Le « sticky bit » est une fonction de permission sur les systèmes de fichiers Unix et Linux qui est principalement utilisée sur les répertoires. Lorsqu’il est défini, il a un comportement spécial pour les répertoires.
Sticky Bit sur un répertoire:
Quand le sticky bit est appliqué à un répertoire, cela signifie que seul le propriétaire du fichier à l’intérieur de ce répertoire (ou le propriétaire du répertoire lui-même ou root) est autorisé à supprimer ou renommer le fichier. C’est souvent utilisé sur des répertoires tels que /tmp où les utilisateurs ont la permission de créer des fichiers, mais il ne devrait pas être possible pour un utilisateur de supprimer ou de renommer les fichiers d’un autre utilisateur.
Par exemple, le répertoire /tmp a généralement les permissions drwxrwxrwt. Le t à la fin indique que le sticky bit est activé.
Comment définir le sticky bit:
Pour définir le sticky bit sur un répertoire, utilisez la commande chmod avec la lettre t. Par exemple:
chmod +t /chemin/vers/le/repertoire
Pour vérifier si le sticky bit est activé, utilisez ls -l. Si le sticky bit est activé, un t apparaîtra à la fin des permissions du répertoire.
Sticky Bit sur un fichier:
Historiquement, le sticky bit avait un autre usage sur les fichiers exécutables. Lorsqu’il était appliqué à un fichier exécutable, le système gardait le fichier en mémoire après son exécution, permettant ainsi de le démarrer plus rapidement à la prochaine exécution. Cependant, cet usage est devenu obsolète avec l’amélioration des algorithmes de cache et de gestion de la mémoire des systèmes modernes, et aujourd’hui, le sticky bit n’a pas vraiment de sens pour les fichiers.
Il est important de noter que sur la plupart des systèmes modernes, définir le sticky bit sur un fichier n’aura pas d’effet perceptible.
Enlever le Sticky Bit
Pour enlever le sticky bit d’un répertoire ou d’un fichier, vous pouvez utiliser la commande chmod avec la lettre t précédée d’un signe moins (-).
Voici comment vous le faites pour un répertoire :
chmod -t /chemin/vers/le/repertoire
Après avoir exécuté cette commande, le sticky bit sera retiré du répertoire spécifié.
Vous pouvez également utiliser la notation numérique pour changer les permissions. Le sticky bit est représenté par le chiffre 1 à l’extrême gauche. Donc, si vous avez un répertoire avec des permissions de 1777 (ce qui signifie qu’il a le sticky bit ainsi que des permissions de lecture, écriture et exécution pour le propriétaire, le groupe et les autres), vous pouvez enlever le sticky bit en changeant la permission à 777 :
chmod 777 /chemin/vers/le/repertoire
Pour vérifier que le sticky bit a bien été retiré, utilisez la commande ls -ld /chemin/vers/le/repertoire. Vous devriez voir que le t à la fin des permissions a disparu.
IP est un protocole de communication qui définit la manière dont les paquets de données sont envoyés et reçus sur des réseaux informatiques. IP fait partie de la suite de protocoles Internet, qui est la base d’Internet.
Caractéristiques principales d’IP :
Adressage : Chaque dispositif sur un réseau IP a une adresse unique (adresse IP). Cette adresse est utilisée pour acheminer les paquets de données vers leur destination correcte.
Sans connexion : IP est un protocole sans connexion, ce qui signifie qu’il n’établit pas de connexion avant d’envoyer des paquets. Il envoie simplement les paquets sans garantir leur livraison.
Sans état : IP ne garde pas trace des paquets qu’il a envoyés ou reçus.
Fragmentation et défragmentation : Les paquets IP peuvent être fragmentés en plusieurs petits paquets si le réseau intermédiaire ne peut pas gérer la taille initiale. Ces fragments sont ensuite réassemblés à la destination.
Version : Il y a deux versions d’IP largement utilisées – IPv4 et IPv6. IPv6 a été introduit en raison de l’épuisement des adresses IPv4.
TCP (Transmission Control Protocol)
TCP est un protocole de transport qui fonctionne au-dessus d’IP dans la suite de protocoles Internet. Il est conçu pour fournir une communication fiable dans des réseaux potentiellement non fiables.
Caractéristiques principales de TCP :
Orienté connexion : Avant de transmettre des données, TCP établit une connexion entre l’expéditeur et le destinataire à l’aide d’un processus appelé « handshake » en trois étapes.
