Site perso d'un administrateur d'infrastructures sécurisées

Catégorie : Exploiter des serveurs Windows et un domaine ActiveDirectory

Déployer un OS via Windows WDS : la fiche synthétique

Le déploiement d’une image de système d’exploitation (OS) à l’aide de Windows Deployment Services (WDS) implique plusieurs étapes clés. Voici un guide étape par étape pour déployer un « master » ou une image de référence avec WDS :

Prérequis

  1. Serveur WDS : Assurez-vous d’avoir un serveur avec Windows Server installé, et que le rôle WDS est activé.
  2. Réseau : Le serveur doit être correctement configuré dans votre réseau et capable de communiquer avec les clients.
  3. Image de Référence : Créez une image de référence (également appelée image de master) en utilisant un outil tel que Sysprep pour généraliser l’OS.

Étape 1 : Installation et Configuration de WDS

  1. Installer le Rôle WDS :
    • Sur votre serveur Windows, utilisez le Gestionnaire de serveur pour ajouter le rôle WDS.
  2. Configurer WDS :
    • Après l’installation, lancez le service WDS et configurez-le en utilisant l’Assistant Configuration WDS.

Étape 2 : Préparation de l’Image de Référence

  1. Installer Windows sur un PC de Référence :
    • Installez l’OS désiré sur un PC qui servira de modèle.
  2. Personnaliser l’Installation :
    • Installez les applications nécessaires, configurez les paramètres, et effectuez les mises à jour.
  3. Généraliser avec Sysprep :
    • Utilisez Sysprep pour préparer l’image. Cela supprimera toutes les informations spécifiques à l’ordinateur, comme l’ID de sécurité (SID).

Étape 3 : Capture de l’Image de Référence

  1. Démarrer l’Ordinateur de Référence en PXE :
    • Redémarrez le PC de référence et démarrez-le via le réseau (PXE).
  2. Connecter au Serveur WDS :
    • Suivez les instructions à l’écran pour se connecter au serveur WDS.
  3. Capturer l’Image :
    • Sélectionnez l’option pour capturer l’image du PC de référence.

Étape 4 : Ajout de l’Image au Serveur WDS

  1. Sauvegarder l’Image sur le Serveur :
    • Enregistrez l’image capturée sur le serveur WDS.
  2. Ajouter l’Image à WDS :
    • Utilisez la console WDS pour ajouter l’image capturée à votre liste d’images de démarrage et d’installation.

Étape 5 : Déploiement de l’Image sur des Clients

  1. Démarrage des Clients en PXE :
    • Configurez les PC clients pour démarrer via le réseau (PXE).
  2. Se Connecter au Serveur WDS :
    • Les clients devraient détecter automatiquement le serveur WDS et afficher les options de déploiement.
  3. Déployer l’Image :
    • Sélectionnez l’image de référence sur les clients et suivez les instructions pour l’installer.

Conseils et Meilleures Pratiques

  • Testez l’Image de Référence : Avant de capturer l’image, assurez-vous qu’elle fonctionne comme prévu sur le PC de référence.
  • Documentation : Gardez une documentation détaillée des étapes de personnalisation et de préparation de l’image de référence.
  • Sauvegardes : Assurez-vous d’avoir des sauvegardes appropriées avant de commencer le déploiement.
  • Mises à Jour : Vérifiez les mises à jour de Windows Server et de WDS pour s’assurer que tout est à jour.

NB à propos des ports & protocoles utilisés

Lors de la capture et du déploiement d’une image en utilisant Windows Deployment Services (WDS), plusieurs ports réseau sont utilisés pour différentes fonctions. Il est crucial de s’assurer que ces ports sont correctement configurés et ouverts dans votre pare-feu pour permettre un fonctionnement sans problème de WDS. Voici les principaux ports utilisés :

Pour le Démarrage PXE (Preboot Execution Environment)

  • UDP 67 et 68 : Ces ports sont utilisés par le protocole DHCP. Le port 67 est utilisé par le serveur DHCP pour écouter les requêtes des clients, et le port 68 est utilisé par les clients pour recevoir les réponses du serveur DHCP. Dans un environnement WDS, le serveur DHCP joue un rôle essentiel dans le démarrage PXE des clients.

Pour le Transfert de Fichiers TFTP (Trivial File Transfer Protocol)

  • UDP 69 : Ce port est utilisé par le TFTP, un protocole simple pour le transfert de fichiers sans authentification. WDS utilise TFTP pour transférer les fichiers d’initialisation nécessaires au démarrage PXE des clients.

