22410B-FRA-Installation Et Configuration WINDOWS SERVER 2012

P R O D U I T
O F F I C I E L
22410B
D E
F O R M A T I O N
Installation et configuration
de Windows Server 2012
M I C R O S O F T
ii
Installation et configuration de Windows Server 2012
Les informations contenues dans ce document, notamment les URL et les autres rfrences aux sites Web,
pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les socits, produits, noms
de domaines, adresses de messagerie, logos, personnes, lieux et vnements utiliss dans les exemples
sont fictifs et toute ressemblance avec des socits, produits, noms de domaines, adresses de messagerie,
logos, personnes, lieux et vnements rels est purement fortuite et involontaire. L'utilisateur est tenu
d'observer la rglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce
document ne peut tre reproduite, stocke ou introduite dans un systme de restitution, ou transmise
quelque fin ou par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou
autre) sans la permission expresse et crite de Microsoft Corporation.
Microsoft peut dtenir des brevets, avoir dpos des demandes d'enregistrement de brevets ou tre
titulaire de marques, droits d'auteur ou autres droits de proprit intellectuelle portant sur tout ou partie
des lments qui font l'objet du prsent document. Sauf stipulation expresse contraire d'un contrat de
licence crit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concder une licence
sur ces brevets, marques, droits d'auteur ou autres droits de proprit intellectuelle.
Les noms de fabricants, de produits ou les URL sont fournis uniquement titre indicatif et Microsoft ne
fait aucune dclaration et exclut toute garantie lgale, expresse ou implicite, concernant ces fabricants
ou l'utilisation des produits avec toutes les technologies Microsoft. L'inclusion d'un fabricant ou produit
n'implique pas l'approbation par Microsoft du fabricant ou du produit. Des liens vers des sites Web tiers
peuvent tre fournis. Ces sites ne sont pas sous le contrle de Microsoft et Microsoft n'est pas responsable
de leur contenu ni des liens qu'ils sont susceptibles de contenir, ni des modifications ou mises jour de
ces sites. Microsoft n'est pas responsable de la diffusion Web ou de toute autre forme de transmission
reue d'un site connexe. Microsoft fournit ces liens pour votre commodit, et l'insertion de n'importe
quel lien n'implique pas l'approbation du site en question ou des produits qu'il contient par Microsoft.
2013 Microsoft Corporation. Tous droits rservs.
Microsoft et les marques commerciales figurant sur la page http://www.microsoft.com/about/legal/en/us
/IntellectualProperty/Trademarks/EN-US.aspx sont des marques commerciales du groupe de socits Microsoft.
Toutes les autres marques sont la proprit de leurs propritaires respectifs.
Numro de produit : 22410B

Numro de rfrence : X18-86872
Date de publication : 3/2013
TERMES DU CONTRAT DE LICENCE MICROSOFT

COURS MICROSOFT AVEC FORMATEUR
Les prsents termes du contrat de licence constituent un contrat entre Microsoft Corporation
(ou en fonction du lieu o vous vivez, lun de ses affilis) et vous. Lisez-les attentivement. Ils portent
sur votre utilisation du contenu qui accompagne le prsent contrat, y compris le support sur lequel
vous lavez reu, le cas chant. Les prsents termes de licence sappliquent galement au Contenu
du Formateur et aux mises jour et supplments pour le Contenu Concd sous Licence, moins
que dautres termes naccompagnent ces produits. ces derniers prvalent.
EN ACCDANT AU CONTENU CONCD SOUS LICENCE, EN LE TLCHARGEANT OU EN
LUTILISANT, VOUS ACCEPTEZ CES TERMES. SI VOUS NE LES ACCEPTEZ PAS, NACCDEZ PAS
AU CONTENU CONCD SOUS LICENCE, NE LE TLCHARGEZ PAS ET NE LUTILISEZ PAS.
Si vous vous conformez aux prsents termes du contrat de licence, vous disposez des droits
stipuls ci-dessous pour chaque licence acquise.
1. DFINITIONS.
a. Centre de Formation Agr dsigne un Membre du Programme Microsoft IT Academy
ou un Membre Microsoft Learning Competency, ou toute autre entit que Microsoft peut
occasionnellement dsigner.
b. Session de Formation Agre dsigne le cours avec formateur utilisant le Cours Microsoft avec
Formateur et men par un Formateur ou un Centre de Formation Agr.
c.
Dispositif de la Classe dsigne un (1) ordinateur ddi et scuris quun Centre de

Formation Agr possde ou contrle, qui se trouve dans les installations de formation dun
Centre de Formation Agr et qui rpond ou est suprieur au niveau matriel spcifi pour
le Cours Microsoft avec Formateur concern.
d. Utilisateur Final dsigne une personne qui est (i) dment inscrite et participe une Session
de Formation Agre ou une Session de Formation Prive, (ii) un employ dun membre MPN,
ou (iii) un employ temps plein de Microsoft.
e. Contenu Concd sous Licence dsigne le contenu qui accompagne le prsent contrat
et qui peut inclure le Cours Microsoft avec Formateur ou le Contenu du Formateur.
f.
Formateur Agr Microsoft ou MCT dsigne une personne qui est (i) engage pour donner
une session de formation des Utilisateurs Finaux au nom dun Centre de Formation Agr ou
dun Membre MPN, et (ii) actuellement Formateur Agr Microsoft dans le cadre du Programme
de Certification Microsoft.
g. Cours Microsoft avec Formateur dsigne le cours avec formateur Microsoft qui forme
des professionnels de linformatique et des dveloppeurs aux technologies Microsoft.
Un Cours Microsoft avec Formateur peut tre labellis cours MOC, Microsoft Dynamics
ou Microsoft Business Group.
h. Membre du Programme Microsoft IT Academy dsigne un membre actif du Programme
Microsoft IT Academy.
i.
Membre Microsoft Learning Competency dsigne un membre actif du programme

Microsoft Partner Network qui a actuellement le statut Learning Competency.
iii
iv
j.
MOC dsigne le cours avec formateur Produit de Formation Officiel Microsoft appel
Cours Officiel Microsoft qui forme des professionnels de linformatique et des dveloppeurs
aux technologies Microsoft.
k. Membre MPN dsigne un membre actif Silver ou Gold du programme Microsoft Partner
Network.
l.
Dispositif Personnel dsigne un (1) ordinateur, un dispositif, une station de travail ou un autre
dispositif lectronique numrique qui vous appartient ou que vous contrlez et qui rpond ou est
suprieur au niveau matriel spcifi pour le Cours Microsoft avec Formateur concern.
m. Session de Formation Prive dsigne les cours avec formateur fournis par des Membres MPN
pour des clients dentreprise en vue denseigner un objectif de formation prdfini laide dun
Cours Microsoft avec Formateur. Ces cours ne font lobjet daucune publicit ni promotion auprs
du grand public et la participation aux cours est limite aux employs ou sous-traitants du client
dentreprise.
n. Formateur dsigne (i) un formateur accrdit sur le plan acadmique et engag par un
Membre du Programme Microsoft IT Academy pour donner une Session de Formation Agre
et/ou (ii) un MCT.
o. Contenu du Formateur dsigne la version du formateur du Cours Microsoft avec Formateur et
tout contenu supplmentaire uniquement conu lusage du Formateur pour donner une session
de formation en utilisant le Cours Microsoft avec Formateur. Le Contenu du Formateur peut inclure
des prsentations Microsoft PowerPoint, un guide de prparation du formateur, des documents
de formation du formateur, des packs Microsoft One Note, un guide de prparation de la classe
et un formulaire prliminaire de commentaires sur le cours. des fins de clarification, le Contenu
du Formateur ne contient aucun logiciel, disque dur virtuel ni machine virtuelle.
2. DROITS DUTILISATION. Le Contenu Concd sous Licence nest pas vendu. Le Contenu Concd
sous Licence est concd sous licence sur la base dune copie par utilisateur , de sorte que vous
devez acheter une licence pour chaque personne qui accde au Contenu Concd sous Licence
ou lutilise.
2.1 Vous trouverez ci-dessous cinq sections de droits dutilisation. Une seule vous est applicable.
a. Si vous tes un Membre du Programme Microsoft IT Academy :
i.
Chaque licence achete en votre nom ne peut tre utilise que pour consulter
une (1) copie du cours Microsoft avec Formateur sous la forme sous laquelle il vous a t
fourni. Si le Cours Microsoft avec Formateur est en format numrique, vous tes autoris
installer une (1) copie sur un maximum de trois (3) Dispositifs Personnels. Vous ntes
pas autoris installer le Cours Microsoft avec Formateur sur un dispositif qui ne vous
appartient pas ou que vous ne contrlez pas.
ii.
Pour chaque licence que vous achetez au nom dun Utilisateur Final ou Formateur, vous
tes autoris :
1. distribuer une (1) version papier du Cours Microsoft avec Formateur un (1) Utilisateur
Final qui est inscrit la Session de Formation Agre et uniquement immdiatement
avant le dbut de la Session de Formation Agre qui est lobjet du Cours Microsoft
avec Formateur fourni, ou
2. fournir un (1) Utilisateur Final le code daccs unique et les instructions permettant
daccder une (1) version numrique du Cours Microsoft avec Formateur, ou
3. fournir un (1) Formateur le code daccs unique et les instructions permettant
daccder un (1) Contenu Formateur,
iii.
iv.
v.
vi.
vii.
viii.
ix.
pour autant que vous vous conformiez ce qui suit :

vous ne donnerez accs au Contenu Concd sous Licence quaux personnes qui ont
achet une licence valide du Contenu Concd sous Licence,
vous veillerez ce que chaque Utilisateur Final participant une Session de
Formation Agre dispose de sa propre copie concde sous licence valide du
Cours Microsoft avec Formateur qui est lobjet de la Session de Formation Agre,
vous veillerez ce que chaque Utilisateur Final ayant reu la version papier du Cours
Microsoft avec Formateur reoive une copie du prsent contrat et reconnaisse que son
utilisation du Cours Microsoft avec Formateur sera soumises aux termes du prsent accord,
et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra confirmer son
acceptation du prsent contrat dune manire opposable aux termes de la rglementation
locale avant daccder au Cours Microsoft avec Formateur,
vous veillerez ce que chaque Formateur donnant une Session de Formation Agre
dispose de sa propre copie concde sous licence valide du Cours Microsoft avec
Formateur qui est lobjet de la Session de Formation Agre,
vous nutiliserez que des Formateurs qualifis qui ont une connaissance et une exprience
approfondies de la technologie Microsoft qui est lobjet du Cours Microsoft avec Formateur
donn pour toutes vos Sessions de Formation Agres.
vous ne donnerez quun maximum de 15 heures de formation par semaine pour chaque
Session de Formation Agre qui utilise un cours MOC, et
vous reconnaissez que les Formateurs qui ne sont pas MCT nauront pas accs lensemble
des ressources destines au formateur du Cours Microsoft avec Formateur.
b. Si vous tes un Membre du Microsoft Learning Competency :

i.
ii.
tes autoris :
Final participant la Session de Formation Agre et uniquement immdiatement
avant le dbut de la Session de Formation Agre qui est lobjet du Cours Microsoft
avec Formateur fourni, ou
2. fournir un (1) Utilisateur Final participant la Session de Formation Agre le code
daccs unique et les instructions permettant daccder une (1) version numrique
du Cours Microsoft avec Formateur, ou
3. fournir un (1) Formateur le code daccs unique et les instructions permettant
daccder un (1) Contenu Formateur,
iii.
iv.
vous veillerez ce que chaque Utilisateur Final participant une Session de Formation
Agre dispose de sa propre copie concde sous licence valide du Cours Microsoft avec
vi
v.
vi.
vii.
viii.
ix.
x.
c.
vous veillerez ce que chaque Utilisateur Final ayant reu une version papier
du Cours Microsoft avec Formateur reoive une copie du prsent contrat et reconnaisse
que son utilisation du Cours Microsoft avec Formateur sera soumise aux termes du prsent
accord, et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra
confirmer son acceptation du prsent contrat dune manire opposable aux termes de
la rglementation locale avant daccder au Cours Microsoft avec Formateur,
vous veillerez ce que chaque Formateur donnant une Session de Formation Agre
vous nutiliserez que des Formateurs qualifis qui possdent la Certification Microsoft
applicable qui est lobjet du Cours Microsoft avec Formateur donn pour vos Sessions
de Formation Agres,
vous nutiliserez que des MCT qualifis qui possdent galement la Certification Microsoft
applicable qui est lobjet du cours MOC donn pour toutes vos Sessions de Formation
Agres utilisant MOC,
vous ne donnerez accs au Cours Microsoft avec Formateur quaux Utilisateurs Finaux, et
vous ne donnerez accs au Contenu du Formateur quaux Formateurs.
Si vous tes un Membre MPN :

ii.
tes autoris :
Final participant la Session de Formation Prive et uniquement immdiatement avant
le dbut de la Session de Formation Prive qui est lobjet du Cours Microsoft avec
Formateur fourni, ou
2. fournir un (1) Utilisateur Final qui participe la Session de Formation Prive le code
daccs unique et les instructions permettant daccder une (1) version numrique
du Cours Microsoft avec Formateur, ou
3. fournir un (1) Formateur qui donne la Session de Formation Prive le code daccs
unique et les instructions permettant daccder un (1) Contenu Formateur,
iii.
iv.
vous veillerez ce que chaque Utilisateur Final participant une Session de Formation
Prive dispose de sa propre copie concde sous licence valide du Cours Microsoft avec
Formateur qui est lobjet de la Session de Formation Prive,
v.
vous veillerez ce que chaque Utilisateur Final ayant reu une version papier du Cours
Microsoft avec Formateur reoive une copie du prsent contrat et reconnaisse que son
utilisation du Cours Microsoft avec Formateur sera soumise aux termes du prsent accord,
et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra confirmer son
acceptation du prsent contrat dune manire opposable aux termes de la rglementation
locale avant daccder au Cours Microsoft avec Formateur,
i.
vi.
vii.
viii.
ix.
x.
vii
vous veillerez ce que chaque Formateur donnant une Session de Formation Prive
Formateur qui est lobjet de la Session de Formation Prive,
vous nutiliserez que des Formateurs qualifis qui possdent la Certification Microsoft
applicable qui est lobjet du Cours Microsoft avec Formateur donn pour toutes vos
Sessions de Formation Prives,
vous nutiliserez que des MCT qualifis qui possdent la Certification Microsoft applicable
qui est lobjet du cours MOC donn pour toutes vos Sessions de Formation Prives
utilisant MOC,
vous ne donnerez accs au Cours Microsoft avec Formateur quaux Utilisateurs Finaux, et
vous ne donnerez accs au Contenu du Formateur quaux Formateurs.
d. Si vous tes un Utilisateur Final :

Pour chaque licence que vous achetez, vous tes autoris utiliser le Cours Microsoft
avec Formateur exclusivement pour votre formation personnelle. Si le Cours Microsoft avec
Formateur est en format numrique, vous pouvez y accder en ligne laide du code daccs
unique que vous a fourni le prestataire de formation et installer et utiliser une (1) copie du
Cours Microsoft avec Formateur sur un maximum de trois (3) Dispositifs Personnels. Vous tes
galement autoris imprimer une (1) copie du Cours Microsoft avec Formateur. Vous ntes
e. Si vous tes un Formateur :
i.
Pour chaque licence que vous achetez, vous tes autoris installer et utiliser
une (1) copie du Contenu du Formateur sous la forme dans laquelle il vous a t fourni
sur un (1) Dispositif Personnel exclusivement pour prparer et donner une Session
de Formation Agre ou une Session de Formation Prive, et installer une (1) copie
supplmentaire sur un autre Dispositif Personnel comme copie de sauvegarde, utilisable
uniquement pour rinstaller le Contenu du Formateur. Vous ntes pas autoris installer
ou utiliser une copie du Contenu du Formateur sur un dispositif qui ne vous appartient pas
ou que vous ne contrlez pas. Vous tes galement autoris imprimer une (1) copie
du Contenu du Formateur uniquement pour prparer et assurer une Session de
Formation Agre ou une Session de Formation Prive.
ii.
Vous pouvez personnaliser les parties crites du Contenu du Formateur qui sont
logiquement associes la prsentation dune session de formation conformment
la version la plus rcente du contrat MCT. Si vous choisissez dexercer les droits qui
prcdent, vous acceptez de vous conformer ce qui suit : (i) les personnalisations ne
peuvent tre utilises que pour donner des Sessions de Formation Agres et des Sessions
de Formation Prives, et (ii) toutes les personnalisations seront conformes au prsent
contrat. des fins de clart, toute utilisation de personnaliser ne fait rfrence
qu la modification de lordre des diapositives et du contenu, et/ou la non-utilisation
de lensemble du contenu ou des diapositives, et ne signifie pas le changement ou la
modification daucune diapositive ni daucun contenu.
2.2 Dissociation de composants. Le Contenu Concd sous Licence est concd sous licence
en tant quunit unique et vous ntes pas autoris dissocier les composants ni les installer
sur diffrents dispositifs.
viii
2.3 Redistribution du Contenu Concd sous Licence. Sauf stipulation contraire expresse
dans les droits dutilisation ci-dessus, vous ntes pas autoris distribuer le Contenu Concd
sous Licence ni aucune partie de celui-ci (y compris les ventuelles modifications autorises)
des tiers sans lautorisation expresse et crite de Microsoft.
2.4 Programmes et Services Tiers. Le Contenu Concd sous Licence peut contenir
des programmes ou services tiers. Les prsents termes du contrat de licence sappliqueront
votre utilisation de ces programmes ou services tiers, except si dautres termes accompagnent
ces programmes et services.
2.5 Conditions supplmentaires. Le Contenu Concd sous Licence est susceptible de contenir
des composants auxquels sappliquent des termes, conditions et licences supplmentaires en
termes dutilisation. Les termes non contradictoires desdites conditions et licences sappliquent
galement votre utilisation du composant correspondant et compltent les termes dcrits dans
le prsent contrat.
3. CONTENU CONCD SOUS LICENCE BAS SUR UNE TECHNOLOGIE PRCOMMERCIALE.
Si lobjet du Contenu Concd sous Licence est bas sur une version prcommerciale dune technologie
Microsoft ( version prcommerciale ), les prsents termes sappliquent en plus des termes de
ce contrat :
a. Contenu sous licence en version prcommerciale. Lobjet du prsent Contenu Concd sous
Licence est bas sur la version prcommerciale de la technologie Microsoft. La technologie peut
ne pas fonctionner comme une version finale de la technologie et nous sommes susceptibles de
modifier cette technologie pour la version finale. Nous sommes galement autoriss ne pas diter
de version finale. Le Contenu Concd sous Licence bas sur la version finale de la technologie
est susceptible de ne pas contenir les mmes informations que le Contenu Concd sous Licence
bas sur la version prcommerciale. Microsoft na aucune obligation de vous fournir quelque autre
contenu, y compris du Contenu Concd sous Licence bas sur la version finale de la technologie.
b. Commentaires. Si vous acceptez de faire part Microsoft de vos commentaires concernant
le Contenu Concd sous Licence, directement ou par lintermdiaire de son reprsentant tiers,
vous concdez Microsoft, gratuitement, le droit dutiliser, de partager et de commercialiser vos
commentaires de quelque manire et quelque fin que ce soit. Vous concdez galement des
tiers, titre gratuit, tout droit de proprit sur leurs produits, technologies et services, ncessaires
pour utiliser ou interfacer des parties spcifiques dun logiciel, produit ou service Microsoft qui
inclut les commentaires. Vous ne donnerez pas dinformations faisant lobjet dune licence
qui impose Microsoft de concder sous licence son logiciel, ses technologies ou produits des
tiers parce que nous y incluons vos commentaires. Ces droits survivent au prsent contrat.
c.
Dure de la Version Prcommerciale. Si vous tes un Membre du Programme Microsoft IT

Academy, un Membre Microsoft Learning Competency, un Membre MPN ou un Formateur, vous
cesserez dutiliser toutes les copies du Contenu Concd sous Licence bas sur la technologie
prcommerciale (i) la date que Microsoft vous indique comme date de fin dutilisation du Contenu
Concd sous Licence bas sur la technologie prcommerciale, ou (ii) soixante (60) jours aprs
la mise sur le march de la technologie qui fait lobjet du Contenu Concd sous Licence, selon la
date la plus proche ( Dure de la Version Prcommerciale ). Ds lexpiration ou la rsiliation
de la dure de la version prcommerciale, vous supprimerez dfinitivement et dtruirez toutes
les copies du Contenu Concd sous Licence en votre possession ou sous votre contrle.
ix
4. CHAMP DAPPLICATION DE LA LICENCE. Le Contenu Concd sous Licence nest pas vendu.
Le prsent contrat ne fait que vous confrer certains droits dutilisation du Contenu Concd sous
Licence. Microsoft se rserve tous les autres droits. Sauf si la rglementation applicable vous confre
dautres droits, nonobstant la prsente limitation, vous ntes autoris utiliser le Contenu Concd
sous Licence quen conformit avec les termes du prsent contrat. Ce faisant, vous devez vous
conformer aux restrictions techniques contenues dans le Contenu Concd sous Licence qui ne vous
permettent de lutiliser que dune certaine faon. Sauf stipulation expresse dans le prsent contrat,
vous ntes pas autoris :
accder au Contenu Concd sous Licence ou y autoriser laccs quiconque qui na pas achet
une licence valide du Contenu Concd sous Licence,
modifier, supprimer ou masquer les mentions de droits dauteur ou autres notifications
de protection (y compris les filigranes), marques ou identifications contenue dans le
Contenu Concd sous Licence,
modifier ou crer une uvre drive dun Contenu Concd sous Licence,
prsenter en public ou mettre disposition de tiers le Contenu Concd sous Licence des fins
daccs ou dutilisation,
copier, imprimer, installer, vendre, publier, transmettre, prter, adapter, rutiliser, lier ou publier,
mettre disposition ou distribuer le Contenu Concd sous Licence un tiers,
contourner les restrictions techniques contenues dans Contenu Concd sous Licence, ou
reconstituer la logique, dcompiler, supprimer ou contrecarrer des protections, ou dsassembler
le Contenu Concd sous Licence, sauf dans la mesure o ces oprations seraient expressment
permises par les termes du contrat de licence ou la rglementation applicable nonobstant
la prsente limitation.
5. DROITS RSERVS ET PROPRIT. Microsoft se rserve tous les droits qui ne vous sont pas
expressment concds dans le prsent contrat. Le Contenu Concd sous Licence est protg
par les lois et les traits internationaux en matire de droits dauteur et de proprit intellectuelle.
Les droits de proprit, droits dauteur et autres droits de proprit intellectuelle sur le Contenu
Concd sous Licence appartiennent Microsoft ou ses fournisseurs.
6. RESTRICTIONS LEXPORTATION. Le Contenu Concd sous Licence est soumis aux lois
et rglementations amricaines en matire dexportation. Vous devez vous conformer toutes les
lois et rglementations nationales et internationales en matire dexportation applicables au Contenu
Concd sous Licence. Ces lois comportent des restrictions sur les utilisateurs finals et les utilisations
finales. Des informations supplmentaires sont disponibles sur le site www.microsoft.com/exporting.
7. SERVICES DASSISTANCE TECHNIQUE. Dans la mesure o le Contenu Concd sous Licence est
fourni en ltat , nous ne fournissons pas de services dassistance technique.
8. RSILIATION. Sans prjudice de tous autres droits, Microsoft pourra rsilier le prsent contrat si vous
nen respectez pas les conditions gnrales. Ds la rsiliation du prsent contrat pour quelque raison
que ce soit, vous arrterez immdiatement toute utilisation et dtruirez toutes les copies du Contenu
Concd sous Licence en votre possession ou sous votre contrle.
9. LIENS VERS DES SITES TIERS. Vous tes autoris utiliser le Contenu Concd sous Licence pour
accder des sites tiers. Les sites tiers ne sont pas sous le contrle de Microsoft et Microsoft nest pas
responsable du contenu de ces sites, des liens quils contiennent ni des modifications ou mises jour
qui leur sont apportes. Microsoft nest pas responsable du Webcasting ou de toute autre forme de
transmission reue dun site tiers. Microsoft fournit ces liens vers des sites tiers pour votre commodit
uniquement et linsertion de tout lien nimplique pas lapprobation du site en question par Microsoft.
10. INTGRALIT DES ACCORDS. Le prsent contrat et les ventuelles conditions supplmentaires
pour le Contenu du Formateur, les mises jour et les supplments constituent lintgralit des accords
en ce qui concerne le Contenu Concd sous Licence, les mises jour et les supplments.
11. RGLEMENTATION APPLICABLE.
a. tats-Unis. Si vous avez acquis le Contenu Concd sous Licence aux tats-Unis, les lois de ltat
de Washington, tats-Unis dAmrique, rgissent linterprtation de ce contrat et sappliquent
en cas de rclamation ou dactions en justice pour rupture dudit contrat, sans donner deffet aux
dispositions rgissant les conflits de lois. Les lois du pays dans lequel vous vivez rgissent toutes
les autres rclamations, notamment les rclamations fondes sur les lois fdrales en matire
de protection des consommateurs, de concurrence dloyale et de dlits.
b. En dehors des tats-Unis. Si vous avez acquis le Contenu Concd sous Licence dans un autre
pays, les lois de ce pays sappliquent.
12. EFFET JURIDIQUE. Le prsent contrat dcrit certains droits lgaux. Vous pouvez bnficier
dautres droits prvus par les lois de votre tat ou pays. Vous pouvez galement bnficier de certains
droits lgard de la partie auprs de laquelle vous avez acquis le Contenu Concd sous Licence.
Le prsent contrat ne modifie pas les droits que vous confrent les lois de votre tat ou pays si celles-ci
ne le permettent pas.
13. EXCLUSIONS DE GARANTIE. LE CONTENU CONCD SOUS LICENCE EST FOURNI
EN LTAT ET TEL QUE DISPONIBLE . VOUS ASSUMEZ TOUS LES RISQUES
LIS SON UTILISATION. MICROSOFT ET SES AFFILIS RESPECTIFS NACCORDENT
AUCUNE GARANTIE OU CONDITION EXPRESSE. VOUS POUVEZ BNFICIER DE DROITS
SUPPLMENTAIRES RELATIFS AUX CONSOMMATEURS EN VERTU DU DROIT DE VOTRE
PAYS, QUE CE CONTRAT NE PEUT MODIFIER. LORSQUE CELA EST AUTORIS PAR LE
DROIT LOCAL, MICROSOFT ET SES AFFILIS RESPECTIFS EXCLUENT TOUTES GARANTIES
IMPLICITES DE QUALIT, DADQUATION UN USAGE PARTICULIER ET DABSENCE
DE VIOLATION.
14. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR
DE MICROSOFT, DE SES AFFILIS RESPECTIFS ET DE SES FOURNISSEURS UNE
INDEMNISATION EN CAS DE DOMMAGES DIRECTS LIMITE U.S. $5.00. VOUS NE
POUVEZ PRTENDRE AUCUNE INDEMNISATION POUR LES AUTRES DOMMAGES,
Y COMPRIS LES DOMMAGES SPCIAUX, INDIRECTS, INCIDENTS OU ACCESSOIRES
ET LES PERTES DE BNFICES.
Cette limitation concerne :
o toute affaire lie au Contenu Concd sous Licence, au logiciel, aux services ou au contenu
(y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et
o les rclamations pour rupture de contrat ou violation de garantie, les rclamations en cas
de responsabilit sans faute, de ngligence ou autre dlit dans la limite autorise par la loi
en vigueur.
Elle sapplique galement mme si Microsoft connaissait lventualit dun tel dommage. La limitation
ou lexclusion ci-dessus peut galement ne pas vous tre applicable si votre pays nautorise pas
lexclusion ou la limitation de responsabilit pour les dommages incidents, indirects ou de quelque
nature que ce soit.
Dernire mise jour : septembre 2012.
Bienvenue !
Merci de suivre notre formation. En collaboration avec nos sites Microsoft Certified Partners
for Learning Solutions et nos centres Microsoft IT Academy, nous avons labor des formations
de premier plan aussi bien destines aux informaticiens souhaitant approfondir leurs
connaissances qu'aux tudiants se destinant une carrire informatique.
Formateurs et instructeurs Microsoft CertifiedVotre instructeur possde des

comptences techniques et pdagogiques. Il rpond aux exigences actuelles en matire
de certification. En outre, si les instructeurs dispensent des formations sur l'un de nos sites
Certified Partners for Learning Solutions, ils sont galement valus tout au long de
l'anne par les stagiaires et par Microsoft.
Avantages des examens de certification l'issue d'une formation, pensez aux

examens de certification Microsoft. Les certifications Microsoft valident vos comptences
en matire de technologies Microsoft et peuvent faire la diffrence lors d'une recherche
d'emploi ou pour faire progresser votre carrire. Une tude IDC indpendante a conclu
que pour 75 % des responsables, les certifications sont importantes pour les performances
des quipes1. Renseignez-vous auprs de votre instructeur pour connatre les promotions
et remises auxquels vous pourriez avoir droit sur les examens de certification Microsoft.
Garantie de satisfaction du clientNos Certified Partners for Learning Solutions offrent

une garantie de satisfaction et engagent leur responsabilit ce sujet. la fin du cours,
nous vous demandons de bien vouloir remplir un formulaire d'valuation sur votre
exprience du jour. Vos commentaires sont les bienvenus !
Nous vous souhaitons une agrable formation et une carrire couronne de succs.
Cordialement,
Microsoft Learning
www.microsoft.com/france/formation
1 IDC,
Value of Certication: Team Certication and Organizational Performance, novembre 2006
xi
xii
Remerciements
Formation Microsoft souhaite reconnatre la contribution apporte par les personnes cites ci-dessous
l'laboration de ce titre et les en remercier. Elles ont en effet dploy des efforts aux diffrents stades
de ce processus pour vous proposer une exprience de qualit en classe.
Stan Reimer Dveloppeur de contenu et expert technique

Stan Reimer est prsident de S. R. Technical Services Inc et travaille comme consultant, instructeur et
auteur. Stan bnficie d'une exprience approfondie en matire de conseil sur les dploiements des
services de domaine Active Directory (AD DS) et Microsoft Exchange Server pour certaines des plus
grandes entreprises du Canada. Stan est le principal auteur de deux ouvrages Active Directory pour
Microsoft Press. Au cours des neuf dernires annes, Stan a crit des cours pour la Formation Microsoft,
en se spcialisant dans les cours Active Directory et Exchange Server. Stan est instructeur certifi par
Microsoft (MCT) depuis plus de 12 ans.
Damir Dizdarevic Dveloppeur de contenu et expert technique

Damir Dizdarevic, MCT, MCSE (Microsoft Certified Solutions Expert), MCTS (Microsoft Certified
Technology Specialist) et MCITP (Microsoft Certified IT Professional), est responsable et
certificateur au Learning Center chez Logosoft d.o.o., Sarajevo, Bosnie-Herzgovine. Damir a plus de
17 annes d'exprience en matire de plateformes Microsoft et il est spcialiste de Windows Server,
Exchange Server, en termes de scurit et de virtualisation. Il a travaill en tant qu'expert technique
et rviseur technique sur de nombreux cours MOC (Microsoft Official Curriculum) et a publi plus de
400 articles dans diffrents magazines informatiques tels que Windows ITPro et INFO Magazine. Damir
est aussi un prsentateur frquent et reconnu lors de nombreuses confrences Microsoft en Europe de
l'Est. En outre, il est membre du programme Microsoft MVP (Most Valuable Professional) pour la gestion
de l'infrastructure de Windows Server.
Gary Dunlop Expert technique

Gary Dunlop est bas Winnipeg, au Canada, et est consultant technique et instructeur
pour Broadview Networks. Il a crit plusieurs titres de la Formation Microsoft et est formateur
Microsoft Certified Trainer (MCT) depuis 1997.
Siegfried Jagott Dveloppeur de contenu

Siegfried Jagott est consultant principal et responsable de l'quipe ddie aux solutions
de messagerie et de collaboration chez Atos Germany, Allemagne. Il est auteur-laurat de
Microsoft Exchange Server 2010 Best Practices (Microsoft Press) et il a crit et effectue la rvision
technique de plusieurs cours MOC sur diffrents sujets tels que MOC 10165 : Mise niveau des
comptences concernant Microsoft Exchange Server 2003 ou Exchange Server 2007 vers Exchange
Server 2010 SP1. Siegfried a t coauteur d'autres manuels relatifs au systme d'exploitation Windows,
System Center Virtual Machine Manager (SC VMM) et Exchange, et il a souvent prsent ces sujets
lors de confrences internationales, telles que le confrence IT & Dev Connections qui s'est tenue
au printemps 2012, Las Vegas. Siegfried a planifi, conu et implment certaines des plus grandes
infrastructures Exchange Server et Windows au monde pour des clients internationaux. Il est titulaire
d'un MBA obtenu l'universit Open University, Royaume-Uni, et il est certifi MCSE depuis 1997.
xiii
Jason Kellington Expert technique

Jason Kellington (MCT, MCITP et MCSE) est consultant, instructeur et auteur. Il a une certaine
exprience de l'utilisation d'un large ventail de technologies Microsoft, et s'intresse essentiellement
l'infrastructure rseau d'entreprise. Jason exerce diffrentes fonctions chez Microsoft. Il est la fois
dveloppeur de contenu pour les cours Microsoft Learning, responsable rdacteur technique pour
Microsoft IT Showcase et auteur pour Microsoft Press.
Vladimir Meloski Dveloppeur de contenu

Vladimir est MCT, MVP sur Exchange Server, et un consultant, qui fournit des solutions de
communications et d'infrastructure unifies bases sur Microsoft Exchange Server, Microsoft Lync Server
et Microsoft System Center. Vladimir a 16 ans d'exprience professionnelle en informatique. Vladimir
a particip des confrences Microsoft en Europe et aux tats-Unis en tant qu'un prsentateur,
modrateur, surveillant d'ateliers pratiques et expert technique. Il a galement travaill en tant
qu'expert technique et rviseur technique pour plusieurs cours MOC.
Nick Portlock Expert technique

Nick a t MCT pendant 15 ans. Il est instructeur informatique indpendant, consultant et auteur.
L'anne dernire, Nick a enseign dans plus de 20 pays. Il est spcialiste d'AD DS, des stratgies de
groupe, de DNS, et il est intervenu en tant que consultant dans de nombreuses entreprises au cours
des dix dernires annes. Il a rvis plus de 100 cours Microsoft. Nick est membre du programme
Springboard Series Technical Expert Panel (STEP) de Windows 7.
Brian Svidergol Rviseur technique

Brian Svidergol est spcialis dans les solutions d'infrastructure Microsoft et les solutions bases sur
le cloud dans les environnements Windows, AD DS, Exchange Server, System Center, virtualisation
et Microsoft Desktop Optimization Package (MDOP). Il possde les certifications MCT, MCITP
(Enterprise Administrator (EA)), MCITP (Virtualization Administrator (VA)), MCITP (Exchange 2010)
et plusieurs autres certifications Microsoft et du secteur. Brian est l'auteur du cours MOC
(Microsoft Official Curriculum) 6426C : Configuration et dpannage des solutions d'identit et d'accs
avec Windows Server 2008 Active Directory. Il a galement travaill pendant plusieurs annes sur le
dveloppement d'examens de certification Microsoft et du contenu de formation associ.
Orin Thomas Expert technique

Orin Log possde les certifications MVP, MCT, ainsi qu'un grand nombre de certifications MCSE
et MCITP. Il a crit plus de 20 manuels pour Microsoft Press et il est conseiller de rdaction pour le
magazine Windows IT Pro. Il travaille dans l'informatique depuis le dbut des annes 1990. Il intervient
rgulirement lors d'vnements tels que TechED en Australie, et dans le monde entier, sur Windows
Server, sur le client Windows, System Center, et sur des sujets relatifs la scurit. Orin a fond et dirige
le Melbourne System Center Users Group.
Byron Wright Dveloppeur de contenu et expert technique

Byron Wright est un partenaire qui intervient pour une socit de conseil pour laquelle il fournit des
services de consulting rseau, d'implmentation de systmes informatiques et de formation technique.
Byron occupe galement un poste de charg d'enseignement la Asper School of Business de l'University
du Manitoba, o il enseigne sur les systmes de gestion de l'information et la gestion de rseau. Byron
est l'auteur et le coauteur de plusieurs livres sur les systmes d'exploitation Windows, Windows Vista
et Exchange Server, notamment le Windows Server 2008 Active Directory Resource Kit (en anglais).
Sommaire
Module 1 : Dploiement et gestion de Windows Server 2012
Leon 1 : Vue d'ensemble de Windows Server 2012
Leon 2 : Vue d'ensemble de l'administration de Windows Server 2012
Leon 3 : Installation de Windows Server 2012
Leon 4 : Configuration post-installation de Windows Server 2012
Leon 5 : Prsentation de Windows PowerShell
Atelier pratique : Dploiement et gestion de Windows Server 2012
1-2
1-16
1-22
1-28
1-38
1-44
Module 2 : Prsentation des services de domaine Active Directory

Leon 1 : Vue d'ensemble d'AD DS
Leon 2 : Vue d'ensemble des contrleurs de domaine
Leon 3 : Installation d'un contrleur de domaine
Atelier pratique : Installation de contrleurs de domaine
2-2
2-9
2-16
2-22
Module 3 : Gestion des objets de services de domaine Active Directory

Leon 1 : Gestion de comptes d'utilisateurs
Leon 2 : Gestion des comptes de groupes
Leon 3 : Gestion des comptes d'ordinateurs
Leon 4 : Dlgation de l'administration
Atelier pratique : Gestion des objets de services
de domaine Active Directory
3-3
3-12
3-20
3-26
3-30
Module 4 : Automatisation de l'administration des domaines de services Active Directory

Leon 1 : Utilisation des outils en ligne de commande
pour l'administration d'AD DS
Leon 2 : Utilisation de Windows PowerShell pour l'administration d'AD DS
Leon 3 : Excution d'oprations en bloc avec Windows PowerShell
Atelier pratique : Automatisation de l'administration d'AD DS
l'aide de Windows PowerShell
4-2
4-8
4-15
4-23
Module 5 : Implmentation du protocole IPv4

Leon 1 : Vue d'ensemble de TCP/IP
Leon 2 : Fonctionnement de l'adressage IPv4
Leon 3 : Sous-rseau et super-rseau
Leon 4 : Configuration et rsolution des problmes lis IPv4
Atelier pratique : Implmentation du protocole IPv4
5-2
5-7
5-12
5-18
5-28
xv
xvi
Module 6 : Implmentation du protocole DHCP (Dynamic Host Configuration Protocol)

Leon 1 : Installation d'un rle Serveur DHCP
Leon 2 : Configuration des tendues DHCP
Leon 3 : Gestion d'une base de donnes DHCP
Leon 4 : Scurisation et surveillance DHCP
Atelier pratique : Implmentation de DHCP
6-2
6-8
6-13
6-17
6-23
Module 7 : Implmentation du systme DNS (Domain Name System)

Leon 1 : Rsolution de noms pour les clients et les serveurs Windows
Leon 2 : Installation et gestion d'un serveur DNS
Leon 3 : Gestion des zones DNS
Atelier pratique : Implmentation de la rplication DNS
7-2
7-12
7-19
7-23
Module 8 : Implmentation d'IPv6

Leon 1 : Vue d'ensemble du protocole IPv6
Leon 2 : Adressage IPv6
Leon 3 : Cohabitation avec le protocole IPv4
Leon 4 : Technologies de transition IPv6
Atelier pratique : Implmentation d'IPv6
8-2
8-8
8-15
8-20
8-26
Module 9 : Implmentation d'un systme de stockage local

Leon 1 : Vue d'ensemble du stockage
Leon 2 : Gestion des disques et des volumes
Leon 3 : Implmentation d'espaces de stockage
Atelier pratique : Implmentation d'un systme de stockage local
9-2
9-13
9-25
9-30
Module 10 : Implmentation des services de fichier et d'impression

Leon 1 : Scurisation des fichiers et des dossiers
10-2
Leon 2 : Protection des fichiers et des dossiers partags l'aide
de clichs instantans
10-17
Leon 3 : Configuration de l'impression rseau
10-21
Atelier pratique : Implmentation des services de fichier et d'impression 10-28
Module 11 : Implmentation d'une stratgie de groupe

Leon 1 : Vue d'ensemble d'une stratgie de groupe
Leon 2 : Traitement d'une stratgie de groupe
Leon 3 : Implmentation d'un magasin central pour les modles
d'administration
Atelier pratique : Implmentation d'une stratgie de groupe
11-2
11-11
11-18
11-23
Module 12 : Scurisation des serveurs Windows l'aide d'objets de stratgie de groupe

Leon 1 : Vue d'ensemble de la scurit des systmes
d'exploitation Windows
Leon 2 : Configuration des paramtres de scurit
Atelier pratique A : Renforcement de la scurit des ressources
de serveur
Leon 3 : Restriction de l'accs aux logiciels
Leon 4 : Configuration du Pare-feu Windows avec fonctions avances
de scurit
Atelier pratique B : Configuration d'AppLocker et du Pare-feu Windows
12-2
12-7
12-18
12-26
12-31
12-36
Module 13 : Implmentation de la virtualisation de serveur avec Hyper-V

Leon 1 : Vue d'ensemble des technologies de virtualisation
Leon 2 : Implmentation d'Hyper-V
Leon 3 : Gestion du stockage d'ordinateur virtuel
Leon 4 : Gestion des rseaux virtuels
Atelier pratique : Implmentation de la virtualisation de serveur
avec Hyper-V
13-2
13-9
13-17
13-25
13-30
Corrigs des ateliers pratiques

Atelier pratique du module 1 : Dploiement et gestion
Atelier pratique du module 2 : Installation de contrleurs de domaine
Atelier pratique du module 3 : Gestion des objets de services
Atelier pratique du module 4 : Automatisation
de l'administration d'AD DS l'aide de Windows PowerShell
Atelier pratique du module 5 : Implmentation du protocole IPv4
Atelier pratique du module 6 : Implmentation de DHCP
Atelier pratique du module 7 : Implmentation de la rplication DNS
Atelier pratique du module 8 : Implmentation d'IPv6
Atelier pratique du module 9 : Implmentation d'un systme
de stockage local
Atelier pratique du module 10 : Implmentation des services
de fichier et d'impression
Atelier pratique du module 11 : Implmentation d'une stratgie
de groupe
Atelier pratique A du module 12 : Renforcement de la scurit
des ressources de serveur
Atelier pratique B du module 12 : Configuration d'AppLocker
et du Pare-feu Windows
Atelier pratique du module 13 : Implmentation de la virtualisation
de serveur avec Hyper-V
L1-1
L2-11
L3-15
L4-25
L5-29
L6-33
L7-39
L8-47
L9-51
L10-57
L11-65
L12-69
L12-77
L13-85
xvii
UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT
propos de ce cours
propos de ce cours
xix
Cette section dcrit brivement le cours22410B : Installation et configuration de

Windows Server 2012 et ses objectifs, le public vis, ainsi que les connaissances pralables requises.
Description du cours
Ce cours constitue la premire partie d'une srie de trois cours qui apportent les qualifications
et connaissances ncessaires pour implmenter une infrastructure Windows Server 2012 principale
dans un environnement d'entreprise existant. L'intgralit des trois cours couvre l'implmentation,
la gestion, la maintenance et la mise en route des services et de l'infrastructure dans un environnement
Windows Server 2012. Mme si certaines comptences et tches se recoupent d'un cours l'autre,
celui-ci couvre principalement l'implmentation et la configuration initiales de services principaux tels
qu'Active Directory Domain Services (AD DS), les services de mise en rseau et la configuration de
Microsoft Hyper-V Server 2012 .
Public vis
Ce cours s'adresse aux professionnels des technologies de l'information qui ont une bonne connaissance
et une bonne exprience des systmes d'exploitation Windows et souhaitent acqurir les comptences
et connaissances ncessaires pour implmenter des services d'infrastructure essentiels dans un
environnement Windows Server 2012 existant.
Il s'adresse accessoirement toute personne souhaitant obtenir la certification l'examen 70-410,
Installation et configuration de Windows Server 2012.
Connaissances pralables des stagiaires

Pour suivre ce cours, les stagiaires doivent :
avoir une bonne comprhension des principes fondamentaux de la mise en rseau ;
comprendre la configuration de la scurit et des tches administratives dans un environnement

d'entreprise et avoir de l'exprience en la matire ;
avoir de l'exprience en matire de prise en charge et de configuration des clients utilisant le systme
d'exploitation Windows ;
avoir une bonne exprience pratique des systmes d'exploitation Windows Vista, Windows 7 ou
Windows 8.
Une exprience de systmes d'exploitation Windows Server prcdents serait galement profitable aux
stagiaires.
propos de ce cours
Objectifs du cours
la fin de ce cours, les stagiaires seront mme d'effectuer les tches suivantes :
installer et configurer Windows Server 2012 ;
dcrire AD DS ;
grer des objets Active Directory ;
automatiser l'administration d'Active Directory ;
implmenter IPv4 ;
implmenter le protocole DHCP (Dynamic Host Configuration Protocol) ;
implmenter le systme DNS (Domain Name System) ;
implmenter IPv6 ;
implmenter le stockage local ;
partager des fichiers et des imprimantes ;
implmenter une stratgie de groupe ;
utiliser des objets de stratgie de groupe pour scuriser les serveurs Windows Server ;
implmenter la virtualisation de serveur avec Hyper-V.
Plan du cours
Cette section prsente le plan du cours :
Module 1, Dploiement et gestion de Windows Server 2012
Ce module commence par dcrire l'installation de Windows Server 2012. Il ne s'agit pas
de la tche la plus rcurrente du cours mais elle constitue un point de dpart logique pour
permettre aux stagiaires de commencer travailler avec Windows Server 2012.
Module 2, Prsentation des services de domaine Active Directory
xx
Les services de domaine Active Directory (AD DS) constituent un lment central de la gestion
rseau dans un environnement d'entreprise. Ils sont prsent en dbut de cours de sorte
que les stagiaires puissent les utiliser pour effectuer d'autres tches, telles que la cration
d'utilisateurs et de groupes, au cours des modules suivants. Dans ce module, les stagiaires
vont installer un contrleur de domaine.
Module 3, Gestion des objets de services de domaine Active Directory
Ce module dcrit la cration et la gestion d'objets Active Directory spcifiques, tels que
des utilisateurs, des groupes ou des comptes d'ordinateur. Il s'agit d'un lment essentiel des
tches quotidiennes effectues par un administrateur de serveur dbutant. Certaines de ces
tches sont galement dlgues au personnel de support technique.
propos de ce cours
Module 4, Automatisation de l'administration des domaines de services Active Directory
xxi
Ce module tend les connaissances acquises lors du module 3 en fournissant aux stagiaires
des mthodes permettant d'automatiser la cration et la gestion des objets Active Directory. Il s'agit
d'un sujet relativement avanc, mais qui dcoule logiquement du module 3.
Module 5, Implmentation du protocole IPv4
Ce module commence un nouveau thme de formation dans le cours. Configurer et matriser

IPv4 est un lment fondamental du rle d'administrateur systme.
Module 6, Implmentation du protocole DHCP (Dynamic Host Configuration Protocol)
Ce module dcrit l'utilisation du protocole DHCP pour la diffusion des informations
d'adresse IPv4.
Module 7, Implmentation du systme DNS (Domain Name System)
Ce module explique comment le systme DNS convertit les noms en adresses IP, et pourquoi
cela est important dans un environnement Active Directory.
Module 8, Implmentation d'IPv6
Ce module prsente la configuration IPv6, ce qui constitue probablement un nouveau contenu

pour les stagiaires. Le module 8 est spar du module 5 car ces deux modules sont trs
thoriques et pourraient surcharger les stagiaires s'ils taient squentiels. La connaissance
d'IPv6 n'est pas requise pour les modules 6 et 7.
Module 9, Implmentation d'un systme de stockage local
Ce module inclut des informations sur la configuration du stockage pour Windows

Server 2012. Ces informations constituent un prrequis au module 10, lequel dcrit la cration
et la scurisation des partages de fichiers.
Module 10, Implmentation des services de fichier et d'impression
Ce module dcrit la fois les partages de fichiers et l'impression car ces deux tches sont
des services rseau couramment utiliss. La scurit concernant les partages de fichiers
et l'impression utilise les connaissances relatives aux comptes d'utilisateurs et aux groupes
qui font l'objet des modules 2 et 3.
Module 11, Implmentation d'une stratgie de groupe
Ce module repose sur les informations que les stagiaires connaissent dj au sujet d'AD DS
et prsente la cration et la gestion des objets de stratgie de groupe.
Module 12, Scurisation des serveurs Windows l'aide d'objets de stratgie de groupe
Ce module dcrit les paramtres de stratgie de groupe spcifiques qui permettent d'accrotre
la scurit. Ces paramtres comprennent les stratgies de scurit, les stratgies de restriction
d'application et les rgles de Pare-feu Windows.
Module 13, Implmentation de la virtualisation de serveur avec Hyper-V
Ce dernier module explique comment configurer Hyper-V et comment crer des ordinateurs
virtuels. Ce module est prsent en dernier car son atelier pratique pourrait avoir un impact
ngatif sur les ordinateurs virtuels qui sont dj dploys sur les machines des stagiaires.
Mappage d'examen/de cours
xxii propos de ce cours
Ce cours, 22410B : Installation et configuration de Windows Server 2012, mappe directement son contenu
aux objectifs de l'examen Microsoft 70-410 : Installation et configuration de Windows Server 2012.
Le tableau ci-dessous est fourni sous la forme d'une aide d'tude pour vous aider prparer cet examen
et vous montrer la manire dont s'imbriquent les objectifs de l'examen et le contenu du cours. Le cours
n'est pas conu exclusivement en vue de l'examen mais il fournit plutt des connaissance et comptences
plus larges pour permettre une implmentation relle de cette technologie particulire. Le cours contient
galement du contenu qui n'est pas directement li l'examen et qui utilisera l'exprience et les
comptences uniques de votre instructeur certifi Microsoft.
Remarque : Les objectifs de l'examen sont disponibles en ligne l'aide de l'URL suivante :
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-410&locale=en-us#tab2
(Certains de ces sites adresses dans ce cours sont en anglais.).
Objectifs de l'examen : Examen 70-410 : Installation

et configuration de Windows Server 2012
Installer et configurer des serveurs
Cet objectif peut inclure, mais n'est pas
limit aux lments suivants : Planifier une
installation de serveur, planifier des rles
de serveur, planifier une mise niveau de
serveur, effectuer une installation
minimale, optimiser l'utilisation des
ressource l'aide des fonctionnalits la
Installer des demande, migrer les rles des versions
serveurs
prcdentes de Windows Server
limit aux lments suivants : Configurer
installation minimale, dlguer
l'administration, ajouter et supprimer des
fonctionnalits dans des images hors
connexion, dployer les rles sur des
serveurs distants, passer d'une installation
minimale / partir d'une interface
Configurer
graphique complte, configurer les
des
services, configurer l'association de cartes
serveurs
rseau
limit aux lments suivants : Concevoir
des espaces de stockage, configurer
des disques de base et des disques
dynamiques, configurer des disques MBR
et GPT, grer des volumes, crer et monter
Configurer
des disques durs virtuels (VHD), configurer
le stockage des pools de stockage et des pools de
local
disque
Contenu du cours
Module Lesson
Lab
Mod 1
Leon 1
Mod 1 Ex 1
Mod 1
Leon 1/2/4
Mod 1 Ex 1/2/3
Mod 3
Leon 4
Mod 3 Ex 2
Mod 9
Leon 1/2/3
Mod 9 Ex 1/2/3
(suite)

Configurer les rles et les fonctionnalits serveur
limit aux lments suivants : Crer et
configurer des partages, configurer des
autorisations de partage, configurer
Configurer
des fichiers hors connexion, configurer
l'accs aux
des autorisations NTFS, configurer
fichiers
l'numration base sur l'accs (ABE),
et aux
configurer le service VSS, configurer
partages
les quotas NTFS
le pilote d'impression Easy Print,
Configurer
configurer la gestion de l'impression
les services
d'entreprise, configurer des pilotes,
d'impression configurer le pool d'imprimante,
et de
configurer les priorits d'impression,
document
configurer les autorisations d'imprimante
WinRM, configurer la gestion de serveur
de bas niveau, configurer les serveurs
Configurer
des serveurs pour des tches de gestion quotidiennes,
configurer la gestion de plusieurs
pour la
serveurs, configurer une installation
gestion
distance
minimale, configurer le Pare-feu Windows
Contenu du cours
propos de ce cours
xxiii
Mod 10
Leon 1/2
Mod 10 Ex 1/2
Mod 10
Leon 3
Mod 10 Ex 3
Mod 1
Leon 1/2/4
Mod 1 Ex 2
Mod 12
Leon 4
Mod 12 Atelier B Ex 2

Configurer Hyper-V
Crer et
configurer
des
la mmoire dynamique, configurer la
paramtres
pagination intelligente, configurer
d'ordinateur
le contrle des ressources, configurer
virtuel
les services d'intgration d'invit
limit aux lments suivants : Crer des
disques durs VHD et VHDX, configurer des
Crer et
lecteurs de diffrenciation, modifier des
configurer
disques VHD, configurer des disques directs,
un stockage
grer des instantans, implmenter une
d'ordinateur
virtuel
carte de Fibre Channel virtuelle
limit aux lments suivants : Implmenter
la virtualisation de rseau Hyper-V,
configurer les commutateurs virtuels HyperCrer et
V, optimiser les performances rseau,
configurer
configurer des adresses MAC, configurer
des rseaux
l'isolement rseau, configurer des cartes
virtuels
rseau virtuelles synthtiques et hrites
Dployer et configurer des services rseau de base
les options d'adresse IP, configurez un
sous-rseau, configurer un super-rseau,
Configurer
configurer l'interoprabilit entre IPv4 et
l'adressage
IPv4 et IPv6
IPv6, configurer ISATAP, configurer Teredo
Dployer et
limit aux lments suivants : Crez et
configure le
configurez les tendues, configurer une
service DHCP rservation DHCP, configurer des
(Dynamic
options DHCP, configurer un client
Host
et un serveur pour le dmarrage PXE,
Configuration configurer un agent relais DHCP, autoriser
Protocol)
un serveur DHCP
l'intgration d'Active Directory des zones
principales, configurer des redirecteurs,
Dployer et
configurer des indications de racine, grer
configurer un le cache DNS, crer des enregistrements
service DNS
de ressource A et PTR
Contenu du cours
xxiv propos de ce cours
Mod 13
Leon 2
Mod 13 Ex 3/4
Mod 9
Leon 1
Mod 13
Leon 2/3
Mod 13 Ex 3/4
Mod 13
Leon 4
Mod 13 Ex 2
Mod 1
Leon 4
Mod 1 Ex 1/2
Mod 5
Mod 8
Leon 2/3/4
Leon 3/4
Mod 5 Ex 1/2
Mod 8 Ex 2
Mod 6
Leon 1/2/3/4
Mod 6 Ex 1/2
Mod 7
Leon 1/2/3
Mod 7 Ex 1/2/3

Installer et administrer Active Directory
limit aux lments suivants : Ajouter
ou supprimer un contrleur de
domaine d'un domaine, mettre
niveau un contrleur de domaine,
installer des services de domaine
Active Directory (AD DS) dans
une installation minimale, installer un
contrleur partir d'une installation
partir du support, rsoudre les
Installer des
problmes d'inscription des
contrleurs
enregistrement SRV DNS, configurer un
de domaine
serveur de catalogue global
limit aux lments suivants :
Automatiser la cration de comptes
Active Directory, crer, copier,
configurer et supprimer des utilisateurs
et des ordinateurs, configurer des
modles, excuter des oprations
Crer et grer
Active Directory en bloc, configurer des
des utilisateurs
droits utilisateur, joindre des domaines
et des ordinateurs hors connexion, grer les comptes
Active Directory
inactifs et dsactivs
limit aux lments suivants :
Configurer l'imbrication de groupes,
convertir les groupes y compris les
groupes de scurit, les groupes de
distribution, les groupes 'universels, les
groupes locaux de domaine et les
groupes globaux de domaine, grer
l'appartenance de groupe l'aide de la
stratgie de groupe, numrer
l'appartenance de groupe, dlguer la
Crer et grer
cration et la gestion des objets Active
des groupes
Directory, grer les conteneurs Active
et des units
Directory par dfaut, crer, copier,
d'organisation
configurer et supprimer des groupes et
Active Directory
des unit d'organisation
Contenu du cours
propos de ce cours
xxv
Mod 2
Leon 3
Mod 2 Ex 1/2
Mod 1
Leon 4
Mod 3
Mod 4
Leon 1
Leon 1/2/3
Mod 3 Ex 2/3
Mod 4 Ex 1/2/3
Mod 3
Leon 1/2/4
Mod 3 Ex 1/2/3
Mod 4
Leon 1/2
Mod 4 Ex 1
(suite)