Transmission fiable : TCP garantit que les données envoyées par l’expéditeur parviendront au destinataire. Il le fait en accusant réception des paquets reçus et en renvoyant les paquets qui n’ont pas été accusés réception.
Contrôle de flux : TCP utilise des mécanismes de fenêtrage pour s’assurer qu’un expéditeur n’inonde pas un destinataire avec plus de données qu’il ne peut en gérer.
Contrôle de la congestion : TCP ajuste le débit de données en fonction des conditions du réseau pour éviter d’encombrer le réseau.
Séquençage : Les paquets TCP sont numérotés afin qu’ils puissent être réassemblés dans le bon ordre à la destination.
Relation entre IP et TCP
TCP et IP travaillent ensemble pour garantir une communication fiable sur des réseaux non fiables. IP se charge de l’acheminement des paquets entre l’expéditeur et le destinataire, tandis que TCP se charge de s’assurer que ces paquets arrivent de manière fiable et dans le bon ordre.
Quand on parle de la suite de protocoles Internet, on utilise souvent le terme « TCP/IP » pour désigner cette combinaison d’IP pour le routage et de TCP pour la fiabilité.
En résumé, alors qu’IP se concentre sur la livraison des paquets sans garantir leur ordre ou leur intégrité, TCP ajoute une couche de fiabilité en garantissant que les données arrivent intactes, dans le bon ordre, et en établissant une connexion avant la transmission.
Que contient un datagramme IP ?
Un paquet IP, souvent appelé datagramme IP, est composé d’un en-tête (header) et d’une charge utile (payload). Décortiquons l’en-tête d’un paquet IPv4, qui est la version la plus couramment utilisée de l’Internet Protocol :
Version (4 bits) : Indique la version de l’IP. Pour IPv4, cette valeur est « 4 ».
IHL (Internet Header Length) (4 bits) : Indique la longueur de l’en-tête en mots de 32 bits. La longueur minimale est de 5 (ce qui signifie une longueur d’en-tête de 20 octets), car un en-tête sans options est de 20 octets.
Type de service (8 bits, désormais appelé DSCP et ECN) : Spécifie la qualité de service demandée. Les 6 premiers bits sont pour le « Differentiated Services Code Point » (DSCP) et les 2 derniers bits sont pour le « Explicit Congestion Notification » (ECN).
Longueur totale (16 bits) : Spécifie la longueur totale du datagramme IP, y compris l’en-tête et les données, en octets.
Identifiant (16 bits) : Utilisé pour différencier les fragments d’un même paquet original.
Drapeaux (3 bits) :
Bit de réservation (généralement mis à 0).
Bit « Don’t Fragment » (DF).
Bit « More Fragments » (MF).
Position de fragment (13 bits) : Indique où ce fragment se situe par rapport à l’ensemble du datagramme original.
Durée de vie (Time to Live, TTL) (8 bits) : Limite le nombre de routeurs (hops) que le datagramme peut traverser avant d’être supprimé. Diminué de 1 à chaque saut.
Protocole (8 bits) : Indique le protocole de la charge utile (par exemple, 6 pour TCP, 17 pour UDP).
Somme de contrôle d’en-tête (16 bits) : Utilisée pour vérifier l’intégrité de l’en-tête.
Adresse IP source (32 bits) : Adresse IP de l’expéditeur du datagramme.
Adresse IP de destination (32 bits) : Adresse IP du destinataire du datagramme.
Options (variable, mais généralement omises) : Peut être utilisé pour diverses fonctionnalités, bien que rarement utilisé dans la pratique moderne.
Charge utile :
La charge utile d’un paquet IP contient les données réelles à transmettre, qui peuvent être un segment TCP, un datagramme UDP, ou d’autres données provenant de protocoles de niveau supérieur. La structure de cette charge utile dépend du protocole spécifié dans le champ « Protocole » de l’en-tête IP.
Notez que ce qui précède est spécifique à IPv4. IPv6, la version plus récente du protocole IP, a un format d’en-tête différent, bien que certaines des idées de base soient similaires.
Dans le volet gauche, cliquez sur Gérer et sélectionnez Ajouter des rôles et des fonctionnalités.
Cliquez sur Suivant jusqu’à la section Rôles.
Sélectionnez Serveur DNS.
Cliquez sur Suivant et terminez l’installation.
2. Configurer le serveur DNS:
Après l’installation du rôle DNS:
Dans le Gestionnaire de serveur, allez à Outils et sélectionnez DNS.
Dans le volet gauche, vous verrez votre serveur. Si vous l’expandez, vous devriez voir une zone correspondant à votre domaine AD DS.