Pour la Communication avec le Serveur WDS

  • UDP 4011 : Si votre serveur DHCP est séparé du serveur WDS, ou si vous utilisez DHCP sans options 60 configurées, le port UDP 4011 est utilisé pour le transfert de fichiers PXE.

Ports Additionnels pour la Fonctionnalité Multicast

  • UDP 64001 à 64004 : Ces ports sont utilisés pour le trafic multicast. Le multicast est une méthode efficace pour déployer une image sur plusieurs ordinateurs simultanément. Ces ports peuvent être nécessaires si vous utilisez la diffusion en continu multicast pour le déploiement de vos images.

Ce processus vous permettra de déployer efficacement des installations Windows personnalisées sur plusieurs machines, ce qui est particulièrement utile dans les environnements d’entreprise ou éducatifs (écoles, centres de formation…).

Synthèse pour le déploiement d’un serveur RDS

Voici une synthèse concise de la procédure d’installation d’un serveur RDS :

Prérequis :

  • Deux serveurs sous Windows Server 2019 : un pour ADDS/DNS/DHCP, l’autre pour RDS.
  • Serveurs dans le même domaine, avec adresses IP fixes et noms distincts.
  • Mises à jour uniformes sur les deux serveurs.
  • Un poste client Windows 10 dans le domaine.

Installation de RDS :

  1. Configurez le serveur RDS avec une IP fixe, un nom de machine, intégrez-le au domaine et vérifiez qu’il n’y a pas de mises à jour ou de redémarrages en attente.
  2. Allez dans « Gérer » > « Ajouter des rôles et fonctionnalités ».
  3. Sélectionnez « Installation des services Bureau à distance » et suivez l’assistant.
  4. Optez pour le « Démarrage rapide » et « Déploiement de bureaux basés sur une session ».
  5. Sélectionnez le serveur où installer RDS et autorisez le redémarrage automatique si nécessaire.
  6. Patientez pendant l’installation des services RDS.
  7. Prenez note de l’URL affichée pour la configuration future du RemoteApp.
  8. Accédez aux « Services de bureau à distance » et configurez le « Gestionnaire de licences ».
  9. Dans « Tâches », allez dans « Modifier les paramètres de déploiement » et réglez la gestion des licences sur « Par utilisateur ».
  10. Sur un poste client Windows 10, accédez à l’URL notée pour se connecter au serveur RDS.

Post-installation :

  • Ignorez l’avertissement de sécurité du certificat non signé.
  • Connectez-vous avec vos identifiants lorsque la page de connexion apparaît.

Votre serveur RDS est désormais opérationnel et prêt pour les connexions distantes.

Ressources supplémentaires intéressantes :

https://www.it-connect.fr/deploiement-rapide-dun-serveur-rds-avec-windows-server-2016/

Active Directory – Quelles sont les différences entre l’étendue de groupe « Domaine local » « global » et « universelle » ?

Dans les environnements Active Directory de Microsoft Windows, les étendues de groupe déterminent la portée dans laquelle le groupe peut être utilisé et où les informations d’appartenance au groupe sont répliquées. Il existe trois étendues de groupes principales :

  1. Domain Local Groups (Groupes de domaine local) :
    • Utilisation : Ils sont principalement utilisés pour attribuer des autorisations à des ressources se trouvant dans le même domaine que le groupe de domaine local.
    • Réplication : Les informations d’appartenance à ces groupes sont stockées uniquement dans le domaine où le groupe a été créé.
    • Membres : Ils peuvent contenir des comptes d’utilisateurs, des comptes d’ordinateurs, d’autres groupes de domaine local du même domaine, des groupes globaux de n’importe quel domaine et des groupes universels.
  2. Global Groups (Groupes globaux) :
    • Utilisation : Ils sont utilisés pour organiser les utilisateurs qui partagent des autorisations similaires dans le même ou différents domaines.
    • Réplication : Les informations d’appartenance aux groupes globaux sont répliquées dans tout le domaine et dans tous les domaines faisant confiance au domaine où le groupe global a été créé.
    • Membres : Ils peuvent contenir des comptes d’utilisateurs et des comptes d’ordinateurs uniquement du domaine où le groupe a été créé. Les groupes globaux peuvent être membres de groupes de domaine local ou d’autres groupes globaux (mais uniquement dans leur propre domaine).
  3. Universal Groups (Groupes universels) :
    • Utilisation : Ils sont utilisés dans des configurations de forêt étendues pour accorder des autorisations sur une large étendue. Les groupes universels sont parfaits pour les environnements multi-domaines où les autorisations doivent être accordées à travers la forêt.
    • Réplication : Les informations d’appartenance aux groupes universels sont répliquées dans toute la forêt.
    • Membres : Ils peuvent contenir des comptes d’utilisateurs, des comptes d’ordinateurs, des groupes globaux et d’autres groupes universels de n’importe quel domaine au sein de la forêt Active Directory.