Installer et administrer Active Directory
Crer et grer une stratgie de groupe
Cet objectif peut inclure, mais n'est
pas limit aux lments suivants :
Configurer un magasin central, grer
des objets de stratgie de groupe
Starter, configurer des liens de
stratgie de groupe, configurer des
plusieurs stratgies de groupe
Crer des objets de
locales, configurer le filtrage de
stratgie de groupe scurit
Cet objectif peut inclure, mais n'est
pas limit aux lments suivants :
Configurer l'attribution des droits
utilisateurs, configurer les
paramtres d'options de scurit,
configurer des modles de scurit,
configurer une stratgie d'audit,
Configurer des
configurer des utilisateurs et des
stratgies de
groupes locaux, configurer le
scurit
contrle de compte d'utilisateur
Crer et grer une stratgie de groupe
configurer
des stratgies l'application de rgles, configurer des rgles
de restriction Applocker, configurer des stratgies de
d'application
restriction logicielle
des rgles pour plusieurs profils l'aide
d'une stratgie de groupe, configurer des
rgles de scurit de connexion, configurer
le Pare-feu Windows pour autoriser ou
refuser des applications, des tendues, des
Configurer
ports et des utilisateurs, configurer des
le Pare-feu
exceptions de pare-feu authentifies,
Windows
importer et exporter des paramtres
Contenu du cours
xxvi propos de ce cours
Mod 11
Leon 1/2
Mod 11 Ex 1/2
Mod 12
Leon 1/2
Mod 12
Atelier A
Ex 1/2/3
Contenu du cours
Mod 12
Leon 3
Mod 12
Atelier B Ex 1
Mod 12
Leon 4
Mod 12
Atelier B Ex 2
Remarque : Suivre ce cours ne vous prparera pas passer les examens de certification
associs.
Suivre ce cours ne garantit pas que vous russirez automatiquement n'importe quel examen
de certification. En plus de suivre ce cours, vous devez galement :
possder une exprience relle et pratique de l'installation et de la configuration
d'une infrastructure Windows Server 2012 ;
disposer d'une exprience en termes de configuration client Windows 7 ou Windows 8 ;
suivre des tudes supplmentaires extrieures au contenu du prsent manuel.
propos de ce cours
xxvii
Il se peut que des ressources d'tude et de prparation supplmentaires soient galement disponibles
pour vous permettre de prparer cet examen. Vous trouverez plus de dtails ce sujet l'aide de l'URL
suivante : http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-410&locale=en-us#tab3
Vous devez vous familiariser avec le profil des stagiaires et les connaissances requises pour l'examen afin
d'tre suffisamment prpar pour cet examen de certification. Le profil complet des stagiaires pour cet
examen est disponible l'adresse URL suivante :
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-410&locale=en-us#tab1
La table de mappage d'examen/cours trace les grandes lignes ci-dessus est exacte au moment de
l'impression, toutefois elle est sujette la modification tout moment et des ours de Microsoft aucune
responsabilit de toutes les anomalies entre la version publie ici et la version accessible en ligne et ne
donnera aucune notification de telles modifications.
propos de ce cours
Documents de cours
Votre kit de cours contient les documents suivants :
Manuel du cours Guide de formation succinct qui fournit toutes les informations techniques
importantes dans un format concis et trs cibl, parfaitement adapt l'apprentissage en classe.
Leons : vous guident dans les objectifs de formation et fournissent les points cls essentiels pour
un apprentissage en classe russi.
Ateliers pratiques : fournissent une plateforme qui vous permettra de mettre en application les
connaissances et comptences acquises dans le module.
Contrles des acquis et lments retenir : fournissent une documentation de rfrence

pratique qui favorise la mmorisation des connaissances et comptences.
Corrigs de l'atelier pratique : fournissent des instructions pas pas que vous pourrez consulter
tout moment au cours d'un atelier pratique.
Contenu d'accompagnement du cours l'adresse

http://www.microsoft.com/learning/companionmoc Site : Contenu numrique facile parcourir et
dans lequel il est possible d'effectuer des recherches, qui comprend de prcieuses ressources en ligne
intgres, proposes en complment du Manuel du cours.
Modules : incluent l'accompagnement du cours, tel que les questions et les rponses, les tapes
dtailles de la dmonstration et les liens de la rubrique Documentation supplmentaire, pour
chaque leon. De plus, les modules incluent les questions et rponses de contrle des acquis
de l'atelier pratique, ainsi que des sections sur les contrles des acquis et lments retenir,
qui contiennent les questions et rponses de contrle des acquis, les meilleures pratiques, des
astuces et rponses sur les problmes courants et la rsolution des problmes, des scnarios et
problmes concrets avec les rponses.
Ressources : incluent des ressources supplmentaires prsentes par catgories qui vous
donnent un accs immdiat du contenu utile et jour disponible sur TechNet, MSDN
et Microsoft Press.
Fichiers de cours destins aux stagiaires sur le site

http://www.microsoft.com/learning/companionmoc : incluent le fichier excutable extraction
automatique Allfiles.exe, lequel contient les fichiers requis pour les ateliers pratiques et dmonstrations.
xxviii
valuation du cours la fin du cours, vous aurez l'occasion de remplir une fiche d'valuation
en ligne pour faire part de vos commentaires sur le cours, le centre de formation et l'instructeur.
Pour adresser d'autres commentaires ou remarques sur le cours, envoyez un message

lectronique l'adresse [email protected]. Pour obtenir des informations sur
le programme MCP (Microsoft Certification Program), envoyez un message lectronique
l'adresse [email protected].
Environnement d'ordinateurs virtuels
Cette section fournit les informations ncessaires pour configurer l'environnement de la classe afin
de prendre en charge le scnario d'entreprise du cours.
Configuration des ordinateurs virtuels

Dans ce cours, vous allez utiliser Microsoft Hyper-V pour effectuer les ateliers pratiques.
Important la fin de chaque atelier pratique, vous devez fermer l'ordinateur virtuel et vous
ne devez enregistrer aucune modification. Pour fermer un ordinateur virtuel sans enregistrer
les modifications, procdez comme suit :
1.
Sur l'ordinateur virtuel, dans le menu Action, cliquez sur Fermer.
2.
Dans la bote de dialogue Fermer, dans la liste Que doit faire l'ordinateur virtuel ?, cliquez
sur teindre et supprimer les modifications, puis cliquez sur OK.
Le tableau suivant montre le rle de chaque ordinateur virtuel utilis dans ce cours.
Ordinateur virtuel
22410B-LON-DC1
Rle
Contrleur de domaine excutant Windows Server 2012 dans
le domaine Adatum.com.
propos de ce cours
22410B-LON-SVR1
Serveur membre excutant Windows Server 2012 dans le domaine

Adatum.com.
22410B-LON-SVR2
Serveur membre excutant Windows Server 2012 dans le domaine

Adatum.com. Ce serveur se trouvera dans un deuxime sous-rseau.
22410B-LON-SVR3
Ordinateur virtuel vierge sur lequel les stagiaires vont installer

Windows Server 2012.
22410B-LON-HOST1
Disque dur virtuel (VHD) amorable pour l'excution de

Windows Server 2012 sur l'hte pour Hyper-V.
22410B-LON-CORE
Serveur autonome excutant l'installation minimale de

Windows Server 2012
22410B-LON-RTR
Routeur qui est utilis pour les activits rseau ncessitant un sous-rseau
distinct.
22410B-LON-CL1
Ordinateur client excutant Windows 8 et Microsoft Office 2010

Service Pack 1 (SP1) dans le domaine Adatum.com.
22410B-LON-CL2
Ordinateur client excutant Windows 8 et Office 2010 SP1 dans le

domaine Adatum.com qui se trouve dans un deuxime sous-rseau.
xxix
propos de ce cours
Configuration logicielle
Les logiciels suivants sont installs sur chaque ordinateur virtuel :
Moniteur rseau Microsoft 3.4 est install sur LON-SVR2.
Configuration de la classe
L'ordinateur virtuel sera configur de la mme faon sur tous les ordinateurs de la classe.
Niveau des lments matriels du cours

Pour garantir une exprience satisfaisante, les formations Microsoft requirent une configuration
matrielle minimale pour les ordinateurs de l'instructeur et des stagiaires dans toutes les classes
Microsoft CPLS (Certified Partner for Learning Solutions) dans lesquelles les produits officiels
de formation Microsoft sont utiliss.
Niveau matriel 6 avec 8 gigaoctets (Go) de mmoire vive (RAM)
Navigation dans Windows Server 2012

Si vous n'tes pas familiaris avec l'interface utilisateur de Windows Server 2012 ou Windows 8,
les informations suivantes vous aideront vous orienter dans la nouvelle interface.
Se connecter et Se dconnecter remplacent Connexion et Dconnexion.
Les outils d'administration sont accessibles partir du menu Outils du Gestionnaire de serveur.
Dplacez la souris dans l'angle infrieur droit du bureau pour ouvrir un menu comportant :
Paramtres : comprend le Panneau de configuration et Alimentation.
Menu Dmarrer : permet d'accder des applications.
Rechercher : permet de rechercher des applications, des paramtres et des fichiers.
Les touches de raccourci suivantes vous seront peut-tre galement utiles :
Windows : ouvre le menu Dmarrer.
Windows+C : ouvre le mme menu avec dplacement de la souris dans l'angle infrieur droit.
Windows+I : ouvre Paramtres.
Windows+R : ouvre la fentre Excuter.
xxx

1-1
Module 1
Dploiement et gestion de Windows Server 2012
Table des matires :
Vue d'ensemble du module
1-1
Leon 1 : Vue d'ensemble de Windows Server 2012
1-2
Leon 2 : Vue d'ensemble de l'administration de Windows Server 2012
1-16
Leon 3 : Installation de Windows Server 2012
1-22
Leon 4 : Configuration post-installation de Windows Server 2012
1-28
Leon 5 : Prsentation de Windows PowerShell
1-38
Atelier pratique : Dploiement et gestion de Windows Server 2012
1-44
Contrle des acquis et lments retenir
1-53

Comprendre les capacits d'un nouveau systme d'exploitation Windows Server 2012 vous permet
de tirer profit efficacement de ce systme d'exploitation. Si vous ne comprenez pas les fonctions
de votre nouveau systme d'exploitation Windows Server 2012, vous risquez de l'utiliser au final
de la mme manire que le systme d'exploitation prcdent et de passer ct des avantages
de ce nouveau systme. En comprenant comment exploiter compltement votre nouveau systme
d'exploitation Windows Server 2012 et en comprenant le fonctionnement des outils disponibles
pour grer ces fonctionnalits, vous fournirez une valeur ajoute suprieure votre organisation.
Ce module prsente la nouvelle interface d'administration de Windows Server 2012. Dans ce module,
vous allez dcouvrir les diffrents rles et fonctionnalits que vous propose le systme d'exploitation
Windows Server 2012. Vous dcouvrirez galement les diffrentes options d'installation de
Windows Server 2012 que vous pouvez utiliser.
Ce module prsente les tapes de configuration que vous pouvez effectuer pendant l'installation et
aprs le dploiement pour vous assurer que les serveurs pourront commencer fonctionner dans
le rle qui leur a t attribu. Vous apprendrez galement utiliser Windows PowerShell pour
effectuer des tches d'administration courantes dans Windows Server 2012.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes :
dcrire Windows Server 2012 ;
dcrire les outils de gestion disponibles dans Windows Server 2012 ;
installer Windows Server 2012 ;
effectuer la configuration post-installation de Windows Server 2012 ;
excuter les tches d'administration de base l'aide de Windows PowerShell.
Leon 1
Vue d'ensemble de Windows Server 2012
1-2
Avant de dployer Windows Server 2012, vous devez comprendre comment chacune des ditions de
Windows Server 2012 peut bnficier aux serveurs de votre organisation. Vous devez galement savoir
si une configuration matrielle particulire est approprie pour Windows Server 2012, si un dploiement
virtuel peut tre plus appropri qu'un dploiement physique et quelle source d'installation permet de
dployer Windows Server 2012 de faon efficace. Si vous ne comprenez pas clairement ces problmes,
vous risquez de faire des choix que vous devrez corriger ultrieurement, ce qui induira au final un cot
en termes de temps et d'argent pour votre organisation.
Cette leon fournit une vue d'ensemble des divers ditions, options d'installation, rles et fonctionnalits
de Windows Server 2012. Ces informations vous permettront de dterminer l'dition et les options
d'installation de Windows Server 2012 les plus appropries pour votre organisation.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
dcrire le rle des serveurs locaux dans un rseau moderne ;
expliquer la diffrence entre les nuages privs et publics ;
rpertorier les diffrentes ditions de Windows Server 2012 ;
dcrire la diffrence entre une installation minimale de Windows Server 2012 et l'installation
standard de Windows Server 2012 ;
expliquer la fonction des rles de serveur disponibles sur les ordinateurs excutant
Windows Server 2012 ;
expliquer l'objet de diverses fonctionnalits de Windows Server 2012.
Serveurs locaux
En tant que professionnel de l'informatique,
vous avez trs probablement entendu parler du
cloud computing. Vous avez peut-tre entendu
que nombre de logiciels et de services sont
actuellement dplacs vers un nuage public
ou priv parce que les prvisions indiquent
que le nuage constituera l'avenir un aspect
important de l'informatique d'entreprise.
Vous avez peut-tre galement entendu que
Windows Server 2012 est prt pour le nuage.
En tant que professionnel de l'informatique ayant
travaill avec des serveurs dploys localement,
vous pouvez raisonnablement vous demander pourquoi, si tout volue vers le cloud computing,
il serait ncessaire d'apprendre dployer Windows Server 2012 localement.
1-3
En ralit, le fait est que tous les services et les applications qui sont utiliss quotidiennement ne doivent
pas tre hbergs par le biais du cloud computing. Les serveurs dploys localement forment la colonne
vertbrale d'un rseau organisationnel et fournissent les ressources suivantes aux clients :
Services d'infrastructure. Les serveurs fournissent aux clients les ressources d'infrastructure, y compris
les services DNS (Domain Name System) et DHCP (Dynamic Host Configuration Protocol). Ces services
permettent aux clients de se connecter et de communiquer avec d'autres ressources. Sans ces
services, les clients ne pourraient pas se connecter entre-eux ni des ressources distantes, telles
que les ressources hberges par le biais du cloud computing.
Fichiers et imprimantes partags. Les serveurs fournissent un emplacement centralis qui permet
aux utilisateurs de stocker et de partager des documents. Les serveurs hbergent galement des
ressources telles que les imprimantes partages, qui permettent aux groupes d'utilisateurs de tirer
profit plus efficacement des ressources. Sans ces ressources centralises, dployes localement,
le partage et la sauvegarde de fichiers de manire centralise constitueraient un processus plus
long et plus complexe. Il serait possible d'hberger certaines de ces informations par le biais du
cloud computing, mais il ne semble pas vraiment raisonnable d'envoyer un travail une imprimante
situe dans une pice voisine par le biais d'un serveur hberg un emplacement distant.
Applications hberges. Les serveurs hbergent des applications telles que Microsoft Exchange
Server, Microsoft SQL Server, Microsoft Dynamics et Microsoft System Center. Les clients accdent
ces applications pour accomplir diffrentes tches, telles qu'accder leur courrier lectronique
ou dployer en libre service des applications de bureau. Dans certains cas, ces ressources peuvent
tre dployes par le biais du cloud computing. Dans de nombreux cas, ces ressources doivent tre
hberges localement pour des raisons lies aux performances, au cot et la rglementation. Le
fait qu'il soit plus judicieux d'hberger ces ressources localement ou par le biais du cloud computing
dpend des spcificits de l'organisation elle-mme.
Accs au rseau. Les serveurs fournissent des ressources d'authentification et d'autorisation aux clients
dans le rseau. L'authentification au niveau d'un serveur permet un utilisateur et un client de
prouver leur identit. Mme lorsqu'un grand nombre des serveurs d'une organisation sont situs
dans un nuage public ou priv, les personnes doivent encore disposer d'une certaine forme
d'infrastructure locale d'authentification et d'autorisation.
Dploiement d'applications, de mises jour et de systmes d'exploitation. Les serveurs sont souvent
dploys localement pour faciliter le dploiement d'applications, de mises jour et de systmes
d'exploitation sur les clients dans le rseau organisationnel. En raison de l'utilisation intensive de la
bande passante, ces serveurs doivent tre proximit des clients auxquels ils fournissent ce service.
Chaque organisation possde ses propres exigences. Une organisation situe dans une zone dote d'une
connectivit Internet limite devra compter davantage sur les serveurs locaux qu'une organisation qui
dispose d'une connexion haut dbit. Dans une organisation, il est important que, mme dans l'ventualit
de problmes de connectivit Internet, le travail puisse continuer. La productivit sera affecte si la
dfaillance de la connexion Internet de l'organisation signifie que soudainement personne ne peut
accder ses fichiers et imprimantes partags.
Windows Server 2012 est prt pour l'intgration avec le cloud computing, mais il est encore minemment
adapt aux tches traditionnelles que les systmes d'exploitation Windows Server effectuaient
historiquement. Par consquent, vous pouvez encore configurer et dployer Windows Server 2012
pour effectuer les charges de travail identiques ou similaires que vous avez configures pour les serveurs
excutant Windows Server 2003, voire peut-tre mme pour Microsoft Windows NT Server 4.0.
Question : Quelle est la diffrence entre un systme d'exploitation serveur et client ?
Question : Comment le rle du serveur a-t-il volu au fil du temps depuis le systme
d'exploitation serveur Microsoft Windows NT 4.0 jusqu' Windows Server 2012 ?
Qu'est-ce que le Cloud Computing ?

Le cloud computing est une description gnrale
qui recouvre plusieurs technologies diffrentes.
Les formes les plus courantes de cloud computing
sont les suivantes :
1-4
Infrastructure en tant que service (IaaS).

Avec cette forme de cloud computing, vous
excutez un ordinateur virtuel complet dans
le nuage. Le fournisseur d'hbergement du
nuage gre la plateforme de l'hyperviseur et
vous grez l'ordinateur virtuel qui fonctionne
dans l'infrastructure du fournisseur du nuage.
Windows Azure Compute est un exemple
d'infrastructure IaaS. Vous pouvez excuter Windows Server 2012 en tant qu'ordinateur virtuel dans
un nuage IaaS, mais dans certains cas le systme d'exploitation hbergera les ordinateurs virtuels dans
un nuage IaaS.
Plateforme en tant que service (PaaS). Avec PaaS, le fournisseur d'hbergement du nuage vous fournit
une plateforme particulire. Par exemple, un fournisseur peut vous permettre d'hberger des bases
de donnes. Vous grez la base de donnes elle-mme et le fournisseur d'hbergement du nuage
hberge le serveur de base de donnes. SQL Azure est un exemple de plateforme en tant que
service.
Logiciel en tant que service (SaaS). Le fournisseur d'hbergement du nuage hberge votre application
et l'infrastructure entire qui prend en charge cette application. Vous achetez et excutez une
application logicielle partir d'un fournisseur d'hbergement de nuage. Windows InTune
et Microsoft Office 365 sont des exemples de SaaS.
Nuages publics et privs
Un nuage public est un service de cloud computing qui est hberg par un fournisseur de services de
cloud computing et mis disposition pour un usage public. Un nuage public peut hberger un locataire
unique ou il peut hberger des locataires issus de plusieurs organisations. En tant que tel, la scurit d'un
nuage public n'est pas aussi forte que celle d'un nuage priv, mais l'hbergement dans un nuage public
est en gnral moins coteux parce que les diffrents locataires absorbent le cot.
l'inverse, les nuages privs reprsentent une infrastructure de cloud computing ddie une
organisation unique. Les nuages privs peuvent tre hbergs par l'organisation elle-mme ou peuvent
tre hbergs par un fournisseur de services de cloud computing qui garantit que les services de cloud
computing ne sont partags avec aucune autre organisation.
Les nuages privs sont plus que des dploiements d'hyperviseur grande chelle. Ils peuvent utiliser la
suite de gestion Microsoft System Center 2012, qui permet d'assurer la remise en libre service de services
et d'applications. Par exemple, dans une organisation disposant de son propre nuage priv, les utilisateurs
pourraient utiliser un portail en libre service pour demander des applications multicouches comprenant
le serveur Web, le serveur de base de donnes et les composants de stockage. Windows Server 2012 et
les composants de la suite System Center 2012 sont configurs de telle manire que cette demande de
service puisse tre traite automatiquement, sans requrir le dploiement manuel d'ordinateurs virtuels
ni du logiciel serveur de base de donnes.
Question : Quel type de nuage utiliseriez-vous pour dployer un ordinateur virtuel
personnalis excutant Windows Server 2012 ?
ditions de Windows Server 2012

Il existe plusieurs ditions diffrentes de Windows
Server 2012 slectionnables. Ces ditions
permettent aux organisations de slectionner une
version de Windows Server 2012 qui rpond au
mieux leurs besoins, plutt que de payer pour
des fonctionnalits dont elles n'ont pas besoin.
Lors du dploiement d'un serveur pour un rle
spcifique, les administrateurs systme peuvent
faire des conomies substantielles en
slectionnant l'dition approprie.
Le tableau ci-dessous rpertorie les ditions
dition
Description
1-5
Systme d'exploitation
Windows Server 2012
Standard
Fournit l'ensemble des rles et des fonctionnalits disponibles sur la

plateforme Windows Server 2012. Prend en charge jusqu' 64 sockets
et jusqu' 4 traoctets (To) de mmoire vive (RAM). Inclut deux licences
d'ordinateur virtuel.
Windows Server 2012
Datacenter
Fournit l'ensemble des rles et des fonctionnalits qui sont disponibles

sur la plateforme Windows Server 2012. Inclut des licences d'ordinateur
virtuel illimites pour les ordinateurs virtuels qui sont excuts sur le
mme matriel. Prend en charge 64 sockets, jusqu' 640 curs de
processeur et jusqu' 4 To de RAM.
Windows Server 2012
Foundation
Conu pour les grants de PME, prend en charge seulement

15 utilisateurs, ne peut pas tre joint un domaine et inclut des rles
serveur limits. Prend en charge un cur de processeur et jusqu'
32 gigaoctets (Go) de RAM.
Windows Server 2012
Essentials
dition suivante de Small Business Server. Doit tre le serveur racine

du domaine. Il ne peut pas fonctionner en tant que serveur Hyper-V,
de clustering avec basculement, avec installation minimale, ni de
services Bureau distance. Il prsente des limites pour 25 utilisateurs
et 50 priphriques. Prend en charge deux curs de processeur
et 64 Go de RAM.
Microsoft Hyper-V
Server 2012
Plateforme Hyper-V autonome pour ordinateurs virtuels sans interface

utilisateur. Aucun cot de licence (gratuit) pour le systme d'exploitation
hte, mais les ordinateurs virtuels font l'objet de licences standard. Prend
en charge 64 sockets et 4 To de RAM. Prend en charge la jonction de
domaine. Ne prend pas en charge d'autres rles Windows Server 2012
que les fonctionnalits de services de fichiers limites.
Windows Storage
Server2012 Workgroup
Priphrique de stockage unifi au niveau des entres. Limit

50 utilisateurs, un cur de processeur et 32 Go de RAM.
Prend en charge la jonction de domaine.
(suite)
dition
Description
1-6
Windows Storage
Server 2012 Standard
Prend en charge 64 sockets, mais fait l'objet d'une licence sur la base
d'une incrmentation deux sockets. Prend en charge 4 To de RAM.
Inclut deux licences d'ordinateur virtuel. Prend en charge la jonction
de domaine. Prend en charge certains rles, y compris les rles serveur
DNS et DHCP, mais n'en prend pas en charge d'autres, dont notamment
Services de domaine Active Directory (AD DS), Services de certificats
Active Directory (AD CS) et Services ADFS (Active Directory Federation
Services).
Windows MultiPoint
Server 2012 Standard
Prend en charge plusieurs utilisateurs accdant directement au mme

ordinateur hte en utilisant une souris, un clavier et des moniteurs
distincts. Limit un socket, 32 Go de RAM et un maximum de
12 sessions. Prend en charge certains rles, y compris les rles serveur
AD DS, AD CS et ADFS. Ne prend pas en charge la jonction de domaine.
Windows MultiPoint
Server 2012 Premium
Prend en charge plusieurs utilisateurs accdant directement au mme

ordinateur hte en utilisant une souris, un clavier et des moniteurs
distincts. Limit deux sockets, 4 To de RAM et un maximum de
22 sessions. Prend en charge certains rles, y compris les rles serveur
AD DS, AD CS et ADFS. Prend en charge la jonction de domaine.
Documentation supplmentaire : Pour plus d'informations sur les diffrences entre les
ditions de Windows Server 2012, consultez le catalogue Windows Server l'adresse suivante :
http://go.microsoft.com/fwlink/?LinkID=266736.
Qu'est-ce que l'installation minimale ?

L'installation minimale est une option
d'installation utilise pour Windows Server 2012,
qui peut contenir des variantes de l'interface
graphique utilisateur selon les exigences.
L'installation minimale peut tre gre localement
l'aide de Windows PowerShell ou d'une interface
de ligne de commande, plutt qu'en utilisant des
outils bass sur l'interface graphique utilisateur,
ou distance l'aide de l'une des options de
gestion distance que nous tudierons plus
tard dans le module. L'installation minimale est
l'option d'installation par dfaut utilise lors
de l'installation de Windows Server 2012.
L'installation minimale est l'option d'installation par dfaut utilise lors de l'installation de
Windows Server 2012. L'installation minimale prsente les avantages suivants par rapport
un dploiement traditionnel de Windows Server 2012 :
1-7
Rduction des exigences en matire de mise jour. Comme l'installation minimale installe moins de
composants, son dploiement exige que vous installiez moins de mises jour logicielles. Ceci rduit le
nombre de redmarrages mensuels requis et le temps de maintenance requis pour un administrateur.
Encombrement matriel rduit. Les ordinateurs avec installation minimale requirent moins de RAM
et moins d'espace disque. Une fois virtualis, ceci signifie que vous pouvez dployer plus de serveurs
sur le mme hte.
Des nombres toujours plus grands d'applications serveur Microsoft sont conues pour s'excuter sur
des ordinateurs dots de systmes d'exploitation avec installation minimale. Par exemple, vous pouvez
installer SQL Server 2012 sur des ordinateurs qui excutent la version avec installation minimale
de Windows Server 2008 R2.
Vous pouvez basculer d'une installation minimale la version graphique de Windows Server 2012 en
excutant l'applet de commande Windows PowerShell suivante, o c:\mount correspond au rpertoire
racine d'une image monte contenant la version complte des fichiers d'installation de Windows
Server 2012 :
Install-WindowsFeature -IncludeAllSubFeature User-Interfaces-Infra -Source c:\mount
Vous pouvez galement utiliser Windows Update ou le DVD d'installation comme source des
fichiers d'installation. L'installation des composants graphiques vous permet d'effectuer les tches
d'administration en utilisant les outils graphiques.
Une fois que vous avez effectu les tches d'administration ncessaires, vous pouvez rtablir l'ordinateur
dans sa configuration avec installation minimale d'origine. Vous pouvez basculer un ordinateur dot
de la version graphique de Windows Server 2012 en mode d'installation minimale en supprimant
les composants suivants dans la fonctionnalit Interfaces utilisateur et infrastructure :
Outils et infrastructure de gestion graphique. Ce composant contient une interface serveur minimale
qui fournit des outils d'interface utilisateur de gestion de serveur, tels qu'un gestionnaire de serveur
et des outils d'administration.)
Shell graphique du serveur. Ce composant contient l'interface utilisateur graphique complte

avec Internet Explorer, l'Explorateur de fichiers et d'autres composants d'interface utilisateur.
(Il est plus encombrant que l'option Outils et infrastructure de gestion graphique.)
Remarque : Soyez prudent lorsque vous supprimez les fonctionnalits graphiques, car
certains serveurs auront d'autres composants installs qui dpendent de ces fonctionnalits.
Lorsque vous tes connect localement, vous pouvez utiliser les outils rpertoris dans le tableau
ci-dessous pour grer les dploiements avec installation minimale de Windows Server 2012.
Outil
Fonction
1-8
Cmd.exe
Vous permet d'excuter des outils en ligne de commande traditionnels

tels que ping.exe, ipconfig.exe et netsh.exe.
PowerShell.exe
Lance une session Windows PowerShell sur le dploiement avec installation

minimale. Vous pouvez alors effectuer les tches Windows PowerShell
normalement.
Sconfig.cmd
Outil d'administration en ligne de commande pilot par menus qui permet

d'effectuer les tches d'administration de serveur les plus courantes.
Notepad.exe
Permet d'utiliser l'diteur de texte Notepad.exe dans l'environnement avec

installation minimale.
Regedt32.exe
Fournit l'accs au Registre dans l'environnement avec installation minimale.
Msinfo32.exe
Permet d'afficher les informations systme sur le dploiement avec installation

minimale.
Taskmgr.exe
Lance le Gestionnaire des tches.
SCregEdit.wsf
Permet d'activer le Bureau distance sur le dploiement avec installation

minimale.
Remarque : Si vous fermez par erreur la fentre de commande sur un ordinateur qui
excute l'installation minimale, vous pouvez rcuprer la fentre de commande en procdant
comme suit :
1.
Appuyez sur les touches Ctrl+Alt+Suppr, puis cliquez sur Ouvrir le Gestionnaire des tches.
2.
Dans le menu Fichier, cliquez sur Nouvelle tche (Excuter), puis tapez cmd.exe.
L'installation minimale prend en charge la plupart des rles et fonctionnalits de Windows Server 2012.
Toutefois, vous ne pouvez pas installer les rles suivants sur un ordinateur excutant l'installation
minimale :
ADFS
Serveur d'applications
Services de stratgie et d'accs rseau (NPAS)
Services de dploiement Windows
Mme si un rle est disponible pour un ordinateur qui excute l'option d'installation minimale,
un service de rle spcifique associ ce rle peut ne pas tre disponible.
Remarque : Vous pouvez vrifier les rles disponibles ou non dans l'installation minimale
en excutant la requte Get-WindowsFeature | where-object {$_.InstallState -eq
Removed}.
Vous pouvez utiliser les outils suivants pour grer distance un ordinateur qui excute l'option
d'installation minimale :
1-9
Gestionnaire de serveur. Vous pouvez ajouter un serveur excutant l'installation minimale au

Gestionnaire de serveur sur un serveur qui excute une installation complte de Windows. Vous
pouvez alors grer les rles Serveur s'excutant sur l'ordinateur avec installation minimale dans le
Gestionnaire de serveur. Vous pouvez configurer le Bureau distance avec Sconfig.cmd.
Windows PowerShell distance. Windows PowerShell distance vous permet d'excuter des
commandes ou des scripts Windows PowerShell sur des serveurs distants correctement configurs
quand le script est hberg sur le serveur local. Windows PowerShell distance vous permet
galement de charger des modules Windows PowerShell, tels que le Gestionnaire de serveur,
localement et d'excuter les applets de commande disponibles dans ces modules sur des serveurs
distants convenablement configurs.
Bureau distance. Vous pouvez vous connecter un ordinateur qui excute l'option d'installation
minimale en utilisant le Bureau distance. Vous pouvez configurer le Bureau distance avec
Sconfig.cmd.
Consoles de gestion distance. Pour la plupart des rles serveur, vous pouvez ajouter un ordinateur
excutant l'installation minimale une console de gestion qui s'excute sur un autre ordinateur.
Rles de Windows Server 2012

Pour planifier correctement comment vous allez
utiliser Windows Server 2012 pour prendre
en charge les exigences de votre organisation,
vous devez tre pleinement conscient des rles
qui sont disponibles dans le cadre du systme
d'exploitation. Chaque version de Windows Server
prsente un ensemble diffrent de rles. Lorsque
de nouvelles versions de Windows Server sont
mises sur le march, certains rles sont amliors
et d'autres sont abandonns. Dans l'ensemble, les
rles disponibles dans Windows Server 2012 sont
bien connus des professionnels de l'informatique
ayant dj administr Windows Server 2008 et Windows Server 2003.
Windows Server 2012 prend en charge les rles serveur rpertoris dans le tableau ci-dessous.
Rle
Fonction
AD CS
Permet de dployer des autorits de certification et les services

de rle associs.
AD DS
Banque centralise d'informations sur les objets rseau, y compris les

comptes d'utilisateur et d'ordinateur. Utilis pour l'authentification
et l'autorisation.
ADFS
Fournit la prise en charge de l'authentification unique (SSO) via

le Web et de la fdration des identits scurise.
Active Directory Lightweight

Directory Services (AD LDS)
Prend en charge le stockage des donnes spcifiques aux applications

pour les applications orientes annuaire qui ne requirent pas
l'infrastructure complte des services de domaine Active Directory.
(suite)
Rle
Fonction
1-10 Dploiement et gestion de Windows Server 2012
Active Directory Rights

Management Services
(AD RMS)
Permet d'appliquer des stratgies de gestion des droits pour

empcher tout accs non autoris des documents sensibles.
Serveur d'applications
Prend en charge la gestion et l'hbergement centraliss

d'applications professionnelles distribues hautes performances,
telles que celles cres l'aide de Microsoft .NET Framework 4.5.
Serveur DHCP
Configure les ordinateurs clients dans le rseau avec les adresses IP

temporaires.
Serveur DNS
Fournit la rsolution des noms pour les rseaux TCP/IP.
Serveur de tlcopie
Prend en charge l'envoi et la rception de tlcopies. Permet

galement de grer les ressources de tlcopie dans le rseau.
Services de fichiers
et de stockage
Prend en charge la gestion du stockage des dossiers partags,

du systme de fichiers distribus (DFS) et du stockage rseau.
Hyper-V
Permet d'hberger des ordinateurs virtuels sur des ordinateurs

qui excutent Windows Server 2012.
Stratgie rseau et services

d'accs
Infrastructure d'autorisation pour connexions distance, y compris

l'autorit HRA (Health Registration Authority) pour la protection
d'accs rseau (NAP).
Services document
et d'impression et
de numrisation
Prend en charge la gestion centralise des tches de document,

y compris les scanneurs rseau et les imprimantes en rseau.
Accs distance
Prend en charge une connectivit transparente, toujours active

et toujours gre, base sur la fonctionnalit DirectAccess de
Windows 7. Prend en charge galement l'accs distance par le biais
d'un rseau priv virtuel (VPN) et de connexions d'accs distance.
Services Bureau distance

(RDS)
Prend en charge l'accs aux bureaux virtuels, aux bureaux bass

sur une session et aux programmes RemoteApp.
Services d'activation
en volume
Permet d'automatiser et de simplifier la gestion des cls pour licences

en volume et de l'activation des cls de volume. Permet de grer un
hte du service de gestion de cls (KMS) ou de configurer l'activation
base sur AS DS pour les ordinateurs membres du domaine.
Serveur Web (IIS)
Composant de serveur Web de Windows Server 2012.
Services de dploiement
Windows
Permettent de dployer des systmes d'exploitation serveur sur

des clients par le biais du rseau.
Windows Server Update

Services (WSUS)
Fournit une mthode de dploiement de mises jour des produits

Microsoft aux ordinateurs du rseau.
Quand vous dployez un rle, Windows Server 2012 configure automatiquement les aspects de
la configuration du serveur (tels que les paramtres du pare-feu), pour prendre en charge le rle.
Windows Server 2012 dploie galement automatiquement et simultanment les dpendances des
rles. Par exemple, quand vous installez le rle WSUS, les composants du rle Serveur Web (IIS) qui
sont requis pour prendre en charge le rle WSUS sont galement installs automatiquement.
1-11
Vous ajoutez et supprimez des rles l'aide de l'Assistant Ajout de rles et de fonctionnalits, lequel est
disponible partir de la console du Gestionnaire de serveur de Windows Server 2012. Si vous utilisez
l'installation minimale, vous pouvez galement ajouter et supprimer des rles l'aide des applets
de commande Windows PowerShell Install-WindowsFeature and Remove-WindowsFeature.
Question : Quels rles sont souvent colocaliss sur le mme serveur ?
Quelles sont les fonctionnalits de Windows Server 2012 ?

Les fonctionnalits Windows Server 2012 sont des
composants indpendants qui prennent souvent
en charge les services de rle ou prennent en
charge le serveur directement. Par exemple, la
sauvegarde Windows Server est une fonctionnalit
car elle fournit uniquement la prise en charge de
la sauvegarde pour le serveur local ; ce n'est pas
une ressource que d'autres serveurs du rseau
peuvent utiliser.
Windows Server 2012 inclut les fonctionnalits
rpertories dans le tableau ci-dessous.
Fonctionnalit
Description
Fonctionnalits .NET Framework 3.5
Installe les technologies .NET Framework 3.5.
Fonctionnalits .NET Framework 4.5
Installe les technologies .NET Framework 4.5.

Cette fonctionnalit est installe par dfaut.
Service de transfert intelligent en

arrire-plan (BITS)
Permet le transfert asynchrone des fichiers pour garantir

que d'autres applications rseau ne sont pas affectes
dfavorablement.
Chiffrement de lecteur BitLocker

Windows
Prend en charge le chiffrement de disque complet et de

volume complet, ainsi que la protection d'environnement
de dmarrage.
Dverrouillage rseau BitLocker
Fournit un protecteur de cl bas sur le rseau qui peut

dverrouiller les systmes d'exploitation verrouills, joints
au domaine et protgs par BitLocker.
Windows BranchCache
Permet au serveur de fonctionner en tant que serveur de

cache hberg ou serveur de contenu BranchCache pour
les clients BranchCache.
Client pour NFS
Fournit un accs aux fichiers stocks sur les serveurs NFS

(Network File System).
(suite)
Fonctionnalit
Description
Data Center Bridging
Permet d'appliquer une allocation de bande passante

des cartes rseau convergentes.
Stockage tendu
Fournit une prise en charge pour les fonctionnalits

supplmentaires disponibles dans le priphrique d'accs
au stockage tendu (protocole IEEE 1667), y compris des
restrictions d'accs aux donnes.
Clustering avec basculement
Fonctionnalit haute disponibilit qui permet Windows

Server 2012 de participer au clustering avec basculement.
Gestion des stratgies de groupe
Outil de gestion administrative permettant d'administrer

une stratgie de groupe sur l'ensemble d'une entreprise.
Services d'encre et de reconnaissance

de l'criture manuscrite
Permet d'utiliser la prise en charge du mode d'entre

manuscrite et la reconnaissance de l'criture manuscrite.
Client d'impression Internet
Prend en charge l'utilisation du protocole IPP (Internet

Printing Protocol).
Serveur de gestion d'adresses

IP (IPAM)
Gestion centralise de l'infrastructure d'adresse IP et d'espace

de noms.
Fournisseur de stockage cible iSCSI

(Internet SCSI)
Fournit des services de gestion de disques et de cible iSCSI

Service Serveur iSNS

(Internet Storage Name Service)
Prend en charge les services de dcouverte des rseaux

SAN iSCSI.
Moniteur de port LPR

(Line Printer Remote)
Permet l'ordinateur d'envoyer les travaux d'impression

aux imprimantes qui sont partages l'aide du service
LPD (Line Printer Daemon).
Extension IIS de gestion OData

(Open Data Protocol)
Permet d'exposer les applets de commande Windows

PowerShell par le biais d'un service Web bas sur OData
qui s'excute sur la plateforme des services Internet (IIS).
Media Foundation
Prend en charge l'infrastructure des fichiers multimdia.
Message Queuing
Prend en charge la remise de messages entre les

applications.
MPIO (Multipath Input/Output)
Prend en charge plusieurs chemins de donnes jusqu'aux

dispositifs de stockage.
quilibrage de la charge rseau
Permet la distribution du trafic avec quilibrage de la charge

entre plusieurs serveurs qui hbergent la mme application
sans tat.
Protocole PNRP (Peer Name

Resolution Protocol)
Protocole de rsolution de noms qui permet aux applications

de rsoudre les noms sur l'ordinateur.
Exprience audio-vido haute

qualit Windows (qWave)
Prend en charge les applications de flux audio et vido

sur les rseaux domestiques IP.
(suite)
Fonctionnalit
Description
1-13
Kit d'administration du Gestionnaire

des connexions Microsoft de serveur
d'accs distance
Permet de crer des profils de gestionnaire de connexions

qui simplifient le dploiement d'une configuration d'accs
distance sur les ordinateurs client.
Assistance distance
Autorise un support technique distance par le biais

d'invitations.
Compression diffrentielle distance

(RDC)
Transfre les diffrences entre les fichiers sur un rseau,

rduisant au maximum l'utilisation de la bande passante.
Outils d'administration de serveur

distant
Collection de consoles et d'outils pour grer distance

les rles et les fonctionnalits sur d'autres serveurs.
Proxy RPC sur HTTP
Transmet le trafic RPC via HTTP comme alternative aux

connexions VPN.
Services TCP/IP simples
Prend en charge les services TCP/IP de base, y compris

Citation du jour.
Serveur SMTP (Simple Mail Transfer

Protocol)
Prend en charge le transfert des messages lectroniques.
Service SNMP (Simple Network

Management Protocol)
Inclut des agents SNMP qui sont utiliss avec les services
de gestion de rseau.
Sous-systme pour les applications

UNIX
Prend en charge les applications UNIX compatibles POSIX

(Portable Operating System Interface for UNIX).
Client Telnet
Autorise les connexions sortantes aux serveurs Telnet et

d'autres services TCP (Transmission Control Protocol).
Serveur Telnet
Permet aux clients de se connecter au serveur l'aide

du protocole Telnet.
Client TFTP (Trivial File Transfer

Protocol)
Permet d'accder aux serveurs TFTP.
Interfaces utilisateur et infrastructure
Contient les composants ncessaires pour prendre en

charge l'option d'installation d'interface graphique sur
Windows Server 2012. Sur les installations graphiques,
cette fonctionnalit est installe par dfaut.
Windows Biometric Framework

(WBF)
Permet l'utilisation de lecteurs d'empreintes digitales

pour l'authentification.
Transfert de commentaires sur

Windows
Prend en charge l'envoi de commentaires Microsoft

lors de l'adhsion un programme d'amlioration de
l'exprience utilisateur.
Windows Identity Foundation 3.5
Ensemble de classes .NET Framework qui prennent en charge

l'implmentation d'une identit base sur des demandes
pour les applications .NET.
(suite)
Fonctionnalit
Description
Base de donnes interne Windows
Banque de donnes relationnelles qui peut tre utilise

uniquement par les rles et les fonctionnalits de Windows,
tels que WSUS.
Windows PowerShell
Langage de script et interprteur de ligne de commande

bas sur les tches, utilis pour administrer les ordinateurs
excutant des systmes d'exploitation Windows. Cette
fonctionnalit est installe par dfaut.
Accs Web Windows PowerShell
Permet la gestion distance d'ordinateurs par le biais

de l'excution de sessions Windows PowerShell dans
un navigateur Web.
Service d'activation des processus

Windows (WAS)
Permet aux applications hbergeant les services WCF

(Windows Communication Foundation) qui n'utilisent
pas les protocoles HTTP d'utiliser les fonctionnalits IIS.
Service de recherche Windows
Permet une recherche rapide des fichiers hbergs sur

un serveur pour les clients compatibles avec le service
de recherche Windows.
Sauvegarde Windows Server
Logiciel de sauvegarde et de restauration pour

Outils de migration de
Windows Server
Collection d'applets de commande Windows PowerShell

qui favorisent la migration des rles serveur, des paramtres
du systme d'exploitation, des fichiers et des partages
partir d'ordinateurs excutant des versions antrieures
des systmes d'exploitation Windows Server vers
Gestion du stockage Windows

bas sur des normes
Ensemble d'interfaces de programmation d'applications (API)

qui permettent la dcouverte, la gestion et la surveillance des
dispositifs de stockage qui utilisent des standards, tels que la
norme SMI-S (Storage Management Initiative Specification).
Gestionnaire de ressources systme

Windows (WSRM)
Permet de contrler l'allocation des ressources processeur

et mmoire.
Windows TIFF IFilter
Prend en charge la reconnaissance optique des caractres

dans les fichiers compatibles TIFF 6.0.
Extension WinRM IIS
Gestion distance de Windows pour IIS.
Serveur WINS (Windows Internet

Naming Service)
Prend en charge la rsolution des noms pour les noms

NetBIOS.
Service WLAN (Wireless Local Area

Network)
Permet au serveur d'utiliser une interface de rseau sans fil.
(suite)
Fonctionnalit
Description
Prise en charge WoW

(Windows on Windows) 64
Prend en charge l'excution des applications 32 bits sur les

installations minimales. Cette fonctionnalit est installe
par dfaut.
Visionneuse XPS
Prend en charge l'affichage et la signature de documents

dans des formats XPS.
Fonctionnalits la demande
1-15
Les fonctionnalits la demande permettent d'ajouter et de supprimer des fichiers de rle et

de fonctionnalits, galement appels charge utile de fonctionnalit, du systme d'exploitation
Windows Server 2012 pour conomiser de l'espace. Vous pouvez installer des rles et des fonctionnalits
lorsque la charge utile de fonctionnalit n'est pas prsente l'aide d'une source distante, telle qu'une
image monte du systme d'exploitation complet. Si une source d'installation n'est pas prsente mais
qu'une connexion Internet l'est, les fichiers sources seront tlchargs de Windows Update. L'avantage
d'une installation de type Fonctionnalits la demande tient au fait qu'elle requiert moins d'espace
disque qu'une installation traditionnelle. L'inconvnient est que si vous souhaitez ajouter un rle ou
une fonctionnalit, vous devez avoir accs une source d'installation monte. Ceci n'est pas ncessaire
si vous effectuez une installation de Windows Server 2012 avec les fonctionnalits graphiques actives.
Question : Quelle fonctionnalit devez-vous installer pour prendre en charge la rsolution
des noms NetBIOS pour les ordinateurs clients de type station de travail excutant le systme
d'exploitation Microsoft Windows NT 4.0 ?
Leon 2
Vue d'ensemble de l'administration

La configuration correcte d'un serveur peut vous permettre d'viter des problmes ultrieurs substantiels.
Windows Server 2012 fournit plusieurs outils permettant d'effectuer des tches d'administration
spcifiques, dont chacune est approprie un ensemble spcifique de circonstances. L'interface
de gestion de Windows Server 2012 amliore galement votre capacit effectuer les tches
d'administration sur plusieurs serveurs simultanment.
Dans cette leon, vous allez dcouvrir les diffrents outils de gestion que vous pouvez utiliser
pour effectuer les tches d'administration sur les ordinateurs dots du systme d'exploitation
dcrire le Gestionnaire de serveur ;
expliquer comment utiliser les outils d'administration et les outils d'administration de serveur distant ;
expliquer comment utiliser le Gestionnaire de serveur pour effectuer diverses tches ;
expliquer comment configurer les services ;
expliquer comment configurer la gestion distance de Windows.
Qu'est-ce que le Gestionnaire de serveur ?

Le Gestionnaire de serveur est le principal outil
graphique que vous utilisez pour grer les
ordinateurs excutant Windows Server 2012.
Vous pouvez utiliser la console du Gestionnaire
de serveur pour grer le serveur local et les
serveurs distants. Vous pouvez galement grer
les serveurs sous forme de groupes. En grant
les serveurs sous forme de groupes, vous
pouvez effectuer rapidement les mmes tches
d'administration sur plusieurs serveurs excutant
le mme rle ou membres du mme groupe.
Vous pouvez utiliser la console du Gestionnaire de
serveur pour effectuer les tches suivantes sur des serveurs locaux et des serveurs distants :
ajouter des rles et des fonctionnalits ;
lancer des sessions Windows PowerShell ;
afficher des vnements ;
effectuer des tches de configuration de serveur.
Best Practices Analyzer

Le Gestionnaire de serveur inclut l'outil Best Practices Analyzer pour tous les rles de
Windows Server 2012. Best Practices Analyzer vous permet de dterminer si les rles sur votre
rseau fonctionnent efficacement ou si des problmes se posent, qu'il convient de rsoudre. Best
Practices Analyzer examine comment un rle fonctionne (notamment en interrogeant les journaux
d'vnements associs pour obtenir les vnements d'erreur et d'avertissement) afin que vous
soyez conscient des problmes d'intgrit associs des rles spcifiques, avant que ces problmes
d'intgrit ne provoquent une dfaillance pouvant affecter la fonctionnalit du serveur.
Outils d'administration et outils d'administration de serveur distant

Lorsque vous utilisez le Gestionnaire de serveur
pour effectuer une tche d'administration associe
un rle ou une fonctionnalit spcifique, la
console lance l'outil d'administration appropri.
Quand vous installez un rle ou une fonctionnalit
l'aide du Gestionnaire de serveur localement
ou distance, vous tes invit installer l'outil
d'administration appropri. Par exemple, si vous
utilisez le Gestionnaire de serveur pour installer le
rle DHCP sur un autre serveur, vous serez invit
installer la console DHCP sur le serveur local.
Outils d'administration de serveur distant
1-17
Vous pouvez installer l'ensemble complet d'outils d'administration pour Windows Server 2012 en
installant la fonctionnalit Outils d'administration de serveur distant (RSAT). Lorsque vous installez RSAT,
vous pouvez choisir d'installer tous les outils ou seulement ceux permettant de grer des rles et des
fonctionnalits spcifiques. Vous pouvez galement installer RSAT sur les ordinateurs dots du systme
d'exploitation Windows 8. Ceci permet aux administrateurs de grer les serveurs distance sans avoir
se connecter directement chaque serveur.
La meilleure pratique gnrale consiste excuter les serveurs Windows Server 2012 avec une installation
minimale gre distance via RSAT pour Windows 8 ou l'une des nombreuses autres mthodes de
gestion distance.
Outre Windows PowerShell, voici quelques-uns des outils que les administrateurs utilisent le plus
gnralement :
Centre d'administration Active Directory. Cette console vous permet d'effectuer des tches
d'administration d'Active Directory, telles que l'augmentation des niveaux fonctionnels de domaine
et de fort et l'activation de la Corbeille Active Directory. Vous utilisez galement cette console
pour grer le contrle d'accs dynamique.
Utilisateurs et ordinateurs Active Directory. Cet outil vous permet de crer et grer des utilisateurs,
des ordinateurs et des groupes Active Directory. Vous pouvez galement utiliser cet outil pour crer
des units d'organisation (OU).
Console DNS. La console DNS vous permet de configurer et de grer le rle serveur DNS. Ceci inclut
la cration de zones de recherche directe et inverse, ainsi que la gestion des enregistrements DNS.
Observateur d'vnements. Vous pouvez utiliser l'Observateur d'vnements pour afficher les
vnements enregistrs dans les journaux d'vnements de Windows Server 2012.
Console de gestion des stratgies de groupe. Cet outil vous permet de modifier les objets de stratgie
de groupe (GPO) et de grer leur application dans AD DS.
Outil Gestionnaire des services Internet. Vous pouvez utiliser cet outil pour grer des sites Web.
Analyseur de performances. Vous pouvez utiliser cette console pour afficher les donnes de
performance des enregistrements en slectionnant les compteurs associs aux ressources spcifiques
que vous souhaitez surveiller.
Moniteur de ressources. Vous pouvez utiliser cette console pour afficher des informations en temps
rel sur le processeur, la mmoire et l'utilisation du disque et du rseau.
Planificateur de tches. Vous pouvez utiliser cette console pour grer l'excution des tches planifies.
Vous pouvez accder chacun de ces outils dans le Gestionnaire de serveur en accdant au menu Outils.
Remarque : Vous pouvez galement pingler les outils frquemment utiliss la barre des
tches de Windows Server 2012 ou l'cran d'accueil.
Dmonstration : Utilisation du Gestionnaire de serveur

Dans cette dmonstration, vous allez apprendre utiliser le Gestionnaire de serveur pour effectuer
les tches suivantes :
se connecter Windows Server 2012 et afficher le Bureau de Windows Server 2012 ;
ajouter une fonctionnalit en utilisant l'Assistant Ajout de rles et de fonctionnalits ;
afficher les vnements associs un rle ;
excuter Best Practice Analyzer pour un rle ;
rpertorier les outils disponibles partir du Gestionnaire de serveur ;
redmarrer Windows Server 2012.
Procdure de dmonstration
Se connecter Windows Server 2012 et afficher le Bureau de Windows Server 2012
Connectez-vous LON-DC1 avec le compte ADATUM\Administrateur et le mot de passe

Pa$$w0rd, puis fermez la console du Gestionnaire de serveur.
Ajouter une fonctionnalit en utilisant l'Assistant Ajout de rles et de fonctionnalits

1.
Dans la barre des tches, ouvrez le Gestionnaire de serveur.
2.
Dmarrez l'Assistant Ajout de rles et de fonctionnalits.
3.
Activez la case cocher Installation base sur un rle ou une fonctionnalit.
4.
Cliquez sur Slectionner un serveur du pool de serveurs, vrifiez que LON-DC1.Adatum.com

est slectionn, puis cliquez sur Suivant.
5.
Dans la page Slectionner des rles de serveurs, slectionnez Serveur de tlcopie.
6.
Dans la bote de dialogue Assistant Ajout de rles et de fonctionnalits, cliquez sur Ajouter
des fonctionnalits.
7.
Dans la page Slectionner des fonctionnalits, cliquez sur BranchCache.
8.
Dans la page Serveur de tlcopie, cliquez sur Suivant.
9.
Dans la page Services document et d'impression et de numrisation, cliquez sur Suivant

deux reprises.
10. Dans la page Confirmation, activez la case cocher Redmarrer automatiquement le serveur
de destination, si ncessaire, cliquez sur Oui, cliquez sur Installer, puis cliquez sur Fermer.
1-19
11. Cliquez sur l'icne en forme de drapeau en regard de Tableau de bord du Gestionnaire de serveur
et passez en revue les messages.
Remarque : Vous pouvez fermer cette console sans terminer la tche.
Afficher les vnements associs un rle

1.
Cliquez sur le nud Tableau de bord.
2.
Dans le volet Rles et groupes de serveurs, sous DNS, cliquez sur vnements.
3.
Dans la bote de dialogue DNS - vnements Affichage des dtails, remplacez la priode
par 48 heures et Source de l'vnement par Tous.
Excuter Best Practice Analyzer pour un rle

1.
Sous DNS, cliquez sur Rsultats BPA.
2.
Slectionnez Tous dans le menu droulant Niveaux de gravit, puis cliquez sur OK.
Rpertorier les outils disponibles partir du Gestionnaire de serveur
Cliquez sur le menu Outils et examinez les outils qui sont installs sur LON-DC1.
Dconnecter l'utilisateur actuellement connect

1.
Dconnectez-vous de LON-DC1.
2.
Reconnectez-vous LON-DC1 l'aide du compte ADATUM\Administrateur et du mot de passe

Pa$$w0rd.
Redmarrer Windows Server 2012
Dans une fentre Windows PowerShell, tapez la commande suivante et appuyez sur Entre :
Shutdown /r /t 15
Configuration de services
Les services sont des programmes qui s'excutent
en arrire-plan et fournissent des services aux
clients et au serveur hte. Vous pouvez grer
les services par le biais de la console Services,
qui est disponible dans le Gestionnaire de serveur,
dans le menu Outils. Lorsque vous scurisez
un ordinateur, vous devriez dsactiver tous les
services l'exception de ceux qui sont requis par
les rles, les fonctionnalits et les applications
qui sont installs sur le serveur.
Types de dmarrage
Les services utilisent l'un des types de dmarrage suivants :
Automatique. Le service dmarre automatiquement au dmarrage du serveur.
Automatique (dbut diffr). Le service dmarre automatiquement aprs le dmarrage du serveur.
Manuel. Le service doit tre dmarr manuellement, soit par un programme, soit par un
administrateur.
Dsactiv. Le service est dsactiv et ne peut pas tre dmarr.
Remarque : Si un serveur se comporte de faon problmatique, ouvrez la console Services,

triez par type de dmarrage, puis localisez les services qui sont configurs pour dmarrer
automatiquement et ceux qui ne sont pas en tat d'excution.
Rcupration des services
Les options de rcupration dterminent ce qu'un service doit faire en cas de dfaillance. Vous accdez
l'onglet Rcupration partir de la fentre des proprits des serveurs DNS. Dans l'onglet Rcupration,
vous avez les options de rcupration suivantes :
Ne rien faire. Le service demeure dans un tat dfaillant jusqu' ce qu'un administrateur s'en occupe.
Redmarrer le service. Le service redmarre automatiquement.
Excuter un programme. Permet d'excuter un programme ou un script.
Redmarrer l'ordinateur. L'ordinateur redmarre aprs un nombre prconfigur de minutes.
Vous pouvez configurer diffrentes options de rcupration pour la premire dfaillance, la deuxime
dfaillance et les dfaillances suivantes. Vous pouvez galement configurer un laps de temps aprs
lequel l'horloge de dfaillance de service est rinitialise.
Comptes de service administrs
Les comptes de service administrs sont des comptes spciaux bass sur un domaine que vous pouvez
utiliser avec des services. L'avantage d'un compte de service administr est que le mot de passe du
compte fait l'objet d'une rotation automatique en fonction d'une planification. Ces changements du
mot de passe sont automatiques et ne requirent pas l'intervention de l'administrateur. Ceci rduit au
maximum la probabilit que le mot de passe du compte de service soit compromis, chose qui se produit
car des administrateurs attribuent gnralement des mots de passe simples des comptes de service
avec le mme service sur un grand nombre de serveurs et ne prennent jamais la peine de mettre jour
ces mots de passe. Les comptes virtuels sont des comptes spcifiques aux services, qui sont locaux plutt
que bass sur un domaine. Windows Server 2012 applique une rotation au mot de passe des comptes
virtuels et le gre.
Question : Quel est l'avantage d'un compte de service administr par rapport un compte
de service traditionnel, bas sur un domaine ?
Configuration de la gestion distance de Windows

La plupart des administrateurs n'effectuent
plus les tches d'administration des systmes
uniquement dans la salle des serveurs.
Presque toutes les tches qu'ils effectuent
quotidiennement sont prsent effectues
l'aide des technologies de gestion distance.
Avec la gestion distance de Windows (WinRM),
vous pouvez utiliser l'interprteur de commandes
distant, Windows PowerShell distant et d'autres
outils d'administration distance pour grer
distance un ordinateur.
Vous pouvez activer WinRM partir du
Gestionnaire de serveur en procdant comme suit :
1-21
1.
Dans la console du Gestionnaire de serveur, cliquez sur le nud Serveur local.
2.
Dans la bote de dialogue Proprits pour le serveur local, ct de Gestion distance, cliquez
sur Dsactiv. Ceci ouvre la bote de dialogue Configurer l'administration distance.
3.
Dans la bote de dialogue Configurer l'administration distance, activez la case cocher

