windows 2000 par un serveur Windows 2008 est relativement comparable avec un serveur Windows 2003 vu précédemment. Il faut noter qu il y a eu quelques messages d avertissements à cause, entre autre, de l apparition de la notion de contrôleur de domaine en lecture seule et de nouvelles options dans les fenêtres d installation d Active Directory. Pensez, avant de déployer Windows Server 2008, à planifier l architecture du serveur. Etudiez la configuration logicielle qui sera employée et adaptez la configuration matérielle en conséquence. Page 36 sur 40

7 Annexes 7.1 Résultats de la commande DcDiag 7.2 Résultats de la commande NetDiag C:\Program Files\Support Tools>netdiag... Computer Name: SRV2000 DNS Host Name: srv2000.2lions.local System info : Windows 2000 Server (Build 2195) Processor : x86 Family 15 Model 11 Stepping 1, AuthenticAMD List of installed hotfixes : KB329115 KB822343 Per interface results: Adapter : Connexion au réseau local Page 37 sur 40

Netcard queries test... : Passed Host Name......... : srv2000 IP Address........ : 10.10.10.10 Subnet Mask........ : 255.0.0.0 Default Gateway...... : 10.10.10.254 Primary WINS Server.... : 10.10.10.10 Dns Servers........ : 10.10.10.10 AutoConfiguration results...... : Passed Default gateway test... : Passed NetBT name test...... : Passed WINS service test..... : Passed Global results: Domain membership test...... : Passed NetBT transports test....... : Passed Autonet address test....... : Passed IP loopback ping test....... : Passed Default gateway test....... : Passed NetBT name test.......... : Passed Winsock test........... : Passed DNS test............. : Passed. Redir and Browser test...... : Passed DC discovery test......... : Passed DC list test........... : Passed Trust relationship test...... : Skipped Kerberos test........... : Passed LDAP test............. : Passed Bindings test........... : Passed WAN configuration test...... : Skipped No active remote access connections. Page 38 sur 40

Modem diagnostics test...... : Passed IP Security test......... : Passed 7.3 Commande AdpPrep /forestprep La mise à jour des informations au niveau de la forêt. Doit être exécuté sur le contrôleur de rôle de schéma. /domainprep Met à jour les informations au niveau du domaine. Doit être exécuté sur le contrôleur de rôle d'infrastructure. Doit être exécuté lorsque /forestprep est terminé. /domainprep /gpprep Met à jour les autorisations sur les objets stratégie de groupe dans Active Directory et SYSVOL. Doit être exécuté sur le contrôleur de rôle d'infrastructure. Doit être exécuté lorsque /forestprep est terminé. Options [option] prises en charge : /nofilecopy Adprep ne copiera aucun fichier de la source vers l'ordinateur local. /nospwarning Adprep supprimera l'avertissement demandant Windows 2000 Service Pack 2 lors de l'opération /forestprep. 7.4 commande NtdsUtil? Authoritative restore - Imprime ces informations d'aide - Restauration faisant autorité de la base de données DIT - Préparer la création d'un nouveau domaine - Gère les fichiers de base de données NTDS - Imprime ces informations d'aide - Gestion de la liste de refus LDAP IP - Gérer les stratégies de protocole LDAP - Nettoyer les objets des serveurs désaffectés - Activez ou désactivez les messages avec "on" ou Domain management Files Help IPDeny List LDAP policies Metadata cleanup Popups %s "off" Quit - Quitter l'utilitaire Roles - Gérer les jetons du propriétaire du rôle NTDS Security account management - Gérer la base de données de comptes de sécurité - Dupliquer le nettoyage SID Semantic database analysis - Vérificateur sémantique Page 39 sur 40

7.5 Résultats du transfert des rôles avec NtdsUtil Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\Documents and Settings\Administrateur>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server SRV2003A Liaison à SRV2003A... Connecté à SRV2003A en utilisant les informations d'identification d'un utilisat eur connecté localement server connections: quit, fsmo maintenance: transfer schema master Le serveur "SRV2003A" est informé de 5 rôles Schéma - CN=NTDS Settings,CN=SRV2003A,CN=Servers,CN=Premier-Site-pardefaut,CN=Sites,CN=Configuration,DC=2lions,DC=local Domaine - CN=NTDS Settings,CN=SRV2000,CN=Servers,CN=Premier-Site-pardefaut,CN=Sites,CN=Configuration,DC=2lions,DC=local PDC - CN=NTDS Settings,CN=SRV2000,CN=Servers,CN=Premier-Site-pardefaut,CN=Sites,CN=Configuration,DC=2lions,DC=local RID - CN=NTDS Settings,CN=SRV2000,CN=Servers,CN=Premier-Site-pardefaut,CN=Sites,CN=Configuration,DC=2lions,DC=local Infrastructure - CN=NTDS Settings,CN=SRV2000,CN=Servers,CN=Premier-Site-par-defa ut,cn=sites,cn=configuration,dc=2lions,dc=local Ainsi de suite pour les trois autres rôles et enfin fsmo maintenance: transfer infrastructure master Le serveur "srv2003a" est informé de 5 rôles Schéma - CN=NTDS Settings,CN=SRV2003A,CN=Servers,CN=Premier-Site-pardefaut,CN=Sites,CN=Configuration,DC=2lions,DC=local Domaine - CN=NTDS Settings,CN=SRV2003A,CN=Servers,CN=Premier-Site-pardefaut,CN=Sites,CN=Configuration,DC=2lions,DC=local PDC - CN=NTDS Settings,CN=SRV2003A,CN=Servers,CN=Premier-Site-pardefaut,CN=Sites,CN=Configuration,DC=2lions,DC=local RID - CN=NTDS Settings,CN=SRV2003A,CN=Servers,CN=Premier-Site-pardefaut,CN=Sites,CN=Configuration,DC=2lions,DC=local Infrastructure - CN=NTDS Settings,CN=SRV2003A,CN=Servers,CN=Premier-Site-par-def aut,cn=sites,cn=configuration,dc=2lions,dc=local fsmo maintenance: quit ntdsutil: quit Déconnexion de SRV2003A... Page 40 sur 40