Le choix de l’étendue de groupe dépend de la structure de l’organisation, de la nécessité de traverser les frontières des domaines et de la forêt, et des considérations de réplication et de performance.

Les groupes de domaine local offrent une stratégie d’autorisation flexible au niveau du domaine, les groupes globaux sont utiles pour structurer les utilisateurs et les ressources au sein d’un domaine, et les groupes universels sont efficaces pour les autorisations dans des environnements de forêt complexes.

Ajouter un disque dur manuellement sur Windows Server 2019

Sur Windows Server dans une VM Virtualbox, j’ai ajouté un disque dur, suivi la procédure pour l’ajouter depuis le gestionnaire de disque proposé par l’utilitaire de Windows Server. A la fin de la procédure, il apparait bien dans « Gestion du disque » mais je ne le vois pas dans l’explorateur. Pourquoi et comment remédier au problème ?

On voit bien le volume dans le gestionnaire :

Mais il n’apparait pas dans l’explorateur :

Quelle pourrait être la raison ? Et comment y remédier ?

Résoudre le problème d’affectation de lettre du gestionnaire de volumes

En l’occurence, une chose m’a mis la puce à l’oreille : malgré le fait que je lui ai affecté une lettre (E:), il semblerait que cette lettre n’a en réalité pas été affectée :

Il doit surement s’agir d’un bug relatif à l’utilitaire de gestion de volumes. Pour résoudre le problème, on peut gérer ça manuellement via l’invite de commande de windows et l’utilitaire diskpart :

En résumé voici les commandes à réaliser :

C:\Users\Administrateur>diskpart

Microsoft DiskPart version 10.0.17763.1911

Copyright (C) Microsoft Corporation.
Sur l’ordinateur : WINDEPLOYFOG

DISKPART> list volume

  N° volume   Ltr  Nom          Fs     Type        Taille   Statut     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     D                       CD-ROM          0 o  0 média
  Volume 1         Réservé au   NTFS   Partition    549 M   Sain       Système
  Volume 2     C                NTFS   Partition     89 G   Sain       Démarrag
  Volume 3         Nouveau vol  NTFS   Partition     19 G   Sain

DISKPART> select volume 3

Le volume 3 est le volume sélectionné.

DISKPART> assign letter=E

DiskPart a correctement assigné la lettre de lecteur ou le point de montage.

DISKPART> Exit

De retour dans l’explorateur de fichier, le disque apparaît bien désormais :

Petit topo sur Diskpart (tant qu’à faire)

Diskpart est un outil en ligne de commande inclus dans de nombreuses versions de Windows, y compris Windows Server. Il est utilisé pour gérer les disques, les partitions et les volumes stockés sur un ordinateur ou dans une machine virtuelle. Voici quelques-unes de ses fonctionnalités :

  • Initialisation des disques : Diskpart peut être utilisé pour initialiser un disque dur ou SSD nouvellement installé afin qu’il puisse être utilisé par le système d’exploitation.
  • Création et suppression de partitions : Avec diskpart, vous pouvez créer de nouvelles partitions sur un disque, les étendre, les réduire ou les supprimer.
  • Formatage des volumes : Diskpart permet de formater des partitions avec un système de fichiers donné, tel que NTFS ou FAT32.
  • Attribution et suppression de lettres de lecteur : Vous pouvez assigner, modifier ou supprimer des lettres de lecteur pour les différents volumes de votre système.
  • Nettoyage des disques : Diskpart a une commande clean qui efface toutes les configurations de partition sur un disque sélectionné.

Pour l’utiliser, vous ouvrez une invite de commande avec des privilèges élevés (c’est-à-dire en tant qu’administrateur) et vous tapez diskpart. Une fois dans l’outil diskpart, vous disposez d’une interface en ligne de commande spécifique où vous pouvez entrer diverses commandes pour gérer vos disques.

Il est important de noter que diskpart est un outil puissant et que l’utilisation de certaines de ses commandes peut entraîner la perte de données si elles ne sont pas utilisées avec précaution. Il est donc conseillé de s’assurer que vous avez des sauvegardes de vos données avant de l’utiliser pour modifier les partitions de disque.