Autoriser la gestion distance de ce serveur depuis d'autres ordinateurs, puis cliquez sur OK.
Vous pouvez galement activer WinRM partir d'une ligne de commande en excutant
la commande WinRM -qc. Vous dsactivez WinRM l'aide de la mme mthode qui permet
de l'activer. Vous pouvez dsactiver WinRM sur un ordinateur excutant l'option d'installation
minimale l'aide de l'outil sconfig.cmd.
Bureau distance
Le bureau distance est la mthode traditionnelle utilise par les administrateurs de systmes pour se
connecter distance aux serveurs qu'ils administrent. Vous pouvez configurer le bureau distance sur
un ordinateur qui excute la version complte de Windows Server 2012 en procdant comme suit :
1.
Dans la console du Gestionnaire de serveur, cliquez sur le nud Serveur local.
2.
ct de Bureau distance, cliquez sur Dsactiv.
3.
Dans la bote de dialogue Proprits systme, dans l'onglet Utilisation distance, slectionnez
l'une des options suivantes :
o
Ne pas autoriser les connexions cet ordinateur. L'tat par dfaut du bureau distance
est dsactiv.
Autoriser la connexion des ordinateurs excutant n'importe quelle version du Bureau

distance. Autorise la connexion des clients Bureau distance qui ne prennent pas en charge
l'authentification au niveau du rseau.
Autoriser les connexions uniquement pour les ordinateurs excutant les services Bureau
distance avec authentification au niveau du rseau. Autorise la connexion scurise des
ordinateurs excutant des clients Bureau distance qui prennent en charge l'authentification
au niveau du rseau.
Vous pouvez activer et dsactiver le bureau distance sur les ordinateurs qui excutent l'option
d'installation minimale l'aide de l'outil en ligne de commande sconfig.cmd.
Leon 3
Installation de Windows Server 2012
Lorsque vous prparez l'installation de Windows Server 2012, vous devez comprendre si une
configuration matrielle particulire est approprie. Vous devez galement savoir si un dploiement avec
installation minimale peut tre plus appropri qu'un dploiement de l'interface utilisateur graphique
complte, et quelle source d'installation vous permet de dployer Windows Server 2012 de faon efficace.
Dans cette leon, vous allez dcouvrir le processus d'installation de Windows Server 2012, notamment
les mthodes permettant d'installer le systme d'exploitation, les diffrentes options d'installation,
la configuration requise minimale et les dcisions que vous devez prendre lors de l'utilisation
de l'Assistant Installation.
dcrire les diffrentes mthodes que vous pouvez utiliser pour installer Windows Server 2012 ;
identifier les diffrents types d'installation que vous pouvez choisir en installant
dterminer si un ordinateur ou un ordinateur virtuel rpond la configuration matrielle

minimale requise pour l'installation de Windows Server 2012 ;
dcrire les dcisions que vous devez prendre lorsque vous effectuez une installation
de Windows Server 2012.
Mthodes d'installation
Microsoft distribue Windows Server 2012 sur
des mdias optiques et dans un format d'image
ISO (.iso). Le format ISO devient plus courant
que l'obtention d'un mdia amovible physique,
du fait que les organisations acquirent des
logiciels via Internet.
1-23
Une fois que vous avez obtenu le systme d'exploitation Windows Server 2012 auprs de Microsoft, vous
pouvez utiliser votre propre mthode pour dployer le systme d'exploitation. Vous pouvez installer
Windows Server 2012 en utilisant diverses mthodes, y compris les mthodes suivantes :
Supports optiques
o
Avantages :
Inconvnients :
Exige que l'ordinateur ait accs un lecteur de DVD-ROM.
Gnralement plus lent qu'un mdia USB.
Vous ne pouvez pas mettre jour l'image d'installation sans remplacer le mdia.
Vous pouvez effectuer une seule installation par DVD-ROM la fois.
Support USB
o
Avantages :
Tous les ordinateurs avec des lecteurs USB permettent un dmarrage partir du mdia USB.
L'image peut tre mise jour lorsque de nouvelles mises jour logicielles et de nouveaux
pilotes sont disponibles.
Le fichier de rponse peut tre stock sur un lecteur USB, rduisant ainsi au maximum la part
d'interaction requise de l'administrateur.
Inconvnients :
Requiert que l'administrateur effectue des oprations spciales pour prparer le mdia USB
partir d'un fichier ISO.
Image ISO monte

o
Avantages :
Un logiciel de virtualisation vous permet de monter l'image ISO directement et d'installer

Windows Server 2012 sur l'ordinateur virtuel.
Inconvnients :
Mthode traditionnelle de dploiement
aucun.
Partage rseau
o
Avantages :
Il est possible de dmarrer un serveur partir d'un priphrique de dmarrage

(DVD ou lecteur USB) et de l'installer partir des fichiers d'installation qui sont
hbergs sur un partage rseau.
Inconvnients :
Cette mthode est beaucoup plus lente que l'utilisation des services de dploiement
Windows. Si vous avez dj accs un DVD ou un mdia USB, il est plus simple
d'utiliser ces outils pour le dploiement du systme d'exploitation.
Services de dploiement Windows

o
Avantages :
Vous pouvez dployer Windows Server 2012 partir de fichiers image .wim ou de fichiers
VHD spcialement prpars.
Vous pouvez utiliser le Kit d'installation automatise (AIK) pour configurer un dploiement
de type Lite Touch.
Les clients excutent un dmarrage PXE (Preboot eXecution Environment) pour contacter
le serveur Windows DS et l'image du systme d'exploitation est transmise au serveur via
le rseau.
Les services de dploiement Windows permettent plusieurs installations simultanes

de Windows Server 2012 en utilisant des transmissions de rseau de multidiffusion.
System Center Configuration Manager

o
Avantages :
Le Gestionnaire de configuration vous permet d'automatiser entirement le dploiement

de Windows Server 2012 sur de nouveaux serveurs qui ne sont pas dots d'un systme
d'exploitation. Ce processus est appel Dploiement Zero Touch.
Modles Virtual Machine Manager

o
Avantages :
Windows Server 2012 est gnralement dploy dans des scnarios de nuage priv
partir de modles prconfigurs d'ordinateur virtuel. Vous pouvez configurer plusieurs
composants de la suite System Center pour permettre le dploiement en libre service
des ordinateurs virtuels Windows Server 2012.
Question : Quelle autre mthode est-il possible d'utiliser pour dployer

Windows Server 2012 ?
Types d'installation
La manire dont vous dployez Windows
Server 2012 sur un serveur spcifique dpend des
circonstances de cette installation. L'installation
sur un serveur qui excute Windows
Server 2008 R2 requiert des actions diffrentes par
rapport l'installation sur un serveur excutant
une dition x86 de Windows Server 2003.
Lorsque vous effectuez une installation du systme d'exploitation Windows Server 2012, vous pouvez
choisir l'une des options rpertories dans le tableau ci-dessous.
Option
d'installation
Description
1-25
Nouvelle
installation
Vous permet d'effectuer une nouvelle installation sur un nouveau disque ou

volume. Les nouvelles installations sont celles qui sont le plus souvent utilises
et qui prennent le moins de temps. Vous pouvez galement utiliser cette option
pour configurer Windows Server 2012 afin d'effectuer un double dmarrage si
vous souhaitez conserver le systme d'exploitation existant.
Mise niveau
Une mise niveau conserve les fichiers, les paramtres et les applications qui sont
dj installs sur le serveur d'origine. Vous pouvez effectuer une mise niveau
lorsque vous souhaitez conserver tous ces lments et souhaitez continuer utiliser
le mme matriel de serveur. Vous pouvez effectuer une mise niveau vers une
dition quivalente ou plus rcente de Windows Server 2012 uniquement partir
des versions x64 de Windows Server 2008 ou Windows Server 2008 R2. Vous lancez
une mise niveau en excutant setup.exe au sein du systme d'exploitation
Windows Server d'origine.
Migration
Utilisez la migration pour migrer des versions x86 et x64 de Windows Server 2003,
Windows Server 2003 R2 ou Windows Server 2008 vers Windows Server 2012.
Vous pouvez utiliser les fonctionnalits des Outils de migration de Windows Server
dans Windows Server 2012 pour transfrer des fichiers et des paramtres.
Quand vous effectuez une nouvelle installation, vous pouvez dployer Windows Server 2012 sur un disque
non partitionn ou sur un volume existant. Vous pouvez aussi installer Windows Server 2012 dans un
fichier de disque dur virtuel prpar cet effet dans un scnario Dmarrage depuis un disque dur
virtuel ou Dmarrage natif depuis un disque dur virtuel (ces deux termes sont utiliss tels quels ou
avec des variantes pour dsigner ce scnario). Le dmarrage partir d'un VHD requiert une prparation
spciale et n'est pas une option possible lorsque vous effectuez une installation par dfaut l'aide de
l'Assistant Installation de Windows.
Configuration matrielle requise pour Windows Server 2012

La configuration matrielle requise dfinit le
matriel minimal qui est requis pour excuter le
serveur Windows Server 2012. Votre configuration
matrielle requise peut tre plus importante selon
les services que le serveur hberge, la charge sur
le serveur et la ractivit de votre serveur.
Chaque service de rle et fonctionnalit place
une charge unique sur le rseau, les E/S de
disque, le processeur et les ressources mmoire.
Par exemple, le rle de serveur de fichiers place
sur le matriel de serveur des contraintes
diffrentes de celles du rle DHCP.
Lorsque vous prenez en compte la configuration matrielle requise, souvenez-vous que Windows
Server 2012 peut tre dploy virtuellement. Windows Server 2012 est pris en charge sur Hyper-V
et sur certaines autres plateformes de virtualisation non-Microsoft. Les dploiements virtualiss de
Windows Server 2012 doivent correspondre aux mmes spcifications matrielles que les dploiements
physiques. Par exemple, lorsque vous crez un ordinateur virtuel pour hberger Windows Server 2012,
vous devez vous assurer de configurer l'ordinateur virtuel avec suffisamment de mmoire et d'espace
disque.
Windows Server 2012 prsente la configuration matrielle minimale requise suivante :
Architecture du processeur : x64
Cadence du processeur : 1,4 gigahertz (GHz)
Mmoire vive (RAM) : 512 mgaoctets (Mo)
Espace disponible sur le disque dur : 32 Go, plus si le serveur a plus de 16 Go de RAM.
L'dition Datacenter de Windows Server 2012 prend en charge la configuration matrielle maximale
suivante :
640 processeurs logiques
4 To de RAM
63 nuds de cluster de basculement
Documentation supplmentaire : Pour plus d'informations sur

le programme Windows Server Virtualization Validation Program, voir
Question : Pourquoi un serveur a-t-il besoin de plus d'espace disponible sur le disque dur s'il
possde plus de 16 Go de RAM ?
Installation de Windows Server 2012

Le processus de dploiement du systme
d'exploitation Windows Server est plus simple
aujourd'hui qu'il tait auparavant. L'administrateur
charg du dploiement a moins de dcisions
prendre, bien que ces dcisions soient essentielles
au succs du dploiement. Une installation par
dfaut de Windows Server 2012 (si vous n'avez
pas encore de fichier de rponse) implique
l'excution des oprations suivantes :
1.
Connectez-vous la source d'installation. Les

options correspondantes sont les suivantes :
o
Insrez un DVD-ROM contenant les

fichiers d'installation de Windows Server 2012 et dmarrez partir du DVD-ROM.
Connectez un lecteur USB spcialement prpar qui hberge les fichiers d'installation
Excutez un dmarrage PXE et connectez-vous un serveur Windows DS.
2.
Dans la premire page de l'Assistant Installation de Windows, slectionnez les lments suivants :
o
langue installer,
format horaire et montaire,
clavier ou mthode d'entre.
3.
Dans la deuxime page de l'Assistant Installation de Windows, cliquez sur Installer maintenant.
Vous pouvez galement utiliser cette page pour slectionner Rparer l'ordinateur. Vous pouvez
utiliser cette option au cas o une installation aurait t endommage et que vous ne seriez plus
mme de dmarrer Windows Server 2012.
4.
Dans l'Assistant Installation de Windows, dans la page Slectionner le systme d'exploitation

installer, choisissez une option d'installation du systme d'exploitation parmi les options
disponibles. L'option Installation minimale est l'option par dfaut.
5.
Dans la page Termes du contrat de licence, examinez les termes de la licence du systme
d'exploitation. Vous devez accepter les termes du contrat de licence avant de pouvoir procder
l'installation.
6.
Dans la page Quel type d'installation voulez-vous effectuer ?, les options suivantes s'offrent
vous :
o
Mise niveau. Slectionnez cette option si vous disposez d'une installation existante
de Windows Server que vous souhaitez mettre niveau vers Windows Server 2012. Vous
devez lancer les mises niveau au sein de la version prcdente de Windows Server plutt
que dmarrer partir de la source d'installation.
Personnalis. Slectionnez cette option pour effectuer une nouvelle installation.
7.
Dans la page O souhaitez-vous installer Windows ?, choisissez un disque disponible sur lequel
installer Windows Server 2012. Vous pouvez galement choisir de partitionner et de formater
nouveau les disques dans cette page. Lorsque vous cliquez sur Suivant, le processus d'installation
copie les fichiers et redmarre l'ordinateur plusieurs fois.
8.
Dans la page Paramtres, fournissez un mot de passe pour le compte d'administrateur local.
1-27
Leon 4
Configuration post-installation de Windows Server 2012

Le processus d'installation de Windows Server 2012 implique de rpondre un nombre minimal
de questions. Une fois que vous avez termin l'installation, vous devez effectuer plusieurs tapes de
configuration post-installation avant de pouvoir la dployer dans un environnement de production.
Ces tapes vous permettent de prparer le serveur pour le rle qu'il excutera dans le rseau de votre
organisation.
Cette leon explique notamment comment effectuer diverses tches de configuration post-installation,
y compris la configuration des informations d'adressage rseau, la dfinition d'un nom de serveur
et sa jonction au domaine, ainsi que la comprhension des options d'activation de produit.
expliquer comment utiliser le Gestionnaire de serveur pour effectuer les tches de configuration
post-installation ;
expliquer comment configurer les paramtres rseau du serveur ;
expliquer comment joindre un domaine Active Directory ;
expliquer comment effectuer une jonction de domaine hors connexion ;
expliquer comment activer Windows Server 2012 ;
expliquer comment configurer une installation minimale.
Vue d'ensemble de la configuration post-installation

Le processus d'installation de Windows
Server 2012 rduit au maximum le nombre
de questions auxquelles vous devez rpondre
pendant l'installation. Les seules informations
que vous fournissez au cours du processus
d'installation correspondent au mot de passe
du compte d'administrateur local par dfaut.
La procdure post installation implique la
configuration de tous les autres paramtres dont
le serveur a besoin pour pouvoir tre dploy
dans un environnement de production.
1-29
Vous utilisez le nud Serveur local dans la console du Gestionnaire de serveur pour effectuer les tches
suivantes :
configurer l'adresse IP ;
dfinir le nom de l'ordinateur ;
joindre un domaine Active Directory ;
configurer le fuseau horaire ;
activer les mises jour automatiques ;
ajouter des rles et des fonctionnalits ;
activer le Bureau distance ;
configurer les paramtres du Pare-feu Windows.
Configuration des paramtres rseau du serveur

Pour communiquer sur le rseau, un serveur
a besoin d'informations correctes d'adresse IP.
Une fois que vous avez termin l'installation,
vous devez dfinir ou vrifier la configuration
des adresses IP du serveur. Par dfaut, un
serveur nouvellement dploy tente d'obtenir
les informations d'adresse IP auprs d'un serveur
DHCP. Vous pouvez afficher la configuration des
adresses IP d'un serveur en cliquant sur le nud
Serveur local dans le Gestionnaire de serveur.
Si le serveur a une adresse IPv4 comprise dans
la plage d'adressage IP priv automatique de
169.254.0.1 169.254.255.254, le serveur n'a pas encore t configur avec une adresse IP provenant
d'un serveur DHCP. Peut-tre qu'un serveur DHCP n'a pas encore t configur dans le rseau, ou,
si un serveur DHCP est prsent, il peut y avoir un problme avec l'infrastructure rseau qui empche
l'adaptateur de recevoir une adresse.
Remarque : Si vous utilisez uniquement un rseau IPv6, une adresse IPv4 comprise dans
cette plage n'est pas problmatique, et les informations d'adresse IPv6 sont encore configures
automatiquement.
Configuration l'aide du Gestionnaire de serveur

Vous pouvez configurer manuellement les informations d'adresse IP pour un serveur en procdant
comme suit :
1.
Dans la console du Gestionnaire de serveur, cliquez sur l'adresse ct de la carte rseau que vous
souhaitez configurer.
2.
Dans la fentre Connexions rseau, cliquez avec le bouton droit sur la carte rseau pour laquelle
vous souhaitez configurer une adresse, puis cliquez sur Proprits.
3.
Dans la bote de dialogue Proprits de la carte, cliquez sur Protocole Internet version 4
(TCP/IPv4), puis sur Proprits.
4.
Dans la bote de dialogue Proprits de Protocole : Internet version 4 (TCP/IPv4),

entrez les informations d'adresse IPv4 qui suivent, puis cliquez sur OK deux reprises :
o
Adresse IP
Masque de sous-rseau
Passerelle par dfaut
Serveur DNS prfr
Serveur DNS auxiliaire
Configuration des adresses IPv4 par l'intermdiaire de la ligne de commande
Vous pouvez dfinir manuellement les informations d'adresse IPv4 partir d'une invite de commandes
avec lvation de privilges en utilisant la commande netsh.exe issue du contexte IPv4 (Internet Protocol
version 4) ou Windows PowerShell.
Par exemple, pour configurer la carte nomme Connexion au rseau local avec l'adresse IPv4 10.10.10.10
et le masque de sous-rseau 255.255.255.0, tapez les commandes suivantes :
Netsh interface ipv4 set address Connexion au rseau local static 10.10.10.10
255.255.255.0
New-NetIPAddress InterfaceIndex 12 IPAddress 10.10.10.10 PrefixLength 24
Vous pouvez utiliser le mme contexte de la commande netsh.exe pour configurer la configuration DNS.
Par exemple, pour configurer la carte nomme Connexion au rseau local pour qu'elle utilise le serveur
DNS l'adresse IP 10.10.10.5 en tant que serveur DNS principal, tapez la commande suivante :
Netsh interface ipv4 set dnsservers Connexion au rseau local static 10.10.10.5 primary
Set-DNSClientServerAddress InterfaceIndex 12 ServerAddresses 10.10.10.5
Dans les commandes Windows PowerShell, la valeur InterfaceIndex identifie la carte que vous configurez.
Pour obtenir la liste complte des cartes avec les valeurs InterfaceIndex correspondantes, excutez
l'applet de commande Get-NetIPInterface.
Association de cartes rseau
L' association de cartes rseau vous permet d'augmenter la disponibilit d'une ressource rseau. Lorsque
vous configurez la fonctionnalit d'association de cartes rseau, un ordinateur utilise une adresse rseau
pour plusieurs cartes. En cas de dfaillance d'une des cartes, l'ordinateur est en mesure de maintenir
la communication avec les autres htes sur le rseau qui utilisent cette adresse partage. L'association
de cartes rseau n'exige pas que les cartes rseau soient du mme modle ou utilisent le mme pilote.
Pour associer des cartes rseau, procdez comme suit :
1.
Assurez-vous que le serveur possde plus d'une carte rseau.
2.
Dans le Gestionnaire de serveur, cliquez sur le nud Serveur local.
3.
En regard de la fonction Association de cartes rseau, cliquez sur Dsactiv. Ceci lancera la bote
de dialogue Association de cartes rseau.
4.
Dans la bote de dialogue Association de cartes rseau, maintenez enfonce la touche Ctrl,
puis cliquez sur chaque carte rseau que vous souhaitez ajouter l'association.
5.
Cliquez avec le bouton droit sur les cartes rseau slectionnes, puis cliquez sur Ajouter une
nouvelle quipe.
6.
Dans la bote de dialogue Nouvelle quipe, spcifiez un nom pour l'quipe, puis cliquez sur OK.
Procdure de jonction d'un domaine

Quand vous installez Windows Server 2012, un
nom alatoire est attribu l'ordinateur. Avant
de joindre un domaine, vous devriez configurer le
serveur avec le nom que vous souhaitez qu'il ait
dans le domaine. Il est recommand d'utiliser un
schma de noms cohrent lors de la conception
d'un nom d'ordinateur. Les ordinateurs doivent
recevoir des noms qui refltent leur fonction
et emplacement, et non pas des noms avec des
liens personnels, tels que des noms d'animaux
domestiques ou de personnages fictifs ou
historiques. Il est globalement plus ais de
dterminer qu'un serveur nomm MEL-DNS1 est un serveur DNS situ Melbourne, que de
dterminer qu'un serveur nomm Copernic dtient le rle DNS dans le bureau de Melbourne.
Vous pouvez modifier ce nom l'aide de la console du Gestionnaire de serveur en procdant
comme suit :
1-31
1.
2.
Dans la fentre Proprits, cliquez sur le texte actif ct de Nom de l'ordinateur. Ceci lancera
la bote de dialogue Proprits systme.
3.
Dans la bote de dialogue Proprits systme, dans l'onglet Nom d'ordinateur, cliquez sur
Modifier.
4.
Dans la bote de dialogue Modification du nom ou du domaine de l'ordinateur, entrez le nouveau

nom que vous souhaitez attribuer l'ordinateur.
5.
Redmarrez l'ordinateur pour implmenter le changement de nom.
Avant de joindre le domaine, veillez terminer la procdure suivante pour vrifier que le nouveau serveur
est prt tre joint un domaine :
Assurez-vous que vous pouvez rsoudre l'adresse IP du contrleur de domaine et que vous
pouvez contacter ce contrleur de domaine. Utilisez le protocole PING pour effectuer un test
ping du contrleur de domaine par nom d'hte afin d'accomplir ces deux objectifs.
Terminez l'une des tches suivantes :
Crez un compte d'ordinateur dans le domaine qui correspond au nom de l'ordinateur que
vous souhaitez joindre au domaine. Ceci a souvent lieu lorsqu'un grand nombre d'ordinateurs
doivent tre joints automatiquement au domaine.
Joignez l'ordinateur au domaine en utilisant un compte de scurit qui a le droit d'excuter

des oprations de jonction de domaine.
Vrifiez que le compte de scurit qui est utilis pour l'opration de domaine existe dj dans
le domaine.
Maintenant que vous avez renomm votre serveur Windows Server 2012 et que vous avez vrifi qu'il
est prt tre joint un domaine, vous pouvez joindre le serveur au domaine.
Pour joindre le domaine l'aide du Gestionnaire de serveur, procdez comme suit :
1.
2.
Dans la fentre Proprits, ct de Groupe de travail, cliquez sur WORKGROUP.
3.
Modifier.
4.
Dans la bote de dialogue Modification du nom ou du domaine de l'ordinateur, dans la zone

Membre de, cliquez sur l'option Domaine. Entrez le nouveau nom du domaine, puis cliquez sur O.
5.
Dans la bote de dialogue Scurit de Windows, entrez les informations d'identification du domaine
qui vous permettent de joindre l'ordinateur au domaine.
6.
Redmarrez l'ordinateur.
Excution d'une jonction de domaine hors connexion

La jonction de domaine hors connexion est une
fonctionnalit que vous pouvez utiliser pour
joindre un ordinateur au domaine quand cet
ordinateur n'a pas de connexion rseau active.
Cette fonctionnalit peut tre utile dans les
situations o la connectivit est intermittente,
par exemple lorsque vous dployez un serveur
sur un site distant qui est connect via une
liaison montante satellite.
Utilisez l'outil en ligne de commande djoin.exe
pour effectuer une jonction de domaine hors
connexion. Vous pouvez effectuer une jonction de
domaine hors connexion en procdant comme suit :
1.
Connectez-vous au contrleur de domaine avec un compte d'utilisateur dot des droits appropris
pour joindre d'autres ordinateurs au domaine.
2.
Ouvrez une invite de commandes avec lvation de privilges et utilisez la commande djoin.exe
avec l'option /provision. Vous devez galement spcifier le domaine auquel vous souhaitez joindre
l'ordinateur, le nom de l'ordinateur joindre au domaine et le nom du fichier savefile que vous allez
transfrer la cible de la jonction de domaine hors connexion.
Par exemple, pour joindre l'ordinateur Canberra au domaine adatum.com en utilisant le fichier
savefile Canberra-join.txt, tapez la commande suivante :
djoin.exe /provision /domain adatum.com /machine canberra /savefile c:\canberrajoin.txt
3.
1-33
Transfrez le fichier savefile gnr sur le nouvel ordinateur, puis excutez la commande djoin.exe
avec l'option /requestODJ.
Par exemple, pour effectuer la jonction de domaine hors connexion, aprs le transfert du fichier
savefile Canberra-join.txt sur l'ordinateur Canberra, vous pouvez excuter la commande suivante
partir d'une invite de commandes avec lvation de privilges sur Canberra :
djoin.exe /requestODJ /loadfile canberra-join.txt /windowspath %systemroot% /localos
4.
Redmarrez l'ordinateur pour terminer l'opration de jonction de domaine.

Question : Dans quelle situation prfreriez-vous effectuer une jonction de domaine hors
connexion une jonction de domaine standard ?
Activation de Windows Server 2012

Pour vous assurer que votre organisation
bnficie de licences correctes et pour recevoir
des informations pralables sur les mises jour
du produit, vous devez activer chaque copie
de Windows Server 2012 que vous installez.
Windows Server 2012 requiert une activation
aprs installation. la diffrence des versions
prcdentes du systme d'exploitation
Windows Server, il n'y a plus de priode de grce
d'activation. Si vous n'effectuez pas l'activation,
vous ne pouvez pas effectuer la personnalisation
du systme d'exploitation.
Pour activer Windows Server 2012, vous pouvez utiliser deux stratgies gnrales au choix :
Activation manuelle. Approprie quand vous dployez un nombre rduit de serveurs.
Activation automatique. Approprie quand vous dployez un nombre lev de serveurs.
Activation manuelle
Avec l'activation manuelle, vous entrez la cl de produit et le serveur contacte Microsoft. Alternativement,
un administrateur peut effectuer l'activation par tlphone ou via un site Web Clearinghouse spcial.
Vous pouvez effectuer l'activation manuelle partir de la console du Gestionnaire de serveur en
procdant comme suit :
1.
Cliquez sur le nud Serveur local.
2.
Dans la fentre Proprits, ct de l'ID de produit, cliquez sur Non activ.
3.
Dans la bote de dialogue Activation de Windows, entrez la cl de produit, puis cliquez sur Activer.
4.
Si une connexion directe ne peut pas tre tablie avec les serveurs d'activation Microsoft, des
dtails s'afficheront concernant la manire d'effectuer l'activation l'aide d'un site Web partir
d'un priphrique dot d'une connexion Internet ou l'aide d'un numro de tlphone local.
Puisque les ordinateurs qui excutent l'option d'installation minimale ne possdent pas la console du
Gestionnaire de serveur, vous pouvez galement effectuer l'activation manuelle l'aide de la commande
slmgr.vbs. Utilisez la commande slmgr.vbs /ipk pour entrer la cl de produit et slmgr.vbs /ato pour
effectuer l'activation une fois que la cl de produit a t installe.
Vous pouvez effectuer l'activation manuelle l'aide de la cl de produit commercialise ou de la cl

d'activation multiple. Vous pouvez utiliser une cl de produit commercialise uniquement pour activer
un seul ordinateur. Cependant, une cl d'activation multiple possde un nombre donn d'activations
que vous pouvez utiliser. Une cl d'activation multiple vous permet d'activer plusieurs ordinateurs jusqu'
la limite d'activation dfinie.
Les cls OEM reprsentent un type particulier de cl d'activation. Elles sont fournies un fabricant et
permettent l'activation automatique lors de la premire mise sous tension d'un ordinateur. Ce type de
cl d'activation est gnralement utilis avec des ordinateurs qui excutent des systmes d'exploitation
clients tels que Windows 7 et Windows 8. Les cls OEM sont rarement utilises avec des ordinateurs qui
excutent des systmes d'exploitation serveurs.
La ralisation manuelle de l'activation dans des dploiements de serveurs grande chelle peut
tre lourde. Microsoft fournit une mthode permettant d'activer un grand nombre d'ordinateurs
automatiquement sans avoir entrer manuellement de cl de produit sur chaque systme.
Activation automatique
Dans les versions prcdentes du systme d'exploitation Windows Server, vous pouviez utiliser KMS pour
effectuer une activation centralise de plusieurs clients. Le rle serveur Services d'activation en volume
dans Windows Server 2012 vous permet de grer un serveur KMS via une nouvelle interface. Ceci simplifie
le processus d'installation d'une cl KMS sur le serveur KMS. Quand vous installez les services d'activation
en volume, vous pouvez galement configurer une activation base sur Active Directory. L'activation
base sur Active Directory permet l'activation automatique des ordinateurs joints un domaine. Quand
vous utilisez les services d'activation en volume, chaque ordinateur activ doit rgulirement contacter
le serveur KMS pour renouveler son statut d'activation.
Vous utilisez l'outil Volume Activation Management Tool (VAMT) 3.0 en association avec les services
d'activation en volume pour effectuer l'activation de plusieurs ordinateurs sur des rseaux qui ne sont
pas connects directement Internet. Vous pouvez utiliser VAMT pour gnrer des rapports de licence
et grer l'activation des clients et des serveurs dans des rseaux d'entreprise.
Configuration d'une installation minimale

La procdure post-installation sur un ordinateur
excutant l'option d'installation minimale du
systme d'exploitation peut tre intimidante pour
les administrateurs qui n'ont encore jamais
effectu cette tche. Au lieu de disposer d'outils
bass sur l'interface graphique utilisateur qui
simplifient la procdure de configuration postinstallation, les professionnels de l'informatique
sont tenus d'effectuer des tches de configuration
complexes via une interface de ligne de
commande.
Fort heureusement, vous pouvez effectuer la
majorit des tches de configuration post-installation l'aide de l'outil en ligne de commande
sconfig.cmd. Cet outil rduit au maximum le risque d'effectuer des erreurs de syntaxe lors de
l'utilisation d'outils en ligne de commande plus compliqus.
Vous pouvez utiliser sconfig.cmd pour effectuer les tches suivantes :
configurer les informations de domaine et de groupe de travail ;
configurer le nom de l'ordinateur ;
ajouter des comptes d'administrateur local ;
configurer WinRM ;
activer Windows Update ;
tlcharger et installer des mises jour ;
activer le Bureau distance ;
configurer les informations d'adresse rseau ;
rgler la date et l'heure ;
effectuer l'activation de Windows ;
activer l'interface graphique utilisateur de Windows Server ;
se dconnecter ;
Redmarrer le serveur
arrter le serveur.
Configurer les informations d'adresse IP
1-35
Vous pouvez configurer les informations d'adresse IP et DNS l'aide de sconfig.cmd ou de netsh.exe.
Pour configurer les informations d'adresse IP l'aide de sconfig.cmd, procdez comme suit :
1.
partir d'une ligne de commande, excutez la commande sconfig.cmd.
2.
Choisissez l'option 8 pour configurer les paramtres rseau.
3.
Choisissez le numro d'index de la carte rseau laquelle vous souhaitez attribuer une adresse IP.
4.
Dans la zone Paramtres de carte rseau, choisissez l'une des options suivantes :
o
Dfinir l'adresse de la carte rseau
Dfinir les serveurs DNS
Effacer les paramtres du serveur DNS
Retourner au menu principal
Modifier le nom du serveur

Vous pouvez modifier le nom d'un serveur en utilisant la commande netdom avec l'option
renamecomputer.
Par exemple, pour renommer un ordinateur Melbourne, tapez la commande suivante :
Netdom renamecomputer %nom_ordinateur% /newname:Melbourne
Vous pouvez modifier le nom d'un serveur l'aide de sconfig.cmd en procdant comme suit :
1.
2.
Choisissez l'option 2 pour configurer le nouveau nom de l'ordinateur.
3.
Tapez le nouveau nom de l'ordinateur et appuyez sur Entre.
Vous devez redmarrer le serveur pour que la modification prenne effet.
Jonction un domaine
Vous pouvez joindre un ordinateur avec installation minimale un domaine l'aide de la commande
netdom avec l'option join.
Par exemple, pour joindre le domaine adatum.com en utilisant le compte Administrateur et tre invit
entrer un mot de passe, tapez la commande suivante :
Netdom join %nom_ordinateur% /domain:adatum.com /UserD:Administrateur /PasswordD:*
Remarque : Avant de joindre le domaine, vrifiez que vous tes en mesure d'effectuer
un test ping du serveur DNS l'aide du nom d'hte.
Pour joindre un ordinateur avec installation minimale au domaine l'aide de sconfig.cmd,
procdez comme suit :
1.
2.
Choisissez l'option 1 pour configurer le domaine/groupe de travail.
3.
Pour choisir l'option Domaine, tapez D et appuyez sur Entre.
4.
Tapez le nom du domaine auquel vous voulez joindre l'ordinateur.
5.
Fournissez les dtails au format domaine\nom d'utilisateur d'un compte autoris joindre le domaine.
6.
Tapez le mot de passe associ ce compte.
Pour terminer l'opration de jonction de domaine, il convient de redmarrer l'ordinateur.
Ajout de rles et de fonctionnalits
Vous pouvez ajouter et supprimer des rles et des fonctionnalits sur un ordinateur qui excute l'option
d'installation minimale l'aide des applets de commande Windows PowerShell Get-WindowsFeature,
Install-WindowsFeature et Remove-WindowsFeature. Ces applets de commande sont disponibles
une fois que vous avez charg le module Windows PowerShell ServerManager.
Par exemple, vous pouvez afficher la liste des rles et fonctionnalits qui sont installs en tapant
la commande suivante :
Get-WindowsFeature | Where-Object {$_.InstallState -eq Installed}
Vous pouvez galement installer un rle ou une fonctionnalit Windows en utilisant l'applet de
commande Install-WindowsFeature. Par exemple, pour installer la fonctionnalit d'quilibrage
de la charge rseau, excutez la commande :
Install-WindowsFeature NLB
Toutes les fonctionnalits ne sont pas disponibles directement pour l'installation sur un ordinateur
excutant l'installation minimale du systme d'exploitation. Vous pouvez dterminer quelles
fonctionnalits ne sont pas directement disponibles pour l'installation en excutant la commande
suivante :
Get-WindowsFeature | Where-Object {$_.InstallState -eq Removed}
1-37
Vous pouvez ajouter un rle ou une fonctionnalit qui n'est pas directement disponible pour l'installation
en utilisant le paramtre -Source de l'applet de commande Install-WindowsFeature. Vous devez
spcifier un emplacement source qui hberge une image d'installation monte incluant la version
complte de Windows Server 2012. Vous pouvez monter une image d'installation l'aide de l'outil
en ligne de commande DISM.exe. Si vous ne spcifiez pas de chemin source lors de l'installation
d'un composant qui n'est pas disponible et que le serveur dispose d'une connexion Internet, l'applet de
commande Install-WindowsFeature tente de rcuprer les fichiers sources partir de Windows Update.
Ajouter l'interface graphique utilisateur
Vous pouvez configurer un ordinateur avec installation minimale avec l'interface graphique utilisateur
en utilisant l'outil en ligne de commande sconfig.cmd. Pour cela, choisissez l'option 12 dans le menu
Configuration du serveur de sconfig.cmd.
Remarque : Vous pouvez ajouter ou supprimer le composant graphique du systme
d'exploitation Windows Server 2012 l'aide de l'applet de commande Install-WindowsFeature.
Vous pouvez galement utiliser l'outil en ligne de commande dism.exe pour ajouter et supprimer des
rles et des fonctionnalits Windows d'un dploiement avec installation minimale, mme si cet outil
est utilis principalement pour la gestion des fichiers image.
Leon 5
Prsentation de Windows PowerShell
Windows PowerShell est une technologie d'interface de ligne de commande et de script bas sur les
tches, intgre dans le systme d'exploitation Windows Server 2012. Windows PowerShell simplifie
l'automatisation des tches courantes d'administration de systmes. Windows PowerShell vous permet
d'automatiser les tches, ce qui vous laisse plus de temps pour les tches plus complexes d'administration
de systmes.
Dans cette leon, vous allez dcouvrir Windows PowerShell et pourquoi Windows PowerShell reprsente
un composant essentiel du kit de ressources d'un administrateur de serveur.
Cette leon explique comment utiliser les fonctionnalits de dcouverte intgres de Windows PowerShell
pour apprendre utiliser des applets de commande spcifiques et rechercher les applets de commande
associes. Cette leon prsente galement comment tirer profit de l'environnement d'criture de scripts
intgr de Windows PowerShell (Windows PowerShell ISE) pour qu'il vous aide crer des scripts
Windows PowerShell efficaces.
dcrire la fonction de Windows PowerShell ;
dcrire la syntaxe des applets de commande Windows PowerShell et expliquer comment dterminer
les commandes associes une applet de commande particulire ;
dcrire les applets de commande Windows PowerShell courantes permettant de grer les services,
les processus, les rles et les fonctionnalits ;
dcrire les fonctionnalits de Windows PowerShell ISE ;
expliquer comment utiliser Windows PowerShell ;
expliquer comment utiliser Windows PowerShell ISE.
Qu'est-ce que Windows PowerShell ?

Windows PowerShell est un langage de script
et une interface de ligne de commande qui
est conue pour vous aider effectuer des
tches d'administration quotidiennes.
Windows PowerShell se compose d'applets de
commande que vous excutez une invite de
commandes Windows PowerShell ou que vous
associez en scripts Windows PowerShell. la
diffrence d'autres langages de script qui ont t
conus initialement dans un autre but et ont t
adapts pour des tches d'administration systme,
Windows PowerShell a t conu avec les tches
d'administration systme l'esprit.
1-39
Un nombre croissant de produits Microsoft (tels qu'Exchange Server 2010) ont des interfaces graphiques
qui tablissent les commandes Windows PowerShell. Ces produits vous permettent de visualiser le script
Windows PowerShell gnr pour que vous puissiez excuter la tche ultrieurement sans avoir
terminer toutes les tapes dans l'interface graphique utilisateur. La capacit automatiser les tches
complexes simplifie le travail d'un administrateur de serveur et lui permet d'conomiser du temps.
Vous pouvez tendre les fonctionnalits de Windows PowerShell en ajoutant des modules. Par exemple,
le module Active Directory inclut des applets de commande Windows PowerShell spcifiquement utiles
pour effectuer des tches de gestion lies Active Directory. Le module Serveur DNS inclut des applets
de commande Windows PowerShell spcifiquement utiles pour effectuer des tches de gestion lies au
serveur DNS. Windows PowerShell inclut des fonctionnalits telles que la saisie semi-automatique via la
touche Tab, qui permet aux administrateurs de complter des commandes en appuyant sur la touche
Tab au lieu de taper la commande complte. Vous pouvez dcouvrir les fonctionnalits de toute applet
de commande Windows PowerShell l'aide de l'applet de commande Get-Help.
Syntaxe des applets de commande Windows PowerShell

Les applets de commande Windows PowerShell
utilisent une syntaxe verbe-nom. Chaque nom
possde une collection de verbes associs. Les
verbes disponibles diffrent avec chaque nom
d'applet de commande.
Exemples de verbes courants d'applets
de commande Windows PowerShell :
Get
Nouveau
Set
Redmarrer
Resume
Arrter
Suspend
Clear
Limit
Supprimer
Ajouter
Show
Write
Vous pouvez connatre les verbes disponibles pour un nom Windows PowerShell en excutant
Get-Command -Noun NounName
Vous pouvez connatre les noms Windows PowerShell disponibles pour un verbe spcifique en excutant
Get-Command -Verb VerbName
Les paramtres Windows PowerShell commencent par un tiret. Chaque applet de commande
Windows PowerShell possde son propre jeu de paramtres associ. Vous pouvez connatre
les paramtres correspondant une applet de commande Windows PowerShell particulire
en excutant la commande suivante :
Get-Command CmdletName
Vous pouvez dterminer les applets de commande Windows PowerShell disponibles en excutant
l'applet de commande Get-Command. Les applets de commande Windows PowerShell disponibles
dpendent des modules chargs.
Applets de commande courantes pour l'administration de serveur

En tant qu'administrateur de serveur, il existe
certaines applets de commande que vous
tes plus susceptibles d'utiliser. Ces applets
de commande se rapportent principalement
aux services, aux journaux d'vnements,
aux processus et au module ServerManager
qui s'excutent sur le serveur.
Applets de commande de service

Vous pouvez utiliser les applets de commande
Windows PowerShell suivantes pour grer
des services sur un ordinateur qui excute
Windows Server 2012 :
Get-Service. Affiche les proprits d'un service.
New-Service. Cre un nouveau service.
Restart-Service. Redmarre un service existant.
Resume-Service. Reprend l'excution d'un service interrompu.
Set-Service. Configure les proprits d'un service.
Start-Service. Dmarre un service arrt.
Stop-Service. Arrte un service en cours d'excution.
Suspend-Service. Interrompt un service.
Applets de commande des journaux d'vnements

Vous pouvez utiliser les applets de commande Windows PowerShell suivantes pour grer les journaux
d'vnements sur un ordinateur qui excute Windows Server 2012 :
1-41
Get-EventLog. Affiche les vnements dans le journal d'vnements spcifi.
Clear-EventLog. Supprime toutes les entres du journal d'vnements spcifi.
Limit-EventLog. Dfinit les limites d'ge et de taille des journaux d'vnements.
New-EventLog. Cre un nouveau journal d'vnements et une nouvelle source d'vnements sur
un ordinateur excutant Windows Server 2012.
Remove-EventLog. Supprime un journal d'vnements personnalis et annule l'inscription de toutes

les sources d'vnements du journal.
Show-EventLog. Montre les journaux d'vnements d'un ordinateur.
Write-EventLog. Vous permet d'crire des vnements dans un journal d'vnements.
Applets de commande de processus
Vous pouvez utiliser les applets de commande Windows PowerShell suivantes pour grer des processus
sur un ordinateur qui excute Windows Server 2012 :
Get-Process. Fournit des informations sur un processus.
Start-Process. Dmarre un processus.
Stop-Process. Arrte un processus.
Wait-Process. Attend l'arrt du processus avant d'accepter l'entre.
Debug-Process. Joint un dbogueur un ou plusieurs processus en cours d'excution.
Module ServerManager
Le module ServerManager vous permet d'ajouter trois applets de commande au choix, qui sont utiles
pour grer les fonctionnalits et les rles. Ces applets de commande sont :
Get-WindowsFeature. Affiche la liste des rles et des fonctionnalits disponibles. Affiche galement
si la fonctionnalit est installe et si elle est disponible. Vous pouvez installer une fonctionnalit non
disponible uniquement si vous avez accs une source d'installation.
Install-WindowsFeature. Installe un rle particulier ou une fonctionnalit particulire de

Windows Server. L'applet de commande Add-WindowsFeature est associe par des alias cette
commande et est disponible dans les versions antrieures des systmes d'exploitation Windows.
Remove-WindowsFeature. Supprime un rle particulier ou une fonctionnalit particulire

de Windows Server.
Qu'est-ce que Windows PowerShell ISE ?

Windows PowerShell ISE est un environnement
de script intgr qui vous fournit une assistance
lorsque vous utilisez Windows PowerShell.
Il fournit des fonctionnalits pour complter
les commandes et vous permet de voir toutes
les commandes disponibles et les paramtres
que vous pouvez utiliser avec ces commandes.
Windows PowerShell ISE simplifie le processus

d'utilisation de Windows PowerShell car vous
pouvez excuter les applets de commande partir
de l'environnement d'criture de scripts. Vous
pouvez galement utiliser une fentre de script
dans Windows PowerShell ISE pour construire et enregistrer des scripts Windows PowerShell. La capacit
afficher les paramtres des applets de commande vous garantit d'tre conscient des fonctionnalits
compltes de chaque applet de commande et de pouvoir crer des commandes Windows PowerShell
syntaxiquement correctes.
Windows PowerShell ISE fournit des applets de commande avec des codes de couleurs pour faciliter la
rsolution des problmes. L'environnement d'criture de scripts vous fournit galement des outils de
dbogage que vous pouvez utiliser pour dboguer des scripts Windows PowerShell simples et complexes.
Vous pouvez utiliser l'environnement Windows PowerShell ISE pour afficher les applets de commande
disponibles par module. Vous pouvez alors dterminer quel module Windows PowerShell vous devez
charger pour accder une applet de commande particulire.
Dmonstration : Utilisation de Windows PowerShell

Dans cette dmonstration, vous allez apprendre utiliser Windows PowerShell pour afficher les services
et les processus en cours d'excution sur un serveur.
Utiliser Windows PowerShell pour afficher les services et les processus en cours
d'excution sur un serveur
1.
Sur LON-DC1, ouvrez une session Windows PowerShell.
2.
Excutez les commandes suivantes et appuyez sur Entre :

Get-Service | where-object {$_.status -eq Running}
Get-Command -Noun Service
Get-Process
Get-Help Process
Get-Help Full Start-Process
3.
Dans la barre des tches, cliquez avec le bouton droit sur l'icne Windows PowerShell, puis cliquez
sur Excuter en tant qu'administrateur.
Dmonstration : Utilisation de Windows PowerShell ISE

Dans cette dmonstration, vous allez apprendre terminer les tches suivantes :
utiliser Windows PowerShell ISE pour importer le module ServerManager ;
afficher les applets de commande proposes dans le module ServerManager ;
utiliser l'applet de commande Get-WindowsFeature partir de Windows PowerShell ISE.
Utiliser Windows PowerShell ISE pour importer le module ServerManager
1.
Assurez-vous d'tre connect LON-DC1 en tant qu'Administrateur.
2.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Windows PowerShell ISE.
3.
l'invite de commandes, tapez Import-Module ServerManager.
Afficher les applets de commande proposes dans le module ServerManager
Dans le volet Commandes, utilisez le menu droulant Modules pour slectionner le module
ServerManager.
Utiliser l'applet de commande Get-WindowsFeature partir

de Windows PowerShell ISE
1.
Cliquez sur Get-WindowsFeature, puis cliquez sur Afficher les dtails.
2.
Dans le champ ComputerName, tapez LON-DC1, puis cliquez sur Excuter.
1-43
Atelier pratique : Dploiement et gestion

Scnario
A. Datum Corporation est une socit internationale d'ingnierie et de fabrication, dont le sige social est
bas Londres, en Angleterre. A. Datum a rcemment dploy une infrastructure Windows Server 2012
avec des clients Windows 8.
Vous avez travaill pour A. Datum pendant plusieurs annes en tant que spcialiste du support
technique et avez rcemment accept une promotion comme technicien responsable des serveurs.
Le service marketing a achet une nouvelle application Web. Vous devez installer et configurer les
serveurs au centre de donnes pour cette application. Un serveur dispose d'une interface graphique
utilisateur et l'autre serveur est configur avec une installation minimale.
Objectifs
la fin de cet atelier pratique, vous serez mme d'effectuer les tches suivantes :
dployer Windows Server 2012 ;
configurer l'installation minimale de Windows Server 2012 ;
grer les serveurs l'aide du Gestionnaire de serveur ;
grer les serveurs l'aide de Windows PowerShell.
Configuration de l'atelier pratique

Dure approximative : 60 minutes
Ordinateurs virtuels
22410B-LON-DC1
22410B-LON-SVR3
22410B-LON-CORE
Nom d'utilisateur
ADATUM\Administrateur
Mot de passe
Pa$$w0rd
Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez procder aux tapes suivantes :
1.
Sur l'ordinateur hte, cliquez sur Accueil, pointez sur Outils d'administration, puis cliquez
sur Gestionnaire Hyper-V.
2.
Dans le Gestionnaire Hyper-V, cliquez sur 22410B-LON-DC1 puis, dans le volet Actions,
cliquez sur Accueil.
3.
Dans le volet Actions, cliquez sur Se connecter. Attendez que l'ordinateur virtuel dmarre.
4.
Connectez-vous en utilisant les informations d'identification suivantes :
5.
a.
Nom d'utilisateur : ADATUM\Administrateur
b.
Mot de passe : Pa$$w0rd
Rptez les tapes 1 3 pour 22410B-LON-CORE et 22410B-LON-SVR3. Ne vous connectez

pas tant qu'il ne vous a pas t demand de le faire.
Exercice 1 : Dploiement de Windows Server 2012

Scnario
Le premier serveur Windows Server 2012 que vous installez pour le service marketing hbergera une
instance du moteur de base de donnes SQL Server 2012. Vous souhaitez configurer ce serveur de
sorte qu'il dispose de l'interface graphique utilisateur complte, car ceci permettra au fournisseur
de l'application d'excuter les outils de support directement sur le serveur au lieu de requrir une
connexion distance.
Le premier serveur que vous installez pour la nouvelle application marketing est pour une base de
donnes SQL Server 2012. Ce serveur disposera de l'interface graphique utilisateur complte pour
permettre au fournisseur de l'application d'excuter les outils de support directement sur le serveur.
Les tches principales de cet exercice sont les suivantes :
1.
Installer le serveur Windows Server 2012
2.
Modifier le nom du serveur
3.
Modifier la date et l'heure
4.
Configurer le rseau et l'association de cartes rseau
5.
Ajouter le serveur au domaine
Tche 1 : Installer le serveur Windows Server 2012

1.
Dans la console du Gestionnaire Hyper-V, affichez les paramtres pour 22410B-LON-SVR3.
2.
Configurez le lecteur de DVD pour utiliser le fichier image Windows Server 2012
nomm Windows2012_RTM_FR.ISO. Ce fichier se trouve dans C:\Program Files\
Microsoft Learning\22410\Drives.
3.
Dmarrez 22410B-LON-SVR3. Dans l'Assistant Installation de Windows, dans la page

Windows Server 2012, vrifiez les paramtres suivants, cliquez sur Suivant, puis sur
Installer maintenant.
o
Langue installer : Franais (France)
Format horaire et montaire : Franais (France)
Clavier ou mthode d'entre : Franais
4.
Cliquez pour installer le systme d'exploitation Version d'valuation de Windows Server 2012
Datacenter (serveur avec une interface graphique utilisateur).
5.
Acceptez le termes du contrat de licence, puis cliquez sur Personnalis : installer uniquement
Windows (avanc).
6.
Installez Windows Server 2012 sur Lecteur 0.

Remarque: Selon la vitesse du matriel, l'installation prendra approximativement 20 minutes.
L'ordinateur virtuel redmarrera plusieurs fois au cours de ce processus.
7.
Entrez le mot de passe Pa$$w0rd dans les deux zones Mot de passe et Entrer de nouveau
le mot de passe, puis cliquez sur Terminer pour terminer l'installation.
1-45
Tche 2 : Modifier le nom du serveur

1.
Connectez-vous LON-SVR3 en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Dans le Gestionnaire de serveur, dans le nud Serveur local, cliquez sur le nom gnr
alatoirement ct de Nom d'ordinateur.
3.
Dans la bote de dialogue Proprits systme, dans l'onglet Nom d'ordinateur,

cliquez sur Modifier.
4.
Dans la zone Nom d'ordinateur, tapez LON-SVR3, puis cliquez sur OK.
5.
Cliquez de nouveau sur OK, puis sur Fermer.
6.
Redmarrez l'ordinateur.
Tche 3 : Modifier la date et l'heure
1.
Connectez-vous au serveur LON-SVR3 en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Dans la barre des tches, cliquez sur l'affichage de l'heure, puis cliquez sur Modifier les paramtres
de la date et de l'heure.
3.
Cliquez sur Changer de fuseau horaire et dfinissez le fuseau horaire sur votre fuseau horaire actuel.
4.
Cliquez sur Changer la date et l'heure, et vrifiez que la date et heure qui s'affichent dans la bote
de dialogue Rglage de la date et de l'heure correspondent la date et l'heure dans la classe.
5.
Fermez la bote de dialogue Date et Heure.
Tche 4 : Configurer le rseau et l'association de cartes rseau

1.
Sur LON-SVR3, cliquez sur Serveur local, puis ct d'Association de cartes rseau,
cliquez sur Dsactiv.
2.
Maintenez enfonce la touche Ctrl puis, dans la zone CARTES ET INTERFACES,

cliquez sur Connexion au rseau local et sur Connexion au rseau local 2.
3.
nouvelle quipe.
4.
Entrez LON-SVR3 dans la zone Nom de l'quipe, cliquez sur OK, puis fermez la bote de dialogue
Association de cartes rseau. Actualisez le volet de la console.
5.
ct de LON-SVR3, cliquez sur Adresse IPv4 attribue par DHCP, Compatible IPv6.
6.
Dans la bote de dialogue Connexions rseau, cliquez avec le bouton droit sur LON-SVR3,
puis cliquez sur Proprits.
7.
Cliquez sur Protocole Internet version 4 (TCP/IPv4), puis cliquez sur Proprits.
8.
Entrez les informations d'adresse suivantes, puis cliquez sur OK :
9.
Adresse IP : 172.16.0.101
Masque de sous-rseau : 255.255.0.0
Passerelle par dfaut : 172.16.0.1
Serveur DNS prfr : 172.16.0.10
Fermez toutes les botes de dialogue.
Tche 5 : Ajouter le serveur au domaine

1.
Sur LON-SVR3, dans la console du Gestionnaire de serveur, cliquez sur Serveur local.
2.
ct de Groupe de travail, cliquez sur WORKGROUP.
3.
Dans l'onglet Nom d'ordinateur, cliquez sur Modifier.
4.
Cliquez sur l'option Domaine et dans la zone Domaine, entrez adatum.com.
5.
Entrez les dtails de compte suivants :

o
Nom d'utilisateur : Administrateur
1-47
6.
Dans la bote de dialogue Modification du nom ou du domaine de l'ordinateur, cliquez sur OK.
7.
Redmarrez l'ordinateur pour appliquer les modifications.
8.
Dans la bote de dialogue Proprits systme, cliquez sur Fermer.
9.
Aprs le redmarrage de LON-SVR3, connectez-vous en tant qu'ADATUM\Administrateur

avec le mot de passe Pa$$w0rd.
Rsultats : la fin de cet exercice, vous devez avoir dploy Windows Server 2012 sur LON-SVR3.
Vous devez galement avoir configur LON-SVR3, notamment le changement de nom, la date
et l'heure, la mise en rseau et l'association de cartes rseau.
Exercice 2 : Configuration de l'installation minimale

Scnario
La couche Web de l'application marketing est une application .NET. Pour rduire au maximum
l'encombrement du systme d'exploitation et rduire la ncessit d'appliquer des mises jour
logicielles, vous avez choisi d'hberger le composant IIS sur un ordinateur qui excute l'option
d'installation minimale du systme d'exploitation Windows Server 2012.
Pour permettre cela, vous devez configurer un ordinateur qui excute Windows Server 2012
avec l'option d'installation minimale.
1.
Dfinir le nom de l'ordinateur
2.
Changer la date et l'heure de l'ordinateur
3.
Configurer le rseau
4.
Ajouter le serveur au domaine
Tche 1 : Dfinir le nom de l'ordinateur

1.
Connectez-vous LON-CORE en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Sur LON-CORE, tapez sconfig.cmd.
3.
Cliquez sur l'option 2 pour slectionner Nom d'ordinateur.
4.
Dfinissez le nom de l'ordinateur sur LON-CORE.
5.
Dans la bote de dialogue Redmarrer, cliquez sur Oui pour redmarrer l'ordinateur.
6.
Une fois que l'ordinateur a redmarr, connectez-vous LON-CORE avec le compte Administrateur
et le mot de passe Pa$$w0rd.
7.
l'invite de commandes, tapez hostname et appuyez sur Entre pour vrifier le nom de l'ordinateur.
Tche 2 : Changer la date et l'heure de l'ordinateur

1.
Vrifiez que vous tes connect au serveur LON-CORE en tant qu'Administrateur avec le mot
de passe Pa$$w0rd.
2.
l'invite de commandes, tapez sconfig.cmd.
3.
Pour slectionner Date et Heure, tapez 9.
4.
Cliquez sur Changer de fuseau horaire, puis dfinissez le fuseau horaire sur celui que votre classe
utilise.
5.
Dans la bote de dialogue Date et Heure, cliquez sur Changer la date et l'heure et vrifiez
que la date et heure correspondent la date et l'heure l o vous vous trouvez.
6.
Quittez sconfig.cmd.
Tche 3 : Configurer le rseau

1.
Vrifiez que vous tes connect au serveur LON-CORE l'aide du compte Administrateur
et du mot de passe Pa$$w0rd.
2.
l'invite de commandes, tapez sconfig.cmd, puis appuyez sur Entre.
3.
Pour configurer les paramtres rseau, tapez 8.
4.
Tapez le numro de la carte rseau que vous souhaitez configurer.
5.
Tapez 1 pour dfinir l'adresse de la carte rseau.
6.
Cliquez sur configuration d'adresse IP statique, puis entrez l'adresse 172.16.0.111.
7.
l'invite Entrer un masque de sous-rseau, tapez 255.255.0.0.
8.
l'invite Entrez la passerelle par dfaut, tapez 172.16.0.1.
9.
Tapez 2 pour configurer l'adresse du serveur DNS.
10. Dfinissez le serveur DNS prfr sur 172.16.0.10.

11. Ne configurez pas d'adresse de serveur DNS auxiliaire.
12. Quittez sconfig.cmd.
13. Vrifiez la connexion rseau lon-dc1.adatum.com l'aide de l'outil PING.