Vérifiez que tous les enregistrements nécessaires pour AD DS sont présents (SRV, A, CNAME, etc.).
3. Modifier les paramètres DNS de votre serveur:
Allez dans les Propriétés de la connexion au réseau de votre serveur.
Configurez l’adresse IP de votre serveur comme son propre serveur DNS primaire.
4. Configurer la zone de recherche inversée
1. Ouvrir la console DNS:
Sur votre serveur Windows, ouvrez le Gestionnaire de serveur.
Dans le volet gauche, cliquez sur Outils puis sélectionnez DNS.
2. Lancer l’assistant de nouvelle zone:
Dans le volet gauche de la console DNS, développez le nom de votre serveur.
Faites un clic droit sur Zones de recherche inversée, puis sélectionnez Nouvelle zone….
3. Suivre l’assistant de création :
Cliquez sur Suivant sur la page d’introduction.
Type de zone : Choisissez Zone principale. Cliquez sur Suivant.
Réplication : Sélectionnez le type de réplication qui répond le mieux à vos besoins. Dans la plupart des cas, « À tous les contrôleurs de domaine dans le domaine AD » est une option courante. Cliquez sur Suivant.
Type de zone de recherche inversée : Sélectionnez IPv4 ou IPv6 en fonction de votre besoin. Pour cet exemple, choisissez IPv4. Cliquez sur Suivant.
Nom de la zone de recherche inversée : Saisissez la partie réseau de votre adresse IP. Par exemple, pour le réseau 10.0.2.0/24, saisissez 192.168.2. Cliquez sur Suivant.
Mises à jour dynamiques : Sélectionnez si vous souhaitez autoriser les mises à jour dynamiques. Dans un environnement AD, « Autoriser uniquement les mises à jour dynamiques sécurisées » est souvent recommandé. Cliquez sur Suivant.
Vérifiez le résumé et cliquez sur Terminer.
4. Ajouter des enregistrements PTR (si nécessaire) :
Une fois la zone de recherche inversée créée, vous pouvez y ajouter manuellement des enregistrements PTR ou les laisser être ajoutés dynamiquement si les mises à jour dynamiques sont activées.
5. Vérification:
Après avoir configuré DNS, il est bon de vérifier que tout fonctionne correctement:
Ouvrez une invite de commandes.
Utilisez la commande nslookup pour vérifier que votre domaine est résolu correctement.
Vous pouvez également utiliser dcdiag pour vérifier la santé de votre contrôleur de domaine et des services associés.
Gardez à l’esprit que le fait d’avoir un DNS bien configuré est crucial pour le bon fonctionnement d’Active Directory. Si vous avez des problèmes ou des doutes, il serait peut-être préférable de consulter des ressources supplémentaires ou d’obtenir de l’aide d’un expert en la matière.
En cas de pépin…
Voici quelques étapes pour diagnostiquer et peut-être résoudre le problème:
Vérifiez la configuration de votre DNS :
Ouvrez les propriétés de votre connexion réseau et vérifiez si les adresses DNS sont correctement configurées.
Assurez-vous que votre serveur DNS fonctionne correctement s’il s’agit d’un DNS local.
Utilisez nslookup avec un serveur DNS spécifié :
Essayez d’utiliser un serveur DNS public comme celui de Google: nslookup [domaine] 8.8.8.8. Si cela fonctionne, cela peut indiquer un problème avec votre serveur DNS local ou votre configuration DNS.
Vérifiez la configuration du serveur DNS local :
Si vous exécutez un serveur DNS local, assurez-vous qu’il est correctement configuré et qu’il peut résoudre les noms externes.
Testez la résolution de nom inversé :
Si vous avez accès au serveur DNS, assurez-vous que la résolution de nom inversé est configurée pour l’adresse IP du serveur DNS.
Désactivez temporairement IPv6 :
Si vous n’utilisez pas activement IPv6, essayez de le désactiver temporairement pour voir si le problème persiste avec IPv4.
Si vous utilisez un fichier hosts personnalisé ou si vous avez des règles spécifiques de pare-feu ou de routeur, vérifiez qu’ils n’interfèrent pas avec la résolution DNS.
Redémarrez le service DNS (si vous utilisez un serveur DNS local) ou redémarrez votre ordinateur.
Consultez les journaux :
Si vous avez accès au serveur DNS, consultez les journaux pour d’éventuels messages d’erreur ou d’avertissement.