La solution plus simple : utiliser l’utilitaire de base d’ajout de disque de Windows

Aller dans « Gestion des disques »

Sélectionner le disque nouvellement ajouté qui apparait en noir

Clic droit -> Nouveau volume simple

Suivre la procédure, lui affecter un nom et tadaam tout fonctionne directement :

Quelques rappels sur la gestion des utilisateurs d’un annuaire Active Directory

Voici un pense-bête sur l’utilisation basique d’un annuaire Active Directory. Je mettrais quelques pratiques avancée un peu plus tard !

Création et Gestion des Utilisateurs

  1. Ouvrez « Outils » -> « Utilisateurs et Ordinateurs Active Directory »(souvent désigné comme ADUC en anglais)
  2. Naviguez vers le conteneur ou l’unité d’organisation (OU) approprié.
  3. Cliquez avec le bouton droit et sélectionnez « Nouveau » > « Utilisateur ».
  4. Remplissez les informations obligatoires et cliquez sur « Suivant ».
  5. Définissez le mot de passe et choisissez les options de mot de passe (doit changer au prochain ouvrage, ne peut pas changer, ne jamais expirer, etc.).
  6. Revoyez les informations et cliquez sur « Terminer ».

Gestion des Groupes :

  1. Dans ADUC, naviguez vers l’OU appropriée pour les groupes.
  2. Cliquez avec le bouton droit et sélectionnez « Nouveau » > « Groupe ».
  3. Entrez le nom du groupe, sélectionnez le type et l’étendue du groupe, puis cliquez sur « OK ».
  4. Pour ajouter des utilisateurs, ouvrez les propriétés du groupe et allez à l’onglet « Membres ».

Restrictions d’Accès :

  • Restreindre les heures d’accès :
    1. Ouvrez les propriétés d’un compte utilisateur.
    2. Allez à l’onglet « Comptes ».
    3. Cliquez sur « Horaires d’accès » et définissez les heures autorisées.
  • Gestion du partage :
    1. Faites un clic droit sur un dossier partagé et sélectionnez « Propriétés« .
    2. Allez à l’onglet « Sécurité« .
    3. Modifiez les listes pour contrôler l’accès utilisateur.
  • Limite de stockage :
    1. Ouvrez « Gestion du disque » sur le serveur où les dossiers partagés résident.
    2. Cliquez avec le bouton droit sur le volume, sélectionnez « Propriétés » > « Quota« .
    3. Configurez les paramètres de quota et appliquez-les aux utilisateurs ou groupes.

Ensuite cliquer sur « Entrées de quota » puis définir la limite autorisée pour chaque utilisateur :

Fiche de révision PowerShell

Voici un petit résumé des commandes & syntaxe de Powershell.

Pour rappel l’IDE de PowerShell est PowerShell ISE

# Déclaration de variables
$a = 5
$b = 10

# Opérations mathématiques
$sum = $a + $b
Write-Output "La somme de $a et $b est : $sum"

# Structures de contrôle
if ($a -lt $b) {
    Write-Output "$a est inférieur à $b"
} else {
    Write-Output "$a est supérieur ou égal à $b"
}

# Boucles
for ($i = 0; $i -lt 5; $i++) {
    Write-Output "Valeur de i : $i"
}

# Tableaux
$colors = @("Rouge", "Vert", "Bleu")
foreach ($color in $colors) {
    Write-Output "Couleur : $color"
}

# Fonctions
function Multiply($x, $y) {
    return $x * $y
}

$result = Multiply $a $b
Write-Output "Le produit de $a et $b est : $result"

# Utilisation de pipelines et cmdlets
Get-Process | Where-Object { $_.CPU -gt 20 } | Select-Object -First 5 | Format-Table -AutoSize

Vous pouvez nommer le script en utilisant une extension .ps1, qui est l’extension standard pour les scripts PowerShell. Par exemple, vous pouvez le nommer DemoScript.ps1.

Pour exécuter le script, naviguez vers le dossier où vous avez enregistré le script et exécutez-le avec la commande :

.\DemoScript.ps1

Focus sur les cmdlets

Les cmdlets sont les éléments de base des commandes dans PowerShell. Ce sont des petites unités de fonctionnalité qui encapsulent une opération spécifique. Les cmdlets sont conçus pour être utilisés en combinaison les uns avec les autres pour accomplir des tâches complexes grâce à des pipelines.