1.
Vrifiez que vous tes connect au serveur LON-CORE l'aide du compte Administrateur et du mot
de passe Pa$$w0rd.
2.
l'invite de commandes, tapez sconfig.cmd et appuyez sur Entre.
3.
Tapez 1 pour configurer Domaine ou groupe de travail.
4.
Tapez D pour joindre un domaine.
5.
l'invite Nom du domaine joindre, tapez adatum.com.
6.
l'invite Spcifier un domaine\utilisateur autoris, tapez ADATUM\Administrateur.
7.
l'invite Tapez le mot de passe associ l'utilisateur du domaine, tapez Pa$$w0rd.
8.
l'invite, cliquez sur Non.
9.
Redmarrez le serveur.
10. Connectez-vous au serveur LON-CORE l'aide du compte ADATUM\Administrateur et du mot

de passe Pa$$w0rd.
1-49
Rsultats : la fin de cet exercice, vous devez avoir configur un dploiement avec installation minimale
de Windows Server 2012 et vrifi le nom du serveur.
Exercice 3 : Gestion des serveurs

Scnario
Aprs le dploiement des serveurs LON-SVR3 et LON-CORE pour hberger l'application marketing, vous
devez installer des rles et des fonctionnalits de serveur appropris pour prendre en charge l'application.
En gardant cela en tte, vous installerez la fonctionnalit Sauvegarde Windows Server sur LON-SVR3
et LON-CORE. Vous installerez le rle Serveur Web sur LON-CORE.
Vous devez galement configurer le service de publication World Wide Web sur LON-CORE.
1.
Crer un groupe de serveurs
2.
Dployer des fonctionnalits et des rles sur les deux serveurs
3.
Examiner les services et modifier un paramtre de service
Tche 1 : Crer un groupe de serveurs

1.
Connectez-vous LON-DC1 l'aide du compte Administrateur et du mot de passe Pa$$w0rd.
2.
Dans la console du Gestionnaire de serveur, cliquez sur Tableau de bord, puis cliquez sur Crer
un groupe de serveurs.
3.
Cliquez sur l'onglet Active Directory, puis sur Rechercher maintenant.
4.
Dans la zone Nom du groupe de serveurs, tapez LAB-1.
5.
Ajoutez LON-CORE et LON-SVR3 au groupe de serveurs.
6.
Cliquez sur LAB-1. Slectionnez LON-CORE et LON-SVR3.
7.
Faites dfiler la fentre vers le bas et, sous la section PERFORMANCES, slectionnez LON-CORE
et LON-SVR3.
8.
Cliquez avec le bouton droit sur LON-CORE, puis cliquez sur Accueil les compteurs
de performances.
Tche 2 : Dployer des fonctionnalits et des rles sur les deux serveurs
1.
Dans le Gestionnaire de serveur, sur LON-DC1, cliquez sur le groupe de serveurs LAB-1, cliquez
avec le bouton droit sur LON-CORE, puis cliquez sur Ajouter des rles et des fonctionnalits.
2.
Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez sur Suivant, sur Installation base
sur un rle ou une fonctionnalit, puis sur Suivant.
3.
Vrifiez que LON-CORE.Adatum.com est slectionn, puis cliquez sur Suivant.
4.
Slectionnez le rle serveur Rle Web Server (IIS).
5.
Slectionnez la fonctionnalit Sauvegarde Windows Server.
6.
Ajoutez le service de rle Authentification Windows, puis cliquez sur Suivant.
7.
Activez la case cocher Redmarrer automatiquement le serveur de destination, si ncessaire,

puis cliquez sur Installer.
8.
Cliquez sur Fermer.
9.
Cliquez avec le bouton droit sur LON-SVR3, cliquez sur Ajouter des rles et des fonctionnalits,
puis cliquez sur Suivant.
10. Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez sur Installation base sur un rle
ou une fonctionnalit, puis sur Suivant.
11. Vrifiez que LON-SVR3.Adatum.com est slectionn, puis cliquez sur Suivant deux reprises.
12. Cliquez sur Sauvegarde Windows Server, puis sur Suivant.
13. Activez la case cocher Redmarrer automatiquement le serveur de destination, si ncessaire,
cliquez sur Installer, puis sur Fermer.
14. Dans le Gestionnaire de serveur, cliquez sur le nud IIS et vrifiez que LON-CORE est rpertori.
Tche 3 : Examiner les services et modifier un paramtre de service

1.
Connectez-vous LON-CORE l'aide du compte ADATUM\Administrateur et du mot de passe

Pa$$w0rd.
2.
Dans la fentre d'invite de commandes, tapez la commande suivante :

netsh.exe firewall set service remoteadmin enable ALL
3.
Connectez-vous LON-DC1 avec le compte ADATUM\Administrateur.
4.
Dans le Gestionnaire de serveur, cliquez sur LAB-1, cliquez avec le bouton droit sur LON-CORE,
puis cliquez sur Gestion de l'ordinateur.
5.
Dveloppez Services et applications, puis cliquez sur Services.
6.
Vrifiez que le Type de dmarrage du Service de publication World Wide Web est dfini
sur Automatique.
7.
Vrifiez que le service est configur pour utiliser le compte systme local.
8.
Configurez les paramtres de rcupration de service suivants :
9.
Premire dfaillance : Redmarrer le service
Deuxime dfaillance : Redmarrer le service
Dfaillances suivantes : Redmarrer l'ordinateur.
Rinitialiser le compteur de dfaillances aprs : 1 jours
Rinitialiser le service aprs : 1 minute
Configurez l'option Redmarrer l'ordinateur sur 2 minutes, puis fermez la bote de dialogue
Proprits de services.
10. Fermez la console Gestion de l'ordinateur.
Rsultats : la fin de cet exercice, vous devez avoir cr un groupe de serveurs, dploy des rles
et des fonctionnalits, et configur les proprits d'un service.
Exercice 4 : Utilisation de Windows PowerShell pour grer les serveurs

Scnario
Le fournisseur de l'application marketing a indiqu qu'il peut fournir quelques scripts
Windows PowerShell pour configurer le serveur Web qui hberge l'application. Vous
devez vrifier que l'administration distance est oprationnelle avant d'excuter les scripts.
1-51
1.
Utiliser Windows PowerShell pour se connecter distance aux serveurs et afficher les informations
2.
Utiliser Windows PowerShell pour installer distance de nouvelles fonctionnalits
3.
Pour prparer le module suivant
Tche 1 : Utiliser Windows PowerShell pour se connecter distance aux serveurs

et afficher les informations
1.
Connectez-vous LON-DC1 l'aide du compte ADATUM\Administrateur et du mot de passe

Pa$$w0rd.
2.
Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur le groupe de serveurs LAB-1.
3.
Cliquez avec le bouton droit sur LON-CORE, puis cliquez sur Windows PowerShell.
4.
Tapez Import-Module ServerManager.
5.
Tapez Get-WindowsFeature et examinez les rles et les fonctionnalits.
6.
Utilisez la commande suivante pour examiner les services en cours d'excution sur LON-CORE :
Get-service | where-object {$_.status -eq Running}
7.
Tapez get-process pour afficher la liste des processus sur LON-CORE.
8.
Examinez les adresses IP attribues au serveur en tapant la commande suivante :

Get-NetIPAddress | Format-table
9.
Examinez les 10 lments les plus rcents dans le journal de scurit en tapant la commande
suivante :
Get-EventLog Security -Newest 10
10. Fermez Windows PowerShell.
Tche 2 : Utiliser Windows PowerShell pour installer distance

de nouvelles fonctionnalits
1.
Sur LON-DC1, dans la barre des tches, cliquez sur l'icne Windows PowerShell.
2.
Tapez import-module ServerManager.
3.
Tapez la commande suivante pour vrifier que la fonctionnalit Visionneuse XPS n'a pas t installe
sur LON-SVR3 :
Get-WindowsFeature -ComputerName LON-SVR3
4.
Pour dployer la fonctionnalit Visionneuse XPS sur LON-SVR3, tapez la commande suivante
et appuyez sur Entre :
Install-WindowsFeature XPS-Viewer -ComputerName LON-SVR3
5.
Tapez la commande suivante pour vrifier que la fonctionnalit Visionneuse XPS est a prsent
dploye sur LON-SVR3 :
6.
Dans la console du Gestionnaire de serveur, dans le menu droulant Outils, cliquez

sur Windows PowerShell ISE.
7.
Dans le volet de script Untitled1.ps1, tapez ce qui suit :

Import-Module ServerManager
Install-WindowsFeature WINS -ComputerName LON-SVR3
Install-WindowsFeature WINS -ComputerName LON-CORE
8.
Enregistrez le script sous le nom InstallWins.ps1 dans un nouveau dossier nomm Scripts.
9.
Appuyez sur la touche F5 pour excuter InstallWins.ps1.
Rsultats : la fin de cet exercice, vous devez avoir utilis Windows PowerShell pour effectuer une
installation distance des fonctionnalits sur plusieurs serveurs.

Une fois l'atelier pratique termin, rtablissez l'tat initial des ordinateurs virtuels. Pour ce faire,
1.
Sur l'ordinateur hte, basculez vers la console du Gestionnaire Hyper-V.
2.
Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-DC1,
puis cliquez sur Rtablir.
3.
Dans la bote de dialogue Rtablir l'ordinateur virtuel, cliquez sur Rtablir.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-CORE et 22410B-LON-SVR3.

Questions de contrle des acquis
Question : Quel est l'avantage d'utiliser Windows PowerShell pour automatiser des tches
courantes ?
Question : Quels sont les avantages d'un dploiement avec installation minimale par rapport
au dploiement complet de l'interface graphique utilisateur ?
Question : Quel outil permet de dterminer quelles applets de commande sont contenues
dans un module Windows PowerShell ?
Question : Quel rle pouvez-vous utiliser pour grer KMS ?
Problmes courants et conseils relatifs la rsolution des problmes

Problme courant
chec des connexions WinRM.
Applets de commande Windows PowerShell

non disponibles.
Impossible d'installer les fonctionnalits

d'interface graphique utilisateur sur les
dploiements avec installation minimale.
Impossible de redmarrer un ordinateur

excutant une installation minimale.
Impossible de joindre le domaine.
Conseil relatif la rsolution des problmes
1-53

2-1
Module 2
Prsentation des services de domaine Active Directory
Table des matires :
2-1
Leon 1 : Vue d'ensemble d'AD DS
2-2
Leon 2 : Vue d'ensemble des contrleurs de domaine
2-9
Leon 3 : Installation d'un contrleur de domaine
2-16
2-22
2-26
Les services de domaine Active Directory (AD DS) et les services associs constituent une base pour les
rseaux d'entreprise qui excutent des systmes d'exploitation Windows. La base de donnes AD DS
est le magasin central de tous les objets de domaine, tels que les comptes d'utilisateur, les comptes
d'ordinateur et les groupes. AD DS fournit un rpertoire hirarchis interrogeable et une mthode
pour l'application de la configuration et des paramtres de scurit aux objets de l'entreprise. Ce module
traite de la structure d'AD DS et de ses divers composants, tels qu'une fort, un domaine et des units
d'organisation (OU).
Le processus d'installation d'AD DS sur un serveur est affin et amlior avec Windows Server 2012.
Ce module examine certains des choix proposs avec Windows Server 2012 pour l'installation d'AD DS
sur un serveur.
Objectifs
dcrire la structure d'AD DS ;
dcrire la fonction des contrleurs de domaine ;
expliquer comment installer un contrleur de domaine.
Leon 1
Vue d'ensemble d'AD DS
2-2
La base de donnes AD DS stocke des informations sur l'identit de l'utilisateur, les ordinateurs, les
groupes, les services et les ressources. Les contrleurs de domaine AD DS hbergent galement le service
qui authentifie les comptes d'utilisateur et d'ordinateur quand ils se connectent au domaine. Comme
AD DS stocke des informations sur tous les objets inclus dans le domaine et que tous les utilisateurs et
ordinateurs doivent se connecter aux contrleurs de domaine AD DS lorsqu'ils se connectent au rseau,
AD DS constitue le principal moyen vous permettant de configurer et grer les comptes d'utilisateur
et d'ordinateur dans votre rseau.
Cette leon couvre les composants logiques de base qui composent un dploiement d'AD DS.
dcrire les composants AD DS ;
dcrire les domaines AD DS ;
dcrire les units d'organisation et leur fonction ;
dcrire les forts et arborescences AD DS et expliquer comment vous pouvez les dployer
dans un rseau ;
expliquer comment un schma AD DS fournit un ensemble de rgles qui grent les objets
et les attributs qui sont stocks dans la base de donnes AD DS.
Vue d'ensemble d'AD DS

AD DS se compose la fois de composants
physiques et logiques. Vous devez comprendre
la manire dont les composants d'AD DS
fonctionnent ensemble de faon pouvoir grer
efficacement votre rseau et contrler quelles
ressources vos utilisateurs peuvent accder.
En outre, vous pouvez utiliser de nombreuses
autres options AD DS, y compris l'installation et
la configuration du logiciel et des mises jour, la
gestion de l'infrastructure de scurit, l'activation
de l'accs distance et de DirectAccess, ainsi que
la gestion des certificats.
Une des fonctionnalits d'AD DS est la fonctionnalit Stratgie de groupe qui permet de configurer
des stratgies centralises que vous pouvez utiliser pour grer la plupart des objets dans AD DS.
La comprhension des divers composants AD DS est importante pour pouvoir utiliser correctement
la fonctionnalit Stratgie de groupe.
Composants physiques
Les informations relatives AD DS sont stockes dans un fichier unique sur le disque dur de chaque
contrleur de domaine. Le tableau suivant rpertorie quelques composants physiques et o ils sont
stocks.
Composant physique
Description
Contrleurs
de domaine
Contiennent des copies de la base de donnes AD DS.
Magasin de donnes
Fichier sur chaque contrleur de domaine qui stocke les informations

AD DS.
Serveurs de
catalogue global
Hbergent le catalogue global, lequel est une copie partielle, en lecture

seule, de tous les objets dans la fort. Un catalogue global acclre les
recherches d'objets susceptibles d'tre stocks sur des contrleurs de
domaine d'un domaine diffrent de la fort.
Contrleurs de
domaine en lecture
seule (RODC)
Installation spciale d'AD DS dans une forme en lecture seule. Elle est
souvent utilise dans les filiales o la scurit et l'assistance informatique
sont souvent moins avances que dans les centres d'affaires principaux.
Composants logiques
Les composants logiques AD DS sont des structures utilises pour l'implmentation d'une conception
Active Directory approprie une organisation. Le tableau suivant dcrit certains types de structures
logiques qu'une base de donnes Active Directory peut contenir.
Composant logique
Description
Partition
Une section de la base de donnes AD DS. Bien que la base de donnes

soit un seul fichier nomm NTDS.DIT, elle est affiche, gre et rplique
comme si elle tait compose de sections ou d'instances distinctes.
Celles-ci sont appeles partitions ou encore contextes d'appellation.
Schma
Dfinit la liste des types d'objets et d'attributs que tous les objets dans
AD DS peuvent avoir.
Domaine
Limite d'administration logique pour les utilisateurs et les ordinateurs.
Arborescence de
domaine
Collection des domaines qui partagent un domaine racine commun

et un espace de noms DNS (Domain Name System).
Fort
Collection des domaines qui partagent un service AD DS commun.
Site
Collection d'utilisateurs, de groupes et d'ordinateurs, tels qu'ils sont

dfinis par leurs emplacements physiques. Les sites sont utiles dans
des tches d'administration de la planification telles que la rplication
des modifications apportes la base de donnes AD DS.
Unit d'organisation
Les units d'organisation (OU) sont des conteneurs dans AD DS qui

fournissent une infrastructure pour dlguer des droits d'administration
et pour lier des objets de stratgie de groupe (GPO).
Documentation supplmentaire : Pour plus d'informations sur les domaines et les forts,
voir Domains and Forests Technical Reference (Guide de rfrence technique Domaines et forts)
l'adresse http://go.microsoft.com/fwlink/?LinkId=104447.
2-3
Que sont les domaines AD DS ?

Un domaine AD DS est un regroupement logique
d'objets utilisateur, ordinateur et groupe, effectu
pour des raisons de gestion et de scurit.
Tous ces objets sont enregistrs dans la base
de donnes AD DS et une copie de cette base
de donne est enregistre sur chaque contrleur
de domaine dans le domaine AD DS.
Plusieurs types d'objets peuvent tre stocks dans
la base de donnes AD DS, y compris des comptes
d'utilisateur. Les comptes d'utilisateur fournissent
un mcanisme que vous pouvez utiliser pour
authentifier puis autoriser des utilisateurs
accder des ressources sur le rseau. Chaque ordinateur joint un domaine doit avoir un compte
dans AD DS. Ceci permet aux administrateurs de domaine d'utiliser les stratgies qui sont dfinies dans
le domaine pour grer les ordinateurs. Le domaine stocke galement des groupes, qui reprsentent le
mcanisme de regroupement d'objets pour des raisons administratives ou de scurit (par exemple,
des comptes d'utilisateur et des comptes d'ordinateur).
Le domaine AD DS est galement une limite de rplication. Quand des changements sont apports
n'importe quel objet du domaine, ces changements sont rpliqus automatiquement sur tous les
autres contrleurs de domaine du domaine.
Un domaine AD DS est un centre d'administration. Il contient un compte Administrateur et un groupe
Administrateurs du domaine ; chacun a le contrle total sur chaque objet du domaine. moins qu'ils
ne soient dans le domaine racine de la fort, leur plage de contrle est toutefois limite au domaine.
Des rgles de mot de passe et de compte sont gres au niveau du domaine par dfaut. Le domaine
AD DS fournit un centre d'authentification. Tous les comptes d'utilisateur et comptes d'ordinateur
dans le domaine sont stocks dans la base de donnes du domaine, et les utilisateurs et les
ordinateurs doivent se connecter un contrleur de domaine pour s'authentifier.
Un domaine individuel peut contenir plus de 1 million d'objets, si bien que la plupart des organisations
ont besoin de dployer un seul domaine. Les organisations qui ont des structures administratives
dcentralises, ou qui sont distribues entre plusieurs emplacements, peuvent implmenter plusieurs
domaines dans la mme fort.
2-4
Que sont les units d'organisation ?

Une unit d'organisation (OU) est un objet
conteneur dans un domaine, que vous pouvez
utiliser pour consolider des utilisateurs, des
groupes, des ordinateurs et d'autres objets.
Vous pouvez crer des units d'organisation
pour deux raisons :
2-5
Pour configurer des objets contenus dans

l'unit d'organisation. Vous pouvez attribuer
des objets GPO l'unit d'organisation, et les
paramtres s'appliquent tous les objets dans
l'unit d'organisation. Les objets GPO sont
des stratgies que les administrateurs crent
pour grer et configurer les comptes d'ordinateur et d'utilisateur. La manire la plus courante de
dployer ces stratgies est de les lier aux units d'organisation.
Pour dlguer le contrle administratif d'objets prsents dans l'unit d'organisation. Vous pouvez
attribuer des autorisations de gestion sur une unit d'organisation, dlguant de ce fait le contrle
de cette unit d'organisation un utilisateur ou un groupe dans AD DS autre que l'administrateur.
Vous pouvez utiliser des units d'organisation pour reprsenter les structures hirarchiques et logiques
au sein de votre organisation. Par exemple, vous pouvez crer des units d'organisation qui reprsentent
les diffrents services de votre organisation, les rgions gographiques de votre organisation ou une
combinaison des services et des rgions gographiques. Vous pouvez utiliser des units d'organisation
pour grer la configuration et l'utilisation des comptes d'utilisateur, de groupe et d'ordinateur en fonction
de votre modle d'organisation.
Chaque domaine AD DS contient un ensemble standard de conteneurs et d'units d'organisation
qui sont crs quand vous installez AD DS, dont notamment :
Conteneur du domaine. Sert de conteneur racine la hirarchie.
Conteneur Builtin. Stocke plusieurs groupes par dfaut.
Conteneur Utilisateurs. Emplacement par dfaut pour les nouveaux comptes d'utilisateur et groupes
que vous crez dans le domaine. Le conteneur Utilisateurs contient galement les comptes
d'administrateur et d'invit du domaine, et quelques groupes par dfaut.
Conteneur Ordinateurs. Emplacement par dfaut pour les nouveaux comptes d'ordinateur que vous
crez dans le domaine.
Unit d'organisation Contrleurs de domaine. Emplacement par dfaut des comptes d'ordinateur
pour les comptes d'ordinateur du contrleur de domaine. Il s'agit de la seule unit d'organisation
prsente dans une nouvelle installation d'AD DS.
Remarque : Aucun des conteneurs par dfaut dans le domaine AD DS ne peut avoir
d'objets GPO lis lui, l'exception de l'unit d'organisation Contrleurs de domaine par dfaut
et du domaine lui-mme. Tous les autres conteneurs sont de simples dossiers. Pour lier des objets
GPO afin d'appliquer des configurations et des restrictions, crez une hirarchie des units
d'organisation, puis liez-leur les objets GPO.
Conception d'une hirarchie
2-6
La conception d'une hirarchie d'units d'organisation est dicte par les besoins administratifs de
l'organisation. Cette conception peut reposer sur des classifications gographiques, fonctionnelles, de
ressources ou d'utilisateurs. Quel que soit l'ordre, la hirarchie doit permettre d'administrer les ressources
AD DS d'une faon aussi souple et efficace que possible. Par exemple, si tous les ordinateurs utiliss par
les administrateurs informatiques doivent tre configurs d'une certaine faon, vous pouvez regrouper
tous les ordinateurs dans une unit d'organisation, puis attribuer un objet GPO pour les grer. Pour
simplifier l'administration, vous pouvez galement crer des units d'organisation dans d'autres units
d'organisation.
Par exemple, votre organisation peut disposer de plusieurs bureaux, et chaque bureau peut avoir un
ensemble d'administrateurs chargs de grer les comptes d'utilisateur et d'ordinateur du bureau. De
plus, chaque bureau peut avoir des services diffrents avec des exigences diffrentes de configuration
des ordinateurs. Dans ce cas, vous pouvez crer une unit d'organisation pour ce bureau permettant
de dlguer l'administration, puis crer une unit d'organisation de service dans l'unit d'organisation
Bureau pour attribuer les configurations des postes de travail.
Bien qu'il n'y ait aucune limite technique au nombre de niveaux dans votre structure d'unit
d'organisation, afin de faciliter la gestion, limitez votre structure d'unit d'organisation une profondeur
maximale de 10 niveaux. La plupart des organisations utilisent cinq niveaux ou moins pour simplifier
l'administration. Notez que les applications prenant en charge Active Directory peuvent avoir des
restrictions quant la profondeur des units d'organisation dans la hirarchie. Ces applications peuvent
galement avoir des restrictions sur le nombre de caractres pouvant tre utiliss dans le nom unique,
qui constitue le chemin d'accs LDAP (Lightweight Directory Access Protocol) complet de l'objet dans
le rpertoire.
Qu'est-ce qu'une fort AD DS ?

Une fort est une collection d'une ou plusieurs
arborescences de domaines. Une fort est une
collection d'un ou de plusieurs domaines.
Le premier domaine qui est cr dans la fort est
appel le domaine racine de la fort. Le domaine
racine de la fort contient quelques objets qui
n'existent pas dans d'autres domaines de la fort.
Par exemple, le domaine racine de la fort
contient deux rles de contrleur de domaine
spciaux, le contrleur de schma et le matre
d'oprations des noms de domaine. En outre,
le groupe Administrateurs de l'entreprise et le
groupe Administrateurs du schma existent seulement dans le domaine racine de la fort. Le groupe
Administrateurs de l'entreprise a le contrle total sur chaque domaine de la fort.
La fort AD DS est une limite de scurit. Ceci signifie que, par dfaut, aucun utilisateur provenant
de l'extrieur de la fort ne peut accder une ressource situe l'intrieur de la fort. Cela signifie
galement que des administrateurs provenant de l'extrieur de la fort n'ont aucun accs d'administration
l'intrieur de la fort. Une des raisons principales pour lesquelles une organisation peut dployer
plusieurs forts est qu'elle doit isoler les autorisations administratives entre ses diffrentes parties.
2-7
La fort AD DS est galement la limite de rplication pour les partitions de configuration et de schma
dans la base de donnes AD DS. Ceci signifie que tous les contrleurs de domaine de la fort doivent
partager le mme schma. Une deuxime raison pour laquelle une organisation peut dployer plusieurs
forts est qu'elle doit dployer des schmas incompatibles dans deux de ses parties.
La fort AD DS est galement la limite de rplication du catalogue global. Ceci facilite la plupart
des formulaires de collaboration entre les utilisateurs de diffrents domaines. Par exemple, tous les
destinataires Microsoft Exchange Server 2010 sont rpertoris dans le catalogue global, ce qui facilite
l'envoi de courrier lectronique aux utilisateurs de la fort, mme aux utilisateurs figurant dans des
domaines diffrents.
Par dfaut, tous les domaines d'une fort approuvent automatiquement les autres domaines de la
fort. Ceci facilite l'activation de l'accs des ressources telles que des partages de fichiers et des sites
Web pour tous les utilisateurs dans une fort, indpendamment du domaine dans lequel le compte
d'utilisateur est situ.
Qu'est-ce que le schma AD DS ?

Le schma AD DS est le composant AD DS
qui dfinit tous les types d'objet et attributs
qu'AD DS utilise pour stocker des donnes. Il est
parfois dsign en tant que modle pour AD DS.
AD DS stocke et rcupre les informations d'une
grande varit d'applications et de services.
Le service AD DS normalise la manire dont les
donnes sont stockes dans l'annuaire AD DS
afin qu'il puisse stocker et rpliquer des donnes
partir de ces diverses sources. En normalisant la
manire dont les donnes sont stockes, AD DS
peut rcuprer, mettre jour et rpliquer des
donnes, tout en vrifiant que l'intgrit des donnes est maintenue.
AD DS utilise des objets comme units de stockage. Tous les types d'objet sont dfinis dans le schma.
Chaque fois que l'annuaire traite des donnes, il interroge le schma pour obtenir une dfinition d'objet
approprie. Selon la dfinition de l'objet dans le schma, l'annuaire cre l'objet et stocke les donnes.
Les dfinitions d'objet contrlent les types de donnes que les objets peuvent stocker et la syntaxe des
donnes. En utilisant ces informations, le schma garantit que tous les objets sont conformes leurs
dfinitions standard. En consquence, le service AD DS peut stocker, rcuprer et valider les donnes
qu'il gre, indpendamment de l'application constituant la source originale des donnes. Seules des
donnes ayant une dfinition d'objet existante dans le schma peuvent tre stockes dans l'annuaire.
Si un nouveau type de donnes doit tre stock, une nouvelle dfinition d'objet pour ces donnes
doit d'abord tre cre dans le schma.
Dans AD DS, le schma dfinit les lments suivants :
les objets qui sont utiliss pour stocker des donnes dans l'annuaire ;
les rgles qui dfinissent quels types d'objet vous pouvez crer, quels attributs doivent
tre dfinis (obligatoire) quand vous crez l'objet et quels attributs sont facultatifs ;
la structure et le contenu de l'annuaire lui-mme.
2-8
Vous pouvez utiliser un compte qui est un membre des administrateurs de schma pour modifier les
composants de schma sous forme de graphique. Les exemples des objets qui sont dfinis dans le schma
comprennent l'utilisateur, l'ordinateur, le groupe et le site. Parmi les nombreux attributs sont compris
les suivants : location, accountExpires, buildingName, company, manager et displayName.
Le contrleur de schma est l'un des contrleurs de domaine des oprations matre unique dans AD DS.
Puisque c'est un matre unique, vous devez apporter des modifications au schma en ciblant le contrleur
de domaine qui dtient le rle des oprations du contrleur de schma.
Le schma est rpliqu sur tous les contrleurs de domaine de la fort. Tout changement qui est apport
au schma est rpliqu sur chaque contrleur de domaine de la fort partir du titulaire du rle
du matre d'oprations de schma, en gnral le premier contrleur de domaine de la fort.
Puisque le schma dicte la manire dont les informations sont stockes et puisque toute modification
apporte au schma affecte chaque contrleur de domaine, les modifications apportes au schma
doivent tre ralises seulement si cela est ncessaire. Avant d'apporter des modifications, vous devez
examiner les modifications par le biais d'un processus bien contrl, puis les implmenter seulement
aprs avoir ralis l'essai pour vrifier que les modifications ne compromettront pas le reste de la fort
ni aucune application qui utilise AD DS.
Bien que vous ne puissiez pas apporter de modification au schma directement, quelques applications
apportent des modifications au schma pour prendre en charge des fonctionnalits supplmentaires. Par
exemple, quand vous installez Exchange Server 2010 dans votre fort AD DS, le programme d'installation
tend le schma pour prendre en charge de nouveaux types d'objet et attributs.
Leon 2
Vue d'ensemble des contrleurs de domaine

Puisque les contrleurs de domaine authentifient tous les utilisateurs et ordinateurs dans le domaine,
le dploiement des contrleurs de domaine est essentiel au fonctionnement correct du rseau.
2-9
Cette leon porte sur les contrleurs de domaine, le processus de connexion et l'importance du serveur
DNS dans ce processus. En outre, cette leon prsente la fonction du catalogue global.
Tous les contrleurs de domaine sont essentiellement les mmes, deux exceptions prs. Les contrleurs
de domaine en lecture seule contiennent une copie en lecture seule de la base de donnes AD DS, alors
que les autres contrleurs de domaine ont une copie en lecture-criture. Il existe galement certaines
oprations qui peuvent tre excutes uniquement sur des contrleurs de domaine spcifiques appels
matres d'oprations, lesquels sont prsents la fin de cette leon.
dcrire la fonction des contrleurs de domaine ;
dfinir la fonction du catalogue global ;
dcrire le processus d'ouverture de session AD DS et l'importance des enregistrements

DNS et SRV dans le processus d'ouverture de session ;
dcrire les fonctionnalits des enregistrements SRV ;
expliquer les fonctions des matres d'oprations.
Qu'est-ce qu'un contrleur de domaine ?

Un contrleur de domaine est un serveur configur
pour stocker une copie de la base de donnes
d'annuaire AD DS (NTDS.DIT) et une copie
du dossier SYSVOL. Tous les contrleurs de
domaine, l'exception des contrleurs de
domaine en lecture seule, stockent une copie
en lecture/criture de NTDS.DIT et du dossier
SYSVOL. NTDS.DIT est la base de donnes
elle-mme et le dossier SYSVOL contient tous
les paramtres de modle des objets GPO.
Il est possible d'initier des modifications de la base
de donnes AD DS sur n'importe quel contrleur
de domaine d'un domaine, l'exception des contrleurs de domaine en lecture seule. Le service de
rplication AD DS synchronise alors les modifications et les mises jour de la base de donnes AD DS
sur tous les autres contrleurs de domaine du domaine. Les dossiers SYSVOL sont rpliqus par le
service de rplication de fichiers (FRS) ou par la rplication DFS (Distributed File System) plus rcente.
Les contrleurs de domaine hbergent plusieurs autres services lis Active Directory, y compris le
service d'authentification Kerberos, qui est utilis par les comptes d'utilisateur et d'ordinateur pour
l'authentification des connexions, et le centre de distribution de cls (KDC). Le centre de distribution
de cls est le service qui met le ticket TGT (Ticket-Granting Ticket) pour un compte qui se connecte
au domaine AD DS. Vous pouvez ventuellement configurer des contrleurs de domaine pour qu'ils
hbergent une copie du catalogue global Active Directory.
Un domaine AD DS doit toujours avoir un minimum de deux contrleurs de domaine. De cette faon,
si l'un des contrleurs de domaine connat une dfaillance, une instance de secours permet de garantir
la continuit des services de domaine AD DS. Quand vous dcidez d'ajouter plus de deux contrleurs
de domaine, considrez la taille de votre organisation et les exigences en matire de performances.
Remarque : Deux contrleurs de domaine doivent tre considrs comme un minimum
absolu.
Lorsque vous dployez un contrleur de domaine dans une filiale o la scurit physique n'est pas
optimale, certaines mesures supplmentaires peuvent tre utilises pour rduire l'impact d'une
brche de scurit. Une option consiste dployer un contrleur de domaine en lecture seule.
2-10 Prsentation des services de domaine Active Directory
Le contrleur de domaine en lecture seule contient une copie en lecture seule de la base de donnes
AD DS et, par dfaut, il ne met en cache aucun mot de passe d'utilisateur. Vous pouvez configurer le
contrleur de domaine en lecture seule pour mettre en cache les mots de passe pour les utilisateurs dans
la filiale. Si un contrleur de domaine en lecture seule est compromis, la perte d'informations potentielle
est nettement infrieure ce qu'elle serait avec un contrleur de domaine en lecture-criture complet.
Une autre option consiste utiliser le chiffrement de lecteur Windows BitLocker pour chiffrer le disque
dur du contrleur de domaine. Si le disque dur est vol, le chiffrement BitLocker garantit une trs faible
ventualit qu'un utilisateur malveillant parvienne obtenir des informations utiles du disque dur.
Remarque : BitLocker est un systme de chiffrement de lecteur disponible pour les
systmes d'exploitation Windows Server, ainsi que pour certaines versions clientes du systme
d'exploitation Windows. BitLocker chiffre de manire scurise le systme d'exploitation
entier de sorte que l'ordinateur ne puisse pas dmarrer sans qu'il lui soit fourni une cl
prive et (ventuellement) qu'il russisse un contrle d'intgrit. Un disque reste chiffr
mme si vous le transfrez sur un autre ordinateur.
Qu'est-ce que le catalogue global ?
2-11
Dans un mme domaine, la base de donnes

AD DS contient toutes les informations sur chaque
objet prsent dans ce domaine. Ces informations
ne sont pas rpliques en dehors du domaine. Par
exemple, une requte pour un objet dans AD DS
est dirige vers l'un des contrleurs de domaine
pour ce domaine. Si la fort contient plusieurs
domaines, cette requte ne fournit aucun rsultat
pour des objets figurant dans un autre domaine.
Pour permettre une recherche sur plusieurs
domaines, vous pouvez configurer un ou plusieurs
contrleurs de domaine pour stocker une copie
du catalogue global. Le catalogue global est une base de donnes distribue qui contient une
reprsentation pouvant faire l'objet d'une recherche de tous les objets issus de tous les domaines d'une
fort de plusieurs domaines. Par dfaut, le seul serveur de catalogue global qui est cr est le premier
contrleur de domaine dans le domaine racine de la fort.
Le catalogue global ne contient pas tous les attributs pour chaque objet. Au lieu de cela, le catalogue
global conserve le sous-ensemble des attributs qui sont le plus susceptibles d'tre utiles dans les
recherches inter-domaines. Ces attributs peuvent inclure firstname, displayname et location. Il existe
de nombreuses raisons pour lesquelles vous pouvez effectuer une recherche dans un catalogue global
plutt que sur un contrleur de domaine qui n'est pas un catalogue global. Par exemple, quand un
serveur Exchange reoit un courrier lectronique entrant, il doit rechercher le compte du destinataire
afin de pouvoir dcider comment router le message. En interrogeant automatiquement un catalogue
global, le serveur Exchange peut localiser le destinataire dans un environnement plusieurs domaines.
Lorsqu'un utilisateur se connecte son compte Active Directory, le contrleur de domaine qui effectue
l'authentification doit entrer en contact avec un catalogue global pour vrifier l'appartenance aux
groupes universels avant d'authentifier l'utilisateur.
Dans un domaine unique, tous les contrleurs de domaine doivent tre configurs comme dtenteurs
du catalogue global. Toutefois, dans un environnement plusieurs domaines, le matre d'infrastructure
ne doit pas tre un serveur de catalogue global. Quels contrleurs de domaine sont configurs pour
dtenir une copie du catalogue global dpend du trafic de rplication et de la bande passante rseau.
De nombreuses organisations choisissent de configurer chaque contrleur de domaine comme serveur
de catalogue global.
Question : Un contrleur de domaine doit-il tre un catalogue global ?
Processus de connexion AD DS
Lorsque vous ouvrez une session AD DS, votre
systme examine le service DNS pour trouver
des enregistrements de ressource de service (SRV)
permettant de localiser le contrleur de domaine
appropri le plus proche. Les enregistrements
SRV sont des enregistrements qui spcifient des
informations sur les services disponibles et qui
sont enregistrs dans DNS par tous les contrleurs
de domaine. l'aide des recherches DNS, les
clients peuvent localiser un contrleur de
domaine appropri pour traiter leurs demandes
d'ouverture de session.
Si l'ouverture de session a russi, l'autorit de scurit locale (LSA) cre un jeton d'accs pour l'utilisateur,
qui contient les identificateurs de scurit (SID) pour l'utilisateur et tous les groupes dont l'utilisateur
est membre. Le jeton fournit les informations d'identification d'accs pour tout processus initi
par l'utilisateur. Par exemple, aprs avoir ouvert une session AD DS, un utilisateur excute
Microsoft Office Word et tente d'ouvrir un fichier. Office Word utilise les informations d'identification
figurant dans le jeton d'accs de l'utilisateur pour vrifier le niveau des autorisations de l'utilisateur
pour ce fichier.
Remarque : Un SID est un numro unique prsentant la forme suivante :
S-1-5-21-4130086281-3752200129-271587809-500, o :
les quatre premiers blocs de lettres et de chiffres (S-1-5-21) reprsentent le type d'identificateur ;
les trois blocs de chiffres suivants (4130086281-3752200129-271587809) correspondent au numro

de la base de donnes o le compte est stock (habituellement le domaine AD DS) ;
la dernire section (500) est l'identificateur relatif (RID), lequel correspond la partie de
l'identificateur SID qui identifie de manire unique ce compte dans la base de donnes.
Chaque compte d'utilisateur et d'ordinateur et chaque groupe que vous crez ont un SID unique.
Ils diffrent les uns des autres uniquement en vertu de identificateur RID unique. Vous pouvez
constater que cet identificateur SID particulier est le SID du compte administrateur, car il se
termine par un identificateur RID gal 500.
Sites
Les sites sont utiliss par un systme client quand il doit entrer en contact avec un contrleur de
domaine. Il commence par rechercher des enregistrements SRV dans DNS. Le systme client essaie
ensuite de se connecter un contrleur de domaine situ dans le mme site avant d'essayer ailleurs.
2-13
Les administrateurs peuvent dfinir des sites dans AD DS. Les sites s'alignent habituellement sur les parties
du rseau qui disposent d'une connectivit et d'une bande passante satisfaisantes. Par exemple, si une
filiale est connecte au centre de donnes principal par une liaison WAN peu fiable, il est prfrable
de dfinir le centre de donnes et la filiale en tant que sites distincts dans AD DS.
Les enregistrements SRV sont inscrits dans DNS par le service Net Logon qui s'excute sur chaque
contrleur de domaine. Si les enregistrements SRV ne sont pas entrs correctement dans DNS, vous
pouvez imposer au contrleur de domaine de rinscrire ces enregistrements en redmarrant le service
Net Logon sur ce contrleur de domaine. Ce processus rinscrit uniquement les enregistrements SRV.
Si vous souhaitez rinscrire les informations sur les enregistrements d'hte (A) dans DNS, vous devez
excuter ipconfig /registerdns dans une invite de commandes, comme vous le feriez pour tout autre
ordinateur.
Bien que le processus d'ouverture de session apparaisse l'utilisateur comme un vnement unique,
il comporte en fait deux parties :
L'utilisateur fournit des informations d'identification, habituellement un nom de compte d'utilisateur

et un mot de passe, qui sont ensuite vrifies dans la base de donnes AD DS. Si le nom du compte
d'utilisateur et le mot de passe correspondent aux informations stockes dans la base de donnes
AD DS, l'utilisateur devient un utilisateur authentifi et un ticket TGT lui est remis par le contrleur
de domaine. ce stade, l'utilisateur n'a encore accs aucune ressource dans le rseau.
Un processus secondaire en arrire-plan soumet le ticket TGT au contrleur de domaine et demande

l'accs l'ordinateur local. Le contrleur de domaine remet un ticket de service l'utilisateur, lequel
est alors en mesure d'interagir avec l'ordinateur local. ce stade du processus, l'utilisateur est
authentifi auprs d'AD DS et connect l'ordinateur local.
Quand un utilisateur essaie ultrieurement de se connecter un autre ordinateur du rseau, le processus

secondaire est excut de nouveau et le ticket TGT est soumis au contrleur de domaine le plus proche.
Lorsque le contrleur de domaine retourne un ticket de service, l'utilisateur peut accder l'ordinateur
sur le rseau, lequel gnre un vnement de connexion cet ordinateur.
Remarque : Un ordinateur joint un domaine ouvre galement une session AD DS lorsqu'il
dmarre, ce qui est souvent nglig. Vous ne voyez pas la transaction quand l'ordinateur utilise
le nom de son compte d'ordinateur et un mot de passe pour ouvrir une session AD DS. Une
fois authentifi, l'ordinateur devient membre du groupe Utilisateurs authentifis. Bien que le
processus de connexion un ordinateur n'ait aucune confirmation visuelle sous forme d'interface
graphique utilisateur, des vnements consigns enregistrent cette activit. En outre, si l'audit
est activ, des vnements supplmentaires sont visualisables dans le journal de scurit
de l'Observateur d'vnements.
Dmonstration : Affichage des enregistrements SRV dans DNS

Cette dmonstration vous montre comment afficher les divers types d'enregistrements SRV que les
contrleurs de domaine inscrivent dans DNS. Ces enregistrements sont cruciaux pour l'oprabilit
d'AD DS, parce qu'ils permettent de rechercher des contrleurs de domaine pour les ouvertures de
sessions, les changements de mot de passe et la modification des objets GPO. Les enregistrements SRV
sont galement utiliss par les contrleurs de domaine pour rechercher des partenaires de rplication.
Afficher les enregistrements SRV l'aide du Gestionnaire DNS
1.
Ouvrez la fentre Gestionnaire DNS et explorez les domaines DNS avec trait de soulignement.
2.
Consultez les enregistrements SRV inscrits par les contrleurs de domaine. Ces enregistrements
fournissent des chemin d'accs de substitution pour que les clients puissent les dcouvrir.
Que sont les matres d'oprations ?

Bien que tous les contrleurs de domaine soient
essentiellement gaux, certaines tches peuvent
tre effectues uniquement en ciblant un
contrleur de domaine particulier. Par exemple,
si vous devez ajouter un domaine supplmentaire
la fort, vous devez tre en mesure de vous
connecter au matre d'oprations des noms
de domaine. Les contrleurs de domaine
dots de ces rles sont :
les matres d'oprations ;
les rles de matre unique ;
les oprations matre unique flottant (FSMO).
Ces rles sont distribus comme suit :
Chaque fort possde un contrleur de schma et un matre d'oprations des noms de domaine.
Chaque domaine AD DS possde un matre RID, un matre d'infrastructure et un mulateur

de contrleur de domaine principal (PDC).
Matres d'oprations de fort

Les rles suivants sont les rles de matre unique prsents dans une fort :
Matre d'attribution de noms de domaine. Il s'agit du contrleur de domaine qui doit tre contact
lorsque vous ajoutez ou supprimez un domaine, ou lorsque vous apportez des modifications de
nom des domaines.
Contrleur de schma. Il s'agit du contrleur de domaine sur lequel toutes les modifications
de schma sont effectues. Pour effectuer des modifications, vous pouvez en gnral vous
connecter au contrleur de schma en tant que membre des groupes Administrateurs du schma
et Administrateurs de l'entreprise. Un utilisateur qui est un membre de ces deux groupes et qui
dispose des autorisations appropries peut galement modifier le schma l'aide d'un script.
Matres d'oprations de domaine

Les rles suivants sont les rles de matre unique prsents dans un domaine :
2-15
Matre RID. Chaque fois qu'un objet est cr dans AD DS, le contrleur de domaine sur lequel l'objet
est cr attribue l'objet un numro d'identification unique appel identificateur SID. Pour garantir
que deux contrleurs de domaine ne peuvent pas attribuer le mme SID deux objets diffrents,
le matre RID alloue des blocs de RID chaque contrleur de domaine dans le domaine.
Matre d'infrastructure. Ce rle est responsable de la conservation des rfrences d'objets

inter-domaines, par exemple lorsqu'un groupe dans un domaine contient un membre issu d'un
autre domaine. Dans cette situation, le matre d'infrastructure est responsable du maintien de
l'intgrit de cette rfrence. Par exemple, lorsque vous regardez l'onglet de scurit d'un objet,
le systme recherche les SID qui sont rpertoris et les traduit en noms. Dans une fort plusieurs
domaines, le matre d'infrastructure recherche les SID dans les autres domaines.
Le rle d'infrastructure ne doit pas rsider sur un serveur de catalogue global. Une exception cette
rgle est faite lorsque vous suivez les meilleures pratiques et configurez chaque contrleur de
domaine comme catalogue global. Dans ce cas, le rle d'infrastructure est dsactiv parce que
chaque contrleur de domaine connat chaque objet dans la fort.
Matre d'mulateur de contrleur de domaine principal Le contrleur de domaine qui dtient le rle
d'mulateur de contrleur de domaine principal (mulateur PDC) reprsente la source de temps
pour le domaine. Les contrleurs de domaine qui dtiennent le rle d'mulateur PDC dans
chaque domaine d'une fort synchronisent leur temps avec le contrleur de domaine qui a le
rle d'mulateur PDC dans le domaine racine de la fort. Vous dfinissez l'mulateur PDC dans
le domaine racine de la fort pour synchroniser son horloge avec une source de temps atomique
externe.
L'mulateur PDC est galement le contrleur de domaine qui reoit les changements de mot
de passe urgents. Si le mot de passe d'un utilisateur est modifi, ces informations sont envoyes
immdiatement au contrleur de domaine dtenant le rle d'mulateur PDC. Ceci signifie que
si l'utilisateur essaie ultrieurement de se connecter et qu'il est authentifi par un contrleur
de domaine dans un emplacement diffrent qui n'a pas encore reu une mise jour concernant
le nouveau mot de passe, le contrleur de domaine dans l'emplacement o l'utilisateur essaie
de se connecter contacte le contrleur de domaine dtenant le rle d'mulateur PDC et vrifie
les modifications rcentes.
L'mulateur PDC est galement utilis lors de la modification d'objets GPO. Lorsqu'un objet GPO
autre qu'un objet GPO local est ouvert pour tre modifi, la copie qui est modifie est celle qui
est stocke sur l'mulateur PDC.
Remarque : Le catalogue global n'est pas l'un des rles de matre d'oprations.
Question : Pourquoi configurer un contrleur de domaine comme serveur de catalogue
global ?
Leon 3
Installation d'un contrleur de domaine
Parfois, vous devez installer des contrleurs de domaine supplmentaires sur votre systme d'exploitation
Windows Server 2012. Cela peut tre d au fait que les contrleurs de domaine existants sont surchargs
et que vous avez besoin de ressources supplmentaires. Vous envisagez peut-tre d'installer un nouveau
bureau distant, ce qui vous oblige dployer un ou plusieurs contrleurs de domaine. Vous installez
peut-tre galement un environnement de test ou un site auxiliaire. La mthode d'installation utiliser
varie selon les circonstances.
Cette leon dvoile plusieurs manires d'installer des contrleurs de domaine supplmentaires.
Elle montre galement comment utiliser le Gestionnaire de serveur pour installer AD DS sur un
ordinateur local et sur un serveur distant. Cette leon prsente galement l'installation d'AD DS sur
une installation minimale et sur un ordinateur utilisant une capture instantane de la base de donnes
AD DS qui est stocke sur un mdia amovible. Enfin, elle dcrit le processus de mise niveau d'un
contrleur de domaine d'un systme d'exploitation Windows antrieur vers Windows Server 2012.
expliquer comment installer un contrleur de domaine l'aide de l'interface utilisateur graphique ;
expliquer comment installer un contrleur de domaine sur une installation minimale de

expliquer comment mettre niveau un contrleur de domaine en utilisant l'installation partir

du support ;
expliquer comment installer un contrleur de domaine en utilisant l'installation partir du support.
Installation d'un contrleur de domaine partir du Gestionnaire

de serveur
Avant Windows Server 2012, il tait courant
d'utiliser l'outil dcpromo.exe pour installer des
contrleurs de domaine. Si vous tentez d'excuter
dcpromo.exe sur un serveur Windows Server 2012,
vous recevrez le message d'erreur suivant :
L'Assistant Installation des services de
domaine Active Directory a t dplac
dans le Gestionnaire de serveur.
Pour plus d'informations, voir
http://go.microsoft.com/fwlink/?LinkId=220921 .
Remarque : L'outil dcpromo.exe est un outil
que vous excutez sur un serveur pour faire de ce dernier un contrleur de domaine AD DS.
Jusqu' Windows Server 2012, dcpromo.exe tait la mthode recommande pour installer AD DS
et il s'excutait habituellement en mode GUI. Dans Windows Server 2012, cet outil est remplac
par le Gestionnaire de serveur. Dcpromo.exe est encore disponible, mais il peut tre utilis
uniquement pour des installations sans assistance partir de l'interface de ligne de commande.
Quand vous excutez le Gestionnaire de serveur, vous pouvez choisir si l'opration est excute sur
l'ordinateur local, sur un ordinateur distant ou par des membres d'un pool de serveurs. Ensuite, vous
ajoutez le rle AD DS. la fin du processus d'installation initial, les binaires AD DS sont installs, mais
AD DS n'est pas encore configur sur ce serveur. Un message cet effet s'affiche dans le Gestionnaire
de serveur.
Vous pouvez slectionner le lien pour Promouvoir ce serveur en contrleur de domaine et
l'Assistant Configuration des services de domaine Active Directory s'excute. Vous pouvez alors
fournir les informations rpertories dans le tableau suivant au sujet de la structure propose.
Informations requises
Description
2-17
Ajouter un contrleur de domaine

un domaine existant
Dcidez s'il convient d'ajouter un contrleur

de domaine supplmentaire un domaine.
Ajouter un nouveau domaine dans

une fort existante
Crez un nouveau domaine dans la fort.
Ajouter une nouvelle fort
Crez une nouvelle fort.
Spcifier les informations de domaine

pour cette opration
Fournissez des informations sur le domaine existant

auquel le nouveau contrleur de domaine se
connectera.
Fournir les informations d'identification

pour effectuer cette opration
Entrez le nom d'un compte d'utilisateur dot des droits

d'effectuer cette opration.
Certaines informations supplmentaires dont vous devez disposer avant d'excuter la promotion
de contrleur de domaine sont rpertories dans le tableau suivant.
Informations requises
Description
Nom DNS pour le domaine AD DS
Par exemple, adatum.com
Nom NetBIOS pour le domaine AD DS
Par exemple, adatum
Si la nouvelle fort doit prendre en charge

des contrleurs de domaine excutant
des versions antrieures des systmes
d'exploitation Windows (affecte le choix
du niveau fonctionnel)
Par exemple, si vous envisagez de dployer des

contrleurs de domaine Windows Server 2008 R2,
vous devez slectionner le niveau fonctionnel de
la fort et du domaine Windows Server 2008 R2.
Si ce contrleur de domaine sera

galement un serveur DNS
Votre DNS doit fonctionner correctement pour prendre

en charge AD DS.
Emplacement pour stocker les fichiers

de base de donnes, tels que NTDS.DIT,
edb.log et edb.chk.
Par dfaut, ces fichiers seront stocks dans

C:\Windows\NTDS.
L'Assistant Configuration des services de domaine Active Directory comporte plusieurs pages
diffrentes qui vous permettent d'entrer des lments prrequis tels que le nom de domaine NetBIOS,
la configuration DNS, si ce contrleur de domaine doit tre un serveur de catalogue global, ainsi
que le mot de passe du mode de restauration des services d'annuaire. Enfin, vous devez effectuer
un redmarrage pour complter l'installation.
Remarque : Si vous devez restaurer la base de donnes AD DS partir d'une sauvegarde,
redmarrez le contrleur de domaine dans le mode de restauration des services d'annuaire.
Lorsque le contrleur de domaine dmarre, il n'excute pas les services AD DS. Au lieu de cela, il s'excute
en tant que serveur membre dans le domaine. Pour se connecter ce serveur en l'absence d'AD DS,
connectez-vous en utilisant le mot de passe du mode de rcupration des services d'annuaire.
Installation d'un contrleur de domaine sur une installation minimale

La configuration d'un serveur
Windows Server 2012 qui excute une installation
minimale en tant que contrleur de domaine
est plus difficile car vous ne pouvez pas excuter
l'Assistant Configuration des services de domaine
Active Directory sur le serveur. Pour installer les
binaires AD DS sur le serveur, vous pouvez utiliser
le Gestionnaire de serveur pour vous connecter
distance au serveur excutant l'installation
minimale. Vous pouvez galement utiliser
la commande Windows PowerShell
Install-Windowsfeature -name AD-DomainServices pour installer les binaires.
Une fois que vous avez install les binaires AD DS, vous pouvez terminer l'installation et la configuration
d'une des quatre manires suivantes :
Dans le Gestionnaire de serveur, cliquez sur l'icne de notification pour terminer la configuration
post-dploiement. Ceci dmarre la configuration et l'installation du contrleur de domaine.
Excutez la commande Windows PowerShell Install-ADDSDomainController domainname

Adatum.com avec d'autres arguments, selon les besoins.
Crez un fichier de rponses et excutez dcpromo /unattend:D:\answerfile.txt une

invite de commandes o D:\answerfile.txt est le chemin d'accs au fichier de rponses.
Excutez dcpromo /unattend une invite de commandes avec les commutateurs appropris,
par exemple :
dcpromo /unattend /InstallDns:yes /confirmglobal catalog:yes /replicaOrNewDomain:replica

/replicadomaindnsname:"nouveau_domaine.com" /databasePath:"c:\ntds"
/logPath:"c:\ntdslogs" /sysvolpath:"c:\sysvol" /safeModeAdminPassword:Pa$$w0rd
/rebootOnCompletion:yes
Mise niveau d'un contrleur de domaine

Vous pouvez mettre niveau un contrleur
de domaine Windows Server 2012 de deux
manires. Vous pouvez mettre niveau le systme
d'exploitation sur les contrleurs de domaine
existants qui excutent Windows Server 2008 ou
Windows Server 2008 R2. Vous pouvez galement
introduire des serveurs Windows Server 2012
comme contrleurs de domaine dans un
domaine contenant des contrleurs de domaine
qui excutent des versions antrieures de
Windows Server. Des deux manires, la seconde
est la mthode recommande car elle vous
permet de disposer la fin sur le serveur d'une nouvelle installation du systme d'exploitation
Windows Server 2012 et de la base de donnes AD DS.
Mise niveau vers Windows Server 2012
2-19
Pour mettre niveau un domaine AD DS qui s'excute un niveau fonctionnel de Windows Server
plus ancien vers un domaine AD DS qui s'excute au niveau fonctionnel de Windows Server 2012, vous
devez commencer par mettre niveau tous les contrleurs de domaine vers le systme d'exploitation
Windows Server 2012. Vous pouvez accomplir ceci en mettant niveau tous les contrleurs de domaine
existants vers Windows Server 2012 ou en introduisant de nouveaux contrleurs de domaine qui
excutent Windows Server 2012, puis en retirant progressivement les contrleurs de domaine existants.
Pour effectuer une mise niveau sur place d'un ordinateur dot du rle AD DS, vous devez commencer
par utiliser les commandes de ligne de commande Adprep.exe /forestprep et Adprep.exe
/domainprep pour prparer la fort et le domaine. Une mise niveau sur place du systme d'exploitation
n'effectue pas une prparation automatique du schma et du domaine. Adprep.exe est inclus sur le
support d'installation dans le dossier \Support\Adprep. Aucune tape supplmentaire de configuration
ne figure aprs ce point et vous pouvez continuer excuter la mise niveau du systme d'exploitation
Lorsque vous effectuez la promotion d'un serveur Windows Server 2012 en contrleur de domaine
dans un domaine existant et si vous tes connect en tant que membre des groupes Administrateurs
du schma et Administrateurs de l'entreprise, le schma AD DS sera mis jour automatiquement vers
Windows Server 2012. Dans ce scnario, vous n'avez pas besoin d'excuter les commandes Adprep.exe
avant de commencer l'installation.
Dploiement de contrleurs de domaine Windows Server 2012

Pour mettre niveau le systme d'exploitation d'un contrleur de domaine Windows Server 2008
vers Windows Server 2012, procdez comme suit :
1.
Insrez le disque d'installation de Windows Server 2012, puis excutez Setup.
2.
Aprs la page de slection de la langue, cliquez sur Installer maintenant.
3.
Aprs la fentre de slection du systme d'exploitation et la page d'acceptation de licence, dans

la fentre Quel type d'installation voulez-vous effectuer ?, cliquez sur Mise niveau : installer
Windows et conserver les fichiers, les paramtres et les applications.
Remarque : Avec ce type de mise niveau, il n'est pas ncessaire de conserver les
paramtres des utilisateurs ni de rinstaller les applications ; tout est mis niveau sur place.
Veillez vrifier la compatibilit matrielle et logicielle avant d'effectuer une mise niveau.
Pour introduire une nouvelle installation de Windows Server 2012 en tant que contrleur de domaine,
1.
Dployez et configurez une nouvelle installation de Windows Server 2012 et joignez-la au domaine.
2.
Effectuez la promotion du nouveau serveur en tant que contrleur de domaine dans le domaine
en utilisant la version 2012 du Gestionnaire de serveur ou l'une des autres mthodes dcrites
prcdemment.
Remarque : Vous pouvez mettre niveau directement Windows Server 2008

et Windows Server 2008 R2 vers Windows Server 2012.
Installation d'un contrleur de domaine en utilisant l'installation partir

du support
Si vous possdez un rseau d'intervention qui est
lent, peu fiable ou coteux, il peut vous sembler
ncessaire d'ajouter un autre contrleur de
domaine un emplacement distant ou dans une
filiale. Dans ce scnario, il vaut souvent mieux
dployer AD DS sur un serveur l'aide de la
mthode Installation partir du support (IFM).
Par exemple, si vous vous connectez un serveur

dans un bureau distant et utilisez le Gestionnaire
de serveur pour installer AD DS, vous devez copier
la base de donnes AD DS complte et le dossier
SYSVOL sur le nouveau contrleur de domaine.
Ce processus doit avoir lieu via une connexion WAN potentiellement peu fiable. Comme alternative, pour
rduire de manire significative la quantit de trafic copie via la liaison WAN, vous pouvez effectuer une
copie de sauvegarde d'AD DS l'aide de l'outil Ntdsutil. Quand vous excutez le Gestionnaire de serveur
pour installer AD DS, vous pouvez slectionner l'option Installation partir du support. La majeure
partie de la copie s'effectue alors localement (par exemple partir d'un lecteur USB) et la liaison WAN
est utilise seulement pour le trafic de scurit et pour garantir que le nouveau contrleur de domaine
reoit toutes les modifications effectues aprs la cration de la sauvegarde IFM.
Pour installer un contrleur de domaine en utilisant l'installation partir du support, accdez un

contrleur de domaine qui n'est pas en lecture seule. Utilisez l'outil Ntdsutil pour crer une capture
instantane de la base de donnes AD DS, puis copiez la capture instantane sur le serveur qui
sera promu comme contrleur de domaine. Utilisez le Gestionnaire de serveur pour promouvoir le
serveur comme contrleur de domaine en slectionnant l'option Installation partir du support,
puis en fournissant le chemin d'accs local au rpertoire IFM que vous avez cr auparavant.
La procdure complte est la suivante :
1.
Sur le contrleur de domaine complet, ouvrez une invite de commandes d'administration, tapez
les commandes suivantes (o C:\IFM est le rpertoire de destination qui contiendra la capture
instantane de la base de donnes AD DS) et appuyez sur Entre aprs chaque ligne :
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
2.
Sur le serveur dont vous effectuez la promotion en tant que contrleur de domaine, procdez
comme suit :
2-21
a.
Utilisez le Gestionnaire de serveur pour ajouter le rle AD DS.
b.
Patientez pendant que les binaires AD DS s'installent.
c.
Dans le Gestionnaire de serveur, cliquez sur l'icne de notification pour terminer la configuration
post-dploiement. L'Assistant Configuration des services de domaine Active Directory s'excute.
d.
Au moment opportun pendant l'excution de l'Assistant, slectionnez l'option d'installation

partir du support (IFM), puis fournissez le chemin d'accs local au rpertoire de capture
instantane.
AD DS s'installe alors partir de la capture instantane. Lorsque le contrleur de domaine redmarre,

il contacte les autres contrleurs de domaine dans le domaine et met jour AD DS avec toutes les
modifications qui ont t apportes depuis la cration de la capture instantane.
Documentation supplmentaire : Pour plus d'informations sur les tapes ncessaires pour
installer AD DS, voir Installer les services de domaine Active Directory (niveau 100) l'adresse
Question : Pour quelle raison spcifier le mot de passe pour le mode de restauration des
services d'annuaire ?