Installer et configurer un annuaire Active Directory (AD DS) sur Windows Server 2019 est une tâche fondamentale pour tout administrateur réseau.
Voici les étapes principales pour y parvenir:
1. Prérequis :
Assurez-vous d’avoir un Windows Server 2019 installé.
Configurez une adresse IP statique pour le serveur.
Assurez-vous que le serveur dispose d’un nom unique dans votre réseau.
2. Installer le rôle AD DS:
Ouvrez le Gestionnaire de serveur.
Dans le volet gauche, cliquez sur Gérer et sélectionnez Ajouter des rôles et des fonctionnalités.
Cliquez sur Suivant jusqu’à ce que vous arriviez à la section Rôles.
Sélectionnez Services AD DS.
L’Assistant vous demandera d’ajouter des fonctionnalités supplémentaires nécessaires pour AD DS. Acceptez en cliquant sur Ajouter des fonctionnalités.
Cliquez sur Suivant et terminez l’installation.
3. Configurer AD DS:
Après l’installation, un avertissement apparaîtra dans le Gestionnaire de serveur vous invitant à promouvoir le serveur en contrôleur de domaine.
1. Cliquez sur l’icône d’avertissement et sélectionnez Promouvoir ce serveur en contrôleur de domaine.
2. Choisissez Ajouter une nouvelle forêt et donnez un nom à votre domaine (par exemple, mondomaine.local).
3. Cliquez sur Suivant.
4. Définissez un mot de passe pour le mode de restauration des services d’annuaire. Notez-le, il est crucial en cas de restauration nécessaire.
5. Suivez l’assistant et laissez les options par défaut :
6. L’assistant vérifiera les prérequis et vous permettra d’installer. L’installation peut prendre un certain temps.
7. Une fois terminé, le serveur redémarrera.
4. Vérifier l’installation:
1. Connectez-vous à votre serveur avec un compte doté de privilèges d’administrateur. Vous devriez voir le domaine apparaitre :
2. Ouvrez le Gestionnaire de serveur.
3. Dans le volet gauche, cliquez sur Outils et sélectionnez Utilisateurs et ordinateurs Active Directory.
4. Vous devriez voir votre domaine et être capable de créer des unités d’organisation, des utilisateurs, des groupes, etc.
Bonnes pratiques pour une infrastructure Active Directory sécurisée et efficace
Lors de la mise en place et de la gestion d’une infrastructure Active Directory (AD), il est essentiel de suivre des pratiques recommandées pour garantir la sécurité, la fiabilité et l’efficacité de votre environnement. Voici un guide organisé et enrichi pour vous aider :
1. Sécurité des Comptes et des Informations d’identification :
Renommer l’administrateur de domaine : Le nom d’administrateur de domaine par défaut est souvent ciblé. Modifiez-le en un nom distinctif, comme AdminContosoAD.
Utiliser des mots de passe forts : Que ce soit pour l’administrateur de domaine ou pour tous les autres utilisateurs, respectez des critères de complexité élevés pour les mots de passe.
Informations d’identification spécifiques pour l’équipe IT : Séparez les identifiants par défaut des dirigeants pour éviter des compromissions lors d’attaques.
Attribuer des autorisations appropriées : Chaque administrateur doit avoir les droits nécessaires à ses tâches, sans excès. Personne ne devrait avoir plus de droits que l’administrateur de domaine.
2. Gestion des Stratégies et Configurations :
Configurer les GPO correctement : Les stratégies de groupe (GPO) doivent être appliquées spécifiquement par utilisateur et ordinateur pour une granularité idéale. Minimisez le nombre d’objets GPO et évitez de surcharger l’objet « stratégie de groupe » par défaut.
Convention de nommage : Établissez des règles claires pour nommer les utilisateurs, les ordinateurs, les groupes et autres ressources dès le début.
3. Maintenance et Gestion des Ressources :
Maintenir les contrôleurs de domaine à jour : Les vulnérabilités sont souvent exploitées. Assurez-vous de régulièrement patcher et mettre à jour vos contrôleurs.
Nettoyer les éléments inutilisés : Supprimez les utilisateurs, ordinateurs et autres ressources obsolètes ou inutilisées pour éviter des risques potentiels.
Activer la corbeille AD : Introduite depuis Windows Server 2008 R2, elle permet de restaurer des éléments en quelques secondes, sans avoir à effectuer une restauration complète de AD.
4. Infrastructure et Redondance :
Déployer au moins deux contrôleurs de domaine : Cela garantit une haute disponibilité et prévient des pannes critiques.