Chaque cmdlet est généralement nommé en utilisant une convention de « Verbe-Nom », où le verbe décrit l’action que la cmdlet effectue, et le nom décrit l’objet sur lequel l’action est effectuée. Par exemple, Get-Process récupère des informations sur les processus en cours d’exécution sur un ordinateur.

Voici quelques exemples de ce que vous pouvez faire avec des cmdlets :

Gérer des fichiers et des répertoires :

Get-ChildItem
New-Item
Remove-Item
Copy-Item
Move-Item

Gérer des processus :

Get-Process
Start-Process
Stop-Process

Gérer des services :

Get-Service
Start-Service
Stop-Service
Set-Service

Gérer des évènements :

Get-EventLog
Get-EventSubscriber
Register-ObjectEvent

Quelques exemples de Pipelines

Ces exemples montrent comment combiner différentes cmdlets pour accomplir une variété de tâches en utilisant des pipelines.

  1. Lister les fichiers d’un répertoire et trier par taille :
Get-ChildItem | Sort-Object Length -Descending | Format-Table -AutoSize
  1. Chercher tous les processus utilisant plus de 50 Mo de mémoire :
Get-Process | Where-Object { $_.WorkingSet -gt 50MB } | Format-Table -AutoSize
  1. Compter le nombre de fichiers dans un répertoire :
(Get-ChildItem).Count
  1. Lister les 5 fichiers les plus récents d’un répertoire :
Get-ChildItem | Sort-Object LastWriteTime -Descending | Select-Object -First 5 | Format-Table -AutoSize
  1. Afficher le contenu d’un fichier texte et compter le nombre de lignes :
Get-Content .\fichier.txt | Measure-Object -Lin

Pense-bête – Installer et configurer WSUS

WSUS (Windows Server Update Services) est un service qui permet aux administrateurs de déployer des mises à jour Windows à partir d’un serveur local plutôt que de laisser chaque client se connecter à Windows Update sur Internet. Cela permet de gagner en bande passante, d’assurer la conformité et d’effectuer des tests avant le déploiement.

Voici un guide étape par étape pour installer et configurer WSUS sur un serveur Windows Server 2019 :

  1. Préparation du serveur :
    • Assurez-vous que votre serveur dispose d’un accès Internet pour télécharger les mises à jour.
    • Prévoyez suffisamment d’espace disque. Les mises à jour peuvent prendre beaucoup d’espace, selon les produits que vous souhaitez mettre à jour.
  2. Installation de WSUS :
    • Ouvrez le Gestionnaire de serveur.
    • Dans le volet de droite, cliquez sur Ajouter des rôles et des fonctionnalités.
    • Suivez l’assistant. Lorsque vous arrivez à la page Rôles de serveur, cochez Services de mise à jour Windows Server (WSUS).
    • Dans les fonctionnalités associées, laissez les options par défaut ou ajustez-les selon vos besoins.
    • Poursuivez l’installation.
  3. Configuration de WSUS :
    • Après l’installation, ouvrez la console WSUS depuis le Gestionnaire de serveur.
    • Suivez l’assistant de configuration.
      • Sélectionnez si vous souhaitez conserver les mises à jour par défaut ou les déplacer vers un autre emplacement.
      • Configurez votre proxy si nécessaire.
      • Choisissez de synchroniser à partir de Windows Update ou d’un autre serveur WSUS.
      • Choisissez les langues des mises à jour.
      • Sélectionnez les produits que vous souhaitez mettre à jour (par exemple, Windows 10, Windows Server 2019, etc.).
      • Choisissez les types de mises à jour que vous souhaitez (par exemple, Mises à jour de sécurité, Mises à jour critiques, etc.).
      • Configurez l’horaire de synchronisation.
  4. Approuver et déployer les mises à jour :
    • Une fois la synchronisation terminée, vous pouvez voir les mises à jour disponibles.
    • Vous pouvez approuver les mises à jour pour qu’elles soient téléchargées et déployées sur vos clients.
  5. Configurer les clients pour utiliser WSUS :
    • Cela se fait généralement à l’aide d’une stratégie de groupe (GPO).
      • Ouvrez la Gestion des stratégies de groupe.
      • Créez ou modifiez une GPO pour les ordinateurs que vous souhaitez cibler.
      • Naviguez jusqu’à Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Update.
      • Configurez au moins les paramètres Configurer le service de mise à jour et Spécifier l'emplacement du service de mise à jour Windows.

Ainsi, vos clients se connecteront au serveur WSUS pour leurs mises à jour. N’oubliez pas de surveiller régulièrement WSUS pour approuver les nouvelles mises à jour et vérifier l’état des déploiements.