Scnario
A. Datum Corporation est une socit internationale d'ingnierie et de fabrication, dont le sige social
est bas Londres, en Angleterre. Un bureau informatique et un centre de donnes sont situs Londres
pour assister le sige social de Londres et d'autres sites. A. Datum a rcemment dploy une infrastructure
Windows Server 2012 avec des clients Windows 8.
Votre responsable vous a demand d'installer un nouveau contrleur de domaine dans le centre de
donnes pour amliorer les performances de connexion. Il vous a galement t demand de crer un
nouveau contrleur de domaine pour une filiale en utilisant une installation partir du support (IFM).
Objectifs
installer un contrleur de domaine.
installer un contrleur de domaine selon la mthode IFM ;

22410B-LON-DC1 ( dmarrer en premier)

22410B-LON-SVR1
22410B-LON-RTR
22410B-LON-SVR2
Nom d'utilisateur
Mot de passe
Pa$$w0rd
Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible. Avant de dbuter
cet atelier pratique, vous devez effectuer les oprations suivantes :
1.
Sur l'ordinateur hte, cliquez sur Accueil, pointez sur Outils d'administration, puis cliquez sur
Gestionnaire Hyper-V.
2.
Dans le Gestionnaire Hyper-V, cliquez sur 22410B-LON-DC1 puis, dans le volet Actions, cliquez
sur Accueil.
3.
4.
5.
Domaine : ADATUM
Rptez les tapes 1 3 pour 22410B-LON-SVR1, 22410B-LON-RTR et 22410B-LON-SVR2.
Exercice 1 : Installation d'un contrleur de domaine

Scnario
2-23
Les utilisateurs connaissent des lenteurs de connexion Londres aux heures de pleine activit. L'quipe
serveurs a dtermin que les contrleurs de domaine sont submergs lorsque de nombreux utilisateurs
s'authentifient simultanment. Pour amliorer les performances de connexion, vous ajoutez un nouveau
contrleur de domaine dans le centre de donnes de Londres.
1.
Ajouter un rle Services de domaine Active Directory (AD DS) sur un serveur membre
2.
Configurer un serveur en tant que contrleur de domaine
3.
Configurer un serveur en tant que serveur de catalogue global
Tche 1 : Ajouter un rle Services de domaine Active Directory (AD DS)

sur un serveur membre
1.
Sur LON-DC1, dans le Gestionnaire de serveur, ajoutez LON-SVR1 dans la liste des serveurs.
2.
Ajoutez le rle serveur Services AD DS LON-SVR1. Ajoutez toutes les fonctionnalits requises
lorsque vous y tes invit.
3.
L'installation dure quelques minutes. Une fois l'installation termine, cliquez sur Fermer
pour fermer l'Assistant Ajout de rles et de fonctionnalits.
Tche 2 : Configurer un serveur en tant que contrleur de domaine
Sur LON-DC1, utilisez le Gestionnaire de serveur pour promouvoir LON-SVR1 comme contrleur
de domaine, et choisissez les options suivantes :
o
Ajoutez un contrleur de domaine au domaine Adatum.com existant.
Utilisez les informations d'identification ADATUM\Administrateur avec le mot de passe

Pa$$w0rd.
Pour Options du contrleur de domaine, installez DNS (Domain Name System),

mais supprimez la slection pour installer le catalogue global.
Le mot de passe du mode de restauration des services d'annuaire est Pa$$w0rd.
Pour toutes les autres options, utilisez les options par dfaut.
Tche 3 : Configurer un serveur en tant que serveur de catalogue global

1.
Connectez-vous LON-SVR1 en tant que ADATUM\Administrateur avec le mot de passe

Pa$$w0rd.
2.
Utilisez Sites et services Active Directory pour configurer LON-SVR1 comme serveur de catalogue
global.
Rsultats : la fin de cet exercice, vous devez avoir explor le Gestionnaire de serveur et promu
un serveur membre en tant que contrleur de domaine.
Exercice 2 : Installation d'un contrleur de domaine selon la mthode IFM

Scnario
Vous avez t charg par la direction de grer une des nouvelles filiales en cours de configuration.
La mise en place d'une connexion rseau plus rapide est planifie quelques semaines plus tard.
D'ici l, la connectivit rseau est trs lente.
Il a t dtermin que la filiale requiert un contrleur de domaine pour prendre en charge les connexions
locales. Pour viter des problmes avec la connexion rseau lente, vous utilisez l'installation partir
du support (IFM) pour installer le contrleur de domaine dans la filiale.
1.
Utiliser l'outil Ntdsutil pour gnrer IFM
2.
Ajouter le rle AD DS sur le serveur membre
3.
Utilisez l'option IFM pour configurer un serveur membre comme nouveau contrleur de domaine
4.
Tche 1 : Utiliser l'outil Ntdsutil pour gnrer IFM

1.
Sur LON-DC1, ouvrez une interface de ligne de commande d'administration et utilisez Ntdsutil
pour crer une copie de sauvegarde IFM de la base de donnes AD DS et du dossier SYSVOL.
Les commandes permettant de crer la copie de sauvegarde sont les suivantes :
Ntdsutil
Activate instance ntds
Ifm
Create sysvol full c:\ifm
Tche 2 : Ajouter le rle AD DS sur le serveur membre

1.
Basculez vers LON-SVR2 et connectez-vous avec le nom d'utilisateur ADATUM\Administrateur

et le mot de passe Pa$$w0rd.
2.
Ouvrez une invite de commandes et mappez la lettre de lecteur K: \\LON-DC1\C$\IFM.
3.
Utilisez le Gestionnaire de serveur pour installer le rle serveur AD DS sur LON-SVR2.
Tche 3 : Utilisez l'option IFM pour configurer un serveur membre comme nouveau
contrleur de domaine
1.
Sur LON-SVR2, ouvrez une invite de commandes puis copiez la copie de sauvegarde IFM partir
de K: vers C:\ifm.
2.
Sur LON-SVR2, utilisez le Gestionnaire de serveur avec les options suivantes pour effectuer
la configuration post-dploiement d'AD DS :
o
Ajoutez un contrleur de domaine au domaine Adatum.com existant.
Utilisez ADATUM\Administrateur et le mot de passe Pa$$w0rd comme informations

d'identification.
Utilisez Pa$$w0rd comme mot de passe du mode de restauration des services d'annuaire.
3.
Utilisez le support IFM pour installer et configurer AD DS. Utilisez l'emplacement C:\IFM
comme support IFM.
Acceptez tous les autres paramtres par dfaut.
Redmarrez LON-SVR2 pour terminer l'installation d'AD DS.
2-25
Rsultats : la fin de cet exercice, vous devez avoir install un contrleur de domaine supplmentaire
pour la succursale en utilisant l'option IFM.
Une fois l'atelier pratique termin, rtablissez l'tat initial des ordinateurs virtuels. Pour ce faire, procdez
comme suit :
1.
Sur l'ordinateur hte, dmarrez le Gestionnaire Hyper-V.
2.
Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-DC1, puis cliquez
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-SVR1, 22410B-LON-RTR et 22410B-LON-SVR2.

Question : Quelles sont les deux fonctions principales des units d'organisation ?
Question : Pourquoi auriez-vous besoin de dployer une arborescence supplmentaire
dans la fort AD DS ?
Question : Quelle mthode de dploiement utiliseriez-vous si vous deviez installer
un contrleur de domaine supplmentaire dans un emplacement distant dot d'une
connexion WAN limite ?
Question : Si vous aviez besoin de promouvoir une installation minimale
de Windows Server 2012 comme contrleur de domaine, quel outil ou quels
outils utiliseriez-vous ?

3-1
Module 3
Gestion des objets de services de domaine Active Directory

Table des matires :
3-1
Leon 1 : Gestion de comptes d'utilisateurs
3-3
Leon 2 : Gestion des comptes de groupes
3-12
Leon 3 : Gestion des comptes d'ordinateurs
3-20
Leon 4 : Dlgation de l'administration
3-26
Atelier pratique : Gestion des objets de services de domaine Active Directory
3-30
3-37
Les comptes d'utilisateurs sont des composants fondamentaux de la scurit du rseau. Enregistrs dans
les services de domaine Active Directory (AD DS), les comptes d'utilisateurs identifient les utilisateurs
des fins d'authentification et d'autorisation. En raison de leur importance, une comprhension des
comptes d'utilisateurs et des tches lies leur prise en charge est un aspect essentiel de l'administration
d'un rseau d'entreprise avec systme d'exploitation Windows Server.
Bien que les utilisateurs et les ordinateurs, et mme les services, voluent dans le temps, les rles et rgles
mtier tendent se stabiliser. Votre entreprise a probablement un rle financier, qui requiert certaines
fonctions dans l'entreprise. L'utilisateur ou les utilisateurs qui tiennent ce rle peuvent changer, mais
le rle change relativement peu. C'est pourquoi il n'est pas raisonnable de grer un rseau d'entreprise
en attribuant des droits et des autorisations aux utilisateurs, aux ordinateurs ou aux identits de service.
Au lieu de cela, associez des tches de gestion des groupes. Par consquent, il est important que vous
sachiez utiliser les groupes pour identifier les rles administratifs et utilisateur, filtrer la stratgie de
groupe, attribuer des stratgies de mot de passe unique, et attribuer des droits et des autorisations.
Les ordinateurs, comme les utilisateurs, sont des entits de scurit :
Ils ont un compte avec un nom de connexion et un mot de passe que Windows Server modifie
automatiquement et rgulirement.
Ils s'authentifient auprs du domaine.
Ils peuvent appartenir aux groupes, ont accs aux ressources, et vous pouvez les configurer l'aide
de la stratgie de groupe.
3-2
La gestion des ordinateurs (tant les objets dans AD DS et les priphriques physiques) est l'une des tches
quotidiennes de la plupart des professionnels de l'informatique. De nouveaux ordinateurs sont ajouts
votre organisation, mis hors connexion pour rparation, changs entre utilisateurs ou rles, et supprims
ou mis niveau. Chacune de ces activits requiert de grer l'identit de l'ordinateur, qui est reprsente
par son objet, ou compte, et AD DS. Par consquent, il est important que vous sachiez crer et grer des
objets ordinateur.
Dans les petites organisations, une personne peut tre responsable de toutes ces tches d'administration
quotidiennes. Cependant, dans les rseaux de grandes entreprises, avec des milliers d'utilisateurs et
d'ordinateurs, cela n'est pas possible. Il est important qu'un administrateur d'entreprise sache dlguer
des tches d'administration spcifiques aux utilisateurs ou aux groupes dsigns pour garantir une
administration d'entreprise efficace.
Objectifs
grer les comptes d'utilisateurs avec les outils graphiques ;
grer les comptes de groupes avec les outils graphiques ;
grer les comptes d'ordinateurs ;
dlguer les autorisations d'excution de l'administration d'AD DS.
Leon 1
Gestion de comptes d'utilisateurs
Un objet utilisateur dans AD DS est bien plus que de simples proprits lies l'identit de scurit,
ou compte, de l'utilisateur. Il constitue la pierre angulaire de l'identit et de l'accs dans les services
de domaine Active Directory. Par consquent, les processus cohrents, efficaces et scuriss concernant
l'administration des comptes d'utilisateurs constituent la pierre angulaire de la gestion de la scurit
d'entreprise.
afficher les objets AD DS l'aide de divers outils d'administration d'AD DS ;
expliquer comment crer des comptes d'utilisateurs que vous pouvez utiliser dans un rseau
d'entreprise ;
dcrire comment configurer des attributs de compte d'utilisateur importants ;
dcrire comment crer des profils utilisateur ;
expliquer comment grer des comptes d'utilisateurs.
Outils d'administration d'AD DS

Avant de pouvoir commencer crer et grer
des comptes d'utilisateurs, de groupes et
d'ordinateurs, il est important que vous
compreniez quels outils vous pouvez utiliser
pour effectuer ces diverses tches de gestion.
Composants logiciels enfichables

d'administration Active Directory
La majorit de l'administration d'AD DS est
excute l'aide des composants logiciels
enfichables et consoles suivants :
Utilisateurs et ordinateurs Active Directory.

Ce composant logiciel enfichable gre la plupart des ressources quotidiennes courantes, dont
les utilisateurs, les groupes, les ordinateurs et les units d'organisation. Il s'agit probablement
du composant logiciel enfichable le plus utilis par un administrateur Active Directory.
Sites et services Active Directory. Ce composant logiciel enfichable gre la rplication, la topologie
du rseau et les services connexes.
3-3
3-4
Composant Domaines et approbations Active Directory. Ce composant logiciel enfichable configure

et maintient les relations d'approbation ainsi que le niveau fonctionnel du domaine et de la fort.
Composant logiciel enfichable Schma Active Directory. Ce composant logiciel enfichable examine
et modifie la dfinition des attributs et des classes d'objets d'Active Directory. Il constitue le modle
pour AD DS. Il est rarement affich, et encore plus rarement modifi. Par consquent, le composant
logiciel enfichable Schma Active Directory n'est pas install par dfaut.
Remarque : Pour administrer AD DS partir d'un ordinateur qui n'est pas un contrleur
de domaine, vous devez installer les Outils d'administration de serveur distant (RSAT). Les Outils
d'administration de serveur distant (RSAT) sont une fonctionnalit qui peut tre installe partir
du nud Fonctionnalits du Gestionnaire de serveur sur Windows Server 2012.
Vous pouvez galement installer RSAT sur des clients Windows, y compris Windows Vista Service Pack 1
(ou version ultrieure), Windows 7 et Windows 8. Aprs avoir tlcharg les fichiers d'installation de RSAT
partir du site Web de Microsoft, excutez l'Assistant Installation, qui vous guide tout au long de
l'installation. Aprs avoir install RSAT, vous devez activer l'outil ou les outils que vous souhaitez utiliser.
Pour ce faire, dans le Panneau de configuration, dans l'application Programmes et fonctionnalits, utilisez
la commande Activer ou dsactiver des fonctionnalits Windows.
Documentation supplmentaire : Pour tlcharger les fichiers d'installation
de RSAT, consultez le Centre de tlchargement Microsoft l'adresse
Centre d'administration Active Directory

Windows Server 2012 fournit une autre option pour grer des objets AD DS. Le Centre d'administration
Active Directory fournit une interface utilisateur graphique (GUI) reposant sur Windows PowerShell.
Cette interface amliore vous permet d'effectuer la gestion d'objets AD DS l'aide de la navigation
oriente vers les tches. Les tches que vous pouvez effectuer l'aide du Centre d'administration
Active Directory comprennent :
crer et grer des comptes d'utilisateurs, d'ordinateurs et de groupes ;
crer et grer des units d'organisation ;
se connecter plusieurs domaines, et les grer, dans une instance unique du Centre d'administration
Active Directory ;
rechercher et filtrer des donnes d'Active Directory en gnrant des requtes.
Windows PowerShell
3-5
Vous pouvez utiliser le module Active Directory pour Windows PowerShell (module Active Directory) pour
crer et grer des objets dans AD DS. Windows PowerShell est non seulement un langage de script, mais
il permet galement d'excuter les commandes qui effectuent des tches d'administration, telles que
la cration de comptes d'utilisateurs, la configuration de services, la suppression de botes aux lettres,
et autres fonctions similaires.
Windows PowerShell est install par dfaut sur Windows Server 2012, mais le module Active Directory
est seulement prsent lorsque :
vous installez les rles de serveur AD DS ou des services AD LDS (Active Directory Lightweight
Directory Services) ;
vous excutez Dcpromo.exe pour promouvoir un ordinateur dans un contrleur de domaine ;
vous installez RSAT.
Outils de ligne de commande du service d'annuaire
Vous pouvez galement utiliser les outils de ligne de commande du service d'annuaire, en plus de
Windows PowerShell. Ces outils permettent de crer, modifier, grer et supprimer des objets AD DS,
tels que des utilisateurs, des groupes et des ordinateurs. Vous pouvez utiliser les commandes suivantes :
Dsadd. Pour crer des objets.
Dsget. Pour afficher des objets et leurs proprits.
Dsmod. Pour modifier des objets et leurs proprits.
Dsmove. Pour dplacer des objets.
Dsquery. Pour demander AD DS des objets qui correspondent des critres que vous fournissez.
Dsrm. Pour supprimer des objets.
Remarque : Il est possible de diriger les rsultats de la commande Dsquery vers d'autres
commandes du service d'annuaire. Par exemple, la saisie de la commande suivante une invite
de commandes retourne le numro de tlphone de bureau de tous les utilisateurs dont le nom
commence par John :
dsquery user name John* | dsget user office
Cration de comptes d'utilisateurs

Dans AD DS, tous les utilisateurs qui ont besoin
d'accder aux ressources rseau doivent
tre configurs avec un compte d'utilisateur.
Grce ce compte d'utilisateur, les utilisateurs
peuvent s'authentifier auprs du domaine AD DS
et recevoir l'accs aux ressources rseau.
Dans Windows Server 2012, un compte
d'utilisateur est un objet qui contient toutes
les informations qui dfinissent un utilisateur.
Un compte d'utilisateur inclut le nom d'utilisateur
et le mot de passe, ainsi que les appartenances
aux groupes. Un compte d'utilisateur contient
galement de nombreux autres paramtres que vous pouvez configurer en fonction de la configuration
requise de votre organisation.
Avec un compte d'utilisateur, vous pouvez effectuer les tches suivantes :
3-6
accorder ou refuser aux utilisateurs des autorisations d'ouverture de session sur un ordinateur
en fonction de l'identit de leur compte d'utilisateur ;
autoriser les utilisateurs accder des processus et des services dans un contexte de scurit
spcifique ;
grer l'accs des utilisateurs aux ressources, telles que les objets AD DS et leurs proprits, les dossiers
partags, les fichiers, les annuaires et les files d'attente d'impression.
Un compte d'utilisateur permet un utilisateur d'ouvrir une session sur les ordinateurs et domaines avec
une identit que le domaine peut authentifier. Lorsque vous crez un compte d'utilisateur, vous devez
fournir un nom d'ouverture de session d'utilisateur, qui doit tre unique dans le domaine/la fort dans
lesquels le compte d'utilisateur est cr.
Pour optimiser la scurit, vitez que plusieurs utilisateurs partagent un mme compte, et vrifiez plutt
que chaque utilisateur qui ouvre une session sur le rseau dispose d'un compte d'utilisateur et d'un mot
de passe uniques.
Remarque : Bien que les comptes AD DS soient le sujet principal de ce cours, vous pouvez
galement enregistrer des comptes d'utilisateurs dans la base de donnes du Gestionnaire
de comptes de scurit locale de chaque ordinateur, ce qui permet d'ouvrir une session locale
et d'accder aux ressources locales. Les comptes d'utilisateurs locaux, pour la plupart, sortent
du cadre de ce cours.
Cration de comptes d'utilisateurs

Un compte d'utilisateur comprend le nom d'utilisateur et le mot de passe, qui servent d'informations
d'ouverture de session pour l'utilisateur. Un objet utilisateur comprend galement plusieurs autres
attributs qui permettent de dcrire et de grer l'utilisateur.
Vous pouvez utiliser le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory,
le Centre d'administration Active Directory, Windows PowerShell ou l'outil de ligne de commande
dsadd.exe pour crer un objet utilisateur.
Lorsque vous crez des comptes d'utilisateurs, prenez en compte les proprits suivantes :
3-7
La proprit Nom complet du compte d'utilisateur permet de crer plusieurs attributs d'un objet
utilisateur, et particulirement le nom commun (CN) et les proprits du nom complet. Le nom
complet d'un utilisateur est le nom affich dans le volet d'informations du composant logiciel
enfichable. Il doit tre unique dans le conteneur ou l'unit d'organisation. Si vous crez un objet
utilisateur pour une personne portant le mme nom qu'un utilisateur existant dans la mme
unit d'organisation ou le mme conteneur, vous devez entrer un nom unique dans le champ
Nom complet.
La proprit Ouverture de session UPN de l'utilisateur se compose d'un prfixe de nom d'ouverture
de session de l'utilisateur et d'un suffixe de nom d'utilisateur principal (UPN) qui seront ajouts
au nom d'ouverture de session de l'utilisateur aprs le symbole @.
o
Les noms d'utilisateurs dans AD DS peuvent contenir des caractres spciaux, dont des points,
des traits d'union et des apostrophes. Ces caractres spciaux vous permettent de gnrer des
noms d'utilisateur exacts, tels que O'Hare et Smith-Bates. Cependant, certaines applications
peuvent prsenter d'autres restrictions, nous vous recommandons donc d'utiliser uniquement
des lettres et chiffres standard jusqu' ce que vous ayez test entirement les applications dans
votre environnement d'entreprise des fins de compatibilit avec des caractres spciaux.
Vous pouvez grer la liste des suffixes UPN disponibles l'aide du composant logiciel enfichable
Domaines et approbations Active Directory. Cliquez avec le bouton droit sur la racine du
composant logiciel enfichable, cliquez sur Proprits, puis utilisez l'onglet Suffixes UPN
pour ajouter ou supprimer des suffixes. Le nom DNS de votre domaine d'AD DS est toujours
disponible comme suffixe ; vous ne pouvez pas le supprimer.
Remarque : Il est important que vous implmentiez une stratgie d'affectation de noms
pour les comptes d'utilisateurs, en particulier dans de grands rseaux o les utilisateurs peuvent
partager le mme nom complet. Une combinaison du nom et du prnom, et si ncessaire, de
caractres spciaux, devrait permettre d'obtenir un nom de compte d'utilisateur unique. Plus
particulirement, seul le nom UPN doit tre unique dans votre fort AD DS. Le nom complet
doit tre unique uniquement dans l'unit d'organisation dans laquelle il rside, alors que le
nom SamAccountName de l'utilisateur doit tre unique dans ce domaine.
Configuration des attributs de compte d'utilisateur

Lorsque vous crez un compte d'utilisateur dans
AD DS, configurez galement toutes les proprits
associes au compte, ou attributs.
Remarque : Les attributs associs un
compte d'utilisateur sont dfinis dans le cadre
du schma AD DS, que les membres du groupe
de scurit Administrateurs du schma peuvent
modifier.
En gnral, le schma ne change
pas frquemment. Cependant, quand une
application de niveau d'entreprise (telle que Microsoft Exchange Server 2010) est ajoute, de
nombreuses modifications de schma sont requises. Ces modifications permettent des objets,
y compris les objets utilisateur, d'avoir des attributs supplmentaires.
3-8
Lorsque vous crez un objet utilisateur, vous n'tes pas oblig de dfinir de nombreux attributs autres
que ceux requis pour permettre l'utilisateur de se connecter l'aide du compte. tant donn que
vous pouvez associer un objet utilisateur de nombreux attributs, il est important que vous compreniez
ce que sont ces attributs, et comment vous pouvez les utiliser dans votre organisation.
Catgories d'attributs
Les attributs d'un objet utilisateur peuvent tre rpartis dans plusieurs grandes catgories. Ces catgories
s'affichent dans le volet de navigation de la bote de dialogue Proprits de l'utilisateur dans le Centre
d'administration Active Directory, et incluent :
Compte. Outre les proprits de nom de l'utilisateur (Prnom, Initiales des autres prnoms,
Nom, Nom complet) et les divers noms de connexion de l'utilisateur (Ouverture de session UPN
de l'utilisateur, Ouverture de session SamAccountName de l'utilisateur), vous pouvez configurer
les proprits supplmentaires suivantes :
o
Heures d'ouverture de session. Cette proprit dfinit quand le compte peut tre utilis pour
accder des ordinateurs de domaine. Vous pouvez utiliser l'affichage calendaire hebdomadaire
pour dfinir des heures d'ouvertures de session autorises et refuses.
Se connecter . Utilisez cette proprit pour dfinir quels ordinateurs un utilisateur peut utiliser
pour ouvrir une session sur le domaine. Spcifiez le nom de l'ordinateur et ajoutez-le la liste
des ordinateurs autoriss.
Date d'expiration du compte. Cette valeur est utile si vous souhaitez crer des comptes
d'utilisateurs temporaires. Par exemple, si vous souhaitez crer des comptes d'utilisateurs pour
des stagiaires, utiliss pendant un an seulement. Vous pouvez utiliser cette valeur pour dfinir
l'avance une date d'expiration du compte. Le compte ne peut pas tre utilis aprs la date
d'expiration jusqu' ce qu'il soit manuellement reconfigur par un administrateur.
Changer le mot de passe la prochaine session. Cette proprit permet pour forcer un
utilisateur rinitialiser son mot de passe la prochaine fois qu'il ouvre une session. En gnral,
vous activez cette option aprs la rinitialisation du mot de passe d'un utilisateur.
3-9
La carte est requise pour ouvrir une session interactive. Cette valeur rinitialise le mot
de passe de l'utilisateur sur une squence de caractres complexe et alatoire, et dfinit une
proprit qui requiert que l'utilisateur utilise une carte puce pour s'authentifier l'ouverture
de session.
Le mot de passe n'expire jamais. Cette proprit est gnralement utilise avec des comptes
de service ; c'est--dire, des comptes qui ne sont pas utiliss par des utilisateurs normaux mais
par des services. Si vous dfinissez cette valeur, vous devez vous rappeler de rgulirement
mettre jour le mot de passe manuellement ; cependant, vous n'tes pas oblig de le faire
un intervalle prdtermin. Par consquent, le compte ne peut jamais tre verrouill en raison
de l'expiration du mot de passe, fonctionnalit particulirement importante pour les comptes
de service.
L'utilisateur ne peut pas changer de mot de passe. nouveau, cette option est gnralement
utilise pour les comptes de service.
Stocker le mot de passe en utilisant un chiffrement rversible. Cette stratgie fournit la prise
en charge des applications qui utilisent des protocoles qui exigent la connaissance du mot de
passe de l'utilisateur pour l'authentification. Le stockage des mots de passe avec un chiffrement
rversible est quasiment identique au stockage des mots de passe en texte brut. C'est pourquoi
cette stratgie ne devrait jamais tre active, sauf si les besoins de l'application sont suprieurs
la ncessit de protger les informations de mot de passe. Cette stratgie est requise lors de
l'utilisation de l'authentification CHAP (Challenge Handshake Authentication Protocol) via un
accs distant ou le service d'authentification Internet (IAS). Elle est galement requise pour
l'authentification Digest dans les services Internet (IIS).
Le compte est approuv pour la dlgation. Vous pouvez utiliser cette proprit pour
permettre un compte de service de se faire passer pour un utilisateur standard afin
d'accder des ressources rseau au nom d'un utilisateur.
Organisation. Ceci comprend des proprits telles que Nom complet, Bureau, Adresse de
messagerie de l'utilisateur, divers numros de tlphone, la structure hirarchique, les noms
des services et de la socit ou les adresses.
Membre de. Cette section permet de dfinir les appartenances des groupes pour l'utilisateur.
Profil. Cette section permet de configurer un emplacement pour les donnes personnelles
de l'utilisateur, et de dfinir un emplacement dans lequel sauvegarder le profil de bureau
de l'utilisateur lorsqu'il se dconnecte.
Extensions. Cette section prsente de nombreuses proprits d'utilisateur supplmentaires,

dont la plupart ne requiert normalement pas de configuration manuelle.
Cration des profils utilisateur

Lorsque les utilisateurs ferment une session, leur
Bureau et leurs paramtres d'applications sont
enregistrs dans un sous-dossier cr dans le
dossier C:\Users sur le disque dur, qui correspond
leur nom d'utilisateur. Ce dossier contient
leur profil utilisateur. Ce dossier hberge des
sous-dossiers qui contiennent les documents
et les paramtres qui reprsentent le profil
utilisateur, dont les sous-dossiers Documents,
Vidos, Images et Tlchargements.
Si un utilisateur est susceptible d'ouvrir une
session en mode interactif sur plusieurs stations
de travail clientes, il est prfrable que ces paramtres et documents soient disponibles sur ces autres
stations de travail clientes. En tant qu'administrateur, vous pouvez utiliser plusieurs mthodes pour
vrifier que les utilisateurs peuvent accder leurs profils partir de plusieurs stations de travail.
Configuration des proprits de compte d'utilisateur pour grer des profils

l'aide des paramtres de compte d'utilisateur dans le Centre d'administration Active Directory,
vous pouvez configurer les proprits suivantes lies au profil de bureau d'un utilisateur :
3-10 Gestion des objets de services de domaine Active Directory
Chemin d'accs au profil. Ce chemin d'accs est soit un chemin d'accs local soit, plus souvent, un
chemin d'accs UNC (Universal Naming Convention). Les paramtres de Bureau de l'utilisateur sont
enregistrs dans le profil. Une fois que vous dfinissez un profil utilisateur l'aide d'un chemin UNC,
quel que soit l'ordinateur du domaine que l'utilisateur utilise pour ouvrir une session, ses paramtres
de bureau sont disponibles. Il s'agit d'un profil itinrant.
Remarque : Il est recommand d'utiliser un sous-dossier du dossier de base de l'utilisateur

pour le chemin d'accs du profil de l'utilisateur.
Script d'ouverture de session. Ce script est le nom d'un fichier de commandes qui contient
les commandes qui s'excutent lorsque l'utilisateur ouvre une session. En gnral, vous utilisez
ces commandes pour crer des mappages de lecteurs. Plutt que d'utiliser un fichier de commandes
de script d'ouverture de session, les administrateurs implmentent en gnral des scripts d'ouverture
de session l'aide des objets de stratgie de groupe (GPO) ou de prfrences de stratgie de groupe.
Si vous utilisez un script de connexion, cette valeur peut uniquement prendre la forme d'un nom
de fichier (avec extension). Les scripts doivent tre enregistrs dans le dossier
C:\Windows\SYSVOL\domain\scripts sur tous les contrleurs de domaine.
Dossier de base. Cette valeur permet de crer une zone de stockage personnelle dans laquelle
les utilisateurs peuvent sauvegarder leurs documents personnels. Vous pouvez spcifier un chemin
d'accs local ou, plus souvent, un chemin d'accs UNC au dossier de l'utilisateur. Vous devez
galement spcifier une lettre de lecteur qui est utilise pour mapper un lecteur rseau au chemin
UNC spcifi. Vous pouvez alors configurer les documents personnels d'un utilisateur ce dossier
de base redirig.
Gestion des profils l'aide de la console Stratgie de groupe
3-11
Une alternative l'utilisation des paramtres des comptes d'utilisateurs individuels consiste utiliser
des objets de stratgie de groupe pour grer ces paramtres. Vous pouvez configurer des paramtres
de redirection de dossiers l'aide de l'diteur de gestion des stratgies de groupe pour ouvrir un objet
de stratgie de groupe pour le modifier, puis accder au nud Configuration
utilisateur\Stratgies\Paramtres Windows.
Ces paramtres contiennent les sous-nuds repris dans le tableau suivant.
Sous-nuds dans le nud Paramtres Windows
AppData (Roaming)
Images
Tlchargements
Bureau
Musique
Liens
Menu Accueil
Vidos
Recherches
Document
Favoris
Parties enregistres
Contacts
Vous pouvez utiliser ces sous-nuds pour configurer tous les aspects des paramtres de profil de bureau
et d'application d'un utilisateur. Pour un sous-nud donn, tel que Documents, vous pouvez choisir entre
la redirection de base et la redirection avance. Dans la redirection de base, tous les utilisateurs affects
par l'objet de stratgie de groupe voient leur dossier Documents redirig vers un sous-dossier nomm
individuel sous un dossier racine commun dfini par un nom UNC, par exemple \\LON-SVR1\Users\.
La redirection avance permet d'utiliser l'appartenance au groupe de scurit pour dterminer
o stocker les paramtres et les documents d'un utilisateur.
Dmonstration : Gestion des comptes d'utilisateurs

Cette dmonstration vous explique galement comment :
ouvrir le Centre d'administration Active Directory ;
supprimer un compte d'utilisateur ;
crer un compte d'utilisateur ;
dplacer le compte d'utilisateur.
Ouvrir le Centre d'administration Active Directory
Sur LON-DC1, ouvrez le Centre d'administration Active Directory.
Supprimer un compte d'utilisateur
Localisez Ed Meadows dans l'unit d'organisation des gestionnaires, et supprimez le compte.
Crer un compte d'utilisateur
Crez un compte d'utilisateur nomm Ed Meadows. Assurez-vous que le compte est cr avec
un mot de passe fort.
Dplacer le compte d'utilisateur
Dplacez le compte Ed Meadows vers l'unit d'organisation relative au service informatique IT.
Leon 2
Gestion des comptes de groupes

Bien que l'attribution des autorisations et des capacits aux comptes d'utilisateurs individuels dans
de petits rseaux puisse tre pratique, elle devient impossible et inefficace dans de grands rseaux
d'entreprise. Par exemple, si de nombreux utilisateurs ont besoin du mme niveau d'accs un dossier,
il est plus efficace de crer un groupe qui contient les comptes d'utilisateurs requis, puis d'attribuer
au groupe les autorisations requises. Ceci a l'avantage de vous permettre de modifier les autorisations
d'accs aux fichiers d'un utilisateur en l'ajoutant ou le supprimant des groupes, plutt qu'en modifiant
les autorisations d'accs aux fichiers directement.
Avant d'implmenter des groupes dans votre organisation, vous devez comprendre l'tendue des
diffrents types de groupes Windows Server, et comment les utiliser au mieux pour grer l'accs
aux ressources ou pour attribuer des droits et des capacits de gestion.
dcrire les types de groupes ;
dcrire les tendues de groupes ;
expliquer comment implmenter la gestion des groupes ;
dcrire les groupes par dfaut ;
dcrire les identits spciales ;
grer des groupes dans Windows Server.
Types de groupes
Dans un rseau d'entreprise Windows Server 2012,
il y a deux types de groupes : les groupes de
scurit et les groupes de distribution. Lorsque
vous crez un groupe, vous choisissez le type
et l'tendue du groupe.
Les groupes de distribution, sur lesquels la scurit
n'est pas active, sont principalement utiliss par
des applications de messagerie lectronique. Cela
signifie qu'ils n'ont pas de SID, et qu'ils ne peuvent
donc pas tre autoriss accder aux ressources.
L'envoi d'un message un groupe de distribution
permet d'envoyer le message tous les membres
du groupe.
Les groupes de scurit sont des entits de scurit avec des SID. Vous pouvez donc utiliser ces groupes
dans des entres d'autorisation dans des listes de contrle d'accs pour contrler la scurit de l'accs
aux ressources. Vous pouvez galement utiliser des groupes de scurit des fins de distribution pour
des applications de messagerie lectronique. Si vous souhaitez utiliser un groupe pour grer la scurit,
celui-ci doit tre un groupe de scurit.
Remarque : Le type de groupe par dfaut est le groupe de scurit.
Comme vous pouvez utiliser des groupes de scurit pour l'accs aux ressources et la distribution
des messages lectroniques, de nombreuses organisations utilisent uniquement des groupes
de scurit. Cependant, si un groupe est utilis uniquement pour la distribution des messages
lectroniques, nous vous recommandons de crer le groupe en tant que groupe de distribution.
Dans le cas contraire, un SID est attribu au groupe, et le SID est ajout au jeton d'accs
de scurit de l'utilisateur, ce qui peut entraner une augmentation de taille du jeton
de scurit inutile.
Remarque : Pensez que quand vous ajoutez un utilisateur un groupe de scurit, le
jeton d'accs de l'utilisateur, qui authentifie les processus jour de l'utilisateur, est mis jour
uniquement quand l'utilisateur se connecte. Par consquent, si l'utilisateur est connect,
il doit fermer sa session et en ouvrir une autre pour mettre jour son jeton d'accs avec
les modifications d'appartenances aux groupes.
Remarque : L'avantage de l'utilisation des groupes de distribution est encore plus vident
dans des dploiements Exchange Server de grande ampleur, en particulier lorsque ces groupes
de distribution doivent tre imbriqus dans l'entreprise.
tendues de groupes
Windows Server 2012 prend en charge les
tendues de groupes. L'tendue d'un groupe
dtermine la fois la plage de capacits ou
d'autorisations d'un groupe, et l'appartenance
au groupe.
Il existe quatre tendues de groupes :
3-13
Local. Ce type de groupe est conu pour les

serveurs ou stations de travail autonomes,
sur des serveurs membres du domaine qui ne
sont pas des contrleurs de domaine ou sur
des stations de travail membres du domaine.
Les groupes locaux sont vraiment locaux,
c'est--dire qu'ils sont disponibles uniquement sur l'ordinateur sur lequel ils existent. Les principales
caractristiques d'un groupe local sont :
o
Vous pouvez attribuer des capacits et des autorisations uniquement sur les ressources locales,
c'est--dire sur l'ordinateur local.
Les membres peuvent tre n'importe o dans la fort AD DS, et peuvent inclure :
des entits de scurit du domaine : utilisateurs, ordinateurs, groupes globaux ou groupes

locaux de domaine ;
des utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine dans la fort ;
des utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine approuv ;
des groupes universels dfinis dans n'importe quel domaine de la fort.
Domaine local. Ce type de groupe est principalement utilis pour grer l'accs aux ressources ou
pour attribuer des responsabilits de gestion (droits). Les groupes locaux de domaine existent sur
des contrleurs de domaine dans une fort AD DS et, par consquent, l'tendue des groupes est
localise au domaine dans lequel ils rsident. Les principales caractristiques des groupes locaux
de domaine sont :
o
Vous pouvez attribuer des capacits et des autorisations uniquement sur les ressources locales
de domaine, c'est--dire sur tous les ordinateurs du domaine local.
des entits de scurit du domaine : utilisateurs, ordinateurs, groupes globaux ou groupes

locaux de domaine ;
des utilisateurs, ordinateurs et groupes globaux de n'importe quel domaine approuv ;
Global. Ce type de groupe est principalement utilis pour regrouper les utilisateurs qui prsentent
des caractristiques semblables. Par exemple, des groupes globaux sont souvent utiliss pour
regrouper les utilisateurs qui font partie d'un service ou d'un emplacement gographique.
Les principales caractristiques des groupes globaux sont :
o
Vous pouvez attribuer des capacits et des autorisations n'importe o dans la fort.
Les membres peuvent uniquement provenir du domaine local et peuvent inclure :
des utilisateurs, ordinateurs et groupes globaux du domaine local.
Universel. Ce type de groupe est le plus utile dans les rseaux multidomaines car qu'il combine
les caractristiques des groupes locaux de domaine et des groupes globaux. Plus particulirement,
les principales caractristiques des groupes universels sont :
o
Vous pouvez attribuer des capacits et des autorisations n'importe o dans la fort, comme
pour les groupes globaux.
Les proprits des groupes universels sont propages au catalogue global, et rendues disponibles
dans le rseau de l'entreprise sur tous les contrleurs de domaine qui hbergent le rle de
catalogue global. Ceci qui permet d'accder plus facilement aux listes des membres des groupes
universels, ce qui peut tre utile dans des scnarios multidomaines. Par exemple, si un groupe
universel est utilis pour la distribution de la messagerie lectronique, le processus de
dtermination de la liste des membres est gnralement plus rapide dans les rseaux
multidomaines distribus.
Implmentation de la gestion des groupes

L'ajout des groupes d'autres groupes est un
processus appel imbrication. L'imbrication
cre une hirarchie des groupes qui prennent
en charge vos rles mtier et rgles de gestion.
Il est conseill d'utiliser l'imbrication de groupes
appele IGDLA, qui est l'acronyme en anglais de :
Identits
Groupes globaux
Groupes locaux de domaine
Accs
3-15
Les identits (comptes d'utilisateurs et comptes d'ordinateurs) sont membres des groupes globaux,
qui reprsentent des rles mtier. Ces groupes de rles (groupes globaux) sont membres des groupes
locaux de domaine, qui reprsentent les rgles de gestion, par exemple, pour dterminer qui dispose de
l'autorisation en lecture sur un ensemble spcifique de dossiers. Ces groupes de rgles (groupes locaux
de domaine) sont autoriss accder aux ressources. Dans le cas d'un dossier partag, l'accs est accord
en ajoutant le groupe local de domaine la liste de contrle d'accs du dossier, avec une autorisation
qui fournit le niveau d'accs appropri.
Une fort multidomaine contient galement des groupes universels, qui se trouvent entre les groupes
globaux et les groupes locaux de domaine. Les groupes globaux de plusieurs domaines sont membres
d'un seul groupe universel. Ce groupe universel est membre des groupes locaux de domaine dans de
plusieurs domaines. Pensez l'imbrication en tant qu'IGUDLA.
Exemple IGDLA
L'illustration sur la diapositive reprsente une implmentation de groupe qui reflte le point de vue
technique des mthodes conseilles de gestion des groupes (IGDLA), et le point de vue commercial
de la gestion base sur les rles et sur les rgles.
Prenez le scnario suivant :
Le personnel de vente chez Contoso, Ltd a juste termin son exercice comptable. Les fichiers de ventes
de l'anne prcdente se trouvent dans un dossier appel Ventes. Le personnel de vente a besoin de
l'accs en lecture sur le dossier Ventes. En outre, une quipe d'auditeurs de Woodgrove Bank, investisseur
potentiel, exigent l'accs en lecture au dossier Ventes pour effectuer l'audit. Procdez comme suit pour
implmenter la scurit requise par ce scnario :
1.
Affectez aux utilisateurs des responsabilits professionnelles communes ou d'autres caractristiques

commerciales aux groupes de rles implments comme groupes de scurit globaux. Faites ceci
sparment dans chaque domaine. Le personnel de vente chez Contoso est ajout un groupe
de rles Ventes ; les auditeurs chez Woodgrove Bank sont ajouts un groupe de rles Auditeurs.
2.
Crez un groupe pour grer l'accs aux dossiers Ventes avec l'autorisation Lecture. Implmentez
ceci dans le domaine qui contient la ressource gre. Dans ce cas, le dossier Ventes rside dans
le domaine Contoso. Par consquent, vous crez le groupe de rgles de gestion de l'accs aux
ressources en tant que groupe local de domaine nomm ACL_Sales Folders_Read.
3.
Ajoutez les groupes de rles au groupe de rgles de gestion de l'accs aux ressources pour
reprsenter la rgle de gestion. Ces groupes peuvent provenir de n'importe quel domaine de la fort
ou d'un domaine de confiance, tel que Woodgrove Bank. Les groupes globaux de domaines externes
de confiance, ou de n'importe quel domaine de la mme fort, peuvent tre membre d'un groupe
local de domaine.
4.
Attribuez l'autorisation qui implmente le niveau d'accs requis. Dans ce cas, accordez l'autorisation
Autoriser la lecture au groupe local de domaine.
Cette stratgie cre deux points uniques de gestion, rduisant ainsi la charge de gestion. Un point
de gestion dfinit les membres du personnel de vente, l'autre point de gestion dfinit qui est auditeur.
Puisque ces rles sont susceptibles d'avoir accs diverses ressources au-del du dossier Ventes, un autre
point de gestion permet de dterminer qui a accs en lecture au dossier Ventes. En outre, le dossier
Ventes peut ne pas tre un dossier unique sur un serveur unique ; il peut tre constitu d'un ensemble
de dossiers sur plusieurs serveurs, chacun attribuant l'autorisation Autoriser la lecture au groupe local
de domaine unique.
Groupes par dfaut

Le serveur Windows Server 2012 cre un certain
nombre de groupes automatiquement. Ceux-ci
sont appels groupes locaux par dfaut, et ils
comprennent les groupes rputs tels que
Administrateurs, Oprateurs de sauvegarde et
Utilisateurs du Bureau distance. Des groupes
supplmentaires sont crs dans un domaine,
dans les conteneurs Builtin et Utilisateurs, dont
les Admins du domaine, les Administrateurs de
l'entreprise et les Administrateurs du schma.
La liste suivante fournit un rsum des fonctions
pour le sous-ensemble de groupes par dfaut qui
ont des autorisations significatives et des droits d'utilisateur lis la gestion d'AD DS :
Administrateurs de l'entreprise (dans le conteneur Utilisateurs du domaine racine de la fort).

Ce groupe est membre du groupe Administrateurs dans tous les domaines dans la fort, qui
lui donne un accs complet la configuration de tous les contrleurs de domaine. Il possde
galement la partition Configuration du rpertoire et dispose du contrle total sur le contexte
de dnomination du domaine dans tous les domaines de la fort.
Administrateurs du schma (conteneur Utilisateurs du domaine racine de la fort). Ce groupe

possde le schma Active Directory, sur lequel il a un contrle total.
Administrateurs (conteneur intgr de chaque domaine). Les membres de ce groupe disposent

du contrle total sur tous les contrleurs de domaine et les donnes dans le contexte de
dnomination de domaine. Ils peuvent modifier l'appartenance tous les autres groupes
administratifs dans le domaine, et le groupe Administrateurs dans le domaine racine de la fort
peut modifier l'appartenance des Administrateurs de l'entreprise, Administrateurs du schma
et Administrateurs du domaine. Le groupe Administrateurs dans le domaine racine de la fort
est sans doute le groupe d'administration de service le plus puissant dans la fort.
3-17
Admins du domaine (conteneur Utilisateurs de chaque domaine). Ce groupe est ajout au groupe
Administrateurs de son domaine. Il hrite donc de toutes les fonctions du groupe Administrateurs.
Il est galement ajout par dfaut au groupe Administrateurs local de chaque ordinateur membre
du domaine, accordant la proprit de tous les ordinateurs du domaine aux Admins du domaine.
Oprateurs de serveur (conteneur intgr de chaque domaine). Les membres de ce groupe peuvent
effectuer des tches de maintenance sur les contrleurs de domaine. Ils ont le droit d'ouvrir une
session localement, de dmarrer et arrter des services, d'excuter des oprations de sauvegarde
et de restauration, de formater des disques, de crer ou supprimer des partages, et d'arrter des
contrleurs de domaine. Par dfaut, ce groupe ne comprend pas de membres.
Oprateurs de compte (conteneur intgr de chaque domaine). Les membres de ce groupe peuvent
crer, modifier et supprimer les comptes des utilisateurs, des groupes et des ordinateurs situs dans
une unit d'organisation du domaine (sauf ceux de l'unit d'organisation Contrleurs de domaine)
et dans le conteneur Utilisateurs et ordinateurs. Les membres du groupe Oprateurs de compte
ne peuvent pas modifier les comptes qui sont membres des groupes Administrateurs ou Admins
du domaine, ni modifier ces groupes. Les membres du groupe Oprateurs de compte peuvent
galement ouvrir une session localement sur les contrleurs de domaine. Par dfaut, ce groupe
ne comprend pas de membres.
Oprateurs de sauvegarde (conteneur intgr de chaque domaine). Les membres de ce groupe

peuvent excuter des oprations de sauvegarde et de restauration sur les contrleurs de domaine,
et ouvrir une session localement et arrter les contrleurs de domaine. Par dfaut, ce groupe ne
comprend pas de membres.
Oprateurs d'impression (conteneur intgr de chaque domaine). Les membres de ce groupe peuvent
effectuer la maintenance des files d'attente d'impression sur les contrleurs de domaine. Ils peuvent
aussi ouvrir des sessions localement et arrter les contrleurs de domaine.
Vous devez grer soigneusement les groupes par dfaut qui fournissent des privilges d'administrateur,
car ils ont en gnral des privilges plus larges que cela est ncessaire pour la plupart des environnements
dlgus, et car ils appliquent souvent la protection leurs membres.
Le groupe Oprateurs de compte en est un bon exemple. Si vous examinez les fonctions du groupe
Oprateurs de compte dans la liste prcdente, vous pouvez voir que les membres de ce groupe ont
des droits trs larges, ils peuvent mme ouvrir une session localement sur un contrleur de domaine.
Dans les trs petits rseaux, de tels droits peuvent tre appropris pour une ou deux personnes qui
sont gnralement les administrateurs de domaine de toute faon. Dans de grandes entreprises,
les droits et autorisations accords aux Oprateurs de compte sont gnralement trop larges.
En outre, le groupe Oprateurs de compte est, comme les autres groupes administratifs, un groupe
protg.
Les groupes protgs sont dfinis par le systme d'exploitation et ne peuvent pas tre non protgs.
Les membres d'un groupe protg deviennent protgs par l'association. Le rsultat de la protection est
que les autorisations (listes de contrle d'accs) des membres sont modifies de sorte qu'elles n'hritent
plus des autorisations de leur unit d'organisation, mais reoivent plutt une copie d'une liste de contrle
d'accs qui est beaucoup plus restrictive. Par exemple, si vous ajoutez Jeff Ford au groupe Oprateurs
de compte, son compte devient protg, et l'assistance technique, qui peut rinitialiser tous autres
mots de passe d'utilisateur dans l'unit d'organisation Employs, ne peut pas rinitialiser le mot
de passe de Jeff Ford.
vitez d'ajouter des utilisateurs aux groupes qui n'ont pas de membres par dfaut (Oprateurs de compte,
Oprateurs de sauvegarde, Oprateurs de serveur et Oprateurs d'impression). Au lieu de cela, crez des
groupes personnaliss auxquels vous attribuez des autorisations et des droits d'utilisateur qui rpondent
vos exigences commerciales et administratives.
Par exemple, si Scott Mitchell doit tre en mesure d'excuter des oprations de sauvegarde sur un
contrleur de domaine, mais qu'il ne doit pas pouvoir excuter les oprations de restauration qui
pourraient entraner la restauration de la base de donnes ou l'endommager, ni arrter un contrleur
de domaine, ne placez pas Scott dans le groupe Oprateurs de sauvegarde. Crez plutt un groupe
et attribuez-lui uniquement le droit d'utilisateur Sauvegarde des fichiers et des rpertoires, puis
ajoutez Scott en tant que membre.
Identits spciales
Windows et AD DS prennent galement en charge
les identits spciales, qui sont des groupes dont
l'appartenance est contrle par le systme
d'exploitation. Vous ne pouvez afficher les
groupes dans aucune liste (dans le composant
logiciel enfichable Utilisateurs et ordinateurs
Active Directory, par exemple), vous ne pouvez
ni afficher ni modifier l'appartenance de ces
identits spciales, et vous ne pouvez pas
les ajouter d'autres groupes. Vous pouvez,
cependant, utiliser ces groupes pour attribuer
des droits et des autorisations.
Les identits spciales les plus importantes, souvent appeles groupes (par commodit), sont dcrites
dans la liste suivante :
Ouverture de session anonyme. Cette identit reprsente des connexions un ordinateur

et ses ressources qui sont tablies sans fournir de nom d'utilisateur et de mot de passe.
Avant Windows Server 2003, ce groupe tait membre du chacun Tout le monde. partir de
Windows Server 2003, ce groupe n'est plus un membre par dfaut du groupe Tout le monde.
Utilisateurs authentifis. Ceci reprsente les identits qui ont t authentifies. Ce groupe n'inclut
pas le compte Invit, mme si celui-ci a un mot de passe.
Tout le monde. Cette identit comprend le groupe Utilisateurs authentifis et le compte Invit.
(Sur les ordinateurs qui excutent des versions du systme d'exploitation Windows Server
antrieures Windows Server 2003, ce groupe inclut le groupe Ouverture de session anonyme.)
3-19
Interactif. Ceci reprsente les utilisateurs qui accdent une ressource en tant connects localement
l'ordinateur qui hberge la ressource, et non via le rseau. Lorsqu'un utilisateur accde une
ressource quelconque sur un ordinateur sur lequel l'utilisateur a ouvert une session localement,
l'utilisateur est automatiquement ajout au groupe Interactif pour cette ressource. Le groupe
Interactif comprend galement les utilisateurs qui ouvrent une session via une connexion
Bureau distance.
Rseau. Ceci reprsente les utilisateurs qui accdent une ressource sur le rseau, et non les
utilisateurs qui sont connects localement l'ordinateur qui hberge la ressource. Lorsqu'un
utilisateur accde une ressource quelconque sur le rseau, l'utilisateur est automatiquement
ajout au groupe Rseau pour cette ressource.
L'importance de ces identits spciales rside dans le fait que vous pouvez les utiliser pour fournir
l'accs aux ressources selon le type d'authentification ou de connexion, plutt que le compte d'utilisateur.
Par exemple, vous pouvez crer un dossier sur un systme qui permet aux utilisateurs d'afficher son
contenu quand ils ont ouvert une session localement sur le systme, mais qui ne permet pas aux mmes
utilisateurs d'afficher le contenu d'un lecteur mapp sur le rseau. Vous pouvez faire ceci en attribuant
des autorisations l'identit spciale Interactif.
Dmonstration : Gestion des groupes

crer un groupe ;
ajouter des membres au groupe ;
ajouter un utilisateur au groupe ;
changer le type et l'tendue du groupe ;
modifier la proprit Gr par du groupe.
Crer un groupe
1.
2.
Crez un groupe de scurit global dans l'unit d'organisation relative au service informatique IT
appele Responsables TI.
Ajouter des membres au groupe
Ajoutez plusieurs utilisateurs au nouveau groupe.
Ajouter un utilisateur au groupe
Ajoutez Ed Meadows au groupe Responsables TI.
Changer le type et l'tendue du groupe
Dans les proprits du groupe Responsables TI, modifiez l'tendue du groupe Universel et le type
Distribution.
Modifier la proprit Gr par du groupe
Ajoutez Ed Meadows la liste Gr par, puis accordez-lui l'autorisation Le gestionnaire peut

mettre jour la liste des membres.
Leon 3
Gestion des comptes d'ordinateurs
Un compte d'ordinateur commence son cycle de vie lorsque vous le crez et le joignez votre domaine.
Ensuite, les tches d'administration quotidiennes comprennent les tches suivantes :
configurer les proprits de l'ordinateur ;
dplacer l'ordinateur d'une unit d'organisation une autre ;
grer l'ordinateur lui-mme ;
attribuer un nouveau nom, rinitialiser, dsactiver, activer et enfin supprimer l'objet ordinateur.
Il est important que vous sachiez effectuer ces diverses tches de gestion de l'ordinateur afin de pouvoir
configurer et maintenir les objets ordinateur dans votre organisation.
Expliquez le rle du conteneur Ordinateurs AD DS.
Dcrivez comment configurer l'emplacement des comptes d'ordinateurs.
Expliquez comment contrler qui est autoris crer des comptes d'ordinateurs.
Dcrivez les comptes d'ordinateurs et le canal scuris.
Expliquez comment rinitialiser le canal scuris.
Qu'est-ce que le conteneur Ordinateurs ?