Traitez les contrôleurs de domaine comme des entités spéciales : Évitez d’installer des logiciels, applications tierces ou autres rôles sur vos contrôleurs de domaine.
5. Surveillance et Audit :
Mettre en place un système d’audit : Cela vous permettra de savoir qui a apporté quelles modifications. Même si ce n’est pas une exigence réglementaire comme le RGPD, cela renforce la sécurité.
N’oubliez pas qu’une mise en œuvre et une gestion rigoureuses de votre infrastructure Active Directory sont essentielles pour garantir un fonctionnement optimal tout en évitant les vulnérabilités potentielles.
Le déploiement d’une image d’OS à l’aide de FOG (Free Open-Source Ghost) est une méthode très efficace pour installer un système d’exploitation sur de multiples machines à partir d’une seule image source.
FOG utilise PXE (Preboot Execution Environment) pour démarrer les machines clientes sans disque dur, CD/DVD ou clé USB, puis déploie l’image stockée sur le serveur FOG.
Le clonage d’une image d’OS à l’aide de FOG (Free Open-Source Ghost) est une méthode très efficace pour déployer un système d’exploitation identique sur de multiples machines à partir d’une seule image source.
FOG, fonctionnant sur une machine sous Debian, utilise PXE (Preboot Execution Environment) pour démarrer les machines clientes sans disque dur, CD/DVD ou clé USB, puis déploie l’image qu’il a préalablement stockée.
Le principe de fonctionnement est le suivant :
On commence par créer une machine (ou VM) sur laquelle on installe Windows 10 de manière « basique ».
Le service FOG sur Debian capture une image de cette VM sous Windows 10.
Un Windows Server agit en tant que serveur DHCP et distribue des adresses IP aux nouvelles machines qui sont déployées à partir de cette image.
Une machine « nue » (c’est-à-dire sans OS) est utilisée pour tester le déploiement de l’image précédemment capturée par FOG, le tout via le réseau.
Pré-requis
Pour tester ce service de déploiement, je vous propose de mettre en place ce lab suivant (Sur VMWare ou Virtualbox par exemple) :
Une machine sous Debian 12 server (sans interface graphique, c’est gourmand ces bêtes là) sur laquelle on installera FOG
Une machine sous Windows Server 19 qui aura pour rôle de distribuer dynamiquement les IP aux machines qui rejoignent le réseau (sous-entendu, installer le service DHCP)
Une machine sous Windows 10 « vanilla » avec un utilisateur lambda qui servira pour la capture
Une VM « vide » sans OS
Concernant la configuration « réseau » :
Pour la simulation du réseau, je créé un NAT qui aura comme ip 10.0.2.0/24
Mon serveur DHCP sous WindowsServer aura comme IP fixe l’adresse 10.0.2.10
Le service DHCP distribuera des adresses sur la plages 10.0.2.20 – 10.0.2.30
Mon serveur Debian aura quand à lui l’adresse fixe 10.0.2.15
Bien sûr toutes ces machines sont sur le même réseau 😉
Installation de Windows 10 et Windows Server
Je ne vais pas revenir sur ces étapes, il suffit simplement de créer 2 machines, l’une avec un Windows 10 « classique », l’autre avec un Windows Server 2019 sur lequel on installe le service DHCP sur l’étendue 10.0.2.20 – 10.0.2.30.
Si vous ne savez pas comment faire, je vais décrire le processus dans un futur article !
Installation de FOG
L’installation de FOG se fait via les commandes suivantes (sur le serveur Debian 12 bien sûr !)
apt-get update && apt-get upgrade
cd /tmp
wget https://github.com/FOGProject/fogproject/archive/1.5.10.tar.gz
tar -xvzf 1.5.10.tar.gz
cd fogproject-1.5.10/bin
./installfog.sh
A l’étape 1, choisissez l’option 2 (on est sur Debian) :
Ensuite, choisissez l’installation « normale »
L’installeur trouve automatiquement l’interface réseau, choisissez No quand il vous demande si vous voulez en utiliser une autre :
Ensuite, il faut configurer l’adresse du routeur, choisissez Y et vérifiez que le routeur est le bon (en général c’est l’adresse de la passerelle de votre VM, soit 10.0.2.2 si vous utilisez Virtualbox avec un réseau NAT)
Même manip pour le serveur DNS, qui se trouve normalement à l’adresse 10.0.2.3 sur VirtualBox
Ensuite, on peut refuser la mise en place d’un serveur DHCP via FOG car nous passons déjà par Windows Server
FOG propose ensuite de charger un pack de langue, mais comme on est bons en anglais (n’est-ce pas ??) on va laisser ça par défaut !