A quoi sert une unité d’organisation, comment créer un utilisateur et l’attacher à un groupe

Une Unité d’Organisation (OU, pour « Organizational Unit » en anglais) est un composant de l’annuaire Active Directory (AD) de Microsoft qui offre une structure de hiérarchie permettant d’organiser les objets. En gros, elle fonctionne comme un « dossier » dans lequel vous pouvez placer des objets tels que des utilisateurs, des groupes, des ordinateurs, et d’autres OUs. Cela permet une meilleure organisation et administration.

Avantages des OUs:

  1. Délégation administrative: Vous pouvez déléguer l’administration à des niveaux différents. Par exemple, donner à quelqu’un les droits administratifs seulement sur une OU spécifique sans lui donner des droits sur tout le domaine.
  2. Application des stratégies de groupe (GPO): Les OUs permettent d’appliquer des stratégies à des niveaux spécifiques. Si vous voulez qu’une politique s’applique uniquement à un département spécifique, vous pouvez créer une OU pour ce département et y lier la GPO.
  3. Organisation: Simplement pour une meilleure structure et visibilité. Cela permet de facilement identifier et localiser des objets dans AD.

Pour l’exemple, nous allons créer 2 OU :

  • Une OU « Groupe » qui permettra de gérer des stratégies de groupe
  • Une OU « Utilisateurs » pour créer nos différents comptes utilisateurs qui seront attachés à des groupes distincts.

Comment créer une Unité d’Organisation:

1. Ouvrez « Outils d’administration » (Administrative Tools), puis cliquez sur « Utilisateurs et ordinateurs Active Directory » (Active Directory Users and Computers).

2. Dans le volet de gauche, naviguez jusqu’au domaine ou à l’OU parente où vous souhaitez ajouter votre nouvelle OU.

3. Cliquez avec le bouton droit sur le domaine ou l’OU parente, puis sélectionnez Nouveau > Unité d'organisation.

4. Donnez un nom à votre OU (créez « Groupes » et « Utilisateurs ») et configurez les autres options comme vous le souhaitez (par exemple, pour protéger l’OU contre la suppression accidentelle).

Gérer les Unités d’Organisation

Une fois l’OU créée, vous pouvez y ajouter des groupes ; par exemple le groupe « Administratif »

Une fois le groupe créé, vous pouvez ajouter des utilisateurs qui pourront y être attachés :

Associer un utilisateur à un groupe

Une fois l’utilisateur et le groupe créés, nous allons les associer : dans « Utilisateurs », faites un clic droit sur l’utilisateur créé puis « Ajouter à un groupe »

Il suffit de commencer à taper le nom du groupe dans lequel on veut associer l’utilisateur puis cliquer sur « Vérifier les noms » pour le trouver rapidement :

On peut constater que l’utilisateur fait bien partie du groupe en vérifiant ses propriétés :

On peut également définir quelques règles le concernant, comme par exemple limiter sa durée de vie :

Créer un serveur DNS avec Windows Server 2019

1. Installer le rôle DNS:

Ouvrez le Gestionnaire de serveur.

Dans le volet gauche, cliquez sur Gérer et sélectionnez Ajouter des rôles et des fonctionnalités.

Cliquez sur Suivant jusqu’à la section Rôles.

Sélectionnez Serveur DNS.

Cliquez sur Suivant et terminez l’installation.

2. Configurer le serveur DNS:

Après l’installation du rôle DNS:

Dans le Gestionnaire de serveur, allez à Outils et sélectionnez DNS.

Dans le volet gauche, vous verrez votre serveur. Si vous l’expandez, vous devriez voir une zone correspondant à votre domaine AD DS.

Vérifiez que tous les enregistrements nécessaires pour AD DS sont présents (SRV, A, CNAME, etc.).

3. Modifier les paramètres DNS de votre serveur:

Allez dans les Propriétés de la connexion au réseau de votre serveur.

Configurez l’adresse IP de votre serveur comme son propre serveur DNS primaire.

4. Configurer la zone de recherche inversée

1. Ouvrir la console DNS:

Sur votre serveur Windows, ouvrez le Gestionnaire de serveur.

Dans le volet gauche, cliquez sur Outils puis sélectionnez DNS.

2. Lancer l’assistant de nouvelle zone:

Dans le volet gauche de la console DNS, développez le nom de votre serveur.

Faites un clic droit sur Zones de recherche inversée, puis sélectionnez Nouvelle zone….

3. Suivre l’assistant de création :

Cliquez sur Suivant sur la page d’introduction.