Avant de crer un objet ordinateur dans
le service d'annuaire, vous devez disposer
d'un emplacement o le mettre.
Lorsque vous crez un domaine, le conteneur
Ordinateurs est cr par dfaut (CN=Computers).
Ce conteneur n'est pas une unit d'organisation ;
au lieu de cela, c'est un objet de la classe
Conteneur.
Il existe des diffrences subtiles mais importantes

entre un conteneur et une unit d'organisation.
Vous ne pouvez pas crer une unit d'organisation
dans un conteneur, ainsi vous ne pouvez pas
subdiviser l'unit d'organisation Ordinateurs. Vous ne pouvez pas non plus lier un objet de stratgie
de groupe un conteneur. Par consquent, nous vous recommandons de crer des units d'organisation
personnalises pour hberger les objets ordinateur, au lieu d'utiliser le conteneur Ordinateurs.
Spcification de l'emplacement des comptes d'ordinateurs

La plupart des organisations crent au moins deux
units d'organisation pour les objets ordinateur :
une pour les serveurs, et une autre pour hberger
les comptes d'ordinateurs pour les ordinateurs
clients, tels que des bureaux, des portables et
d'autres systmes utilisateur. Ces deux units
d'organisation s'ajoutent l'unit d'organisation
Contrleurs de domaine qui est cre par dfaut
pendant l'installation d'AD DS.
Les objets ordinateur sont crs dans les deux
units d'organisation. Il n'existe aucune diffrence
technique entre un objet ordinateur dans l'unit
d'organisation d'un client et un objet ordinateur dans une unit d'organisation du serveur ou du
contrleur de domaine ; les objets ordinateur sont des objets ordinateur. Cependant, des units
d'organisation distinctes sont gnralement cres pour fournir des tendues de gestion uniques,
de sorte que vous puissiez dlguer la gestion des objets clients une quipe et la gestion des
objets serveur une autre.
3-21
Votre modle d'administration peut ncessiter une division supplmentaire de vos units d'organisation
client et serveur. De nombreuses organisations crent des sous-units d'organisation sous une unit
d'organisation serveur, pour collecter et grer les types spcifiques de serveurs. Par exemple, vous pouvez
crer une unit d'organisation pour les serveurs de fichiers et d'impression, et une unit d'organisation
pour les serveurs de base de donnes. En procdant ainsi, vous pouvez dlguer des autorisations
pour grer les objets ordinateur dans l'unit d'organisation approprie l'quipe d'administrateurs
pour chaque type de serveur. De mme, les organisations distribues gographiquement avec des
quipes de support technique locales divisent souvent une unit d'organisation parente pour les clients
en sous-units d'organisation pour chaque site. Cette approche permet l'quipe de support de chaque
site de crer des objets ordinateur dans le site pour les ordinateurs clients, et pour joindre les ordinateurs
au domaine l'aide de ces objets ordinateur.
Outre ces exemples spcifiques, le plus important est que votre structure de l'unit d'organisation
reflte votre modle d'administration de sorte que vos units d'organisation puissent fournir des
points de gestion uniques pour la dlgation de l'administration.
En outre, l'aide des units d'organisation distinctes, vous pouvez crer diverses configurations
de base l'aide des diffrents objets de stratgie de groupe qui sont lis aux units d'organisations
client et serveur. Avec la stratgie de groupe, vous pouvez spcifier la configuration pour des ensembles
d'ordinateurs en liant les objets de stratgies de groupe qui contiennent des instructions de configuration
aux units d'organisation. Les organisations sparent souvent les clients dans les units d'organisation
de l'ordinateur de bureau et de l'ordinateur portable. Vous alors pouvez lier les objets de stratgie de
groupe qui spcifient la configuration de l'ordinateur de bureau ou de l'ordinateur portable aux units
d'organisation appropries.
Remarque : Vous pouvez utiliser l'outil de ligne de commande Redircmp.exe pour
reconfigurer le conteneur de l'ordinateur par dfaut. Par exemple, si vous souhaitez modifier
le conteneur d'ordinateur par dfaut en une unit d'organisation appele mycomputers,
utilisez la syntaxe suivante :
redircmp ou=mycomputers,DC=contoso,dc=com
Contrle des autorisations pour crer des comptes d'ordinateurs

Pour joindre un ordinateur un domaine
Active Directory, quatre conditions doivent
tre remplies :
Un objet ordinateur doit exister dans

le service d'annuaire.
Vous devez disposer des autorisations

appropries sur l'objet ordinateur qui
vous permettent de joindre un ordinateur
physique avec un nom qui correspond
celui de l'objet dans AD DS au domaine.
Vous devez tre membre du groupe

Administrateurs local sur l'ordinateur. Vous pouvez ainsi modifier l'appartenance au domaine
ou au groupe de travail de l'ordinateur.
Vous ne devez pas dpasser le nombre maximal de comptes d'ordinateurs que vous pouvez ajouter
au domaine. Par dfaut, les utilisateurs peuvent uniquement ajouter un maximum de dix ordinateurs
au domaine ; cette valeur est appele quota de comptes ordinateurs et est contrle par la valeur de
MS-DS-MachineQuota. Vous pouvez modifier cette valeur l'aide du composant logiciel enfichable
ADSIEdit.
Remarque : Vous n'avez pas besoin de crer un objet ordinateur dans le service d'annuaire,
mais cela est recommand. De nombreux administrateurs joignent les ordinateurs un domaine
sans d'abord crer un objet ordinateur. Cependant, quand vous faites ceci, Windows Server tente
de joindre le domaine un objet existant. Si Windows Server ne trouve pas l'objet, il est restaur
et cre un objet ordinateur dans le conteneur Ordinateur par dfaut.
Le processus de cration d'un compte d'ordinateur l'avance est appel prinstallation d'un ordinateur.
La prinstallation d'un ordinateur prsente deux principaux avantages :
Le compte est plac dans l'unit d'organisation approprie, et est donc dlgu selon la stratgie
de scurit dfinie par la liste de contrle d'accs de l'unit d'organisation.
L'ordinateur se trouve dans l'tendue des objets de stratgie de groupe lis l'unit d'organisation,
avant que l'ordinateur joigne le domaine.
Pour ce faire, une fois que vous tes autoris crer des objets ordinateur, cliquez avec le bouton droit
sur l'unit d'organisation et dans du menu Nouveau, cliquez sur Ordinateur. Ensuite, entrez le nom de
l'ordinateur, conformment la convention d'affectation de noms de votre entreprise, et slectionnez
l'utilisateur ou le groupe qui seront autoriss pour joindre l'ordinateur au domaine avec ce compte.
Le nom des deux ordinateurs (Nom de l'ordinateur et Nom de l'ordinateur, avant Windows 2000)
devraient tre identiques. Il est trs rarement justifi de les configurer sparment.
Dlgation des autorisations
3-23
Par dfaut, les groupes Administrateurs de l'entreprise, Admins du domaine, Administrateurs et

Oprateurs de compte sont autoriss crer des objets ordinateur dans n'importe quelle nouvelle
unit d'organisation. Cependant, comme indiqu prcdemment, nous vous recommandons de limiter
strictement l'appartenance aux trois premiers groupes, et de n'ajouter aucun administrateur au groupe
Oprateurs de compte.
la place, dlguez l'autorisation de cration d'objets ordinateur (appele Crer des objets d'ordinateur)
aux administrateurs comptents ou au service de support technique. Cette autorisation, qui est attribue
au groupe d'une unit d'organisation, permet aux membres du groupe de crer des objets ordinateur
dans cette unit d'organisation. Par exemple, vous pouvez autoriser votre quipe de support technique
crer des objets ordinateur dans les units d'organisation clientes, et autoriser vos administrateurs
de serveur de fichiers crer des objets ordinateur dans l'unit d'organisation des serveurs de fichiers.
Pour dlguer les autorisations de cration de comptes d'ordinateurs, vous pouvez utiliser l'Assistant
Dlgation de contrle pour choisir une tche personnalise dlguer.
Lorsque vous dlguez des autorisations de gestion des comptes d'ordinateurs, vous pouvez envisager
d'accorder des autorisations supplmentaires celles requises pour crer des comptes d'ordinateurs.
Par exemple, vous pouvez dcider d'autoriser un administrateur dlgu grer les proprits de
comptes d'ordinateurs existants, supprimer le compte d'ordinateur ou dplacer le compte d'ordinateur.
Remarque : Si vous souhaitez autoriser un administrateur dlgu dplacer des
comptes d'ordinateurs, n'oubliez pas qu'il a besoin des autorisations appropries la fois
dans le conteneur AD DS source (o l'ordinateur existe actuellement) et dans le conteneur
cible (vers lequel il dplace l'ordinateur). Plus particulirement, il doit disposer des autorisations
de suppression des ordinateurs dans le conteneur de source et de cration des ordinateurs
dans le conteneur cible.
Comptes d'ordinateurs et canaux scuriss

Chaque ordinateur membre d'un domaine AD DS
conserve un compte d'ordinateur avec un nom
d'utilisateur (SamAccountName) et un mot de
passe, tout comme le fait un compte d'utilisateur.
L'ordinateur enregistre son mot de passe sous
forme de secret d'autorit de scurit locale, et
modifie son mot de passe avec le domaine tous
les 30 jours environ. Le service NetLogon utilise
les informations d'identification pour ouvrir
une session sur le domaine, qui tablit le canal
scuris avec un contrleur de domaine.
Les comptes d'ordinateurs et les relations scurises entre les ordinateurs et leur domaine sont fiables.
Nanmoins, il peut arriver qu'un ordinateur ne puisse plus s'authentifier auprs du domaine. Voici des
exemples de ces scnarios :
Aprs la rinstallation du systme d'exploitation sur une station de travail, la station de travail ne peut
pas s'authentifier, bien que le technicien ait utilis le mme nom d'ordinateur que celui utilis dans
l'installation prcdente. tant donn que la nouvelle installation a gnr un nouveau SID et que
le nouvel ordinateur ne connat pas le mot de passe initial du compte d'ordinateur dans le domaine,
il n'appartient pas au domaine et ne peut pas s'authentifier auprs du domaine.
Un ordinateur n'a pas t utilis pendant une longue priode, par exemple parce que l'utilisateur est
en vacances ou travaille distance. Les ordinateurs modifient leurs mots de passe tous les 30 jours,
et les services de domaine Active Directory se souviennent du mot de passe actuel et du mot de passe
prcdent. Si l'ordinateur n'est pas utilis pendant cette priode, l'authentification peut chouer.
Le secret d'autorit de scurit locale d'un ordinateur n'est plus synchronis avec le mot de passe
que le domaine connat. Cela quivaut un ordinateur oubliant son mot de passe. Bien qu'il n'ait
pas oubli son mot de passe, il est en dsaccord avec le domaine quant au mot de passe. Lorsque
cela se produit, l'ordinateur ne peut pas s'authentifier et le canal scuris ne peut pas tre cr.
Rinitialisation du canal scuris

De temps autre, les relations de scurit entre
un compte d'ordinateur et son domaine peuvent
tre interrompues ; ceci entrane un certain
nombre de symptmes et d'erreurs. Les signes
les plus courants des problmes de compte
d'ordinateur sont :
Les messages qui s'affichent l'ouverture

de session indiquent qu'un contrleur de
domaine ne peut pas tre contact, que le
compte d'ordinateur est peut-tre manquant,
que le mot de passe du compte d'ordinateur
est incorrect, ou que la relation d'approbation
(autre faon de dire relation scurise) entre l'ordinateur et le domaine a t perdue.
Les messages d'erreur ou les vnements dans le journal des vnements indiquent les problmes
semblables ou suggrent que les mots de passe, les approbations, les canaux scuriss ou les relations
avec le domaine ou un contrleur de domaine ont chou. Un exemple de ce type d'erreur est
ID d'vnement NETLOGON 3210 : chec de l'authentification , qui apparat dans le journal
des vnements de l'ordinateur.
Un compte d'ordinateur manque dans AD DS.
Quand le canal scuris choue, vous devez le rinitialiser. Beaucoup d'administrateurs font cela en
supprimant l'ordinateur du domaine, en le plaant dans un groupe de travail, puis en rejoignant le
domaine. Cependant, cette procdure n'est pas recommande car elle risque de supprimer compltement
le compte d'ordinateur. La suppression du compte d'ordinateur supprime le SID de l'ordinateur, et
plus important encore, ses appartenances aux groupes. Lorsque vous rejoignez le domaine l'aide
de cette procdure, bien que l'ordinateur ait le mme nom, le compte a un nouveau SID, et toutes
les appartenances aux groupes de l'objet ordinateur prcdent doivent tre recres pour inclure le
nouveau SID. Par consquent, si l'approbation avec le domaine a t perdue, ne supprimez pas un
ordinateur du domaine pour ensuite le joindre nouveau. la place, rinitialisez le canal scuris.
Ceci permet de vous assurer que le compte d'ordinateur existant peut tre rutilis.
3-25
Pour rinitialiser le canal scuris entre un membre du domaine et le domaine, utilisez le composant
logiciel enfichable Utilisateurs et ordinateurs Active Directory, DSMod.exe, NetDom.exe ou NLTest.exe.
Si vous rinitialisez le compte, le SID de l'ordinateur reste le mme et il maintient ses appartenances
aux groupes.
Pour rinitialiser le canal scuris l'aide du Centre d'administration Active Directory :
1.
Cliquez avec le bouton droit sur un ordinateur, puis cliquez sur Rinitialiser le compte.
2.
Cliquez sur Oui pour confirmer votre choix.
3.
Joignez nouveau l'ordinateur au domaine, puis redmarrez l'ordinateur.
Pour rinitialiser le canal scuris l'aide de DSMod :

4.
l'invite de commandes, tapez la commande suivante :

dsmod computer ComputerDN reset
5.
Joignez nouveau l'ordinateur au domaine, puis redmarrez l'ordinateur.
Pour rinitialiser le canal scuris l'aide de NetDom.exe, saisissez la commande suivante une invite
de commandes, o les informations d'identification appartiennent au groupe Administrateurs local
de l'ordinateur :
netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password |

*}
Cette commande rinitialise le canal scuris en essayant de rinitialiser le mot de passe sur l'ordinateur
et sur le domaine, afin de ne pas devoir effectuer une nouvelle jonction ou un redmarrage.
Pour rinitialiser le canal scuris l'aide de NLTest.exe, sur l'ordinateur qui a perdu son approbation,
saisissez la commande suivante une invite de commandes :
NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER
Vous pouvez galement utiliser Windows PowerShell avec le module Active Directory pour rinitialiser un
compte d'ordinateur. L'exemple suivant montre comment rinitialiser le canal scuris entre l'ordinateur
local et le domaine auquel il est joint.
Vous devez excuter cette commande sur l'ordinateur local :
Test ComputerSecureChannel Repair
Remarque : Vous pouvez galement rinitialiser le mot de passe d'un ordinateur distant
avec Windows PowerShell :
invoke-command -computername Workstation1 -scriptblock {reset-computermachinepassword}
Leon 4
Dlgation de l'administration
Bien qu'une seule personne puisse grer un petit rseau avec quelques utilisateurs et comptes
d'ordinateurs. Au fur et mesure que le rseau crot, la charge de travail lie la gestion du rseau
fait de mme. un moment donn, les quipes avec des spcialisations particulires voluent, chacune
tant responsable d'un certain aspect spcifique de la gestion du rseau. Dans des environnements
AD DS, il est courant de crer des units d'organisation pour apporter une structure dpartementale
ou gographique aux objets en rseau, et pour activer la configuration de la dlgation administrative.
Il est important que vous sachiez pourquoi et comment crer des units d'organisation, et comment
dlguer des tches d'administration aux utilisateurs sur des objets dans ces units d'organisation.
Dcrivez les autorisations AD DS.
Dterminez les autorisations AD DS efficaces d'un utilisateur sur un objet AD DS.
Dlguez le contrle administratif d'un objet AD DS un utilisateur ou un groupe d'utilisateurs

spcifique.
Autorisations AD DS
Tous les objets AD DS, tels que des utilisateurs,
ordinateurs et groupes, peuvent tre scuriss
l'aide d'une liste d'autorisations. Les autorisations
sur un objet sont appeles entres de contrle
d'accs, et sont attribues aux utilisateurs, aux
groupes ou aux ordinateurs, qui sont galement
appels entits de scurit. Les entres de contrle
d'accs sont enregistres dans la liste de contrle
d'accs discrtionnaire (DACL) de l'objet, qui fait
partie de la liste de contrle d'accs de l'objet.
La liste de contrle d'accs contient la liste de
contrle d'accs systme (SACL) qui comprend
des paramtres d'audit.
Chaque objet dans AD DS dispose de sa propre liste de contrle d'accs. Si vous disposez des
autorisations suffisantes, vous pouvez modifier les autorisations pour contrler le niveau d'accs sur
un objet AD DS spcifique. La dlgation du contrle administratif implique d'affecter les autorisations
qui grent l'accs aux objets et aux proprits dans AD DS. Tout comme vous pouvez donner
un groupe la capacit de modifier des fichiers dans un dossier, vous pouvez donner un groupe
la capacit, par exemple, de rinitialiser des mots de passe sur des objets utilisateur.
La liste DACL d'un objet permet galement d'attribuer des autorisations des proprits spcifiques d'un
objet. Par exemple, vous pouvez octroyer (ou refuser) l'autorisation de modifier les options de tlphone
et de messagerie lectronique. En fait, il ne s'agit pas seulement d'une proprit. C'est un ensemble
de proprits qui regroupe plusieurs proprits spcifiques. Grce aux ensembles de proprits, vous
pouvez facilement grer les autorisations des collections de proprits couramment utilises. Cependant,
vous pouvez galement attribuer des autorisations plus prcises et accorder ou refuser l'autorisation
de modifier certaines informations, telles que le numro de tlphone portable ou l'adresse postale.
Accorder l'assistance technique l'autorisation de rinitialiser les mots de passe pour tous les objets
utilisateur est une opration fastidieuse. Nanmoins, dans AD DS, il n'est pas recommand d'attribuer
des autorisations des objets distincts. Vous devez plutt attribuer des autorisations au niveau des
units d'organisation.
Les autorisations que vous attribuez une unit d'organisation sont hrites par tous les objets dans
l'unit d'organisation. Par consquent, si vous autorisez l'assistance technique rinitialiser les mots
de passe pour des objets utilisateur et que vous associez cette autorisation l'unit d'organisation
qui contient les utilisateurs, tous les objets utilisateur dans cette unit d'organisation hritent de
cette autorisation. En une seule tape, vous avez dlgu cette tche d'administration.
3-27
Les objets enfants hritent des autorisations du conteneur parent ou de l'unit d'organisation parente.
Cet conteneur ou cette unit d'organisation hrite des autorisations de son conteneur parent ou de son
unit d'organisation parente. S'il s'agit d'un conteneur ou d'une unit d'organisation de premier niveau,
il ou elle hrite des autorisations du domaine mme. La raison pour laquelle les objets enfant hritent
des autorisations de leurs parents est que, par dfaut, chaque nouvel objet est cr avec l'option
Inclure les autorisations pouvant tre hrites du parent de cet objet active.
Autorisations AD DS effectives
Les autorisations effectives sont les autorisations

rsultantes pour une entit de scurit (tel qu'un
utilisateur ou un groupe), reposant sur l'effet
cumulatif de chaque entre de contrle d'accs
hrite et explicite. Votre capacit rinitialiser
un mot de passe d'utilisateur, par exemple, peut
tre due votre appartenance un groupe qui
dispose de l'autorisation Rinitialiser le mot de
passe sur une unit d'organisation, plusieurs
niveaux au-dessus de l'objet utilisateur.
L'autorisation hrite attribue un groupe
auquel vous appartenez octroie une autorisation
effective Autoriser : Rinitialiser le mot de passe. Vos autorisations effectives peuvent tre compliques
lorsque vous prenez en compte les autorisations Autoriser et Refuser, les entres de contrle d'accs
explicites et hrites, et le fait que vous pouvez appartenir plusieurs groupes, chacun pouvant tre
dot de diffrentes autorisations.
Les autorisations, qu'elles soient attribues votre compte d'utilisateur ou un groupe auquel vous
appartenez, sont quivalentes. Cela signifie que, au final, une entre de contrle d'accs s'applique
vous, l'utilisateur. La mthode conseille consiste grer des autorisations en les attribuant aux groupes,
mais il est galement possible d'attribuer des entres de contrle d'accs aux utilisateurs ou ordinateurs
individuels. Une autorisation qui a t attribue directement vous, l'utilisateur, n'est ni plus importante
ni moins importante qu'une autorisation attribue un groupe auquel vous appartenez.
Les autorisations Autoriser, qui accordent l'accs, sont cumulatives. Si vous appartenez plusieurs
groupes, et que ces groupes se sont vus accorder des autorisations qui autorisent diverses tches,
vous pouvez effectuer toutes les tches attribues tous ces groupes, ainsi que les tches attribues
directement votre compte d'utilisateur.
Les autorisations Refuser, qui interdisent l'accs, priment sur les autorisations Autoriser quivalentes.
Si vous appartenez un groupe qui a t autoris rinitialiser les mots de passe, et que vous
appartenez galement un autre groupe qui n'a pas t autoris rinitialiser les mots de passe,
l'autorisation Refuser vous empche de rinitialiser les mots de passe.
Remarque : Utilisez les autorisations Refuser avec parcimonie. En effet, il est souvent
inutile d'attribuer des autorisations Refuser, car si vous n'attribuez pas d'autorisation Autoriser,
les utilisateurs ne peuvent pas effectuer la tche. Avant d'attribuer une autorisation Refuser,
commencez par vrifier si vous pouvez atteindre votre objectif en supprimant une autorisation
Autoriser. Par exemple, si vous souhaitez dlguer une autorisation Autoriser un groupe,
mais exclure un seul membre de ce groupe, vous pouvez attribuer une autorisation Refuser
ce compte d'utilisateur spcifique tandis que le groupe dispose d'une autorisation Autoriser.
Toutes les autorisations sont granulaires. Mme si vous vous tes vu refuser la capacit de rinitialiser
les mots de passe, vous pouvez encore tre en mesure de modifier le nom de connexion ou l'adresse
de messagerie de l'utilisateur grce d'autres autorisations Autoriser.
tant donn que les objets enfant hritent des autorisations pouvant tre hrites des objets parent
par dfaut et que les autorisations explicites peuvent remplacer les autorisations Autoriser pouvant
tre hrites, une autorisation explicite remplace en fait une autorisation Refuser hrite.
Malheureusement, l'interaction complexe des autorisations des utilisateurs, des groupes, explicites,
hrites, Autoriser et Refuser peut rendre l'valuation des autorisations effectives fastidieuse. Vous
pouvez utiliser les autorisations retournes par la commande DSACL, ou listes dans l'onglet Accs
effectif de la bote de dialogue Paramtres de scurit avancs pour commencer valuer les
autorisations effectives, mais cela reste une tche manuelle.
Dmonstration : Dlgation du contrle administratif

dlguer une tche standard ;
dlguer une tche personnalise ;
afficher les autorisations AD DS qui rsultent de ces dlgations.
Dlguer une tche standard
1.
Ouvrez Utilisateurs et ordinateurs Active Directory.
2.
Utilisez l'Assistant Dlgation de contrle pour accorder au groupe IT les tches de gestion standard
suivantes sur l'unit d'organisation IT :
o
Crer, supprimer et grer les comptes d'utilisateurs
Rinitialiser les mots de passe utilisateur et forcer le changement de mot de passe

la prochaine ouverture de session
Lire toutes les informations sur l'utilisateur
Dlguer une tche personnalise
Utilisez l'Assistant Dlgation de contrle pour accorder les autorisations suivantes de l'unit
d'organisation IT au groupe IT :
o
Contrle total sur les objets ordinateur
Crer des objets ordinateur
Supprimer des objets ordinateur
Afficher les autorisations AD DS qui rsultent de ces dlgations
3-29
1.
Activez la vue Fonctions avances dans Utilisateurs et ordinateurs Active Directory.
2.
Examinez les proprits de l'unit d'organisation IT.
3.
Utilisez l'onglet Scurit pour vrifier les autorisations attribues. Fermez toutes les fentres actives.
Atelier pratique : Gestion des objets de services

Scnario
pour assister le bureau de Londres et d'autres sites. A. Datum a rcemment dploy une infrastructure
Vous avez travaill pour A. Datum en tant que spcialiste du support technique et avez consult les
ordinateurs de bureau pour rsoudre les problmes d'application et de rseau. Vous avez rcemment
accept une promotion au sein de l'quipe d'assistance technique des serveurs. L'une de vos premires
missions consiste configurer le service d'infrastructure pour une nouvelle succursale.
Pour commencer le dploiement de la nouvelle filiale, vous prparez des objets AD DS. Dans le cadre
de cette prparation, vous devez crer une unit d'organisation pour la filiale et dlguer l'autorisation
de la grer. Ensuite, vous devez crer des utilisateurs et des groupes pour la nouvelle filiale. Enfin, vous
devez rinitialiser le canal scuris pour un compte d'ordinateur qui a perdu la connectivit au domaine
dans la filiale.
Objectifs
dlguer l'administration pour une succursale ;
crer et configurer des comptes d'utilisateurs dans AD DS ;
grer des objets ordinateur dans AD DS.

22410B-LON-DC1
22410B-LON-CL1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible.
Avant de commencer cet atelier pratique, vous devez procder aux tapes suivantes :
1.
Sur l'ordinateur hte, dans Accueil, pointez sur Outils d'administration, puis cliquez
2.
3.
4.
5.

a.
b.
c.
Domaine : ADATUM
Rptez les tapes 2 4 pour 22410B-LON-CL1.
Exercice 1 : Dlgation de l'administration pour une succursale

Scnario
3-31
A. Datum dlgue la gestion de chaque filiale un groupe spcifique. Ceci permet un employ qui
travaille sur site d'tre configur en tant qu'administrateur, en cas de besoin. Chaque filiale a un groupe
des administrateurs de la filiale qui peut excuter l'administration complte dans l'unit d'organisation
de la filiale. Le groupe d'assistance technique de la filiale peut quant lui grer des utilisateurs dans
l'unit d'organisation de la filiale, mais pas d'autres objets. Vous devez crer ces groupes pour la
nouvelle filiale et dlguer des autorisations aux groupes.
1.
Dlguer l'administration pour les administrateurs d'une filiale
2.
Dlguer un administrateur pour l'assistance technique de la filiale
3.
Ajouter un membre aux Administrateurs de la filiale
4.
Ajouter un membre au groupe d'assistance technique de la filiale
Tche 1 : Dlguer l'administration pour les administrateurs d'une filiale

1.
Sur LON-DC1, ouvrez Utilisateurs et ordinateurs Active Directory, puis crez dans le domaine
Adatum.com une unit d'organisation appele Filiale 1.
2.
Crez les groupes de scurit globaux suivants dans l'unit d'organisation Filiale 1 :
o
Assistance technique Filiale 1
Administrateurs Filiale 1
Utilisateurs Filiale 1
3.
Dplacez Holly Dickson de l'unit d'organisation IT vers l'unit d'organisation Filiale 1.
4.
Dplacez les utilisateurs suivants de l'unit d'organisation Filiale 1 :

o
Development\Bart Duncan
Managers\Ed Meadows
Marketing\Connie Vrettos
Research\Barbara Zighetti
Sales\Arlene Huff
5.
Dplacez l'ordinateur LON-CL1 vers l'unit d'organisation Filiale 1, puis redmarrez l'ordinateur
LON-CL1.
6.
Ouvrez une session sur LON-CL1 en tant que ADATUM\Administrateur avec le mot de passe
Pa$$w0rd.
7.
Sur LON-DC1, dans Utilisateurs et ordinateurs Active Directory, l'utilisation de l'Assistant Dlgation
de contrle pour dlguer l'administration de l'unit d'organisation Filiale 1 au groupe de scurit
Administrateurs Filiale 1 en dlguant les tches courantes et personnalises suivantes :
a.
b.
Dlguez les tches courantes suivantes :
crer, supprimer et grer des comptes d'utilisateurs ;
rinitialiser les mots de passe utilisateur et forcer le changement de mot de passe

la prochaine ouverture de session ;
lire toutes les informations sur l'utilisateur ;
crer, supprimer et grer les groupes ;
modifier l'appartenance un groupe ;
grer les liens de stratgie de groupe.
Dlguez les tches personnalises suivantes :
crer et supprimer les objets ordinateur dans l'unit d'organisation actuelle ;
contrle total des objets ordinateur dans l'unit d'organisation actuelle.
Tche 2 : Dlguer un administrateur pour l'assistance technique de la filiale

1.
Sur LON-DC1, dans Utilisateurs et ordinateurs Active Directory, utilisez l'Assistant Dlgation de
contrle pour dlguer l'administration de l'unit d'organisation Filiale 1 au groupe de scurit
Assistance technique Filiale 1.
2.
Dlguez les tches courantes suivantes :

o

Modifier l'appartenance un groupe
Tche 3 : Ajouter un membre aux Administrateurs de la filiale

1.
Sur LON-DC1, ajoutez Holly Dickson au groupe global Administrateurs Filiale 1.
2.
Ajoutez le groupe global Administrateurs Filiale 1 au groupe local de domaine Oprateurs

de serveurs. Dconnectez-vous de LON-DC1.
3.
Connectez-vous en tant que ADATUM\Holly avec le mot de passe Pa$$w0rd. Vous pouvez ouvrir
une session localement sur un contrleur de domaine car Holly appartient indirectement au groupe
local de domaine Oprateurs de serveur.
4.
partir du Gestionnaire de serveur, ouvrez Utilisateurs et ordinateurs Active Directory. Vrifiez

les informations d'identification actuelles de Holly dans la bote de dialogue Contrle de compte
d'utilisateur.
5.
Tentez de supprimer Sales\Aaren Ekelund. L'opration choue car Holly ne dispose pas des
autorisations requises.
6.
Essayez de supprimer Filiale 1\Ed Meadows. L'opration russit car Holly dispose des autorisations
requises.
Tche 4 : Ajouter un membre au groupe d'assistance technique de la filiale
3-33
1.
Sur LON-DC1, ajoutez Bart Duncan au groupe global Assistance technique Filiale 1.
2.
Fermez Utilisateurs et ordinateurs Active Directory, puis le Gestionnaire de serveur.
3.
Ouvrez le Gestionnaire de serveur, puis Utilisateurs et ordinateurs Active Directory. Dans la bote
de dialogue Contrle de compte d'utilisateur, spcifiez ADATUM\Administrateur et Pa$$w0rd
en tant qu'informations d'identification requises.
Remarque : Pour modifier la liste des membres du groupe Oprateurs de serveur, vous devez disposer
des autorisations suprieures celles du groupe Administrateurs Filiale 1.
4.
Ajoutez le groupe global Assistance technique Filiale 1 au groupe local de domaine Oprateurs
de serveurs. Dconnectez-vous de LON-DC1.
5.
Connectez-vous en tant que ADATUM\Bart avec le mot de passe Pa$$w0rd. Vous pouvez ouvrir
une session localement sur un contrleur de domaine car Bart appartient, indirectement, au groupe
6.
Ouvrez le Gestionnaire de serveur, puis Utilisateurs et ordinateurs Active Directory. Vrifiez vos
informations d'identification actuelles dans la bote de dialogue Contrle de compte d'utilisateur.
7.
Essayez de supprimer Filiale 1\Connie Vrettos. L'opration choue car Bart ne dispose pas des
autorisations requises.
8.
Rtablissez le mot de passe de Connie Pa$$w0rd.
9.
Aprs confirmation de la rinitialisation du mot de passe, dconnectez-vous de LON-DC1.
10. Ouvrez une session sur LON-DC1 en tant que ADATUM\Administrateur avec le mot de passe
Pa$$w0rd.
Rsultats : la fin de cet exercice, vous devez avoir cr une unit d'organisation et dlgu son
administration au groupe comptent.
Exercice 2 : Cration et configuration de comptes d'utilisateurs dans AD DS

Scnario
Vous disposez d'une liste de nouveaux utilisateurs pour la filiale et vous avez besoin de leur crer des
comptes d'utilisateurs.
1.
Crer un modle utilisateur pour la filiale
2.
Configurer les paramtres du modle
3.
Crer un utilisateur pour la filiale d'aprs le modle
4.
Se connecter en tant qu'utilisateur pour tester les paramtres de compte
Tche 1 : Crer un modle utilisateur pour la filiale

1.
Sur LON-DC1, crez un dossier appel C:\branch1-userdata, puis partagez-le.
2.
Modifiez les autorisations de dossier partag de sorte que le groupe Tout le monde dispose
des autorisations Autoriser Contrle total.
3.
Dans le Gestionnaire de serveurs, ouvrez Utilisateurs et ordinateurs Active Directory,

puis crez un utilisateur avec les proprits suivantes dans l'unit d'organisation Filiale 1 :
o
Nom complet : _Branch_template
Nom d'ouverture de session de l'utilisateur : _Branch_template
Le compte est dsactiv
Tche 2 : Configurer les paramtres du modle
Sur LON-DC1, modifiez les proprits suivantes du compte _Branch_template :

o
Ville : Slough
Groupe : Utilisateurs Filiale 1
Dossier de base : \\lon-dc1\branch1-userdata\%username%
Tche 3 : Crer un utilisateur pour la filiale d'aprs le modle

1.
2.
3.
Sur LON-DC1, copiez le compte d'utilisateur _Branch_template, puis configurez les proprits
suivantes :
o
Prnom : Ed
Nom : Meadows
L'option L'utilisateur devra changer le mot de passe est dsactive.
L'option Le compte est dsactiv est dsactive.
Vrifiez que les proprits suivantes ont t copies lors de la cration de compte :
o
Ville : Slough
Chemin d'accs du dossier de base : \\lon-dc1\branch1-userdata\Ed
Groupe : Utilisateurs Filiale 1
Tche 4 : Se connecter en tant qu'utilisateur pour tester les paramtres de compte

1.
Basculez vers LON-CL1 et dconnectez-vous.
2.
Ouvrez une session sur LON-CL1 en tant que ADATUM\Ed avec le mot de passe Pa$$w0rd.
Vous pouvez ouvrir une session correctement.
3.
Vrifiez que le lecteur Z est mapp avec le dossier de base d'Ed sur LON-DC1.
4.
Dconnectez-vous de LON-CL1.
Rsultats : la fin de cet exercice, vous devez avoir cr et test un compte d'utilisateur cr partir
d'un modle.
Exercice 3 : Gestion des objets ordinateur dans AD DS

Scnario
3-35
Une station de travail a perdu sa connectivit au domaine et ne peut pas authentifier les utilisateurs
correctement. Lorsque les utilisateurs tentent d'accder des ressources de cette station de travail,
l'accs est refus. Vous devez rinitialiser le compte d'ordinateur pour recrer la relation d'approbation
entre le client et le domaine.
1.
Rinitialiser un compte d'ordinateur
2.
Observer le comportement quand un client ouvre une session
3.
Joindre nouveau le domaine pour reconnecter le compte d'ordinateur
Tche 1 : Rinitialiser un compte d'ordinateur

1.
Sur LON-DC1, ouvrez une session en tant que ADATUM\Holly avec le mot de passe Pa$$w0rd.
2.
3.
Vrifiez vos informations d'identification dans la bote de dialogue Contrle de compte

d'utilisateur.
4.
Accdez Filiale 1.
5.
Rinitialisez le compte d'ordinateur LON-CL1.
Tche 2 : Observer le comportement quand un client ouvre une session

1.
Basculez vers LON-CL1, puis essayez d'ouvrir une session en tant que ADATUM\Ed avec le mot de
passe Pa$$w0rd. Un message s'affiche indiquant La relation d'approbation entre cette station
de travail et le domaine principal a chou.
2.
Cliquez sur OK pour accepter le message.
Tche 3 : Joindre nouveau le domaine pour reconnecter le compte d'ordinateur

1.
Pa$$w0rd.
2.
Ouvrez le Panneau de configuration, basculez vers l'affichage Grandes icnes, puis ouvrez Systme.
3.
Affichez les Paramtres systme avancs, puis cliquez sur l'onglet Nom d'ordinateur.
4.
Dans la bote de dialogue Proprits systme, utilisez le bouton Identit sur le rseau
pour joindre nouveau l'ordinateur au domaine.
5.
Suivez les instructions de l'Assistant avec les paramtres suivants :

o
Nom d'utilisateur : administrateur
Domaine : Adatum
Si vous souhaitez activer un compte d'utilisateur du domaine sur cet ordinateur : Non
6.
Lorsque vous y tes invit, redmarrez l'ordinateur.
7.
Ouvrez une session en tant que ADATUM\Ed avec le mot de passe Pa$$w0rd. L'opration russit
car la jonction de l'ordinateur a t rtablie correctement.
Rsultats : la fin de cet exercice, vous devez avoir rinitialis avec succs une relation d'approbation.
comme suit :
1.
2.
Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-CL1, puis cliquez
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-DC1.

Question : Dans une entreprise disposant de filiales dans plusieurs villes, les membres
d'une quipe de vente voyagent frquemment entre les domaines. Chacun de ces domaines
dispose de ses propres imprimantes qui sont gres l'aide de groupes locaux de domaine.
Comment pouvez-vous fournir ces membres l'accs aux diverses imprimantes des
domaines ?
Question : Vous tes charg de grer des comptes et l'accs aux ressources pour les
membres de votre groupe. Un utilisateur de votre groupe est transfr vers un autre
service de la socit. Que devez-vous faire du compte de l'utilisateur ?
Question : Quelle est la principale diffrence entre le conteneur Ordinateur et une unit
d'organisation ?
Question : Quand devriez-vous rinitialiser un compte d'ordinateur ? Pourquoi est-il mieux
de rinitialiser le compte d'ordinateur plutt que de supprimer puis recrer la jonction au
domaine ?
Question : Un chef de projet de votre service dmarre un projet de groupe qui se poursuivra
l'anne suivante. Plusieurs utilisateurs de votre service et d'autres services seront ddis
ce projet pendant ce temps. L'quipe du projet doit avoir accs aux mmes ressources
partages. Le chef de projet doit tre en mesure de grer les comptes d'utilisateurs et les
comptes de groupes dans AD DS ; toutefois, vous ne voulez pas lui accorder l'autorisation
de grer autre chose dans AD DS. Quelle est la meilleure faon de procder ?
Question : Vous travaillez en tant que technicien informatique chez Contoso, Ltd. Vous
grez l'infrastructure base sur Windows Server. Vous devez trouver une mthode pour
joindre de nouveaux ordinateurs Windows 8 un domaine lors du processus d'installation,
sans intervention d'un utilisateur ou d'un administrateur. Quelle est la meilleure faon
de procder ?
Outils
Outil
Utilisation
Emplacement
3-37
Utilisateurs et ordinateurs
Active Directory
Gestion de groupes
Outils d'administration
Module Active Directory

pour Windows PowerShell
Gestion de groupes
Install comme fonctionnalit

Windows
Utilitaires DS
Gestion de groupes
Ligne de commande
Module Active Directory

pour Windows PowerShell
Gestion des comptes d'ordinateur
Djoin.exe
Jonction de domaine hors connexion
Ligne de commande
Redircmp.exe
Modification du conteneur
d'ordinateur par dfaut
Ligne de commande
DSACLS
Affichage et modification
des autorisations AD DS
Ligne de commande
Mthode conseille
Mthodes conseilles pour la gestion des comptes d'utilisateurs
Ne laissez pas les utilisateurs partager des comptes d'utilisateurs. Crez toujours un compte
d'utilisateur pour chaque individu, mme si cette personne ne rejoint votre organisation
que temporairement.
Sensibilisez les utilisateurs sur l'importance de la scurit des mots de passe.
Assurez-vous de choisir une stratgie d'attribution de noms pour des comptes d'utilisateurs
qui permet d'identifier l'utilisateur li au compte. Assurez-vous galement que votre stratgie
d'attribution de noms utilise des noms uniques dans votre domaine.
Mthodes conseilles pour la gestion des groupes
Dans le cadre de la gestion de l'accs aux ressources, essayez d'utiliser le groupe local de domaine
et les groupes de rles.
Utilisez les groupes universels uniquement lorsque cela est ncessaire car ils alourdissent le trafic
de rplication.
Utilisez Windows PowerShell avec le module Active Directory pour les programmes de commandes
sur les groupes.
vitez d'ajouter des utilisateurs aux groupes intgrs et par dfaut.
Mthodes conseilles concernant la gestion des comptes d'ordinateurs
Configurez toujours un compte d'ordinateur avant de joindre des ordinateurs un domaine,

puis placez-les dans l'unit d'organisation approprie.
Redirigez le conteneur d'ordinateur par dfaut vers un autre emplacement.
Rinitialisez le compte d'ordinateur, au lieu de supprimer puis recrer la jonction.
Intgrez la fonctionnalit de jonction de domaine hors connexion avec les installations sans
assistance.

4-1
Module 4
Automatisation de l'administration des domaines
de services Active Directory
Table des matires :
4-1
Leon 1 : Utilisation des outils en ligne de commande

4-2
Leon 2 : Utilisation de Windows PowerShell pour l'administration d'AD DS
4-8
Leon 3 : Excution d'oprations en bloc avec Windows PowerShell
4-15
Atelier pratique : Automatisation de l'administration d'AD DS l'aide

de Windows PowerShell
4-23
4-28
Vous pouvez utiliser des outils en ligne de commande et Windows PowerShell pour automatiser
l'administration des services de domaine Active Directory (AD DS). L'automatisation de l'administration
acclre les processus que vous devez normalement excuter manuellement. Windows PowerShell
comprend des applets de commande pour l'administration des services de domaine Active Directory
(AD DS) et l'excution des oprations en bloc. Vous pouvez utiliser des oprations en bloc pour modifier
de nombreux objets AD DS en une seule tape au lieu de mettre jour chaque objet manuellement.
Objectifs
utiliser les outils en ligne de commande pour l'administration d'AD DS ;
utiliser les applets de commande Windows PowerShell pour l'administration d'AD DS ;
excuter des oprations en bloc l'aide de Windows PowerShell.
Automatisation de l'administration des domaines de services Active Directory
Leon 1
Utilisation des outils en ligne de commande

Windows Server 2012 inclut plusieurs outils en ligne de commande que vous pouvez utiliser pour
excuter l'administration d'AD DS. De nombreuses organisations crent des scripts qui utilisent des
outils en ligne de commande pour automatiser la cration et la gestion des objets AD DS, tels que
les comptes d'utilisateurs et les groupes. Vous devez savoir utiliser ces outils en ligne de commande
pour vrifier que vous pouvez modifier les scripts utiliss par votre organisation, si ncessaire.
4-2
dcrire les avantages de l'utilisation des outils en ligne de commande pour l'administration d'AD DS ;
dcrire comment et quand utiliser csvde ;
dcrire comment et quand utiliser ldifde ;
dcrire comment et quand utiliser les commandes DS.
Avantages de l'utilisation des outils en ligne de commande

De nombreux administrateurs prfrent utiliser
les outils graphiques pour l'administration
d'AD DS chaque fois que cela est possible.
Les outils graphiques, tels que le composant
logiciel enfichable Utilisateurs et ordinateurs
Active Directory, sont utilisables de manire
intuitive parce qu'ils reprsentent les informations
visuellement et fournissent des options sous forme
de cases d'option et de botes de dialogue.
Lorsque les informations sont reprsentes
graphiquement, vous n'avez pas besoin de
mmoriser la syntaxe.
Les outils graphiques fonctionnent bien dans de nombreuses situations, mais ils ne peuvent pas tre
automatiss. Pour automatiser l'administration d'AD DS, vous avez besoin des outils en ligne de
commande. Les outils en ligne de commande peuvent tre utiliss dans les scripts ou par d'autres
applications.
Voici quelques-uns des avantages lis l'utilisation des outils en ligne de commande :
4-3
Implmentation plus rapide des oprations en bloc. Par exemple, vous pouvez exporter une liste de
nouveaux comptes d'utilisateurs partir d'une application de gestion des ressources humaines. Vous
pouvez utiliser un outil en ligne de commande ou un script pour crer des comptes d'utilisateurs en
fonction des informations exportes. Ce processus est beaucoup plus rapide que de crer chaque
nouveau compte d'utilisateur manuellement.
Processus personnaliss pour l'administration d'AD DS. Vous pouvez utiliser un programme
graphique personnalis pour rassembler des informations sur un nouveau groupe et crer ensuite
le nouveau groupe. Lorsque les informations sont rassembles, le programme graphique peut
vrifier que le format des informations, tel que la convention d'affectation de noms, est correct.
Le programme graphique utilise ensuite un outil en ligne de commande pour crer le nouveau
groupe. Ce processus permet l'application de rgles spcifiques la socit.
Administration d'AD DS dans une installation minimale. L'installation minimale de Windows Server
ne peut pas excuter les outils d'administration graphiques tels que Utilisateurs et ordinateurs
Active Directory. Toutefois, vous pouvez utiliser des outils en ligne de commande sur l'installation
minimale.
Remarque : Vous pouvez administrer l'installation minimale distance l'aide des outils
graphiques.
Qu'est-ce que Csvde ?

Csvde est un outil en ligne de commande qui
exporte ou importe des objets Active Directory
dans ou partir d'un fichier de valeurs spares
par une virgule (.csv). De nombreuses applications
sont capables d'exporter ou d'importer des
donnes partir de fichiers .csv. Csvde est
alors utile pour l'interoprabilit avec d'autres
applications, telles que les bases de donnes
ou les feuilles de calcul.
La principale limite de csvde est qu'il ne peut pas
modifier les objets Active Directory existants. Il ne
peut que crer de nouveaux objets. Par exemple,
vous pouvez utiliser csvde pour crer un ensemble de nouveaux comptes d'utilisateurs, mais vous ne
pouvez pas l'utiliser pour modifier les proprits de comptes d'utilisateurs aprs leur cration. Vous
pouvez galement l'utiliser pour exporter des proprits d'objet, telles qu'une liste d'utilisateurs et
de leurs adresses de messagerie.
Exporter des objets l'aide de csvde

Pour exporter des objets l'aide de csvde, vous devez, au minimum, spcifier le nom du fichier .csv
vers lequel les donnes seront exportes. Avec uniquement le nom de fichier spcifi, tous les objets
du domaine seront exports.
La syntaxe de base permettant d'utiliser csvde pour l'exportation est la suivante :
csvde
f filename
Les autres options que vous pouvez utiliser avec csvde sont rpertories dans le tableau suivant.
Option
Description
-d RootDN
Spcifie le nom unique du conteneur partir duquel l'exportation

commencera. La valeur par dfaut est le domaine.
-p SearchScope
Spcifie l'tendue de recherche relative au conteneur spcifi par l'option d. L'option SearchScope peut avoir la valeur base (cet objet uniquement),
onelevel (objets de ce conteneur) ou subtree (ce conteneur et tous les
sous-conteneurs). La valeur par dfaut est subtree.
-r Filter
Limite les objets retourns ceux qui correspondent au filtre. Le filtre est
bas sur la syntaxe de requte du protocole LDAP (Lightweight Directory
Access Protocol).
-l ListOfAtrributes
Spcifie les attributs exporter. Utilisez le nom LDAP pour chaque attribut
et sparez-les par une virgule.
4-4
Une fois l'exportation termine, le fichier .csv contient une ligne d'en-tte et une ligne pour chaque objet
export. La ligne d'en-tte est une liste contenant les noms des attributs de chaque objet, spars par une
virgule.
Crer des objets l'aide de csvde

La syntaxe de base permettant d'utiliser csvde pour crer des objets est la suivante :
csvde -i -f filename -k
Le paramtre -i spcifie le mode d'importation. Le paramtre -f identifie le nom de fichier partir duquel
l'importation s'effectue. Le paramtre -k indique csvde d'ignorer les messages d'erreur, y compris le
message L'objet existe dj . L'option Supprimer les erreurs est utile lors de l'importation des objets
pour vous assurer que tous les objets possibles sont crs et viter un arrt si elle n'est pas compltement
termine.
Le fichier .csv utilis pour une importation doit avoir une ligne d'en-tte contenant les noms des attributs
LDAP des donnes du fichier .csv. Chaque ligne doit contenir prcisment le nombre exact d'lments
tel que spcifi dans la ligne d'en-tte.
4-5
Vous ne pouvez pas utiliser csvde pour importer des mots de passe, car les mots de passe d'un fichier .csv
ne sont pas protgs. Par consquent, les comptes d'utilisateurs cres avec csvde ont un mot de passe
vide et sont dsactivs.
Remarque : Pour plus d'informations sur les paramtres de csvde, l'invite de commandes,
tapez csvde / ?, puis appuyez sur Entre.
Documentation supplmentaire : Pour plus d'informations sur la syntaxe
de requte LDAP, consultez les principes de requte LDAP l'adresse
http://go.microsoft.com/fwlink/?LinkId=168752.
Qu'est-ce que Ldifde ?

Ldifde est un outil en ligne de commande que
vous pouvez utiliser pour exporter, crer, modifier
ou supprimer des objets AD DS. Comme csvde,
ldifde utilise les donnes enregistres dans
un fichier. Le fichier doit tre au format LDIF
(LDAP Data Interchange Format). La plupart
des applications ne peuvent pas exporter ou
importer des donnes au format LDIF. Vous
obtiendrez probablement des donnes au
format LDIF partir d'un autre service d'annuaire.
Un fichier LDIF est un fichier texte qui contient des
blocs de lignes composant une opration unique
telle la cration ou la modification d'un objet utilisateur. Chaque ligne de l'opration spcifie quelque
chose au sujet de l'opration, par exemple un attribut ou le type d'opration. Une ligne vierge spare
plusieurs oprations du fichier LDIF.
Vous trouverez ci-dessous un exemple de fichier LDIF qui cre un simple utilisateur :
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=adatum,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Oprations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: [email protected]
mail: [email protected]
Pour chaque opration d'un fichier LDIF, la ligne changetype dfinit l'opration effectuer. Les valeurs
valides sont add, modify ou delete.
Exporter des objets l'aide de Ldifde

Lorsque vous utilisez ldifde pour exporter des objets, vous devez fournir au minimum un nom de fichier
pour contenir les donnes. Lorsqu'aucune autre option n'est slectionne, tous les objets du domaine
sont exports.
La syntaxe de base pour l'exportation des objets l'aide de LDIFE est la suivante :
ldifde
f filename
Certaines des autres options que vous pouvez utiliser lors de l'exportation des objets sont rpertories
dans le tableau suivant.
Option
Description
-d RootDN
Racine de la recherche LDAP. La valeur par dfaut est la racine

du domaine.
-r Filter
Filtre de recherche LDAP qui limite les rsultats retourns.
-p SearchScope
tendue ou intensit de la recherche. Valeur possible :

subtree (conteneur et tous les conteneurs enfants) ;
base (objets enfants immdiats du conteneur uniquement) ;
onelevel (conteneur et ses conteneurs enfants immdiats).
-l ListOfAttributes
Liste d'attributs inclure dans l'exportation, spars par une virgule.
-o ListOfAttributes
Liste d'attributs exclure de l'exportation, spars par une virgule.
Importer des objets l'aide de Ldifde

Lorsque vous utilisez ldifde pour importer des objets, vous devez spcifier l'opration effectuer sur
l'objet. Pour chaque opration d'un fichier LDIF, la ligne changetype dfinit l'opration effectuer.
La syntaxe de base permettant d'utiliser ldifde pour importer des objets est la suivante :
ldifde -i -f filename -k
4-6
Le paramtre -i spcifie le mode d'importation. Le paramtre -f identifie le nom de fichier partir duquel
l'importation s'effectue. Le paramtre -k indique ldifde d'ignorer les erreurs, y compris l'erreur L'objet
existe dj . L'option Supprimer les erreurs est utile lors de l'importation des objets pour vous assurer
que tous les objets possibles sont crs et viter un arrt si elle n'est pas compltement termine.
Vous ne pouvez pas utiliser ldifde pour importer des mots de passe, car le fichier LDIF ne serait pas
scuris. Par consquent, les comptes d'utilisateurs crs par ldifde ont un mot de passe vide et sont
dsactivs.
Qu'est-ce que les commandes DS ?

Windows Server 2012 inclut des outils en ligne
de commande, appels commandes DS, qui
sont appropries pour une utilisation dans les
scripts. Vous pouvez utiliser les outils en ligne
de commande DS pour crer, afficher, modifier
et supprimer des objets AD DS. Le tableau suivant
dcrit les outils en ligne de commande DS.
Outil
Description
DSadd
Cre des objets AD DS.
DSget
Affiche les proprits des objets AD DS.
DSquery
Recherche les objets AD DS.
DSmod
Modifie les objets AD DS.
DSrm
Supprime les objets AD DS.
DSmove
Dplace les objets AD DS.
Exemples de commandes de gestion des utilisateurs

Vous trouverez ci-dessous des exemples de commandes DS que vous pouvez taper l'invite
de commandes.
Pour modifier le service d'un compte d'utilisateur, tapez :
dsmod user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com" -dept IT
Pour afficher le courrier lectronique d'un compte d'utilisateur, tapez :

dsget user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com" -email
Pour supprimer un compte d'utilisateur, tapez :

dsrm "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"
Pour crer un compte d'utilisateur, tapez :

dsadd user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"
Question : Quels critres utiliseriez-vous pour choisir d'opter pour csvde, ldifde
ou les commandes DS ?
4-7
Leon 2
Utilisation de Windows PowerShell pour

l'administration d'AD DS
4-8
Windows PowerShell est l'environnement d'criture de scripts par dfaut de Windows Server 2012.
Il est beaucoup plus facile utiliser que les langages de script prcdents tels que Microsoft Visual Basic
Scripting Edition (VBScript). Windows PowerShell inclut une liste tendue d'applets de commande pour
grer les objets AD DS. Vous pouvez utiliser des applets de commande pour crer, modifier et supprimer
des comptes d'utilisateurs, des groupes, des comptes d'ordinateurs et des units d'organisation (OU).
utiliser les applets de commande Windows PowerShell pour grer les comptes d'utilisateurs ;
utiliser les applets de commande Windows PowerShell pour grer les groupes ;
utiliser les applets de commande Windows PowerShell pour grer les comptes d'ordinateurs ;
utiliser les applets de commande Windows PowerShell pour grer les units d'organisation.
Utilisation des applets de commande Windows PowerShell pour grer

les comptes d'utilisateurs
Windows PowerShell pour crer, modifier et
supprimer des comptes d'utilisateurs. Ces applets
de commande peuvent tre utilises pour des
oprations diffrentes ou dans le cadre d'un script
permettant d'excuter des oprations en bloc.
Certaines des applets de commande permettant
de grer des comptes d'utilisateurs se trouvent
Applet de commande
Description
New-ADUser
Cre des comptes d'utilisateurs.
Set-ADUser
Modifie les proprits des comptes d'utilisateurs.
Remove-ADUser
Supprime des comptes d'utilisateurs.
Set-ADAccountPassword
Rinitialise le mot de passe d'un compte d'utilisateur.
Set-ADAccountExpiration
Modifie la date d'expiration d'un compte d'utilisateur.
(suite)
Applet de commande
Description
Unlock-ADAccount
Dverrouille un compte d'utilisateur lorsqu'il a t verrouill aprs

le dpassement du nombre autoris de tentatives incorrectes
d'ouverture de session.
Enable-ADAccount
Active un compte d'utilisateur.
Disable-ADAccount
Dsactive un compte d'utilisateur.
Crer des comptes d'utilisateurs

Lorsque vous utilisez l'applet de commande New-ADUser pour crer des comptes d'utilisateurs,
vous pouvez dfinir la plupart des proprits d'utilisateur, y compris un mot de passe. Par exemple :
4-9
Si vous n'utilisez pas le paramtre -AccountPassword, aucun mot de passe n'est dfini et le compte
d'utilisateur est dsactiv. Le paramtre -Enabled ne peut pas tre dfini comme $true lorsqu'aucun
mot de passe n'est dfini.
Si vous utilisez le paramtre -AccountPassword pour spcifier un mot de passe, vous devez alors
spcifier une variable qui contient le mot de passe sous forme de chane scurise ou choisir d'tre
invit entrer le mot de passe. Une chane scurise est chiffre dans la mmoire. Si vous avez
dfini un mot de passe, vous pouvez alors activer le compte d'utilisateur en donnant au paramtre Enabled la valeur $true.
Certains paramtres couramment utiliss pour l'applet de commande New-ADUser sont rpertoris
Paramtre
Description
AccountExpirationDate
Dfinit la date d'expiration du compte d'utilisateur.
AccountPassword
Dfinit le mot de passe du compte d'utilisateur.
ChangePasswordAtLogon
Requiert le compte d'utilisateur pour modifier les mots de passe

la prochaine connexion.
Service
Dfinit le service du compte d'utilisateur.
Activ
Dfinit si le compte d'utilisateur est activ ou dsactiv.
HomeDirectory
Dfinit l'emplacement du rpertoire de base d'un compte

d'utilisateur.
HomeDrive
Dfinit les lettres de lecteur mappes au rpertoire de base d'un

compte d'utilisateur.
GivenName
Dfinit le prnom d'un compte d'utilisateur.
Surname
Dfinit le nom d'un compte d'utilisateur.
Chemin d'accs
Dfinit l'unit d'organisation ou le conteneur dans lequel le compte

d'utilisateur est cr.
Vous trouverez ci-dessous un exemple de commande que vous pouvez utiliser pour crer un compte
d'utilisateur avec une invite vous demandant d'entrer un mot de passe :
New-ADUser "Sten Faerch" -AccountPassword (Read-Host -AsSecureString "Entrez le mot de
passe") -Department IT
Question : Les paramtres des applets de commande que vous utilisez pour grer les
comptes d'utilisateurs sont-ils identiques ?

les groupes
Windows PowerShell pour crer, modifier
et supprimer des groupes. Ces applets de
commande peuvent tre utilises pour des
oprations diffrentes ou dans le cadre d'un
script permettant d'excuter des oprations
en bloc.
de grer les groupes se trouvent dans le tableau
suivant.
Applet de commande
Description
New-ADGroup
Cre des groupes.
Set-ADGroup
Modifie les proprits des groupes.
Get-ADGroup
Affiche les proprits des groupes.
Remove-ADGroup
Supprime des groupes.
Add-ADGroupMember
Ajoute des membres aux groupes.
Get-ADGroupMember
Affiche l'appartenance des groupes.
Remove-ADGroupMember
Supprime des membres des groupes.
Add-ADPrincipalGroupMembership
Ajoute l'appartenance au groupe aux objets.
Get-ADPrincipalGroupMembership
Affiche l'appartenance au groupe des objets.
Remove-ADPrincipalGroupMembership
Supprime l'appartenance au groupe d'un objet.
4-10 Automatisation de l'administration des domaines de services Active Directory
Crer des groupes

Vous pouvez utiliser l'applet de commande New-ADGroup pour crer des groupes. Toutefois,
lorsque vous crez des groupes l'aide de l'applet de commande New-ADGroup, vous devez
utiliser le paramtre GroupScope en plus du nom de groupe. C'est le seul paramtre requis.
Le tableau suivant rpertorie les paramtres couramment utiliss pour New-ADGroup.
Paramtre
Description
4-11
Nom
Dfinit le nom du groupe.
GroupScope
Dfinit l'tendue du groupe comme DomainLocal, Global ou Universal.

Vous devez fournir ce paramtre.
DisplayName
Dfinit le nom complet LDAP de l'objet.
GroupCategory
Dfinit s'il s'agit d'un groupe de scurit ou d'un groupe de distribution.

Si vous n'en spcifiez aucun, un groupe de scurit est cr.
ManagedBy
Dfinit un utilisateur ou un groupe qui peut grer le groupe.
Chemin d'accs
Dfinit l'unit d'organisation ou le conteneur dans laquelle ou lequel

le groupe est cr.
SamAccountName
Dfinit un nom qui a une compatibilit descendante avec les systmes

d'exploitation plus anciens.
La commande suivante est un exemple de ce que vous pouvez taper une invite Windows PowerShell
pour crer un groupe :
New-ADGroup -Name "CustomerManagement" -Path "ou=managers,dc=adatum,dc=com" -GroupScope

Global -GroupCategory Security
Grer l'appartenance au groupe
Il existe deux ensembles d'applets de commande que vous pouvez utiliser pour grer l'appartenance
au groupe : *-ADGroupMember et *-ADPrincipalGroupMembership. La distinction entre ces deux
ensembles d'applets de commande est la perspective utilise lors de la modification de l'appartenance
au groupe. Les voici :
Les applets de commande *-ADGroupMember modifient l'appartenance un groupe. Par exemple,

vous ajoutez ou supprimez des membres d'un groupe.
o
Vous ne pouvez pas diffuser une liste de membres dans ces applets de commande.
Vous pouvez passer une liste de groupes ces applets de commande.
Les applets de commande *-ADPrincipalGroupMembership modifient l'appartenance au groupe

d'un objet, tel qu'un utilisateur. Par exemple, vous pouvez modifier un compte d'utilisateur pour
l'ajouter en tant que membre d'un groupe.
o
Vous pouvez diffuser une liste de membres dans ces applets de commande.
Vous ne pouvez pas fournir une liste de groupes ces applets de commande.
Remarque : Lorsque vous publiez une liste d'objets dans une applet de commande,
vous passez une liste d'objets une applet de commande.
Vous trouverez ci-dessous un exemple de commande utiliser pour ajouter un membre un groupe :
Add-ADGroupMember CustomerManagement -Members "Joe"

les comptes d'ordinateurs
supprimer des comptes d'ordinateurs. Ces applets
de grer les comptes d'ordinateurs se trouvent
Applet de commande
Description
New-ADComputer
Cre un compte d'ordinateur.
Set-ADComputer
Modifie les proprits d'un compte d'ordinateur.
Get-ADComputer
Affiche les proprits d'un compte d'ordinateur.
Remove-ADComputer
Supprime un compte d'ordinateur.
Test-ComputerSecureChannel
Vrifie ou rpare la relation d'approbation entre un

ordinateur et le domaine.
Reset-ComputerMachinePassword
Rinitialise le mot de passe d'un compte d'ordinateur.
Crer des comptes d'ordinateurs
Vous pouvez utiliser l'applet de commande New-ADComputer pour crer un compte d'ordinateur avant
de joindre l'ordinateur au domaine. Si vous procdez ainsi, vous pouvez crer le compte d'ordinateur dans
l'unit d'organisation approprie avant de dployer l'ordinateur.
Le tableau suivant rpertorie les paramtres couramment utiliss pour New-ADComputer.
Paramtre
Description
Nom
Dfinit le nom d'un compte d'ordinateur.
Chemin d'accs
Dfinit l'unit d'organisation ou le conteneur dans lequel le compte

d'ordinateur sera cr.
Activ
Dfinit si le compte d'ordinateur est activ ou dsactiv. Par dfaut, le

compte d'ordinateur est activ et un mot de passe alatoire est gnr.
Voici un exemple de script que vous pouvez utiliser pour crer un compte d'ordinateur :
New-ADComputer -Name LON-SVR8 -Path "ou=marketing,dc=adatum,dc=com" -Enabled $true
Rparer la relation d'approbation d'un compte d'ordinateur
4-13
Vous pouvez utiliser l'applet de commande Test-ComputerSecureChannel avec le paramtre -Repair

pour rparer une relation d'approbation perdue entre un ordinateur et le domaine. Vous devez excuter
l'applet de commande sur l'ordinateur avec la relation d'approbation perdue.
Vous pouvez utiliser la commande suivante pour rparer la relation d'approbation d'un compte
d'ordinateur :
Test-ComputerSecureChannel -Repair

les units d'organisation
supprimer des units d'organisation. Ces applets
de grer les units d'organisation sont
rpertories dans le tableau suivant.
Applet de commande
Description
New-ADOrganizationalUnit
Cre des units d'organisation.
Set-ADOrganizationalUnit
Modifie les proprits des units d'organisation.
Get-ADOrganizationalUnit
Affiche les proprits des units d'organisation.
Remove-ADOrganizationalUnit
Supprime des units d'organisation.
Crer des units d'organisation

Vous pouvez utiliser l'applet de commande New-ADOrganizationalUnit permettant de crer une
unit d'organisation pour reprsenter des services ou des emplacements physiques au sein de votre
organisation.
Les paramtres couramment utiliss pour l'applet de commande New-ADOrganizationalUnit
sont rpertoris dans le tableau suivant.
Paramtre
Description
Nom
Dfinit le nom d'une nouvelle unit d'organisation.
Chemin d'accs
Dfinit l'emplacement d'une nouvelle unit

d'organisation.
ProtectedFromAccidentalDeletion
Permet d'empcher la suppression accidentelle de l'unit

d'organisation. La valeur par dfaut est $true.
Voici un exemple de script que vous pouvez utiliser si vous voulez crer une unit d'organisation :
New-ADOrganizationalUnit -Name Sales -Path "ou=marketing,dc=adatum,dc=com" ProtectedFromAccidentalDeletion $true
Question : Dans l'exemple de la diapositive, le paramtre

ProtectedFromAccidentalDeletion est-il requis ?
Leon 3
4-15
Excution d'oprations en bloc avec Windows PowerShell

Windows PowerShell est un environnement d'criture de scripts puissant que vous pouvez utiliser
pour excuter des oprations en bloc, normalement fastidieuses excuter manuellement.
Vous pouvez galement excuter quelques oprations en bloc dans les outils graphiques.
Pour excuter des oprations en bloc l'aide de Windows PowerShell, vous devez d'abord savoir
comment crer des requtes pour une liste d'objets AD DS et comment travailler avec des
fichiers .csv. Vous pouvez alors crer des scripts qui excutent les oprations en bloc requises.
dcrire les oprations en bloc ;
utiliser les outils graphiques pour excuter des oprations en bloc ;
interroger les objets AD DS l'aide de Windows PowerShell ;
modifier les objets AD DS l'aide de Windows PowerShell ;
utiliser les fichiers .csv avec Windows PowerShell ;
modifier et excuter les scripts Windows PowerShell pour excuter des oprations en bloc.
Que sont les oprations en bloc ?