Il nous demande enfin si on veut utiliser HTTPS pour notre interface web. Comme c’est un lab privé, on va rester du http classique, mais bien sûr l’idée c’est de passer en https pour sécuriser les échanges dans un environnement de production (et ça demande quelques manips supplémentaires indiquées ici : https://wiki.fogproject.org/HTTPS)
Enfin pour la dernière étape vous pouvez sélectionner « N » par défaut lorsque l’installeur vous propose de changer le nom d’hôte.
Si tout s’est bien déroulé vous devriez avoir un résumé de votre installation, que vous pouvez copier/coller dans fichier texte à part
A la fin il nous indique les options à activer sur le serveur DHCP, ce que nous allons faire très bientôt ! Validez l’installation en cliquant sur « Y ». Si tout se passe bien vous devriez voir ceci :
NB : n’allez pas plus loin pour l’instant, il y a une manipulation à faire dans l’interface web d’abord !!
Configuration de FOG depuis l’interface web
Maintenant que FOG est installé, vous pouvez vous rendre sur son interface web via l’URL indiquée à la fin de l’installation (de mon côté j’ai opté pour une connexion depuis ma machine hôte, avec une redirection de ports, mais vous pouvez tout à fait vous y connecter « naturellement » via une VM disponible sur le même réseau)
Cliquez sur « Install / Update Now » pour finaliser l’installation de la base de données. Si tout se déroule bien vous devriez voir ce message :
Retournez sur la machine Debian et appuyez sur « Entrée » pour valider l’installation de la BDD. Une fois celle-ci terminée, vous aurez les infos de connexion à l’interface web, en l’occurence fog et password :
De retour sur l’interface web, connectez vous avec les identifiants indiqués précédemment
L’interface ressemble à cela :
La configuration sur Windows Server
Maintenant que l’installation et la configuration du serveur FOG est terminée, il va falloir faire une petite manipulation sur le serveur DHCP pour indiquer aux ordinateurs démarrant via le réseau où le trouver.
En effet, par défaut, le serveur DHCP se contente de distribuer des IP, pas d’indiquer le chemin vers une quelconque plateforme !
Pour ce faire, il va donc falloir utiliser des options d’étendues dans le gestionnaire DHCP du serveur Windows, en l’occurence les options 66 et 67
Euh non, c’est pas l’option 66 ça !
Les options d’étendue 66 (Boot Server Host Name) et 67 (Bootfile Name) sur un serveur DHCP Windows sont utilisées dans des scénarios de démarrage en réseau, aussi connu sous le nom de PXE (Preboot eXecution Environment).
Ces options indiquent à un client PXE où trouver le serveur TFTP et quel fichier de démarrage (bootfile) charger. Ces options sont essentielles pour les scénarios de déploiement d’image système ou d’installation de systèmes d’exploitation sur des ordinateurs via le réseau.
Voici un aperçu de ces options :
Option 66 – Boot Server Host Name:
Cette option spécifie l’adresse du serveur TFTP (Trivial File Transfer Protocol).
Cela peut être une adresse IP ou un nom d’hôte.
Le client PXE utilisera cette adresse pour contacter le serveur TFTP et télécharger le fichier de démarrage spécifié dans l’option 67.
Option 67 – Bootfile Name:
Cette option spécifie le nom du fichier de démarrage que le client PXE doit charger.
Ce fichier est généralement un chargeur d’amorçage spécifique à l’environnement ou à l’outil de déploiement que vous utilisez (par exemple, FOG, mais aussi Windows Deployment Services, etc.).
Lorsqu’un ordinateur démarre via PXE, il envoie une requête DHCP pour obtenir une adresse IP et des informations supplémentaires nécessaires pour le démarrage en réseau. Si les options 66 et 67 sont configurées sur le serveur DHCP, elles sont transmises au client PXE. Le client utilise ensuite ces informations pour contacter le serveur TFTP, télécharger le fichier de démarrage et commencer le processus de démarrage en réseau.
Voici comment faire pour ajouter ces options sur Windows Server : rdv dans Gestionnaire DHCP -> Cliquer sur le gestionnaire du serveur (ipv4) -> aller dans l’onglet « Options d’étendue » puis faites un clic droit dans la fenêtre pour ajouter une option :
Capture de l’image
Maintenant que le serveur DHCP est configuré pour indiquer l’emplacement du serveur FOG, il va falloir créer un « master » de déploiement, sorte de « clone » d’un OS déjà installé sur une machine.