Type de zone : Choisissez Zone principale. Cliquez sur Suivant.

Réplication : Sélectionnez le type de réplication qui répond le mieux à vos besoins. Dans la plupart des cas, « À tous les contrôleurs de domaine dans le domaine AD » est une option courante. Cliquez sur Suivant.

Type de zone de recherche inversée : Sélectionnez IPv4 ou IPv6 en fonction de votre besoin. Pour cet exemple, choisissez IPv4. Cliquez sur Suivant.

Nom de la zone de recherche inversée : Saisissez la partie réseau de votre adresse IP. Par exemple, pour le réseau 10.0.2.0/24, saisissez 192.168.2. Cliquez sur Suivant.

Mises à jour dynamiques : Sélectionnez si vous souhaitez autoriser les mises à jour dynamiques. Dans un environnement AD, « Autoriser uniquement les mises à jour dynamiques sécurisées » est souvent recommandé. Cliquez sur Suivant.

Vérifiez le résumé et cliquez sur Terminer.

4. Ajouter des enregistrements PTR (si nécessaire) :

Une fois la zone de recherche inversée créée, vous pouvez y ajouter manuellement des enregistrements PTR ou les laisser être ajoutés dynamiquement si les mises à jour dynamiques sont activées.

5. Vérification:

Après avoir configuré DNS, il est bon de vérifier que tout fonctionne correctement:

  • Ouvrez une invite de commandes.
  • Utilisez la commande nslookup pour vérifier que votre domaine est résolu correctement.
  • Vous pouvez également utiliser dcdiag pour vérifier la santé de votre contrôleur de domaine et des services associés.

Gardez à l’esprit que le fait d’avoir un DNS bien configuré est crucial pour le bon fonctionnement d’Active Directory. Si vous avez des problèmes ou des doutes, il serait peut-être préférable de consulter des ressources supplémentaires ou d’obtenir de l’aide d’un expert en la matière.

En cas de pépin…

Voici quelques étapes pour diagnostiquer et peut-être résoudre le problème:

  1. Vérifiez la configuration de votre DNS :
    • Ouvrez les propriétés de votre connexion réseau et vérifiez si les adresses DNS sont correctement configurées.
    • Assurez-vous que votre serveur DNS fonctionne correctement s’il s’agit d’un DNS local.
  2. Utilisez nslookup avec un serveur DNS spécifié :
    • Essayez d’utiliser un serveur DNS public comme celui de Google: nslookup [domaine] 8.8.8.8. Si cela fonctionne, cela peut indiquer un problème avec votre serveur DNS local ou votre configuration DNS.
  3. Vérifiez la configuration du serveur DNS local :
    • Si vous exécutez un serveur DNS local, assurez-vous qu’il est correctement configuré et qu’il peut résoudre les noms externes.
  4. Testez la résolution de nom inversé :
    • Si vous avez accès au serveur DNS, assurez-vous que la résolution de nom inversé est configurée pour l’adresse IP du serveur DNS.
  5. Désactivez temporairement IPv6 :
    • Si vous n’utilisez pas activement IPv6, essayez de le désactiver temporairement pour voir si le problème persiste avec IPv4.
  6. Recherchez d’éventuelles configurations personnalisées :
    • Si vous utilisez un fichier hosts personnalisé ou si vous avez des règles spécifiques de pare-feu ou de routeur, vérifiez qu’ils n’interfèrent pas avec la résolution DNS.
  7. Redémarrez le service DNS (si vous utilisez un serveur DNS local) ou redémarrez votre ordinateur.
  8. Consultez les journaux :
    • Si vous avez accès au serveur DNS, consultez les journaux pour d’éventuels messages d’erreur ou d’avertissement.

Déployer un serveur Active Directory sur Windows Server 2019

Installer et configurer un annuaire Active Directory (AD DS) sur Windows Server 2019 est une tâche fondamentale pour tout administrateur réseau.

Voici les étapes principales pour y parvenir:

1. Prérequis :

  • Assurez-vous d’avoir un Windows Server 2019 installé.
  • Configurez une adresse IP statique pour le serveur.
  • Assurez-vous que le serveur dispose d’un nom unique dans votre réseau.

2. Installer le rôle AD DS:

  • Ouvrez le Gestionnaire de serveur.
  • Dans le volet gauche, cliquez sur Gérer et sélectionnez Ajouter des rôles et des fonctionnalités.
  • Cliquez sur Suivant jusqu’à ce que vous arriviez à la section Rôles.
  • Sélectionnez Services AD DS.
  • L’Assistant vous demandera d’ajouter des fonctionnalités supplémentaires nécessaires pour AD DS. Acceptez en cliquant sur Ajouter des fonctionnalités.
  • Cliquez sur Suivant et terminez l’installation.