Une opration en bloc est une action unique
qui modifie plusieurs objets. L'excution d'une
opration en bloc est beaucoup plus rapide que la
modification de plusieurs objets individuellement.
Elle peut galement tre plus prcise, car
l'excution de nombreuses actions individuelles
augmente les risques d'erreur typographique.
Le processus gnral d'excution des oprations
en bloc est le suivant :
1.
Dfinir une requte. Vous utilisez la requte

pour slectionner les objets que vous
souhaitez modifier. Par exemple, vous pouvez
souhaiter modifier tous les comptes d'utilisateurs dans une unit d'organisation spcifique.
2.
Modifier les objets dfinis par la requte. l'aide des outils graphiques, vous slectionnez en gnral
les objets que vous souhaitez modifier, puis vous modifiez les proprits de ces objets. l'aide des
outils en ligne de commande, vous pouvez utiliser une liste d'objets ou de variables pour identifier
les objets modifier.
Vous pouvez excuter des oprations en bloc avec les outils graphiques, une invite de commandes,
ou l'aide de scripts. Chaque mthode d'excution d'oprations en bloc possde des fonctionnalits
diffrentes.
Par exemple :
Les outils graphiques ont tendance se limiter aux proprits qu'ils peuvent modifier.
Les outils en ligne de commande ont tendance tre plus flexibles que les outils graphiques lors
de la dfinition des requtes. Ils disposent de plus d'options pour modifier les proprits d'objet.
Les scripts peuvent combiner plusieurs actions de ligne de commande pour rpondre plus
de complexit et de flexibilit.
Dmonstration : Utilisation des outils graphiques pour excuter

des oprations en bloc
Vous pouvez utiliser le Centre d'administration Active Directory d'outils graphiques et le composant
logiciel enfichable Utilisateurs et ordinateurs Active Directory pour modifier les proprits de plusieurs
objets simultanment.
Remarque : Lorsque vous utilisez les outils graphiques pour modifier plusieurs comptes
d'utilisateurs simultanment, vous pouvez uniquement modifier les proprits qui s'affichent
dans l'interface utilisateur.
Pour excuter une opration en bloc l'aide des outils graphiques, procdez comme suit :
1.
Effectuez une recherche ou crez un filtre pour afficher les objets que vous souhaitez modifier.
2.
Slectionnez les objets.
3.
Examinez les proprits des objets.
4.
Modifiez les proprits souhaites.
Dans cette dmonstration, vous allez apprendre :
crer une requte pour tous les utilisateurs ;
configurer l'attribut Company pour tous les utilisateurs ;
vrifier que l'attribut Company a t modifi.
Crer une requte pour tous les utilisateurs
1.
Dmarrez 22410B-LON-DC1 et ouvrez une session en tant qu'ADATUM\Administrateur

2.
3.
Accdez la Recherche globale et ajoutez les critres Object type is

user/inetOrgPerson/computer/group/organization unit.
4.
Vrifiez que les critres que vous avez ajouts sont de type Utilisateur et effectuez la recherche.
Configurer l'attribut Company pour tous les utilisateurs

1.
Slectionnez tous les comptes d'utilisateurs et modifiez leurs proprits.
2.
Tapez A. Datum comme nom de socit.
Vrifier que l'attribut Company a t modifi
Ouvrez les proprits d'Adam Barr et vrifiez que la socit est A. Datum.
Interrogation d'objets avec Windows PowerShell

Dans Windows PowerShell, vous utilisez les applets
de commande Get-* pour obtenir des listes
d'objets, tels que des comptes d'utilisateurs.
Vous pouvez galement utiliser ces applets de
commande pour gnrer des requtes pour
des objets sur lesquels vous pouvez excuter
des oprations en bloc.
Le tableau suivant rpertorie les paramtres
couramment utiliss avec les applets
de commande Get-AD*.
Paramtre
Description
SearchBase
Dfinit le chemin d'accs AD DS pour commencer rechercher, par exemple,

le domaine ou une unit d'organisation.
SearchScope
Dfinit le niveau infrieur SearchBase auquel une recherche doit tre

effectue. Vous pouvez choisir de rechercher uniquement dans la base,
un niveau en dessous ou dans l'ensemble de la sous-arborescence.
ResultSetSize
Dfinit le nombre d'objets retourner en rponse une requte. Pour vrifier

que tous les objets sont retourns, vous devez lui affecter la valeur $null.
Proprits
Dfinit les proprits d'objet retourner et afficher. Pour retourner toutes

les proprits, tapez un astrisque (*). Vous n'avez pas besoin d'employer ce
paramtre afin d'utiliser une proprit pour le filtrage.
Crer une requte

Vous pouvez utiliser le paramtre Filter ou LDAPFilter pour crer des requtes pour les objets avec
les applets de commande Get-AD*. Le paramtre Filter est utilis pour des requtes crites dans
Windows PowerShell. Le paramtre LDAPFilter est utilis pour des requtes crites sous forme
de chanes de requte LDAP.
Windows PowerShell est privilgier pour les raisons suivantes :
Il est plus facile d'crire des requtes dans Windows PowerShell.
Vous pouvez utiliser des variables dans les requtes.
Une conversion automatique des types de variables se produit, lorsque cela est ncessaire.
4-17
Le tableau suivant rpertorie les oprateurs couramment utiliss que vous pouvez utiliser dans
Windows PowerShell.
Oprateur
Description
-eq
gal
-ne
Diffrent de
-lt
Infrieur
-le
Infrieur ou gal
-gt
Suprieur
-ge
Suprieur ou gal
-like
Utilise des caractres gnriques pour les critres spciaux
Vous pouvez utiliser la commande suivante pour afficher toutes les proprits d'un compte d'utilisateur :
Get-ADUser Administrateur -Properties *
Vous pouvez utiliser la commande suivante pour retourner tous les comptes d'utilisateurs dans l'unit
d'organisation Marketing et toutes ses units d'organisation enfants :
Get-ADUser -Filter * -SearchBase "ou=Marketing,dc=adatum,dc=com" -SearchScope subtree
Vous pouvez utiliser la commande suivante pour afficher tous les comptes d'utilisateurs avec une dernire
date de connexion antrieure une date spcifique :
Get-ADUser -Filter {lastlogondate -lt "Mars 29, 2013"}
Vous pouvez utiliser la commande suivante pour afficher tous les comptes d'utilisateurs du service
Marketing qui ont une dernire date de connexion antrieure une date spcifique :
Get-ADUser -Filter {(lastlogondate -lt "Mars 29, 2013") -and (department -eq
"Marketing")}
Documentation supplmentaire : Pour plus d'informations sur le filtrage avec les applets
de commande Get AD*, reportez-vous la rubrique about_ActiveDirectory_Filter l'adresse
Question : Quelle est la diffrence entre l'utilisation de -eq et de -like lors
de la comparaison de chanes ?
Modification d'objets avec Windows PowerShell

Pour excuter une opration en bloc, vous devez
passer la liste d'objets interrogs une autre
applet de commande pour modifier les objets.
Dans la plupart des cas, vous utilisez les applets de
commande Set-AD* pour modifier les objets.
Pour passer la liste des objets interrogs
une autre applet de commande en vue d'un
traitement ultrieur, vous utilisez le caractre de
barre verticale ( | ). Le caractre de barre verticale
passe chaque objet de la requte une deuxime
applet de commande, qui excute ensuite une
opration spcifie sur chaque objet.
4-19
Vous pouvez utiliser la commande suivante pour ces comptes dont l'attribut Company n'est pas dfini.
Elle gnrera une liste de comptes d'utilisateurs et donnera l'attribut Company la valeur A. Datum.
Get-ADUser -Filter {company -notlike "*"} | Set-ADUser -Company "A. Datum"
Vous pouvez utiliser la commande suivante pour gnrer une liste de comptes d'utilisateurs qui n'ont
pas ouvert de session depuis une date spcifique, puis les dsactiver :
Get-ADUser -Filter {(lastlogondate -lt "Mars 29, 2013") -and (department -eq
"Marketing")}
Utiliser des objets partir d'un fichier texte

Au lieu d'utiliser une liste d'objets partir d'une requte pour effectuer une opration en bloc, vous
pouvez utiliser une liste d'objets dans un fichier texte. Cela s'avre particulirement utile lorsque vous
devez modifier ou supprimer une liste d'objets et qu'il n'est pas possible de gnrer cette liste l'aide
d'une requte. Par exemple, le service des ressources humaines peut gnrer une liste de comptes
d'utilisateurs dsactiver. Aucune requte ne peut identifier une liste d'utilisateurs qui ont quitt
l'organisation.
Lorsque vous utilisez un fichier texte pour spcifier une liste d'objets, le fichier texte doit comporter
le nom de chaque objet sur une seule ligne.
Vous pouvez utiliser la commande suivante pour dsactiver les comptes d'utilisateurs rpertoris
dans un fichier texte :
Get Content C:\users.txt | Disable ADAccount
Question : Quels attributs de compte d'utilisateur pouvez-vous utiliser lors de la cration

d'une requte l'aide du paramtre Filter ?
Utilisation des fichiers CSV

Un fichier .csv peut contenir beaucoup plus
d'informations qu'une liste simple. Semblable
une feuille de calcul, un fichier .csv peut
comporter plusieurs lignes et colonnes
d'informations. Chaque ligne reprsente un
objet unique et chaque colonne reprsente
une proprit de l'objet. Cela s'avre utile pour
les oprations en bloc telles que la cration de
comptes d'utilisateurs pour lesquelles plusieurs
lments d'information sur chaque objet sont
requis.
Vous pouvez utiliser l'applet de commande

Import-CSV pour lire le contenu d'un fichier .csv dans une variable, puis utiliser les donnes. Aprs
l'importation des donnes dans la variable, vous pouvez vous reporter chaque ligne et chaque colonne
individuelles de donnes. Chaque colonne de donnes porte un nom qui est bas sur la ligne d'en-tte
(premire ligne) du fichier .csv. Vous pouvez vous reporter chaque colonne en fonction de leur nom.
Vous trouverez ci-dessous un exemple de fichier .csv avec une ligne d'en-tte :
FirstName,LastName,Department
Greg,Guzik,Informatique
Robin,Young,Recherche
Qiong,Wu,Marketing
Utiliser Foreach pour traiter les donnes CSV

Dans de nombreux cas, vous crez le script qui sera rutilis pour plusieurs fichiers .csv et vous ne
connaissez pas le nombre de lignes de chaque fichier .csv. Vous pouvez utiliser une boucle foreach
pour traiter chaque ligne d'un fichier .csv. Ce type de boucle ne requiert pas de connatre le nombre
de lignes. chaque itration de la boucle foreach, une ligne du fichier .csv est importe dans une
variable qui peut tre traite.
Vous pouvez utiliser la commande suivante pour importer un fichier .csv dans une variable et utiliser
une boucle foreach pour afficher le prnom de chaque ligne d'un fichier .csv :
$users=Import-CSV C:\users.csv
Foreach ($i in $users) {
Write Host "Le premier nom est :" $i.FirstName
}
Question : Dans la boucle foreach, comment la variable $i change-t-elle ?
4-21
Dmonstration : Excution d'oprations en bloc avec Windows PowerShell

Vous pouvez utiliser un script pour combiner plusieurs commandes Windows PowerShell afin d'effectuer
des tches plus complexes. Dans un script, vous utilisez souvent des variables et des boucles pour
le traitement des donnes. Les scripts Windows PowerShell possde une extension .ps1.
La stratgie d'excution sur un serveur dtermine si les scripts peuvent s'excuter. La stratgie d'excution
par dfaut sur Windows Server 2012 est RemoteSigned. Cela signifie que les scripts locaux peuvent
s'excuter sans tre signs numriquement. Vous pouvez contrler la stratgie d'excution l'aide
de l'applet de commande Set-ExecutionPolicy.
configurer un service pour des utilisateurs ;
crer une unit d'organisation ;
excuter un script de cration de comptes d'utilisateurs ;
vrifier que de nouveaux comptes d'utilisateurs ont bien t crs.
Configurer un service pour des utilisateurs
1.
Dmarrez 22410B-LON-DC1 et ouvrez une session en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.
2.
Sur LON-DC1, ouvrez une invite Windows PowerShell.
3.
l'invite Windows PowerShell, recherchez les comptes d'utilisateurs dans l'unit d'organisation
Recherche l'aide de la commande suivante :
Get-ADUser Filter * -SearchBase "ou=Research,dc=adatum,dc=com"
4.
Dfinissez l'attribut de service de tous les utilisateurs dans l'unit d'organisation Recherche l'aide
de la commande suivante :
Get-ADUser Filter * -SearchBase "ou=Research,dc=adatum,dc=com" | Set-ADUser Department Research
5.
Affichez une liste sous forme de tableau des utilisateurs du service Recherche. Affichez le nom unique
et le service l'aide de la commande suivante :
Get-ADUser Filter 'department -eq "Research"' | Format-Table
DistinguishedName,Department
6.
Utilisez le paramtre Properties pour permettre la commande prcdente d'afficher le service

correctement. Utilisez la commande suivante :
Get-ADUser Filter 'department -eq "Research"' -Properties Department | Format-Table

DistinguishedName,Department
Crer une unit d'organisation
l'invite Windows PowerShell, crez une unit d'organisation nomme LondonBranch l'aide
de la commande :
New-ADOrganizationalUnit LondonBranch -Path "dc=adatum,dc=com"
Excuter un script de cration de comptes d'utilisateurs

1.
Ouvrez E:\Labfiles\Mod04\DemoUsers.csv et lisez la ligne d'en-tte.
2.
Modifiez DemoUsers.ps1 et examinez le contenu du script. Notez que le script :
3.
fait rfrence l'emplacement du fichier .csv ;
utilise une boucle foreach pour traiter le contenu du fichier .csv ;
fait rfrence aux colonnes dfinies par l'en-tte du fichier .csv.
l'invite Windows PowerShell, modifiez le rpertoire E:\Labfiles\Mod04, puis excutez

.\DemoUsers.ps1
Vrifier que de nouveaux comptes d'utilisateurs ont bien t crs

1.
Dans le Gestionnaire de serveur, ouvrez le Centre d'administration Active Directory.
2.
Dans le Centre d'administration Active Directory, accdez Adatum (local)>LondonBranch

et vrifiez que les comptes d'utilisateurs ont bien t crs. Notez que les mots de passe sont
dsactivs, car aucun mot de passe n'a t dfini lors de la cration.
Atelier pratique : Automatisation de l'administration

d'AD DS l'aide de Windows PowerShell
Scnario
4-23
est bas Londres, en Angleterre. Un bureau informatique et un centre de donnes sont situs
Londres pour assister le sige social de Londres et d'autres sites. A. Datum a rcemment dploy
une infrastructure Windows Server 2012 avec des clients Windows 8.
Vous avez travaill pour A. Datum pendant plusieurs annes en tant que spcialiste du support technique.
ce poste, vous avez consult les ordinateurs de bureau pour rsoudre les problmes d'application
et de rseau. Vous avez rcemment accept une promotion au sein de l'quipe d'assistance technique
des serveurs. L'une de vos premires missions consiste configurer le service d'infrastructure pour une
nouvelle succursale.
Dans le cadre de la configuration d'une nouvelle filiale, vous devez crer des comptes d'utilisateurs et
de groupes. La cration de plusieurs utilisateurs avec les outils graphiques est inefficace, vous utiliserez
donc Windows PowerShell.
Objectifs
crer des comptes d'utilisateurs et de groupes l'aide de Windows PowerShell ;
utiliser Windows PowerShell pour crer des comptes d'utilisateurs en bloc ;
utiliser Windows PowerShell pour modifier des comptes d'utilisateur en bloc.

22410B-LON-DC1
22410B-LON-CL1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible. Avant
de commencer cet atelier pratique, vous devez procder aux tapes suivantes :
1.
2.
3.
4.
5.

o
Rptez les tapes 2 3 pour 22410B-LON-CL1. Ne vous connectez pas LON-CL1 tant qu'il ne
vous a pas t demand de le faire.
Exercice 1 : Cration de comptes d'utilisateurs et de groupes

l'aide de Windows PowerShell
Scnario
La socit A. Datum possde un certain nombre de scripts qui ont t utiliss par le pass pour crer
des comptes d'utilisateurs l'aide des outils en ligne de commande. Tous les nouveaux scripts seront
obligatoirement conus l'aide de Windows PowerShell. La premire tape de la cration de scripts
consiste identifier la syntaxe requise pour grer les objets AD DS dans Windows PowerShell.
1.
Crer un compte d'utilisateur l'aide de Windows PowerShell
2.
Crer un groupe l'aide de Windows PowerShell
Tche 1 : Crer un compte d'utilisateur l'aide de Windows PowerShell

1.
2.
l'invite Windows PowerShell, crez une unit d'organisation nomme LondonBranch en tapant
New-ADOrganizationalUnit LondonBranch
3.
Crez un compte d'utilisateur pour Ty Carlson dans l'unit d'organisation LondonBranch l'aide
New-ADUser -Name Ty -DisplayName "Ty Carlson" -GivenName Ty -Surname Carlson -Path
"ou=LondonBranch,dc=adatum,dc=com"
4.
Remplacez le mot de passe vide du nouveau compte par Pa$$w0rd l'aide de la commande
suivante :
Set-ADAccountPassword Ty
5.
Activez le nouveau compte d'utilisateur l'aide de la commande suivante :

Enable-ADAccount Ty
6.
Sur LON-CL1, connectez-vous en tant que Ty l'aide du mot de passe Pa$$w0rd.
7.
Vrifiez que la connexion est russie, puis dconnectez-vous de LON-CL1.
Tche 2 : Crer un groupe l'aide de Windows PowerShell

1.
l'invite Windows PowerShell, ajoutez Ty en tant que membre de LondonBranchUsers, l'aide

Add-ADGroupMember LondonBranchUsers -Members Ty
3.
4-25
Sur LON-DC1, l'invite Windows PowerShell, crez un groupe de scurit global pour les utilisateurs
de la filiale de Londres, l'aide de la commande suivante :
New-ADGroup LondonBranchUsers -Path "ou=LondonBranch,dc=adatum,dc=com" -GroupScope
2.
l'invite Windows PowerShell, confirmez que Ty a t ajout en tant que membre

de LondonBranchUsers, l'aide de la commande suivante :
Get-ADGroupMember LondonBranchUsers
Rsultats : la fin de cet exercice, vous devez avoir cr des comptes d'utilisateurs et des groupes
l'aide de Windows PowerShell.
Exercice 2 : Utilisation de Windows PowerShell pour crer des comptes

d'utilisateurs en bloc
Scnario
Vous disposez d'un fichier .csv qui contient un grand nombre de nouveaux utilisateurs pour la filiale.
Il serait inefficace de crer ces utilisateurs individuellement avec les outils graphiques. Au lieu de cela,
vous utiliserez un script Windows PowerShell pour crer les utilisateurs. Une collgue avec une bonne
exprience pratique en matire de cration de scripts vous a fourni un script qu'elle a cr. Vous devez
modifier le script pour qu'il corresponde au format de votre fichier .csv.
1.
Prparer le fichier .csv
2.
Prparer le script
3.
Excuter le script
Tche 1 : Prparer le fichier .csv

1.
Sur LON-DC1, lisez le contenu de E:\Labfiles\Mod04\LabUsers.ps1 pour identifier les conditions

requises d'en-tte du fichier .csv.
2.
Modifiez le contenu de C:\Labfiles\Mod04\LabUsers.csv et ajoutez l'en-tte approprie.
Tche 2 : Prparer le script

1.
Sur LON-DC1, utilisez l'environnement d'criture de scripts intgr (ISE) de Windows PowerShell
pour modifier les variables de LabUsers.ps1 :
o
$csvfile: E:\Labfiles\Mod04\labUsers.csv
$OU: "ou=LondonBranch,dc=adatum,dc=com"
2.
Enregistrez le LabUsers.ps1 modifi.
3.
Examinez le contenu du script.
Tche 3 : Excuter le script
1.
Sur LON-DC1, ouvrez une invite Windows PowerShell et excutez E:\Labfiles\Mod04\LabUsers.ps1.
2.
l'invite Windows PowerShell, utilisez la commande suivante pour vrifier que les utilisateurs ont
bien t crs :
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com"
3.
Sur LON-CL1, connectez-vous en tant que Luka l'aide du mot de passe Pa$$w0rd.
Rsultats : la fin de cet exercice, vous devez avoir utilis Windows PowerShell pour crer des comptes
d'utilisateurs en bloc.
Exercice 3 : Utilisation de Windows PowerShell pour modifier des comptes

Scnario
Vous avez reu une demande de mise jour de tous les comptes d'utilisateurs de l'unit d'organisation
de la nouvelle filiale avec l'adresse exacte des nouveaux locaux. Il vous est galement demand de vrifier
que tous les nouveaux comptes d'utilisateurs de la filiale sont configurs pour forcer les utilisateurs
changer leur mot de passe la prochaine connexion.
1.
Forcer tous les comptes d'utilisateurs de LondonBranch changer leur mot de passe la prochaine
connexion
2.
Configurer l'adresse pour les comptes d'utilisateurs de LondonBranch
3.
Tche 1 : Forcer tous les comptes d'utilisateurs de LondonBranch changer

leur mot de passe la prochaine connexion
1.
2.
l'invite Windows PowerShell, crez une requte pour les comptes d'utilisateurs de l'unit
d'organisation LondonBranch l'aide de la commande suivante :
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Format-Wide
DistinguishedName
3.
l'invite Windows PowerShell, modifiez la commande prcdente pour forcer tous les comptes
d'utilisateurs changer leur mot de passe la prochaine connexion l'aide de la commande
suivante :
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Set-ADUser ChangePasswordAtLogon $true
Tche 2 : Configurer l'adresse pour les comptes d'utilisateurs de LondonBranch

1.
2.
Ouvrez les proprits de tous les comptes d'utilisateurs de LondonBranch.
3.
Dfinissez l'adresse de plusieurs utilisateurs comme suit :

o
Rue : Succursale
Ville : London
Pays/rgion : Royaume-Uni
Rsultats : la fin de cet exercice, vous devez avoir modifi des comptes d'utilisateurs en bloc.

Lorsque vous terminez l'atelier pratique, rtablissez tous les ordinateurs virtuels leur tat initial
en procdant comme suit :
1.
2.
Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-CL1,
3.
4.
Rptez les tapes 2 3 pour 22410B-LON-DC1.
4-27

Question : Un collgue cre un script Windows PowerShell qui cre des comptes
d'utilisateurs partir des donnes d'un fichier .csv. Toutefois, son script gnre des erreurs
lors de la tentative de dfinition d'un mot de passe par dfaut. Pourquoi cela peut-il se
passer ?
Question : Vous tes administrateur d'une acadmie qui cre 20 000 comptes d'utilisateurs
pour les lves chaque anne. Le systme d'administration des lves peut gnrer une liste
de nouveaux lves et l'exporter ensuite sous la forme de fichier .csv. Aprs l'exportation des
donnes vers un fichier .csv, quelles sont les informations dont vous avez besoin pour utiliser
les donnes dans un script ?
Question : Le service Recherche de votre organisation a t renomm Recherche
et dveloppement . Vous devez mettre jour la proprit Department des utilisateurs
du service Recherche pour intgrer cette modification.
Vous avez cr une requte pour des comptes d'utilisateurs avec la proprit department
ayant pour valeur Research, l'aide de l'applet de commande Get-ADUser et du
paramtre -Filter. Quelle est l'tape suivante pour mettre jour la proprit department
et lui donner la valeur Research and Development ?

5-1
Module 5
Implmentation du protocole IPv4
Table des matires :
5-1
Leon 1 : Vue d'ensemble de TCP/IP
5-2
Leon 2 : Fonctionnement de l'adressage IPv4
5-7
Leon 3 : Sous-rseau et super-rseau
5-12
Leon 4 : Configuration et rsolution des problmes lis IPv4
5-18
5-28
5-33

IPv4 est le protocole rseau utilis sur Internet et les rseaux locaux. Pour pouvoir comprendre et
rsoudre les problmes de communication rseau, il est essentiel que vous compreniez comment
IPv4 est implment. Dans ce module, vous verrez comment implmenter un modle d'adressage
IPv4. Vous verrez galement comment dterminer et rsoudre les problmes lis au rseau.
Objectifs
dcrire la suite de protocoles TCP/IP ;
dcrire l'adressage IPv4 ;
dterminer un masque de sous-rseau ncessaire pour le sous-rseau ou le super-rseau ;
configurer IPv4 et rsoudre les problmes de communication lis IPv4.
Leon 1
Vue d'ensemble de TCP/IP
5-2
TCP/IP est une suite de protocoles normalise qui permet la communication dans un rseau htrogne.
Ce cours fournit une vue d'ensemble d'IPv4 et de sa relation avec les autres protocoles pour permettre la
communication rseau. Il couvre galement le concept des sockets, dont les applications se servent pour
accepter les communications rseau. De manire globale, ce cours fournit une base pour comprendre
le fonctionnement de la communication rseau et rsoudre les problmes inhrents.
dcrire les lments de la suite de protocoles TCP/IP ;
dcrire les diffrents protocoles qui composent la suite TCP/IP ;
dcrire les protocoles TCP/IP de la couche Application ;
dcrire un socket et identifier les numros de port des protocoles spcifis.
Suite de protocoles TCP/IP

Les tches effectues par le protocole TCP/IP dans
le processus de communication sont rparties
entre les protocoles. Ces protocoles sont organiss
en quatre couches distinctes dans la pile TCP/IP :
Couche Application. Les applications utilisent

les protocoles de la couche Application pour
accder aux ressources rseau.
Couche transport. Les protocoles de la couche

transport contrlent la fiabilit du transfert
de donnes sur le rseau.
Couche Internet. Les protocoles de la couche

Internet contrlent le mouvement des paquets entre les rseaux.
Couche interface rseau. Les protocoles de la couche interface rseau dfinissent la

faon dont les datagrammes de la couche Internet sont transmis sur le support rseau.
Avantages lis aux couches d'architecture

Plutt que de crer un protocole unique, la division des fonctions rseau en une pile de protocoles
distincts offre plusieurs avantages :
Les protocoles distincts facilitent la prise en charge d'un grand nombre de plateformes informatiques.
La cration ou la modification de protocoles pour prendre en charge de nouvelles normes n'exige

pas la modification de l'ensemble de la pile de protocoles.
Le fonctionnement de plusieurs protocoles dans la mme couche permet aux applications

de slectionner les protocoles qui fournissent uniquement le niveau de service requis.
Dans la mesure o la pile est divise en couches, le dveloppement des protocoles peut tre
effectu en parallle par du personnel spcialement qualifi pour les oprations relatives
des couches particulires.
Protocoles de la suite TCP/IP

Le modle OSI (Open Systems Interconnection)
dfinit des couches distinctes relatives
l'empaquetage, ainsi qu' l'envoi et la rception
de transmissions de donnes sur un rseau.
La suite en couche des protocoles formant
la pile TCP/IP effectue ces fonctions.
Couche Application
La couche Application du modle TCP/IP
correspond la couche Application, la couche
prsentation et la couche de session du modle
OSI. Cette couche fournit des services et utilitaires
qui permettent aux applications d'accder aux
ressources rseau.
Couche transport
La couche transport correspond la couche transport du modle OSI et est responsable de la
communication de bout en bout l'aide du protocole TCP ou UDP (User Datagram Protocol).
La suite de protocoles TCP/IP offre aux programmeurs d'applications le choix entre TCP ou UDP
en tant que protocole de couche transport :
5-3
TCP. Fournit aux applications des communications fiables orientes connexion. Une communication
oriente connexion vrifie si la destination est prte recevoir des donnes avant l'envoi de ces
donnes. Pour rendre la communication fiable, le protocole TCP s'assure que tous les paquets sont
reus. Une communication fiable est souhaitable dans la plupart des cas et est utilise par la plupart
des applications. Les serveurs Web, les clients FTP (File Transfer Protocol) et les autres applications
qui transfrent de grandes quantits de donnes utilisent le protocole TCP.
UDP. Offre une communication non fiable, en mode non connect. Lorsque vous utilisez le protocole
UDP, la fiabilit de la remise est de la responsabilit de l'application. Les applications utilisent le
protocole UDP pour communiquer plus rapidement avec une charge de traitement moins importante
que le protocole TCP. Certaines applications, par exemple les applications audio et vido de diffusion
en continu, utilisent le protocole UDP afin que l'absence d'un paquet ne retarde pas la lecture.
Le protocole UDP est galement utilis par les applications qui envoient de petites quantits
de donnes, par exemple lors des recherches de noms DNS (Domain Name System).
Le protocole de couche transport utilis par une application est dtermin par le dveloppeur
de l'application. En outre, il est bas sur les exigences de communication de l'application.
Couche Internet
La couche Internet correspond la couche rseau du modle OSI et est constitue de plusieurs protocoles
distincts, notamment : IP, ARP (Address Resolution Protocol), IGMP (Internet Group Management
Protocol) et ICMP (Internet Control Message Protocol). Les protocoles de la couche Internet encapsulent
les donnes de la couche transport dans des units appeles paquets, qu'ils traitent, puis acheminent
vers leurs destinations.
Les protocoles de la couche Internet sont les suivants :
5-4
IP. Le protocole IP est responsable du routage et de l'adressage. Les systmes d'exploitation

Windows 8 et Windows Server 2012 implmentent une pile de protocoles IP double couche.
Par ailleurs, ils assurent la prise en charge des protocoles IPv4 et IPv6.
ARP. Le protocole ARP est utilis par le protocole IP pour dterminer l'adresse MAC (Media Access
Control) des cartes rseau locales (c'est--dire les cartes installes sur les ordinateurs du rseau local)
partir de l'adresse IP d'un hte local. Le protocole ARP est bas sur la diffusion, ce qui signifie que
les trames ARP ne peuvent pas transiter par un routeur et qu'elles sont donc localises. Certaines
implmentations du protocole TCP/IP prennent en charge le protocole RARP (Reverse ARP) dans
lequel l'adresse MAC d'une carte rseau sert dterminer l'adresse IP correspondante.
IGMP. Le protocole IGMP prend en charge les applications multitches via les routeurs des rseaux
IPv4.
ICMP. Le protocole ICMP envoie des messages d'erreur dans un rseau bas sur le protocole IP.
Couche interface rseau

La couche interface rseau (parfois appele couche liaison ou couche de liaison de donnes) correspond
la couche de liaison de donnes et la couche physique du modle OSI. La couche interface rseau
spcifie les exigences relatives l'envoi et la rception des paquets sur le support rseau. Bien souvent,
cette couche n'est pas formellement considre comme faisant partie de la suite de protocoles TCP/IP,
car les tches sont excutes par le pilote de carte rseau et la carte rseau.
Applications TCP/IP
Les applications utilisent les protocoles de la
couche Application pour communiquer sur le
rseau. Un client et un serveur doivent utiliser
le mme protocole de couche Application
pour communiquer. Le tableau suivant
rpertorie certains protocoles usuels
de la couche Application.
Protocole
Description
HTTP
Utilis pour la communication entre les navigateurs Web et les serveurs

Web.
HTTPS (HTTP/Secure)
Version du protocole HTTP qui chiffre la communication entre les

navigateurs Web et les serveurs Web.
FTP
Utilis pour transfrer des fichiers entre les clients et les serveurs FTP.
RDP (Remote Desktop

Protocol)
Utilis pour contrler distance un ordinateur qui excute les systmes

d'exploitation Windows sur un rseau.
(suite)
Protocole
Description
Protocole SMB
(Server Message Block)
Utilis par les serveurs et les ordinateurs clients pour le partage

de fichiers et d'imprimantes.
Protocole SMTP (Simple

Mail Transfer Protocol)
Utilis pour transfrer des messages lectroniques sur Internet.
POP3 (Post Office

Protocol version 3)
Utilis pour rcuprer des messages partir de certains serveurs

de messagerie.
IMAP (Internet Message

Application Protocol)
Utilis pour rcuprer des messages partir de certains serveurs

de messagerie.
Qu'est-ce qu'un socket ?

Lorsqu'une application souhaite tablir une
communication avec une autre application
sur un hte distant, elle cre un socket TCP
ou UDP, selon les besoins. Un socket identifie
les lments suivants dans le cadre du processus
de communication :
protocole de transport utilis par

l'application, TCP ou UDP par exemple ;
numros de port TCP ou UDP

que les applications utilisent ;
adresse IPv4 ou IPv6 des htes de destination

et source.
Cette combinaison du protocole de transport, de l'adresse IP et du port cre un socket.
Ports connus
5-5
Un numro de port compris entre 0 et 65 535 est affect aux applications. Les 1 024 premiers ports sont
appels ports connus et sont affects des applications spcifiques. Les applications qui sont l'coute
des connexions utilisent des numros de port cohrents pour permettre aux applications clientes de se
connecter plus facilement. Si une application est l'coute sur un numro de port non standard, vous
devez spcifier le numro de port lors de la connexion ce dernier. Les applications clientes utilisent
gnralement un numro de port source alatoire suprieur 1 024. Le tableau suivant identifie
certains de ces ports connus.
Port
Protocole
Application
80
TCP
HTTP utilis par un serveur Web
443
TCP
HTTPS pour un serveur Web scuris
110
TCP
POP3 utilis pour la rcupration du courrier lectronique
(suite)
Port
Protocole
Application
5-6
143
TCP
IMAP utilis pour la rcupration du courrier lectronique
25
TCP
SMTP utilis pour l'envoi de messages lectroniques
53
UDP
DNS utilis pour la plupart des demandes de rsolution de noms
53
TCP
DNS utilis pour les transferts de zone
20, 21
TCP
FTP utilis pour les transferts de fichiers
Vous devez connatre les numros de port que les applications utilisent afin de pouvoir configurer
les pare-feu pour autoriser la communication. La plupart des applications ont un numro de port par
dfaut cet effet, mais celui-ci peut tre modifi en cas de besoin. Par exemple, certaines applications
Web s'excutent sur un autre port que le port 80 ou le port 443.
Question : Est-ce que vous pensez d'autres ports connus ?
Leon 2
Fonctionnement de l'adressage IPv4

La comprhension du fonctionnement de la communication rseau IPv4 est essentielle pour pouvoir
implmenter, dpanner et grer les rseaux IPv4. L'une des composantes essentielles d'IPv4 est
l'adressage. La comprhension du fonctionnement de l'adressage, des masques de sous-rseau et
des passerelles par dfaut vous permet d'identifier la communication approprie entre les htes.
Pour identifier les erreurs de communication IPv4, vous devez comprendre comment le processus
de communication est cens fonctionner.
identifier les adresses IPv4 publiques et prives ;
expliquer la relation entre la notation dcimale spare par des points et les nombres binaires ;
dcrire un rseau IPv4 simple comprenant un adressage avec des classes ;
dcrire un rseau IPv4 plus complexe comprenant un adressage sans classe.
Adressage IPv4
Pour configurer la connectivit rseau, vous devez
connatre les adresses IPv4 et savoir comment elles
fonctionnent. La communication rseau d'un
ordinateur est dirige vers l'adresse IPv4 de cet
ordinateur. Par consquent, chaque ordinateur
du rseau doit possder une adresse IPv4 unique.
Chaque adresse IPv4 a une longueur de 32 bits.
Pour rendre les adresses IP plus lisibles, celles-ci
sont affiches en notation dcimale spare par
des points. La notation dcimale spare par des
points scinde une adresse IPv4 32 bits en quatre
groupes de 8 bits, lesquels sont convertis en un
nombre dcimal compris entre zro et 255. Les nombres dcimaux sont spars par un point. Chaque
nombre dcimal porte le nom d'octet.
Chaque adresse IPv4 est compose d'un ID rseau et d'un ID hte. L'ID rseau identifie le rseau sur
lequel l'ordinateur est situ. L'ID hte identifie l'ordinateur de manire unique sur ce rseau spcifique.
Un masque de sous-rseau identifie la partie de l'adresse IPv4 qui correspond l'ID rseau et celle qui
correspond l'ID hte.
5-7
Dans les scnarios les plus simples, chaque octet d'un masque de sous-rseau est gal 255 ou 0. La
valeur 255 reprsente un octet qui fait partie de l'ID rseau, alors que la valeur 0 reprsente un octet
qui fait partie de l'ID hte. Par exemple, un ordinateur avec l'adresse IP 192.168.23.45 et le masque
de sous-rseau 255.255.255.0 possde l'ID rseau 192.168.23.0 et l'ID hte 0.0.0.45.
Remarque : Les termes rseau, sous-rseau et rseau local virtuel (VLAN) sont souvent
utiliss de faon interchangeable. Un rseau de grande taille est souvent subdivis en sousrseaux. En outre, des rseaux locaux virtuels (VLAN) sont configurs sur les commutateurs
pour reprsenter les sous-rseaux.
5-8
Une passerelle par dfaut est un priphrique (gnralement un routeur) d'un rseau TCP/IP qui transfre
des paquets IP d'autres rseaux. Les multiples rseaux internes d'une organisation peuvent tre dsigns
sous le nom d'intranet.
Dans un intranet, tout rseau donn peut avoir plusieurs routeurs qui le connectent d'autres rseaux,
locaux et distants. Vous devez configurer l'un des routeurs comme passerelle par dfaut pour les htes
locaux. Cela permet aux htes locaux de communiquer avec des htes situs sur des rseaux distants.
Avant qu'un hte n'envoie un paquet IPv4, il utilise son propre masque de sous-rseau pour dterminer
si l'hte de destination est sur le mme rseau ou sur un rseau distant. Si l'hte de destination est
sur le mme rseau, l'hte d'envoi transmet le paquet directement l'hte de destination. Si l'hte
de destination est sur un rseau diffrent, l'hte transmet le paquet un routeur pour qu'il soit remis.
Lorsqu'un hte transmet un paquet un rseau distant, IPv4 consulte la table de routage interne afin
de dterminer quel est le routeur appropri pour permettre au paquet d'atteindre le sous-rseau de
destination. Si la table de routage ne contient pas d'informations de routage propos du sous-rseau de
destination, IPv4 transmet le paquet la passerelle par dfaut. L'hte suppose que la passerelle par dfaut
contient les informations de routage requises. La passerelle par dfaut est utilise dans la plupart des cas.
Les ordinateurs clients obtiennent gnralement leurs informations d'adressage IP partir d'un serveur
DHCP (Dynamic Host Configuration Protocol). Cette mthode est plus simple que l'attribution manuelle
d'une passerelle par dfaut sur chaque hte. La plupart des serveurs ont une configuration IP statique
qui est affecte manuellement.
Question : Comment la communication rseau est-elle affecte si une passerelle par dfaut
est configure de manire incorrecte ?
Adresses IPv4 publiques et prives

Les priphriques et les htes qui se connectent
directement Internet requirent une adresse IPv4
publique. Les htes et les priphriques qui ne
se connectent pas directement Internet ne
requirent pas d'adresse IPv4 publique.
Adresses IPv4 publiques
5-9
Les adresses IPv4 publiques doivent tre uniques. L'IANA (Internet Assigned Numbers Authority) affecte
des adresses IPv4 publiques aux registres Internet rgionaux (RIR). Les registres Internet rgionaux
affectent ensuite les adresses IPv4 aux fournisseurs de services Internet. En gnral, votre fournisseur de
services Internet (ISP, Internet Service Provider) vous alloue une ou plusieurs adresses publiques partir
de son pool d'adresses. Le nombre d'adresses qui vous est allou par votre ISP dpend du nombre de
priphriques et d'htes que vous devez connecter Internet.
Adresses IPv4 prives
Le pool d'adresses IPv4 se restreint, c'est pourquoi les registres Internet rgionaux sont peu disposs
allouer des adresses IPv4 superflues. Les technologies telles que la traduction d'adresses rseau (NAT)
permettent aux administrateurs d'utiliser un nombre relativement restreint d'adresses IPv4 publiques
et, en mme temps, permettent aux htes locaux de se connecter des htes distants et des services
sur Internet.
L'IANA dfinit les plages d'adresses du tableau suivant en tant que plages prives. Les routeurs
Internet ne transfrent pas les paquets qui proviennent de ces plages ou qui leur sont destins.
Rseau
Plage
10.0.0.0/8
10.0.0.0-10.255.255.255
172.16.0.0/12
172.16.0.0-172.31.255.255
192.168.0.0/16
192.168.0.0-192.168.255.255
Relation entre la notation dcimale spare par des points

et les nombres binaires
Lorsque vous affectez des adresses IP, vous utilisez
la notation dcimale spare par des points. La
notation dcimale spare par des points est
base sur le systme de numration dcimale.
Cependant, en arrire-plan, les ordinateurs
utilisent les adresses IP en binaire. Pour
comprendre comment choisir un masque
de sous-rseau pour des rseaux complexes,
vous devez comprendre le fonctionnement
des adresses IP en binaire.
Dans un octet de 8 bits, la position de chaque bit

a une valeur dcimale. Un bit ayant une valeur
gale 0 a toujours la valeur zro. Un bit ayant une valeur gale 1 peut tre converti en valeur
dcimale. Le bit de poids faible (bit le plus droite dans l'octet) reprsente la valeur dcimale 1. Le bit de
poids fort (bit le plus gauche dans l'octet) reprsente la valeur dcimale 128. Si tous les bits d'un octet
ont la valeur 1, la valeur dcimale de cet octet est 255 ( savoir : 128 + 64 + 32 + 16 + 8 + 4 + 2 + 1).
Il s'agit de la valeur la plus leve possible d'un octet.
La plupart du temps, vous pouvez utiliser une calculatrice pour convertir des nombres dcimaux
en systme binaire et vice versa. L'application Calculatrice incluse dans les systmes d'exploitation
Windows peut effectuer des conversions du systme dcimal au systme binaire (et inversement),
comme le montre l'exemple suivant.
Binaire
Notation dcimale spare par des points
10000011 01101011 00000011 00011000
131.107.3.24
Implmentations simples d'IPv4

Classes d'adresses IPv4
L'IANA organise les adresses IPv4 en classes.
Chaque classe d'adresse a un masque de
sous-rseau par dfaut distinct qui dfinit
le nombre d'htes valides sur le rseau. Les
classes d'adresses IPv4 cres par l'IANA
vont de la Classe A la Classe E.
Les classes A, B et C sont des rseaux IP que vous
pouvez affecter aux adresses IP des ordinateurs
htes. Les adresses de la classe D sont utilises
par les ordinateurs et les applications pour la
multidiffusion. L'IANA rserve la classe E aux utilisations exprimentales. Le tableau suivant rpertorie
les caractristiques de chaque classe d'adresse IP.
Classe
Premier octet
Masque de sousrseau par dfaut
Nombre
de rseaux
Nombre d'htes
par rseau
1-127
255.0.0.0
126
16,777,214
128-191
255.255.0.0
16,384
65,534
192-223
255.255.255.0
2,097,152
254
Remarque : Internet n'utilise plus le routage bas sur le masque de sous-rseau par dfaut
des classes d'adresses IPv4.
Rseaux IPv4 simples

Vous pouvez utiliser des sous-rseaux pour diviser un grand rseau en plusieurs rseaux plus petits.
Dans les rseaux IPv4 simples, le masque de sous-rseau dfinit des octets complets dans le cadre de
l'ID du rseau et de l'ID de l'hte. Un nombre 255 reprsente un octet qui fait partie de l'ID du rseau
et un 0 reprsente un octet qui fait partie de l'ID de l'hte. Par exemple, vous pouvez utiliser le rseau
10.0.0.0 avec le masque de sous-rseau 255.255.0.0 pour crer 256 rseaux plus petits.
Remarque : L'adresse IPv4 127.0.0.1 sert d'adresse de bouclage. Vous pouvez utiliser cette
adresse pour tester la configuration locale de la pile de protocoles IPv4. Par consquent, l'adresse
rseau 127 n'est pas utilisable pour la configuration d'htes IPv4.
5-10 Implmentation du protocole IPv4
Implmentations plus complexes d'IPv4

Dans les rseaux complexes, les masques
de sous-rseau ne sont pas forcment des
combinaisons simples de 255 et 0. Au lieu de
cela, vous pouvez subdiviser un octet en quelques
bits pour l'ID rseau et d'autres pour l'ID hte.
Cela vous permet d'avoir le nombre spcifique
de sous-rseaux et d'htes dont vous avez besoin.
L'exemple suivant montre un masque de
sous-rseau qui peut tre utilis pour diviser
un rseau de classe B en 16 sous-rseaux :
172.16.0.0/255.255.240.0
5-11
Dans de nombreux cas, plutt que d'utiliser une reprsentation dcimale spare par des points pour le
masque de sous-rseau, le nombre de bits de l'ID rseau est spcifi la place. Cela s'appelle le routage
CIDR (Classless InterDomain Routing). Ce qui suit est un exemple de notation CIDR :
172.16.0.0/20
Masques de sous-rseau de longueur variable
Les routeurs modernes prennent en charge l'utilisation des masques de sous-rseau de longueur
variable. Les masques de sous-rseau de longueur variable vous permettent de crer des sous-rseaux
de diffrentes tailles lorsque vous subdivisez un rseau de plus grande taille. Par exemple, vous pouvez
subdiviser un petit rseau de 256 adresses en trois rseaux plus petits de 128 adresses, 64 adresses
et 64 adresses. Cela vous permet d'utiliser les adresses IP d'un rseau de manire plus efficace.
Question : Est-ce que votre organisation utilise un rseau simple ou complexe ?
Leon 3
Sous-rseau et super-rseau
Dans la plupart des organisations, vous devez crer des sous-rseaux dans le but de diviser votre rseau
en sous-rseaux plus petits et d'allouer ces sous-rseaux des fins ou des lieux spcifiques. Pour ce faire,
vous devez comprendre comment slectionner le nombre appropri de bits inclure dans les masques
de sous-rseau. Dans certains cas, vous devrez peut-tre galement combiner plusieurs rseaux en un
seul rseau de plus grande taille via la cration d'un super-rseau.
dcrire l'utilisation des bits dans un masque de sous-rseau ou une longueur de prfixe ;
dterminer quand utiliser des sous-rseaux ;
calculer un masque de sous-rseau qui prend en charge un nombre spcifique d'adresses

de sous-rseau ;
calculer un masque de sous-rseau qui prend en charge un nombre spcifique d'adresses d'hte ;
identifier un masque de sous-rseau appropri un scnario ;
dcrire la cration d'un super-rseau.
Utilisation des bits dans un masque de sous-rseau ou une longueur

de prfixe
Dans les rseaux simples, les masques de
sous-rseau sont composs de quatre octets.
Chaque octet a une valeur gale 255 ou 0.
Si la valeur de l'octet est 255, cet octet fait
partie de l'ID rseau. Si la valeur de l'octet
est 0, cet octet fait partie de l'ID hte.
Dans les rseaux complexes, vous pouvez convertir
le masque de sous-rseau en valeur binaire et
valuer chaque bit du masque de
sous-rseau. Un masque de sous-rseau est
compos de chiffres 1 et 0 contigus. Les chiffres 1
commencent au bit situ le plus gauche et se
rptent sans interruption jusqu' ce que les bits deviennent des chiffres 0.
Remarque : Les applets de commande Windows PowerShell qui permettent de configurer
un rseau IPv4 utilisent une valeur de longueur de prfixe la place d'un masque de sous-rseau
pour dfinir le nombre de bits rseau. La longueur de prfixe correspond au nombre de bits
utiliss par la notation CIDR.
Vous pouvez identifier l'ID rseau d'un masque de sous-rseau en fonction des chiffres 1 utiliss.
Vous pouvez identifier l'ID hte en fonction des chiffres 0 utiliss. Les bits de l'ID hte qui sont
affects l'ID rseau doivent tre contigus par rapport l'ID rseau d'origine.
Chaque bit 1 fait partie de l'ID rseau.
Chaque bit 0 fait partie de l'ID hte.
Le processus mathmatique utilis pour comparer une adresse IP et un masque de sous-rseau

est appel ANDing ou conjonction logique (ET logique).
Lorsque vous utilisez plus de bits pour le masque de sous-rseau, vous pouvez avoir plus de
sous-rseaux, mais moins d'htes sur chaque sous-rseau. Utiliser plus de bits que ce dont vous
avez besoin permet la croissance du sous-rseau, mais limite celle des htes. En utiliser moins
permet d'augmenter le nombre d'htes, mais limite la croissance des sous-rseaux.
Avantages de l'utilisation de sous-rseaux

Lorsque vous subdivisez un rseau en
sous-rseaux, vous devez crer un ID unique
pour chaque sous-rseau. Ces ID uniques sont
drivs partir de l'ID rseau principal (vous
allouez une partie des bits de l'ID hte l'ID
rseau). Cette allocation vous permet de crer plus
de rseaux.
En utilisant des sous-rseaux, vous pouvez :
utiliser un seul rseau de grande taille

sur plusieurs emplacements physiques ;
rduire les encombrements rseau en

segmentant le trafic et en rduisant les diffusions sur chaque segment ;
augmenter la scurit en divisant le rseau et en utilisant des pare-feu pour contrler

la communication ;
dpasser les limites des technologies actuelles, par exemple dpasser le nombre maximal
d'htes que chaque segment peut avoir.
Calcul des adresses de sous-rseau

Avant de dfinir un masque de sous-rseau,
valuez la quantit de sous-rseaux et d'htes
requise pour chaque sous-rseau. Cela vous
permet d'utiliser le nombre de bits appropri
pour le masque de sous-rseau.
Vous pouvez calculer le nombre de bits de
sous-rseau dont vous avez besoin dans le rseau.
Utilisez la formule 2n, o n est le nombre de bits.
Le rsultat est le nombre de sous-rseaux requis
par votre rseau.
5-13
Le tableau suivant indique le nombre de sous-rseaux que vous pouvez crer en utilisant un nombre
spcifique de bits.
Nombre de bits (n)
Nombre de sous-rseaux (2n)
16
32
64
Pour dterminer rapidement les adresses de sous-rseau, vous pouvez utiliser la valeur de bit minimale
dans le masque de sous-rseau. Par exemple, si vous choisissez de diviser en sous-rseaux le
rseau 172.16.0.0 en utilisant 3 bits, le masque de sous-rseau est 255.255.224.0. Au format binaire,
le dcimal 224 est 11100000 et la valeur de bit minimale est 32. Elle constitue l'incrment entre
chaque adresse de sous-rseau.
Le tableau suivant montre les adresses de sous-rseau pour cet exemple ; les 3 bits que vous avez
choisi d'utiliser pour subdiviser le rseau sont indiqus en caractres gras.
Numro de rseau binaire
Numro de rseau dcimal
172.16.00000000.00000000
172.16.0.0
172.16.00100000.00000000
172.16.32.0
172.16.01000000.00000000
172.16.64.0
172.16.01100000.00000000
172.16.96.0
172.16.10000000.00000000
172.16.128.0
172.16.10100000.00000000
172.16.160.0
172.16.11000000.00000000
172.16.192.0
172.16.11100000.00000000
172.16.224.0
Remarque : Vous pouvez utiliser un calculateur de sous-rseaux afin de dterminer

quels sont les sous-rseaux appropris pour votre rseau, au lieu de les calculer manuellement.
Les calculateurs de sous-rseaux sont largement rpandus sur Internet.
Calcul des adresses d'hte

Pour dterminer quels sont les bits htes
du masque, dterminez le nombre de bits
requis pour la prise en charge des htes d'un
sous-rseau. Calculez le nombre de bits htes
requis en utilisant la formule 2n-2, o n est le
nombre de bits. Ce rsultat doit correspondre au
moins au nombre d'htes dont vous avez besoin
pour votre rseau. C'est galement le nombre
maximal d'htes que vous pouvez configurer
sur ce sous-rseau.
5-15
Sur chaque sous-rseau, deux ID htes sont

allous automatiquement et ne peuvent pas tre
utiliss par les ordinateurs. Une adresse dont l'ID hte comprend uniquement des 0 reprsente le rseau.
Une adresse dont l'ID hte comprend uniquement des 1 est l'adresse de diffusion de ce rseau.
Le tableau suivant montre le nombre d'htes disponibles dans un rseau de classe C, selon le nombre
de bits htes.
Nombre de bits (n)
Nombre d'htes (2n-2)
14
30
62
Vous pouvez calculer la plage d'adresses d'hte de chaque sous-rseau en utilisant le processus suivant :
1.
Le premier hte est suprieur d'un chiffre binaire l'ID du sous-rseau actuel.
2.
Le dernier hte est infrieur de deux chiffres binaires l'ID du sous-rseau suivant.
Le tableau suivant montre des exemples de calcul d'adresses d'hte.

Rseau
Plage d'htes
172.16.64.0/19
172.16.64.1 172.16.95.254
172.16.96.0/19
172.16.96.1 172.16.127.254
172.16.128.0/19
172.16.128.1 172.16.159.254
Pour crer un modle d'adressage appropri pour votre organisation, vous devez connatre le nombre de
sous-rseaux dont vous avez besoin et le nombre d'htes dont vous avez besoin sur chaque sous-rseau.
Une fois que vous avez ces informations, vous pouvez calculer le masque de sous-rseau appropri.
Discussion : Cration d'un modle de sous-rseau pour un nouveau bureau

Lisez le scnario suivant et rpondez aux questions
sur la diapositive.
Vous identifiez une configuration rseau
approprie pour un nouveau campus. Il vous a
t allou le rseau 10.34.0.0/16, que vous pouvez
diviser en sous-rseaux en fonction des besoins.
Il existe quatre btiments sur le nouveau
campus et chacun d'eux doit avoir son propre
sous-rseau pour permettre un routage entre les
btiments. Chaque btiment aura un maximum de
700 utilisateurs. Chaque btiment aura galement
des imprimantes. La proportion classique
d'utilisateurs par rapport aux imprimantes est de 50 pour 1.
Vous devez galement allouer un sous-rseau pour le centre de donnes de serveurs qui peut accueillir
jusqu' 100 serveurs.
Qu'est-ce qu'un super-rseau ?