En l’occurence, on va utiliser la VM tournant sous Windows 10 comme « patient 0 » qui servira à créer une armée de clones de Windows.
Décidemment, les analogies avec Star Wars sont légion dans ce milieu… 😀
Lancez la VM, mais en choisissant de booter sur le réseau (F12 sur Virtualbox, option « l », ou en définissant le réseau comme 1ere source de boot dans la configuration du système). Vous devriez arriver sur cet écran :
Sélectionnez « Quick Registeration and Inventory » pour faire remonter l’hôte dans FOG
Normalement, si vous vous rendez dans l’onglet « hosts » de l’interface web, vous devriez voir la machine :
Rdv dans l’onglet « Images » puis cliquez sur « Create new image » pour créer une nouvelle image Windows 10. Donnez lui un nom et choisissez l’OS « Windows 10 » dans la liste déroulante :
Cliquez sur Add pour ajouter l’image.
Ensuite, retournez dans « Hosts » -> « List All Hosts » puis sélectionnez l’hôte afin de lui attribuer une image :
Revenez ensuite à « List all hosts » puis cliquez sur le bouton orange « Capture » :
Puis activez la tâche pour enclencher la capture de l’image sur le réseau :
Relancez la VM en bootant sur le réseau. L’outil Partclone devrait se lancer tout seul pour effectuer la capture
Une fois la capture terminée, rdv de nouveau dans l’interface web de FOG pour constater la présence de l’image (qui « pèse » pas loin de 12 go)
Déploiement du « Master » via le réseau
Le master désigne le « modèle » qui a été capturée avec FOG. Il comprend l’ensemble de l’OS en mode « prêt à l’emploi » qui va pouvoir être installé en quelques minutes sur une machine vierge.
Voici les dernières étapes à suivre pour finaliser notre processus de déploiement automatique via le réseau.
N’oubliez pas les pré-requis suivants :
La machine nue doit booter sur le même réseau que les autres !
On allume la VM et on boote sur le réseau pour que FOG puisse prendre le relai ; ensuite il faut créer un enregistrement pour ajouter la machine dans le gestionnaire :
NB : si vous avez le message d’erreur suivant
8354 timer not connected to IO APIC
Dans la configuration de votre VM, essayez simplement d’ajouter un processeur. Chez moi ça a réglé le problème.
Ensuite, une fois le processus d’enregistrement terminé, rdv dans l’interface web, rubrique « Hosts » -> « List all hosts » et cliquez sur « Deploy » :
Choisir l’image à déployer :
Ensuite dans « Tasks » -> cliquer sur « Deploy »
Puis cliquer sur « Task » pour activer la tâche de déploiement
Enfin, il suffit de redémarrer la VM et laisser la magie de Parclone opérer :
Une fois la restauration terminée, laissez la machine booter normalement : vous devriez arriver sur votre clone de Windows 10 prêt à l’emploi !
Dans les discussions entre administrateurs système, on rencontre souvent des acronymes plus ou moins bizarres, et il faut s’y faire. L’un d’entre eux m’a interpelé dernièrement : l’infrastructure dite « HA »
« HA » fait, en réalité, référence à « High Availability » (Haute Disponibilité en français). Une infrastructure en HA est conçue pour être résiliente et minimiser les temps d’arrêt.
L’objectif est d’assurer que les services et applications restent disponibles même en cas de défaillance d’un composant de l’infrastructure.
Voici quelques caractéristiques et composants couramment associés à une infrastructure en HA :
Redondance : C’est l’un des principes fondamentaux de la HA. Si un composant tombe en panne, un autre composant redondant prend le relais. Par exemple, si un serveur tombe en panne, un autre serveur avec les mêmes données et applications peut prendre le relais.
Basculage automatique (Failover) : En cas de défaillance d’un composant, le système est capable de basculer automatiquement vers un composant redondant sans intervention humaine.
Équilibrage de charge (Load Balancing) : Distribue le trafic entrant entre plusieurs serveurs pour éviter qu’un seul serveur ne soit surchargé.
Clusters : Groupes de serveurs travaillant ensemble pour fournir une haute disponibilité. Si un serveur du cluster tombe en panne, les autres serveurs continuent de fonctionner.
Réplication de données : Les données sont stockées à plusieurs endroits pour garantir leur disponibilité. Si un site de stockage tombe en panne, les données sont toujours accessibles depuis un autre site.