3. Configurer AD DS:

Après l’installation, un avertissement apparaîtra dans le Gestionnaire de serveur vous invitant à promouvoir le serveur en contrôleur de domaine.

1. Cliquez sur l’icône d’avertissement et sélectionnez Promouvoir ce serveur en contrôleur de domaine.

2. Choisissez Ajouter une nouvelle forêt et donnez un nom à votre domaine (par exemple, mondomaine.local).

3. Cliquez sur Suivant.

4. Définissez un mot de passe pour le mode de restauration des services d’annuaire. Notez-le, il est crucial en cas de restauration nécessaire.

5. Suivez l’assistant et laissez les options par défaut :

6. L’assistant vérifiera les prérequis et vous permettra d’installer. L’installation peut prendre un certain temps.

7. Une fois terminé, le serveur redémarrera.

4. Vérifier l’installation:

1. Connectez-vous à votre serveur avec un compte doté de privilèges d’administrateur. Vous devriez voir le domaine apparaitre :

2. Ouvrez le Gestionnaire de serveur.

3. Dans le volet gauche, cliquez sur Outils et sélectionnez Utilisateurs et ordinateurs Active Directory.

4. Vous devriez voir votre domaine et être capable de créer des unités d’organisation, des utilisateurs, des groupes, etc.

Bonnes pratiques pour une infrastructure Active Directory sécurisée et efficace

Lors de la mise en place et de la gestion d’une infrastructure Active Directory (AD), il est essentiel de suivre des pratiques recommandées pour garantir la sécurité, la fiabilité et l’efficacité de votre environnement. Voici un guide organisé et enrichi pour vous aider :

1. Sécurité des Comptes et des Informations d’identification :

  • Renommer l’administrateur de domaine : Le nom d’administrateur de domaine par défaut est souvent ciblé. Modifiez-le en un nom distinctif, comme AdminContosoAD.
  • Utiliser des mots de passe forts : Que ce soit pour l’administrateur de domaine ou pour tous les autres utilisateurs, respectez des critères de complexité élevés pour les mots de passe.
  • Informations d’identification spécifiques pour l’équipe IT : Séparez les identifiants par défaut des dirigeants pour éviter des compromissions lors d’attaques.
  • Attribuer des autorisations appropriées : Chaque administrateur doit avoir les droits nécessaires à ses tâches, sans excès. Personne ne devrait avoir plus de droits que l’administrateur de domaine.

2. Gestion des Stratégies et Configurations :

  • Configurer les GPO correctement : Les stratégies de groupe (GPO) doivent être appliquées spécifiquement par utilisateur et ordinateur pour une granularité idéale. Minimisez le nombre d’objets GPO et évitez de surcharger l’objet « stratégie de groupe » par défaut.
  • Convention de nommage : Établissez des règles claires pour nommer les utilisateurs, les ordinateurs, les groupes et autres ressources dès le début.

3. Maintenance et Gestion des Ressources :

  • Maintenir les contrôleurs de domaine à jour : Les vulnérabilités sont souvent exploitées. Assurez-vous de régulièrement patcher et mettre à jour vos contrôleurs.
  • Nettoyer les éléments inutilisés : Supprimez les utilisateurs, ordinateurs et autres ressources obsolètes ou inutilisées pour éviter des risques potentiels.
  • Activer la corbeille AD : Introduite depuis Windows Server 2008 R2, elle permet de restaurer des éléments en quelques secondes, sans avoir à effectuer une restauration complète de AD.

4. Infrastructure et Redondance :

  • Déployer au moins deux contrôleurs de domaine : Cela garantit une haute disponibilité et prévient des pannes critiques.
  • Traitez les contrôleurs de domaine comme des entités spéciales : Évitez d’installer des logiciels, applications tierces ou autres rôles sur vos contrôleurs de domaine.

5. Surveillance et Audit :

  • Mettre en place un système d’audit : Cela vous permettra de savoir qui a apporté quelles modifications. Même si ce n’est pas une exigence réglementaire comme le RGPD, cela renforce la sécurité.

N’oubliez pas qu’une mise en œuvre et une gestion rigoureuses de votre infrastructure Active Directory sont essentielles pour garantir un fonctionnement optimal tout en évitant les vulnérabilités potentielles.

Fièrement propulsé par WordPress & Thème par Anders Norén