Surveillance et alertes : Les systèmes de surveillance surveillent en permanence la santé et les performances de l’infrastructure. En cas de problème, des alertes sont générées pour informer les administrateurs.
Mises à jour et maintenance sans interruption : La capacité de mettre à jour ou de maintenir une partie de l’infrastructure sans affecter la disponibilité globale du service.
Conception sans point unique de défaillance (SPOF) : Éliminer tout composant dont la défaillance pourrait entraîner une interruption de service.
L’infrastructure en HA est essentielle pour les entreprises et les services qui nécessitent une disponibilité continue, comme les banques, les hôpitaux, les sites de commerce électronique, etc.
Cependant, la mise en place d’une telle infrastructure peut être coûteuse et complexe, nécessitant une planification minutieuse et une certaine expertise technique. J’aborderai cette question un peu plus tard, pour l’instant avoir connaissance du concept dans l’ensemble, c’est déjà pas mal !
Le modèle OSI (Open System Interconnexion) est un standard qui décrit comment les machines doivent communiquer sur un réseau. Il est divisé en sept couches, chacune ayant un rôle spécifique dans le processus de communication. Chaque couche utilise son propre protocole pour interagir avec les autres couches, garantissant ainsi une communication fluide entre les machines.
Lors de l’envoi d’un message d’une machine à une autre, la communication commence par la couche la plus élevée (7) et se poursuit vers la couche la plus basse (1).
Pour la réception, le flux est inversé, partant de la couche 1 pour remonter jusqu’à la couche 7.
Les rôles de chaque couche
Couche 7 – Application : Point de contact pour l’utilisateur. Elle fournit des services comme la navigation sur le web via HTTP, l’envoi d’e-mails via SMTP ou le transfert de fichiers via FTP.
Couche 6 – Présentation : Elle s’occupe de l’encodage, la compression, la conversion et le reformatage des données pour assurer une communication uniforme.
Couche 5 – Session : Gère l’établissement, le maintien et la terminaison des sessions de communication. Elle supervise également la synchronisation des données.
Couche 4 – Transport : Détermine comment les données sont transférées, en utilisant des protocoles tels que UDP et TCP pour assurer une transmission fiable.
Couche 3 – Réseau : Elle se charge du routage des paquets de données entre les différents points du réseau, en utilisant principalement le protocole IP.
Couche 2 – Liaison : Elle se concentre sur la transmission des données en se basant sur les adresses MAC des machines pour identifier l’origine et la destination.
Couche 1 – Physique : Reliée à l’aspect matériel, elle gère la transmission réelle des bits sur le support de communication, qu’il soit filaire ou sans fil.
Illustration : wikipedia
Pourquoi est-ce utile de le connaître ?
Connaître le modèle OSI présente plusieurs avantages, en particulier si vous travaillez dans le domaine des réseaux et des communications.
Voici quelques raisons pour lesquelles la compréhension du modèle OSI est importante :
Compréhension Fondamentale des Réseaux : Le modèle OSI fournit une structure qui aide à comprendre comment les réseaux fonctionnent à différents niveaux, de la transmission physique des données à la manière dont les applications communiquent.
Diagnostic et Dépannage : Lorsqu’un problème se produit dans un réseau, connaître les différentes couches du modèle OSI permet d’identifier à quel niveau le problème peut se situer. Cela facilite le diagnostic et le dépannage.
Interopérabilité : Le modèle OSI favorise l’interopérabilité entre les produits de différents fabricants. En respectant les normes associées à chaque couche du modèle, les fabricants peuvent s’assurer que leurs produits fonctionneront avec d’autres produits respectant les mêmes normes.
Modularité : Chaque couche du modèle OSI a une fonction spécifique. Cela signifie que les changements ou les améliorations peuvent être apportés à une couche spécifique sans nécessairement affecter les autres. Cette modularité facilite l’évolution et l’adaptation des réseaux.
Formation et Éducation : Le modèle OSI est largement enseigné dans les cours de réseau et de communication. Il fournit un cadre standard pour l’apprentissage, rendant plus facile la transition des études à la pratique professionnelle.
Comparaison et Évaluation des Technologies : En se référant aux couches du modèle OSI, il est plus aisé de comparer et d’évaluer différentes technologies de réseau ou de communication. Par exemple, on pourrait comparer comment différentes technologies gèrent la couche transport ou la couche physique.
Conception et Développement : Lors de la création de nouvelles technologies ou solutions de réseau, le modèle OSI peut servir de guide pour s’assurer que toutes les fonctions nécessaires sont prises en compte et bien intégrées.