Un super-rseau combine plusieurs petits
rseaux en un rseau unique de grande taille.
Cela peut tre appropri lorsque vous avez un
petit rseau qui s'est agrandi et que vous devez
tendre l'espace d'adressage. Par exemple, une
filiale qui utilise le rseau 192.168.16.0/24 et qui
a puis toutes ses adresses IP peut se voir allouer
le rseau supplmentaire 192.168.17.0/24. Si vous
utilisez le masque de sous-rseau par dfaut
255.255.255.0 pour ces rseaux, vous devez
effectuer un routage entre ces derniers.
Vous pouvez utiliser un super-rseau
pour les combiner en un rseau unique.
Pour permettre la cration de super-rseaux, les rseaux que vous combinez doivent tre contigus.
Par exemple, vous pouvez crer un super-rseau avec 192.168.16.0/24 et 192.168.17.0/24 mais pas
avec 192.168.16.0/24 et 192.168.54.0/24.
5-17
Un super-rseau est le contraire d'un sous-rseau. Lorsque vous crez un super-rseau, vous allouez des
bits de l'ID rseau l'ID hte. Le tableau suivant indique le nombre de rseaux que vous pouvez combiner
l'aide d'un nombre spcifique de bits.
Nombre de bits
Nombre de rseaux combins
16
Le tableau suivant montre un exemple de super-rseau bas sur deux rseaux de classe C. La partie du
masque de sous-rseau que vous utilisez dans le cadre de l'ID rseau est indique en caractres gras.
Rseau
Plage
192.168.00010000.00000000/24
192.168.16.0-192.168.16.255
192.168.00010001.00000000/24
192.168.17.0-192.168.17.255
192.168.00010000.00000000/23
192.168.16.0-192.168.17.255
Leon 4
Configuration et rsolution des problmes lis IPv4
Si IPv4 est configur de manire incorrecte, cela affecte la disponibilit des services qui s'excutent sur un
serveur. Pour garantir la disponibilit des services rseau, vous devez comprendre comment configurer
IPv4 et rsoudre les problmes de ce dernier. Windows Server 2012 offre dsormais la possibilit de
configurer IPv4 l'aide de Windows PowerShell, qui permet de crer des scripts.
Les outils de rsolution de problmes dans Windows Server 2012 sont similaires aux outils des versions
antrieures des systmes d'exploitation clients et serveur Windows. Toutefois, vous ne connaissez peuttre pas bien le Moniteur rseau, que vous pouvez utiliser pour effectuer une analyse dtaille de votre
communication rseau.
configurer IPv4 manuellement afin de fournir une configuration statique pour un serveur ;
configurer un serveur afin qu'il obtienne une configuration IPv4 automatiquement ;
expliquer l'utilisation des outils de rsolution de problmes lis IPv4 ;
expliquer l'utilisation des applets de commande Windows PowerShell pour rsoudre les problmes
lis IPv4 ;
dcrire le processus de dpannage qui permet de rsoudre les problmes fondamentaux lis IPv4 ;
dcrire la fonction du Moniteur rseau ;
utiliser le Moniteur rseau pour capturer et analyser le trafic rseau.
Configuration manuelle d'IPv4

En rgle gnrale, vous configurez des serveurs
avec une adresse IP statique. Cela vous permet
de connatre et de documenter les adresses IP
que vous utilisez pour les diffrents services de
votre rseau. Par exemple, un serveur DNS est
accessible une adresse IP spcifique qui ne
doit pas changer.
Une configuration IPv4 comprend les lments
suivants :
Adresse IPv4
Serveurs DNS
Dans le cas de la configuration statique, vous devez vous rendre sur chaque ordinateur et entrer la
configuration IPv4 manuellement. Cette mthode de gestion des ordinateurs est raisonnable pour
les serveurs mais prend beaucoup de temps pour les ordinateurs clients. La saisie manuelle d'une
configuration statique augmente galement le risque d'erreurs de configuration.
Vous pouvez configurer une adresse IP statique, soit dans les proprits de la connexion rseau,
soit l'aide de l'outil en ligne de commande netsh. Par exemple, la commande suivante permet
de configurer l'interface Connexion au rseau local avec les paramtres suivants :
Adresse IP statique
10.10.0.10
255.255.255.0
10.10.0.1
Netsh interface ipv4 set address name= "Connexion au rseau local" source=static
addr=10.10.0.10 mask=255.255.255.0 gateway=10.10.0.1
5-19
Windows Server 2012 dispose galement des applets de commande Windows PowerShell, que vous
pouvez utiliser pour grer la configuration rseau. Le tableau suivant dcrit quelques-unes des applets
de commande Windows PowerShell qui sont disponibles pour configurer IPv4.
Applet de commande
Description des utilisations pour la configuration IPv4
New-NetIPAddress
Cre une adresse IP et la lie une carte rseau. Vous ne pouvez

pas modifier une adresse IP existante, vous devez supprimer une
adresse IP existante et crer une autre adresse IP.
Set-NetIPInterface
Active ou dsactive le protocole DHCP pour une interface.
New-NetRoute
Cre des entres de table de routage, y compris la passerelle par

dfaut (0.0.0.0). Vous ne pouvez pas modifier le prochain tronon
d'un itinraire existant ; vous devez plutt supprimer un itinraire
existant et crer un autre itinraire avec le prochain tronon
appropri.
Set-DNSClientServerAddresses
Configure le serveur DNS utilis pour une interface.
Le code suivant est un exemple d'applets de commande Windows PowerShell que vous pouvez utiliser
pour configurer l'interface Connexion au rseau local avec les paramtres suivants :
Adresse IP statique
10.10.0.10
255.255.255.0
10.10.0.1
L'interface Connexion au rseau local est galement configure pour utiliser les serveurs DNS 10.12.0.1
et 10.12.0.2.
New-NetIPAddress InterfaceAlias "Connexion au rseau local" IPAddress 10.10.0.10 PrefixLength 24 DefaultGateway 10.10.0.1
Set-DNSClientServerAddresses InterfaceAlias "Connexion au rseau local" -ServerAddresses
10.12.0.1,10.12.0.2
Question : Est-ce que les ordinateurs ou priphriques de votre organisation ont des
adresses IP statiques ?
Configuration automatique d'IPv4

Le protocole DHCP pour IPv4 vous permet
d'affecter des configurations IPv4 automatiques
un grand nombre d'ordinateurs et non pas
de faon individuelle. Le service DHCP reoit
des demandes de configuration IPv4 des
ordinateurs que vous configurez afin d'obtenir
automatiquement une adresse IPv4. Il affecte
galement des paramtres IPv4 supplmentaires
partir des tendues que vous dfinissez pour
chacun des sous-rseaux de votre rseau.
Le service DHCP identifie le sous-rseau
d'o provient la demande et attribue la
configuration IP partir de l'tendue adquate.
DCHP simplifie le processus de configuration IP. Toutefois, si vous utilisez DHCP pour affecter des
informations IPv4 et si le service est vital pour l'entreprise, vous devez effectuer les tches suivantes :
concevoir le service DHCP avec une tolrance de panne de sorte que la dfaillance d'un seul serveur
n'empche pas le service de fonctionner ;
configurer avec soin les tendues sur le serveur DHCP. Si vous faites une erreur, cela peut affecter
tout le rseau et empcher la communication.
Si vous utilisez un ordinateur portable pour vous connecter plusieurs rseaux ( votre domicile et
au bureau, par exemple), une configuration IP diffrente peut tre ncessaire pour chaque rseau.
Les systmes d'exploitation Windows prennent en charge l'utilisation de l'adressage IP priv
automatique (APIPA)) ou une autre adresse IP statique pour rpondre ce type de situation.
Lorsque vous configurez des ordinateurs Windows pour obtenir une adresse IPv4 partir de DHCP,
utilisez l'onglet Configuration alternative pour contrler le comportement, si un serveur DHCP
n'est pas disponible. Par dfaut, Windows utilise l'adressage IP priv automatique pour s'affecter
automatiquement une adresse IP comprise dans la plage d'adresses allant de 169.254.0.0
169.254.255.255, mais sans passerelle par dfaut ni serveur DNS, ce qui entrane une limitation
des fonctionnalits.
L'adressage IP priv automatique est utile pour rsoudre les problmes lis au protocole DHCP.
Si l'ordinateur possde une adresse contenue dans la plage d'adressage IP priv automatique,
cela signifie qu'il ne peut pas communiquer avec un serveur DHCP.
5-21
Windows Server 2012 dispose galement des applets de commande Windows PowerShell, que vous
pouvez utiliser pour activer le protocole DHCP pour une interface. Le tableau suivant dcrit quelques-unes
des applets de commande Windows PowerShell qui sont disponibles pour configurer le protocole DHCP
pour une interface.
Applet de commande
Description
Get-NetIPInterface
Obtient une liste des interfaces avec leur configuration. Cela n'inclut pas
la configuration IPv4 de l'interface.
Set-NetIPInterface
Active ou dsactive le protocole DHCP pour une interface.
Get-NetAdapter
Obtient une liste des cartes rseau d'un ordinateur.
Restart-NetAdapter
Dsactive et ractive une carte rseau. Cela force un client DHCP obtenir
un nouveau bail DHCP.
Le code suivant illustre la faon dont vous pouvez activer le protocole DHCP pour la carte Connexion
au rseau local et vrifier qu'une adresse lui est affecte :
Set-NetIPInterface InterfaceAlias "Connexion au rseau local" Dhcp Enabled
Restart-NetAdapter Name "Connexion au rseau local"
Outils de rsolution de problmes IPv4

La rsolution des problmes de connectivit
IPv4 s'effectue en grande partie via une ligne de
commande. Windows Server 2008 propose un
certain nombre d'outils en ligne de commande qui
vous permettent de diagnostiquer les problmes
rseau.
Ipconfig
Ipconfig est un outil en ligne de commande qui
affiche la configuration actuelle du rseau TCP/IP.
En outre, vous pouvez utiliser la commande
ipconfig pour actualiser les paramtres DHCP
et DNS. Le tableau suivant dcrit les options
de ligne de commande pour ipconfig.
Commande
Description
ipconfig /all
Permet d'afficher des informations de configuration dtailles
ipconfig /release
Permet de librer la configuration de bail pour la rendre au serveur DHCP
ipconfig /renew
Permet de renouveler la configuration de bail
ipconfig /displaydns
Permet d'afficher les entres du cache de rsolution DNS
ipconfig /flushdns
Permet de vider le cache de rsolution DNS
Ping
Ping est un outil en ligne de commande qui vrifie l'tat de la connexion IP un autre ordinateur TCP/IP.
Il envoie des messages de requte d'cho ICMP et affiche la rception des messages de rponse aux
requtes d'cho correspondantes. Ping est la principale commande TCP/IP que vous utilisez pour
rsoudre les problmes de connectivit. Toutefois, les pare-feu peuvent bloquer les messages ICMP.
Tracert
Tracert est un outil en ligne de commande qui identifie le chemin d'accs d'un ordinateur de destination
en envoyant une srie de requtes d'cho ICMP. Tracert affiche ensuite la liste des interfaces de routeur
entre une source et une destination. Cet outil identifie galement les routeurs en panne, ainsi que la
latence (ou vitesse). Ces rsultats peuvent tre incorrects si le routeur est occup, car ce dernier affecte
une priorit infrieure aux paquets ICMP.
Pathping
Pathping est un outil en ligne de commande qui trace un itinraire via le rseau d'une manire semblable
Tracert. Toutefois, Pathping fournit des statistiques plus dtailles sur les tapes individuelles (tronons)
du rseau. Pathping peut fournir plus de dtails, car il envoie 100 paquets pour chaque routeur, ce qui lui
permet d'tablir des tendances.
Route
Route est un outil en ligne de commande qui vous permet d'afficher et de modifier la table de routage
locale. Vous pouvez l'utiliser pour vrifier la passerelle par dfaut, qui est rpertorie sous la forme de
l'itinraire 0.0.0.0. Dans Windows Server 2012, vous pouvez galement utiliser les applets de commande
Windows PowerShell pour afficher et modifier la table de routage. Les applets de commande qui
permettent de visualiser et modifier la table de routage locale sont Get-NetRoute, New-NetRoute
et Remove-NetRoute.
Telnet
Vous pouvez utiliser la fonctionnalit Client Telnet pour vrifier si un port serveur est l'coute. Par
exemple, la commande telnet 10.10.0.10 25 tente d'ouvrir une connexion au serveur de destination,
10.10.0.10, sur le port SMTP 25. Si le port est actif et l'coute, il retourne un message au client Telnet.
Netstat
Netstat est un outil en ligne de commande qui vous permet d'afficher les connexions rseau et les
statistiques correspondantes. Par exemple, la commande netstat ab retourne tous les ports d'coute,
ainsi que l'excutable qui est l'coute.
Moniteur de ressources
Le Moniteur de ressources est un outil graphique qui vous permet d'analyser l'utilisation des ressources
systme. Vous pouvez utiliser le Moniteur de ressources pour afficher les ports TCP et UDP qui sont en
cours d'utilisation. Vous pouvez galement identifier les applications qui utilisent des ports spcifiques
et dterminer la quantit de donnes qu'elles transfrent sur ces ports.
Diagnostics Rseau
Utilisez l'outil Diagnostics Rseau de Windows pour diagnostiquer et corriger les problmes rseau. Au
cas o un problme rseau surviendrait avec Windows Server, l'option Diagnostiquer les problmes
de connexion vous permet de diagnostiquer le problme et de le rsoudre. L'outil Diagnostic Rseau
de Windows retourne une description du problme, ainsi qu'une ventuelle solution. Toutefois, la solution
peut ncessiter l'intervention manuelle de l'utilisateur.
Observateur d'vnements
5-23
Les journaux d'vnements sont des fichiers qui consignent des vnements importants sur un ordinateur,
tels qu'une erreur rencontre par un processus. Lorsque ces vnements se produisent, le systme
d'exploitation Windows enregistre l'vnement dans un journal des vnements appropri. Vous
pouvez utiliser l'Observateur d'vnements pour lire le journal des vnements. Les conflits IP, qui
peuvent empcher les services de dmarrer, sont lists dans le journal des vnements systme.
Utilisation des applets de commande Windows PowerShell pour rsoudre

les problmes lis IPv4
Windows PowerShell dans Windows Server 2012
dispose d'applets de commande de configuration
rseau supplmentaires. Vous pouvez les utiliser
la place des outils en ligne de commande pour
rsoudre les problmes. Mme si vous pouviez
utiliser Windows PowerShell dans les versions
antrieures de Windows Server pour configurer
le rseau et rsoudre les problmes inhrents,
vous tiez oblig de recourir aux objets WMI
(Windows Management Instrumentation),
qui sont plus difficiles utiliser que les applets
de commande Windows PowerShell natives.
Le tableau suivant rpertorie quelques-unes des nouvelles applets de commande Windows PowerShell
que vous pouvez utiliser.
Applet de commande
Rle
Get-NetAdapter
Obtient une liste des cartes rseau d'un ordinateur.
Restart-NetAdapter
Dsactive et ractive une carte rseau.
Get-NetIPInterface
Obtient une liste des interfaces avec leur configuration.
Get-NetIPAddress
Obtient une liste des adresses IP configures pour les interfaces.
Get-NetRoute
Obtient la liste des itinraires dans la table de routage locale.
Get-NetConnectionProfile
Obtient le type de rseau (public, priv, domaine) pour lequel

une carte rseau est connecte.
Get-DNSClientCache
Obtient la liste des noms DNS rsolus qui sont stocks dans
le cache client DNS.
Get-DNSClientServerAddress
Obtient la liste des serveurs DNS utiliss pour chaque interface.
Processus de rsolution des problmes d'IPv4

La premire tape de la rsolution d'un problme
rseau consiste identifier l'tendue du problme.
Les causes d'un problme qui affecte un seul
utilisateur sont trs probablement diffrentes
des causes d'un problme qui affecte tous les
utilisateurs. Si un problme n'affecte qu'un
seul utilisateur, cela signifie que ce problme
est probablement li la configuration de
l'ordinateur utilis. Si un problme affecte tous les
utilisateurs, cela signifie qu'il s'agit probablement
d'un problme de configuration du serveur ou
de configuration rseau. Si un problme affecte
uniquement un groupe d'utilisateurs, vous devez dterminer le dnominateur commun ce groupe
d'utilisateurs.
Pour rsoudre les problmes de communication rseau, vous devez comprendre l'ensemble du processus
de communication. Vous ne pouvez identifier le point de rupture du processus et de blocage de la
communication que si vous comprenez comment fonctionne l'ensemble du processus de communication.
Pour comprendre le fonctionnement du processus global de communication, vous devez comprendre
comment fonctionne la configuration du routage et du pare-feu sur votre rseau. Pour faciliter
l'identification de l'itinraire de routage via votre rseau, vous pouvez utiliser tracert.
Voici certaines des tapes que vous pouvez utiliser pour identifier la cause des problmes de
communication rseau :
1.
Si vous savez quelle est la configuration rseau approprie pour l'hte, utilisez ipconfig afin de
vrifier s'il s'agit de la configuration applique. Si ipconfig retourne une adresse sur le rseau
169.254.0.0/16, cela indique que l'hte n'a pas russi obtenir une adresse IP auprs du serveur
DHCP.
2.
Utilisez la commande ping pour voir si l'hte distant rpond. Si vous utilisez ping pour retourner
le nom DNS de l'hte distant, cela vous permet de vrifier la rsolution de noms et la rponse de
l'hte. Gardez l'esprit que le Pare-feu Windows sur les serveurs membres et les ordinateurs clients
bloque souvent les tentatives d'excution de la commande ping. Dans ce cas, l'absence de rponse
l'excution de la commande ping ne signifie pas ncessairement que l'hte distant n'est pas
fonctionnel. Si l'excution de la commande ping aboutit pour d'autres htes distants du mme
rseau, cela indique souvent que le problme se situe sur l'hte distant.
5-25
3.
Vous pouvez utiliser une application pour tester le service auquel vous vous connectez sur l'hte
distant. Par exemple, utilisez Windows Internet Explorer pour tester la connectivit un serveur
Web. Vous pouvez galement utiliser Telnet pour vous connecter au port de l'application distante.
4.
Utilisez la commande ping pour voir si la passerelle par dfaut rpond. La plupart des routeurs
rpondent aux requtes ping. Si vous n'obtenez pas de rponse lorsque vous effectuez un test ping
de la passerelle par dfaut, cela signifie qu'il existe probablement une erreur de configuration sur
l'ordinateur client. En effet, il est possible que la passerelle par dfaut soit configure de manire
incorrecte. Il est possible galement que le routeur rencontre des erreurs.
Remarque : Vous pouvez forcer la commande ping utiliser IPv4 au lieu d'IPv6 l'aide
de l'option -4.
Question : Existe-t-il d'autres tapes que vous pouvez utiliser pour rsoudre les problmes
de connectivit rseau ?
Qu'est-ce que le Moniteur rseau ?

Le Moniteur rseau est un analyseur de paquets
qui vous permet de capturer et d'examiner les
paquets rseau du rseau auquel votre ordinateur
est connect. La capture de paquets est une
technique de rsolution de problmes avance qui
vous aide identifier les problmes rseau
inhabituels et laborer une solution. Par
exemple, en examinant les paquets transmis sur un
rseau, vous pouvez ventuellement voir
des erreurs qui ne sont pas signales par une
application.
Vous pouvez installer le Moniteur rseau sur
chaque systme d'extrmit du processus de communication ou sur un troisime ordinateur. Si vous
installez le Moniteur rseau sur un troisime ordinateur, vous devez configurer la mise en miroir des
ports sur les commutateurs rseau. Veillez configurer la mise en miroir des ports pour copier les
paquets rseau destins aux systmes d'extrmit du processus de communication, vers le port du
commutateur auquel est connect l'ordinateur disposant du Moniteur rseau. Le Moniteur rseau
peut analyser les paquets envoys d'autres ordinateurs, car il fonctionne en mode de proximit.
Vous pouvez tlcharger le Moniteur rseau partir du site Web de tlchargement Microsoft, puis
l'installer sur un poste de travail qui excute Windows 8 ou Windows Server 2012. Une fois install, le
Moniteur rseau se lie aux cartes rseau locales. Lorsque vous lancez le Moniteur rseau, vous pouvez
voir des captures existantes ou commencer une nouvelle capture.
Utilisation du Moniteur rseau
Une fois que vous avez captur des paquets rseau, vous devez pouvoir interprter ce que vous voyez
et savoir si le comportement est attendu ou non. Pour vous aider, le Moniteur rseau affiche les paquets
sous forme de liste rsume dans le volet Rsum de la trame.
Ce volet affiche tous les paquets capturs et fournit les informations suivantes :
Date et heure : cela vous permet de dterminer l'ordre dans lequel les paquets ont t transmis.
Source et destination : cela indique les adresses IP source et de destination pour vous permettre
de dterminer quels sont les ordinateurs impliqus dans le dialogue.
Nom du protocole : le protocole de plus haut niveau que le Moniteur rseau peut identifier est
rpertori, par exemple ARP, ICMP, TCP et SMB. Le fait de connatre le protocole de plus haut
niveau vous permet d'identifier les services qui peuvent tre lis aux problmes que vous essayez
de rsoudre.
Lorsque vous slectionnez une trame dans le volet Rsum de la trame, le volet Dtails de la trame
est mis jour l'aide du contenu de cette trame particulire. Vous pouvez passer en revue les dtails
de la trame, en examinant au fur et mesure le contenu de chaque lment.
Chaque couche de l'architecture rseau ( partir de l'application en allant vers le bas) encapsule ses
donnes dans le conteneur de la couche situe en dessous. En d'autres termes, une requte HTTP
est encapsule dans un paquet IPv4, qui son tour est encapsul dans une trame Ethernet.
Lorsque vous avez recueilli une grande quantit de donnes, il peut s'avrer difficile de dterminer quelles
sont les trames pertinentes pour votre problme spcifique. Vous pouvez utiliser le filtrage pour afficher
uniquement les trames dignes d'intrt. Par exemple, vous pouvez choisir d'afficher uniquement les
paquets DNS.
Dmonstration : Comment capturer et analyser le trafic rseau l'aide

du Moniteur rseau
Vous pouvez utiliser le Moniteur rseau pour capturer et afficher les paquets qui sont transmis sur le
rseau. Cela vous permet d'afficher des informations dtailles qui ne sont pas visibles normalement.
Ce type d'information peut tre utile la rsolution des problmes.
capturer le trafic rseau l'aide du Moniteur rseau ;
analyser le trafic rseau captur ;
filtrer le trafic rseau.
Capturer le trafic rseau l'aide du Moniteur rseau
Prparer une capture de paquets
1.

Pa$$w0rd.
2.
Ouvrez une invite Windows PowerShell et excutez la commande suivante :

o
3.
ipconfig /flushdns
Ouvrez Microsoft Network Monitor 3.4, puis crez un onglet de nouvelle capture.
Capturer les paquets d'une requte ping

1.
Dans le Moniteur rseau, dmarrez une capture de paquets.
2.
l'invite Windows PowerShell, effectuez un test ping de LON-DC1.adatum.com.
3.
Dans le Moniteur rseau, arrtez la capture de paquets.
Analyser le trafic rseau captur
5-27
1.
Dans le Moniteur rseau, faites dfiler l'affichage vers le bas et slectionnez le premier paquet ICMP.
2.
Dveloppez la partie Icmp du paquet pour vrifier qu'il s'agit d'un Echo Request Message. Il s'agit
d'une requte ping.
3.
Dveloppez la partie Ipv4 du paquet pour afficher les adresses IP source et de destination.
4.
Dveloppez la partie Ethernet du paquet pour afficher les adresses MAC source et de destination.
5.
Slectionnez le deuxime paquet ICMP.
6.
Dans la partie Icmp du paquet, vrifiez qu'il s'agit d'une Rponse d'cho. Il s'agit de la rponse
la requte ping.
Filtrer le trafic rseau

1.
Dans le Moniteur rseau, dans le volet Filtre d'affichage, chargez le filtre DNS standard
DnsQueryName.
2.
Modifiez le filtre appliquer aux requtes DNS pour LON-DC1.adatum.com.
3.
Appliquez le filtre.
4.
Vrifiez que les paquets ont t filtrs afin d'afficher uniquement ceux qui correspondent au filtre.

Scnario
La socit A. Datum Corporation a un bureau et un centre de donnes informatiques Londres
qui prennent en charge le site de Londres ainsi que d'autres sites. Ils ont rcemment dploy une
infrastructure Windows Server 2012 avec des clients Windows 8. Vous avez rcemment accept une
promotion au sein de l'quipe d'assistance technique des serveurs. L'une de vos premires missions
consiste configurer le service d'infrastructure pour une nouvelle succursale.
Aprs une valuation de la scurit, votre responsable vous a demand de calculer de nouveaux
sous-rseaux pour permettre la filiale de prendre en charge la segmentation du trafic rseau.
Vous devez galement rsoudre un problme de connectivit sur un serveur de la filiale.
Objectifs
identifier les sous-rseaux appropris pour un ensemble spcifique d'exigences ;
rsoudre les problmes de connectivit IPv4.

22410B-LON-DC1
22410B-LON-RTR
22410B-LON-SVR2
Nom d'utilisateur
Mot de passe :
Pa$$w0rd
1.
2.
sur Accueil.
3.
4.
5.
Rptez les tapes 2 4 pour 22410B-LON-RTR et 22410B-LON-SVR2.
Exercice 1 : Identification des sous-rseaux appropris

Scnario
5-29
La nouvelle filiale est configure avec un seul sous-rseau. Aprs une valuation de la scurit, toutes les
configurations rseau des filiales sont modifies afin que les serveurs soient placs sur un sous-rseau
distinct des ordinateurs clients. Vous devez calculer le nouveau masque de sous-rseau et les passerelles
par dfaut des sous-rseaux dans votre filiale.
Le rseau actuel de votre filiale est 192.168.98.0/24. Ce rseau doit tre subdivis en trois sous-rseaux,
comme suit :
Un sous-rseau avec au moins 100 adresses IP pour les clients
Un sous-rseau avec au moins 10 adresses IP pour les serveurs
Un sous-rseau avec au moins 40 adresses IP pour une extension future

1.
Calculer les bits requis pour prendre en charge les htes sur chaque sous-rseau
2.
Calculer les masques de sous-rseau et les ID rseau
Tche 1 : Calculer les bits requis pour prendre en charge les htes sur chaque
sous-rseau
1.
Combien de bits sont requis pour prendre en charge 100 htes sur le sous-rseau client ?
2.
Combien de bits sont requis pour prendre en charge 10 htes sur le sous-rseau serveur ?
3.
Combien de bits sont requis pour prendre en charge 40 htes sur le sous-rseau de l'extension
future ?
4.
Si tous les sous-rseaux sont de la mme taille, peuvent-ils tre adapts ?
5.
Quelle fonctionnalit permet un rseau unique d'tre divis en sous-rseaux de diffrentes tailles ?
6.
Combien de bits htes utiliserez-vous pour chaque sous-rseau ? Utilisez l'allocation la plus simple
possible, c'est--dire un sous-rseau de grande taille et deux sous-rseaux plus petits de mme taille.
Tche 2 : Calculer les masques de sous-rseau et les ID rseau

1.
Compte tenu du nombre de bits htes allous, quel est le masque de sous-rseau que vous allez
utiliser pour le sous-rseau client ? Calculez le masque de sous-rseau au format binaire et dcimal.
o
Le sous-rseau client utilise 7 bits pour l'ID hte. Par consquent, vous allez utiliser 25 bits pour
le masque de sous-rseau.
Binaire
Dcimal
2.
utiliser pour le sous-rseau serveur ? Calculez le masque de sous-rseau au format binaire et dcimal.
o
Le sous-rseau serveur utilise 6 bits pour l'ID hte. Par consquent, vous allez utiliser 26 bits
pour le masque de sous-rseau.
Binaire
3.
Dcimal
utiliser pour le sous-rseau de l'extension future ? Calculez le masque de sous-rseau au format
binaire et dcimal.
o
Le sous-rseau de l'extension future utilise 6 bits pour l'ID hte. Par consquent, vous allez
utiliser 26 bits pour le masque de sous-rseau.
Binaire
4.
Dcimal
Pour le sous-rseau client, dfinissez l'ID rseau, le premier hte disponible, le dernier hte disponible
et l'adresse de diffusion. Supposons que le sous-rseau client soit le premier sous-rseau allou
partir du pool d'adresses disponibles. Calculez les versions binaires et dcimales de chaque adresse.
Description
Binaire
Dcimal
ID rseau
Premier hte
Dernier hte
Diffusion
5.
Pour le sous-rseau serveur, dfinissez l'ID rseau, le premier hte disponible, le dernier hte
disponible et l'adresse de diffusion. Supposons que le sous-rseau serveur soit le deuxime
sous-rseau allou partir du pool d'adresses disponibles. Calculez les versions binaires et
dcimales de chaque adresse.
Description
ID rseau
Premier hte
Dernier hte
Diffusion
Binaire
Dcimal
6.
Pour le sous-rseau allouer ultrieurement, dfinissez l'ID rseau, le premier hte disponible,
le dernier hte disponible et l'adresse de diffusion. Supposons que le sous-rseau allouer
ultrieurement soit le troisime sous-rseau allou partir du pool d'adresses disponibles.
Calculez les versions binaires et dcimales de chaque adresse.
Description
Binaire
Dcimal
ID rseau
Premier hte
Dernier hte
Diffusion
Rsultats : la fin de cet exercice, vous aurez identifi les sous-rseaux requis pour rpondre
aux exigences du scnario de l'atelier pratique.
Exercice 2 : Rsolution des problmes lis IPv4

Scnario
Un serveur de la filiale est incapable de communiquer avec le contrleur de domaine du sige.
Vous devez rsoudre le problme de connectivit rseau.
1.
Prparer la rsolution des problmes
2.
Rsoudre les problmes de connectivit IPv4 entre LON-SVR2 et LON-DC1
Tche 1 : Prparer la rsolution des problmes
5-31
1.
Sur LON-SVR2, ouvrez Windows PowerShell.
2.
Dans Windows PowerShell, effectuez un test ping de LON-DC1 et vrifiez si ce dernier est
fonctionnel.
3.
Excutez le script Break.ps1 situ dans \\LON-DC1\E$\Labfiles\Mod05. Ce script cre le problme

que vous allez rsoudre au cours de la prochaine tche.
Tche 2 : Rsoudre les problmes de connectivit IPv4 entre LON-SVR2 et LON-DC1

1.
Utilisez votre connaissance d'IPv4 pour rsoudre le problme de connectivit entre LON-SVR2
et LON-DC1. Pensez utiliser les outils suivants :
o
Ipconfig
Ping
Tracert
Route
Moniteur rseau
2.
Une fois que vous avez rsolu le problme, effectuez un test ping de LON-DC1 partir de LON-SVR2
pour vrifier que le problme est bien rsolu.
Remarque : Si vous avez encore le temps, excutez un script supplmentaire de cration

de problme partir de \\LON-DC1\E$\Labfiles\Mod05 et rsolvez le problme spcifique.
Rsultats : la fin de cet atelier pratique, vous aurez rsolu un problme de connectivit IPv4.
comme suit :
1.
2.
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-RTR et 22410B-LON-SVR2.

Mthode conseille
Lors de l'implmentation du protocole IPv4, utilisez les meilleures pratiques suivantes :
Tenez compte des besoins de croissance lors de la planification des sous-rseaux IPv4.
Vous aurez ainsi la garantie de ne pas avoir modifier votre modle de configuration IPv4.
Dfinissez des objectifs pour les plages d'adresses et les sous-rseaux spcifiques. Cela vous
permet d'identifier facilement les htes en fonction de leur adresse IP et d'utiliser des pare-feu
pour augmenter la scurit.
Utilisez des adresses IPv4 dynamiques pour les clients. Il est beaucoup plus facile de grer la
configuration IPv4 des ordinateurs clients avec le protocole DHCP plutt qu'une configuration
manuelle.
Utilisez des adresses IPv4 statiques pour les serveurs. Lorsque les serveurs ont une
adresse IPv4 statique, il est plus facile d'identifier l'emplacement des services sur le rseau.

Problme courant
Conflits d'adresses IP
Plusieurs passerelles par dfaut dfinies
Configuration IPv4 incorrecte

Question : Vous occupez depuis peu un poste d'administrateur de serveur dans une petite
organisation implante un seul emplacement. L'organisation utilise la plage d'adresses
131.107.88.0/24 pour le rseau interne. Est-ce un problme ?
Question : Vous travaillez pour une organisation qui fournit des services d'hbergement
Web d'autres organisations. Vous disposez d'un seul rseau /24 via votre fournisseur
de services Internet pour les htes Web. Vous tes presque court d'adresses IPv4 et avez
demand votre fournisseur de services Internet une plage d'adresses supplmentaires.
Dans l'idal, vous souhaitez crer un super-rseau en associant le rseau existant au
nouveau rseau. Existe-t-il des exigences particulires pour la cration d'un super-rseau ?
Question : Vous avez install une nouvelle application Web qui s'excute sur un numro
de port non standard. Un collgue teste l'accs la nouvelle application Web et indique
qu'il ne peut pas s'y connecter. Quelles sont les causes les plus probables de son problme ?
5-33
Outils
Outil
Utilisation
Emplacement
Moniteur rseau
Capturer et analyser le trafic rseau
Tlchargement depuis le site Web

Microsoft
Ipconfig
Afficher la configuration rseau
Invite de commandes
Ping
Vrifier la connectivit rseau
Invite de commandes
Tracert
Vrifier le chemin d'accs rseau entre

les htes
Invite de commandes
Pathping
Vrifier le chemin d'accs rseau

et la fiabilit entre les htes
Invite de commandes
Route
Afficher et configurer la table de routage

locale
Invite de commandes
Telnet
Tester la connectivit d'un port

spcifique
Invite de commandes
Netstat
Afficher les informations de connectivit

rseau
Invite de commandes
Moniteur de
ressources
Afficher les informations de connectivit

rseau
Outils du Gestionnaire de serveur
Diagnostics rseau
de Windows
Diagnostiquer un problme
de connexion rseau
Proprits de la connexion rseau
Observateur
d'vnements
Afficher les vnements systme lis

au rseau
Outils du Gestionnaire de serveur

6-1
Module 6
Implmentation du protocole DHCP
(Dynamic Host Configuration Protocol)
Table des matires :
6-1
Leon 1 : Installation d'un rle Serveur DHCP
6-2
Leon 2 : Configuration des tendues DHCP
6-8
Leon 3 : Gestion d'une base de donnes DHCP
6-13
Leon 4 : Scurisation et surveillance DHCP
6-17
6-23
6-28
Le protocole DHCP (Dynamic Host Configuration Protocol) joue un rle important dans l'infrastructure
de Windows Server 2012. Il s'agit non seulement du principal moyen employ pour distribuer
les informations de configuration rseau importantes aux clients rseau, mais il fournit galement
certaines informations de configuration d'autres services rseau, notamment les services de
dploiement Windows (WDS) et la protection d'accs rseau (NAP). Pour prendre en charge une
infrastructure rseau base sur Windows Server et rsoudre les ventuels problmes, il est important
que vous sachiez dployer et configurer le rle Serveur DHCP et rsoudre les problmes associs.
Objectifs
installer le rle Serveur DHCP ;
configurer les tendues DHCP ;
grer une base de donnes DHCP ;
scuriser et surveiller le rle Serveur DHCP.
Implmentation du protocole DHCP (Dynamic Host Configuration Protocol)
Leon 1
Installation d'un rle Serveur DHCP

L'utilisation du protocole DHCP peut contribuer simplifier la configuration d'un ordinateur client.
Cette leon dcrit les avantages de DHCP, prsente le fonctionnement de ce protocole et explique
comment contrler DHCP sur un rseau Windows Server 2012 avec les services de domaine
Active Directory (AD DS).
dcrire les avantages de l'utilisation de DHCP ;
expliquer comment DHCP alloue des adresses IP aux clients rseau ;
dcrire le fonctionnement du processus de cration d'un bail DHCP ;
dcrire le fonctionnement du processus de renouvellement d'un bail DHCP ;
dcrire le rle d'un agent de relais DHCP ;
expliquer comment un rle Serveur DHCP est autoris ;
expliquer comment ajouter et autoriser le rle Serveur DHCP.
Avantages lis l'utilisation du protocole DHCP

Le protocole DHCP simplifie la configuration
des clients IP dans un environnement rseau.
Si vous n'utilisez pas DHCP, chaque fois que
vous ajoutez un client un rseau, vous devez
le configurer en reprenant les informations du
rseau sur lequel il tait install, notamment
l'adresse IP, le masque de sous-rseau du rseau
et la passerelle par dfaut permettant l'accs
d'autres rseaux.
6-2
Grer les nombreux ordinateurs qui constituent

un rseau devient une tche trs fastidieuse
lorsqu'elle est effectue manuellement. Il n'est pas
rare que des socits aient des milliers de priphriques informatiques grer : priphriques portables,
ordinateurs de bureau, ordinateurs portables, etc. Il n'est pas possible de grer manuellement les
configurations IP de rseau pour les entreprises de cette taille.
Avec le rle Serveur DHCP, vous faites en sorte que tous les clients disposent d'informations de
configuration appropries, ce qui contribue liminer les erreurs humaines pendant la configuration.
Lorsque d'importantes informations de configuration changent dans le rseau, il est possible de les
mettre jour l'aide du rle Serveur DHCP sans qu'il soit ncessaire d'intervenir directement sur
chaque ordinateur.
De mme, DHCP est un service cl pour les utilisateurs itinrants qui changent souvent de rseau. DHCP
permet aux administrateurs rseau de fournir des informations de configuration rseau complexes
aux utilisateurs non techniciens, sans que ceux-ci n'aient se proccuper des dtails de configuration
de leur rseau.
6-3
La configuration avec tat et sans tat de DHCP version 6 (v6) est prise en charge pour la configuration
de clients dans un environnement IPv6. La configuration avec tat intervient lorsque le serveur DHCPv6
attribue l'adresse IPv6 au client, en mme temps que d'autres donnes DHCP. La configuration sans tat
intervient quand le routeur de sous-rseau attribue l'adresse IPv6 automatiquement et que le serveur
DHCPv6 attribue seulement d'autres paramtres de configuration d'IPv6.
La protection d'accs rseau (NAP) fait partie d'un nouvel ensemble d'outils qui peuvent empcher l'accs
total l'intranet aux ordinateurs qui ne sont pas conformes aux exigences d'intgrit du systme. La
protection d'accs rseau (NAP) couple DHCP contribue isoler du rseau d'entreprise les ordinateurs
susceptibles d'tre infects par un programme malveillant. La protection d'accs rseau par DHCP permet
aux administrateurs de s'assurer que les clients DHCP sont en conformit avec les stratgies de scurit
internes. Par exemple, tous les clients rseau doivent tre jour et disposer d'un programme antivirus
valide et jour avant qu'une configuration IP permettant un accs total l'intranet ne leur soit attribue.
Vous pouvez installer DHCP en tant que rle sur une installation minimale (Server Core) de
Windows Server 2012. Server Core vous permet de crer un serveur avec une exposition aux attaques
rduite. Pour grer DHCP partir de Server Core, vous devez installer et configurer le rle partir
de l'interface de ligne de commande. Vous pouvez galement grer le rle DHCP s'excutant sur
l'installation Server Core de Windows Server 2012 partir d'une console base sur une interface
graphique utilisateur dans laquelle le rle DHCP est dj install.
Comment le protocole DHCP alloue des adresses IP

DHCP alloue les adresses IP en suivant un
processus dynamique galement appel bail.
Bien que vous puissiez dfinir la dure du bail
sur Illimit, vous dfinissez en gnral cette dure
sur quelques heures ou jours. La dure du bail
par dfaut pour les clients cbls est de huit
jours, et de trois jours pour les clients sans fil.
DHCP utilise des messages IP pour tablir des
communications. Par consquent, les serveurs
DHCP sont limits aux communications
l'intrieur de leur sous-rseau IP. Cela signifie
que dans bon nombre de rseaux, il existe un
serveur DHCP pour chaque sous-rseau IP.
Pour qu'un ordinateur soit considr comme un client DHCP, il doit tre configur pour obtenir une
adresse IP automatiquement. Par dfaut, tout ordinateur est configur pour obtenir une adresse IP
automatiquement. Dans un rseau sur lequel un serveur DHCP est install, un client DHCP rpondra
un message DHCP.
Si un ordinateur est configur avec une adresse IP par un administrateur, il dispose d'une adresse IP
statique, est considr comme un client non-DHCP et ne communiquera pas avec un serveur DHCP.
Comment fonctionne le processus de cration d'un bail DHCP ?

Vous utilisez le processus de gnration de
bail DHCP en quatre tapes pour attribuer une
adresse IP aux clients. Le fait de comprendre
le fonctionnement de chaque tape vous aide
rsoudre les problmes survenant lorsque
les clients ne parviennent pas obtenir une
adresse IP. Les quatre tapes sont les suivantes :
6-4
1.
Le client DHCP diffuse un paquet

DHCPDISCOVER chaque ordinateur du
sous-rseau. Seul un ordinateur qui a le rle
Serveur DHCP ou un ordinateur ou routeur
qui excute un agent de relais DHCP rpond.
Dans ce dernier cas, l'agent de relais DHCP transfre le message au serveur DHCP avec lequel
il est configur.
2.
Un serveur DHCP rpond avec un paquet DHCPOFFER. Ce paquet contient une adresse potentielle
pour le client.
3.
Le client reoit le paquet DHCPOFFER. Il peut recevoir des paquets de plusieurs serveurs, auquel cas il
slectionne gnralement le serveur qui a rpondu le plus rapidement son paquet DHCPDISCOVER.
Il s'agit habituellement du serveur DHCP le plus proche du client. Le client diffuse alors un paquet
DHCPREQUEST qui contient un identificateur de serveur. Ce dernier indique aux serveurs DHCP
qui reoivent le paquet DHCPOFFER quel serveur le client a choisi d'accepter.
4.
Les serveurs DHCP reoivent le paquet DHCPREQUEST. Les serveurs non accepts par le client
utilisent le message comme notification indiquant que le client refuse l'offre du serveur. Le serveur
choisi stocke l'adresse IP du client dans la base de donnes DHCP et rpond par un message
DHCPACK. Si, pour une raison ou une autre, le serveur DHCP ne peut pas fournir l'adresse
contenue dans le paquet DHCPOFFER initial, le serveur DHCP envoie un message DHCPNAK.
Comment fonctionne le processus de renouvellement d'un bail DHCP ?

Lorsque le bail DHCP atteint 50 % de sa dure
totale, le client essaie de le renouveler. Il s'agit
d'un processus automatique qui se produit en
arrire-plan. Les ordinateurs peuvent utiliser
l'adresse IP attribue par le serveur DHCP sur
une longue priode s'ils fonctionnent de faon
continue sur un rseau sans tre arrts.
Pour renouveler le bail de l'adresse IP, le client
diffuse un message DHCPREQUEST. Le serveur qui
a initialement lou l'adresse IP renvoie au client un
message DHCPACK qui contient tous les nouveaux
paramtres qui n'existaient pas lors de la cration
du bail.
6-5
Si le client DHCP ne peut pas contacter le serveur DHCP, alors le client attend que 87,5 pour cent de la
dure du bail soient couls. Si le renouvellement choue, ce qui signifie que 100 pour cent de la dure
du bail sont couls, l'ordinateur client tente d'entrer en contact avec la passerelle par dfaut configure.
Si la passerelle ne rpond pas, le client suppose qu'elle est sur un nouveau sous-rseau et passe la
phase de dtection. Il tente alors d'obtenir une configuration IP de n'importe quel serveur DHCP.
Les ordinateurs clients tentent galement de renouveler le bail pendant le processus de dmarrage ou
lorsque l'ordinateur dtecte une modification du rseau. Ceci est d au fait que les ordinateurs clients
peuvent avoir t dplacs alors qu'ils taient hors connexion ; par exemple, un ordinateur portable
peut avoir t branch un nouveau sous-rseau. Si le renouvellement russit, la priode de bail est
rinitialise. Dans Windows Server 2012, le rle DHCP prend en charge une nouvelle fonctionnalit
appele protocole de basculement de serveur DHCP. Ce protocole active la synchronisation des
informations de bail entre les serveurs DHCP et augmente la disponibilit du service DHCP. Si un
serveur DHCP n'est pas disponible, les autres serveurs DHCP continuent de desservir les clients sur
le mme sous-rseau.
Dfinition d'un agent de relais DHCP
DHCP utilise des messages IP pour tablir des

communications. Par consquent, les serveurs
DHCP sont limits aux communications
l'intrieur de leur sous-rseau IP. Cela signifie
que dans bon nombre de rseaux, il existe un
serveur DHCP pour chaque sous-rseau IP. Or,
si les sous-rseaux sont nombreux, le dploiement
de serveurs pour chaque sous-rseau peut s'avrer
onreux. Un mme serveur DHCP peut desservir
des groupes de sous-rseaux plus petits. Pour
pouvoir rpondre une requte d'un client DHCP,
le serveur DHCP doit tre en mesure de recevoir
les requtes DHCP. Pour cela, vous devez configurer un agent de relais DHCP sur chaque sous-rseau.
Un agent de relais DHCP est un ordinateur ou un routeur qui coute les messages des clients DHCP
et les transmet aux serveurs DHCP sur diffrents sous-rseaux.
Avec l'agent de relais DHCP, les paquets de diffusion DHCP peuvent tre relays dans un autre
sous-rseau IP via un routeur. Ensuite, vous pouvez configurer l'agent de relais DHCP dans le sous-rseau
qui a besoin d'adresses IP. En outre, vous pouvez configurer l'agent avec l'adresse IP du serveur DHCP.
L'agent pourra ainsi capturer les messages du client et les transfrer au serveur DHCP d'un autre
sous-rseau. Vous pouvez galement relayer des paquets DHCP dans d'autres sous-rseaux l'aide
d'un routeur compatible avec la norme RFC 1542.
Autorisation du serveur DHCP

Le protocole DHCP permet un ordinateur
client d'acqurir des informations de
configuration sur le rseau dans lequel il dmarre.
La communication DHCP intervient gnralement
avant toute authentification de l'utilisateur ou
de l'ordinateur. Par ailleurs, comme le protocole
DHCP est bas sur des diffusions IP, un serveur
DHCP mal configur au sein d'un rseau peut
fournir des informations incorrectes aux clients.
Pour viter cela, le serveur doit tre autoris.
L'autorisation DHCP est le processus qui consiste
inscrire le service Serveur DHCP dans le domaine
Active Directory afin de prendre en charge les clients DHCP.
Configuration requise pour Active Directory

Vous devez autoriser le rle serveur DHCP de Windows Server 2012 dans AD DS avant de pouvoir
commencer louer des adresses IP. Il est possible d'affecter un seul serveur DHCP la distribution
d'adresses IP pour les sous-rseaux qui contiennent plusieurs domaines AD DS. Par consquent,
le serveur DHCP doit tre autoris par un compte d'administrateur d'entreprise.
Remarques concernant les serveurs DHCP autonomes

Un serveur DHCP autonome est un ordinateur qui excute Windows Server 2012, qui ne fait pas partie
d'un domaine AD DS et sur lequel le rle Serveur DHCP a t install et configur. Si le serveur DHCP
autonome dtecte un serveur DHCP autoris dans le domaine, il ne loue pas d'adresses IP et s'arrte
automatiquement.
Serveurs DHCP non autoriss
6-6
De nombreux priphriques rseau intgrent un logiciel serveur DHCP, ce qui explique que bon nombre
de routeurs peuvent faire office de serveur DHCP. Or, il est frquent que ces serveurs ne reconnaissent
pas les serveurs autoriss par DHCP, si bien qu'ils sont mme de louer des adresses IP aux clients.
Dans ce cas, vous devez mener l'enqute afin de dtecter les serveurs DHCP non autoriss, qu'ils soient
installs sur des priphriques ou des serveurs non-Microsoft. Une fois que vous les avez dtects, vous
devez dsactiver le service DHCP sur ces serveurs. Vous pouvez rechercher l'adresse IP du serveur DHCP
en excutant la commande ipconfig /all sur l'ordinateur client DHCP.
Dmonstration : Ajout du rle Serveur DHCP

Dans cette dmonstration, vous allez apprendre installer et autoriser le rle Serveur DHCP.
Installer le rle Serveur DHCP
1.

Pa$$w0rd.
2.
Ouvrez le Gestionnaire de serveur et installez le rle Serveur DHCP.
3.
Dans l'Assistant Ajout de rles, acceptez tous les paramtres par dfaut.
4.
Fermez le Gestionnaire de serveur.
Autoriser le serveur DHCP

1.
Basculez vers LON-SVR1.
2.
Ouvrez la console DHCP.
3.
Autorisez le serveur lon-svr1.adatum.com dans AD DS.
Remarque : Laissez tous les ordinateurs virtuels dans leur tat actuel pour la dmonstration
suivante.
6-7
Leon 2
Configuration des tendues DHCP
6-8
Une fois le rle DHCP install sur un serveur, vous devez configurer les tendues DHCP. L'tendue DHCP
est la mthode privilgie pour configurer les options d'un groupe d'adresses IP. Elle est base sur un
sous-rseau IP et certains de ses paramtres peuvent tre spcifiques au matriel ou des groupes
de clients personnaliss. Cette leon prsente les tendues DHCP et explique comment les grer.
dcrire le rle d'une tendue DHCP ;
dcrire une rservation DHCP ;
dcrire les options DHCP ;
expliquer comment appliquer les options DHCP ;
crer et configurer une tendue DHCP.
Que sont les tendues DHCP ?

Une tendue DHCP est une plage d'adresses IP
disponibles pour le bail et gres par un serveur
DHCP. En rgle gnrale, une tendue DHCP se
limite aux adresses IP d'un sous-rseau donn.
Par exemple, une tendue DHCP du rseau
192.168.1.0/24 (masque de sous-rseau
255.255.255.0) prend en charge une plage
comprise entre 192.168.1.1 et 192.168.1.254.
Lorsqu'un ordinateur ou priphrique du
sous-rseau 192.168.1.0/24 demande une
adresse IP, l'tendue qui a dfini la plage
de cet exemple alloue une adresse comprise
entre 192.168.1.1 et 192.168.1.254.
Remarque : Souvenez-vous que le serveur DHCP, lorsqu'il est dploy sur le mme
sous-rseau, consomme une adresse IPv4. Cette adresse doit tre exclue de la plage
d'adresses IPv4.
Pour configurer une tendue, vous devez dfinir les proprits suivantes :
Nom et description. Cette proprit identifie l'tendue.
Plage d'adresses IP. Cette proprit rpertorie la plage d'adresses pouvant tre proposes pour
le bail et comprend habituellement la plage complte des adresses d'un sous-rseau donn.
Masque de sous-rseau. Cette proprit est utilise par les ordinateurs clients pour dterminer
leur emplacement dans l'infrastructure rseau de l'entreprise.
Exclusions. Cette proprit rpertorie les adresses uniques ou les blocs d'adresses qui font partie
de la plage d'adresses IP, mais qui ne sont pas proposs pour le bail.
Dlai. Cette proprit correspond la dure d'attente avant l'excution de DHCPOFFER.
Dure du bail. Cette proprit indique la dure du bail. Utilisez des dures plus courtes pour les
tendues disposant d'un nombre limit d'adresses IP et des dures plus longues pour les rseaux
plus statiques.
Options. Vous pouvez configurer de nombreux proprits facultatives sur une tendue, mais les
plus courantes sont les suivantes :
o
option 003 Routeur (passerelle par dfaut du sous-rseau)
option 006 Serveurs DNS (Domain Name System)
option 015 Suffixe DNS
tendues IPv6
6-9
Vous pouvez configurer les options d'une tendue IPv6 en tant qu'tendue distincte dans le nud IPv6
de la console DHCP. Le nud IPv6 contient diffrentes options que vous pouvez modifier, ainsi qu'un
mcanisme de bail amlior.
Lorsque vous configurez une tendue DHCPv6, vous devez dfinir les proprits suivantes :
Nom et description. Cette proprit identifie l'tendue.
Prfixe. Le prfixe d'adresse IPv6 est similaire la plage d'adresses IPv4 ; il dfinit essentiellement
l'adresse rseau.
Exclusions. Cette proprit rpertorie les adresses uniques ou les blocs d'adresses qui font partie
du prfixe IPv6, mais qui ne sont pas proposs pour le bail.
Dure de vie prfre. Cette proprit dfinit la dure de validit des adresses loues.
Options. Comme pour IPv4, vous pouvez configurer de nombreuses options.
Qu'est-ce qu'une rservation DHCP ?
La pratique recommande consiste fournir

une adresse IP prdtermine aux priphriques
rseau tels que les imprimantes rseau. Avec
une rservation DHCP, vous tes assur que
les adresses IP que vous excluez d'une tendue
configure ne sont pas attribues un autre
priphrique. Une rservation DHCP est une
adresse IP spcifique au sein d'une tendue qui est
rserve de manire permanente pour le bail d'un
client DHCP spcifique. De plus, une rservation
DHCP garantit que les priphriques ayant fait
l'objet de rservations disposeront coup sr
d'une adresse IP mme si une tendue se trouve court d'adresses. Le fait de configurer des rservations
vous permet de centraliser la gestion des adresses IP fixes.
Configuration de rservations DHCP

Pour configurer une rservation, vous devez connatre l'adresse MAC (Media Access Control) ou
l'adresse physique de l'interface rseau du priphrique. Cette adresse indique au serveur DHCP que
le priphrique doit avoir une rservation. Vous pouvez acqurir l'adresse MAC d'une interface rseau
en utilisant la commande ipconfig/all. Gnralement, l'adresse MAC des imprimantes rseau et des
autres priphriques rseau est appose sur le priphrique proprement dit. Sur la plupart des
ordinateurs portables, cette information figure galement la base du chssis.
Que sont les options DHCP ?

Les serveurs DHCP peuvent configurer autre chose
que des adresses IP ; ils fournissent galement
des informations sur les ressources rseau, telles
que les serveurs DNS et la passerelle par dfaut.
Les options DHCP sont des valeurs de donnes
de configuration courantes qui s'appliquent
au serveur, aux tendues, aux rservations et
aux options de classe. Vous pouvez appliquer
les options DHCP aux niveaux du serveur,
de l'tendue, de l'utilisateur et du fournisseur.
Les options DHCP sont identifies par un code
d'option. La plupart de ces codes d'option sont
tirs de la documentation RFC que vous pouvez consulter sur le site Web de l'IETF
(Internet Engineering Task Force).
Options DHCP courantes

Le tableau suivant prsente les codes d'option courants demands par les clients DHCP Windows.
Code d'option
Nom
Routeur
Serveurs DNS
15
Nom de domaine DNS
44
Serveurs WINS/NBNS (Windows Internet Naming Service/NetBIOS Name Service)
46
Type de nud WINS/NetBT (WINS/NetBIOS sur TCP/IP)
47
Identificateur d'tendue NetBIOS
51
Dure du bail
58
Dure de renouvellement (T1)
59
Dure de reliaison (T2)
6-10 Implmentation du protocole DHCP (Dynamic Host Configuration Protocol)
(suite)
Code d'option
Nom
31
Dtection des routeurs
33
Itinraire statique
43
Informations spcifiques au fournisseur
249
Itinraires statiques sans classe
Comment les options DHCP sont-elles appliques ?

Le service DHCP applique les options aux
ordinateurs clients dans l'ordre suivant :
1.
Au niveau du serveur. Une option au niveau

du serveur est attribue tous les clients
DHCP du serveur DHCP.
2.
Au niveau de l'tendue. Une option au

niveau de l'tendue est attribue tous
les clients d'une tendue.
3.
Au niveau de la classe. Une option au niveau

de la classe est attribue tous les clients qui
s'identifient comme membres d'une classe.
4.
Au niveau du client rserv. Une option au niveau de la rservation est attribue

un seul client DHCP.
Vous devez comprendre ces options lorsque vous configurez DHCP pour savoir quels sont les
paramtres de niveau prioritaires lorsque vous configurez plusieurs paramtres diffrents niveaux.
Si des paramtres d'option DHCP conflictuels sont appliqus chaque niveau, l'option applique
en dernier remplace le paramtre prcdemment appliqu. Par exemple, si la passerelle par dfaut
est configure au niveau de l'tendue et qu'une passerelle par dfaut diffrente est applique pour
un client rserv, le paramtre client rserv devient le paramtre effectif.
6-11
Vous pouvez galement configurer des stratgies d'affectation d'adresses au niveau du serveur ou de
l'tendue. Une stratgie d'affectation d'adresses contient un ensemble de conditions que vous dfinissez
afin de louer diffrents adresses et paramtres IP DHCP diffrents types de clients DHCP, tels que des
ordinateurs, des ordinateurs portables, des imprimantes rseau ou des tlphones IP. Les conditions
dfinies dans ces stratgies diffrencient les divers types de clients et comprennent plusieurs critres,
tels que l'adresse MAC ou les informations de fournisseur.
Dmonstration : Cration et configuration d'une tendue DHCP

Vous pouvez crer des tendues l'aide de la console MMC (Microsoft Management Console) pour le
rle Serveur DHCP ou de l'outil en ligne de commande de configuration rseau Netsh. Ce dernier vous
permet de grer les tendues distance si le serveur DHCP s'excute sur une installation minimale
(Server Core) de Windows Server 2012. Il est galement utile pour les scripts et l'automatisation
de la mise en service de serveurs.
Dans cette dmonstration, vous allez apprendre configurer une tendue et ses options dans DHCP.
Configurer une tendue et les options d'tendue dans DHCP
1.
Dans le volet de navigation de DHCP, dveloppez lon-svr1.adatum.com, dveloppez et cliquez

avec le bouton droit sur IPv4, puis cliquez sur Nouvelle tendue.
2.
Crez une tendue avec les proprits suivantes :
3.
Nom : Succursale
Plage d'adresses IP : 172.16.0.100-172.16.0.200
Longueur : 16
Exclusions : 172.16.0.190-172.16.0.200
Autres paramtres : utilisez les valeurs par dfaut
Configurez les options Routeur 172.16.0.1
Utilisez les paramtres par dfaut pour toutes les autres pages, puis activez l'tendue.
Leon 3
Gestion d'une base de donnes DHCP
6-13
La base de donnes DHCP stocke des informations sur les baux d'adresses IP. En cas de problme, il est
important de savoir comment sauvegarder la base de donnes et comment rsoudre les problmes
de base de donnes ventuels. Cette leon explique comment grer la base de donnes et les donnes
qu'elle contient.
dcrire la base de donnes DHCP ;
expliquer la procdure de sauvegarde et de restauration d'une base de donnes DHCP ;
expliquer la procdure de rapprochement d'une base de donnes DHCP ;
expliquer la procdure de dplacement d'une base de donnes DHCP.
Qu'est-ce qu'une base de donnes DHCP ?

Une base de donnes DHCP est une base de
donnes dynamique contenant les donnes
en relation avec les tendues, les baux d'adresse
et les rservations. La base de donnes contient
galement le fichier de donnes o sont stockes
les informations de configuration DHCP et les
donnes de bail pour les clients qui ont lou une
adresse IP du serveur DHCP. Par dfaut, les fichiers
de base de donnes DHCP sont stocks dans
le dossier %systemroot%\System32\Dhcp.
Fichiers de base de donnes

du service DHCP
Le tableau suivant dcrit quelques fichiers de base de donnes du service DHCP.
Fichier
Description
Dhcp.mdb
Dhcp.mdb est le fichier de base de donnes du serveur DHCP.
Dhcp.tmp
Dhcp.tmp est un fichier temporaire que la base de donnes DHCP utilise comme
fichier d'change lors des oprations de maintenance d'index de la base de donnes.
Aprs une dfaillance du systme, Dhcp.tmp reste parfois dans le rpertoire
Systemroot\System32\Dhcp.
J50.log et
J50#####.log
J50.log et J50#####.log sont les journaux de toutes les transactions de base de

donnes. La base de donnes DHCP utilise ces fichiers pour rcuprer les donnes,
si ncessaire.
J50.chk
Il s'agit du fichier de point de contrle.
Remarque : Vous ne devez pas supprimer ou modifier les fichiers de base de donnes
de service DHCP.
La base de donnes de serveur DHCP est dynamique. Elle est mise jour lorsque des clients DHCP
sont attribus ou qu'ils librent leurs paramtres de configuration TCP/IP. La base de donnes
DHCP n'tant pas une base de donnes distribue comme la base de donnes du serveur WINS
(Windows Internet Name Service), la maintenance de la base de donnes du serveur DHCP est
moins complexe.
Par dfaut, la base de donnes DHCP et les entres associes du Registre sont sauvegardes
automatiquement intervalles de 60 minutes. Vous pouvez modifier cet intervalle par dfaut
en modifiant la valeur BackupInterval dans la cl de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Vous pouvez aussi sauvegarder une base de donnes DHCP manuellement tout moment.
Sauvegarde et restauration d'une base de donnes DHCP

Vous pouvez sauvegarder une base de donnes
DHCP manuellement ou la configurer de sorte
qu'elle soit sauvegarde automatiquement.
Une sauvegarde automatique est appele
sauvegarde synchrone. Une sauvegarde manuelle
est appele sauvegarde asynchrone.
Sauvegarde automatique (synchrone)

Le chemin d'accs de sauvegarde par
dfaut pour la sauvegarde de DHCP est
systemroot\System32\Dhcp\Backup. Pour vous
conformer aux meilleures pratiques, vous pouvez
modifier ce chemin dans les proprits du serveur
de faon le faire pointer vers un autre volume.
Sauvegarde manuelle (asynchrone)

Si vous devez crer une sauvegarde immdiatement, vous pouvez excuter l'option de sauvegarde
manuelle dans la console DHCP. Cette opration ncessite soit des autorisations de niveau
administrateur, soit que le compte utilisateur soit membre du groupe Administrateurs DHCP.
lments sauvegards
Lors d'une sauvegarde synchrone ou asynchrone, c'est la base de donnes DHCP entire qui est
enregistre, savoir :
toutes les tendues ;
les rservations ;
les baux ;
6-15
l'ensemble des options, y compris les options de serveur, les options d'tendue, les options
de rservation et les options de classe ;
toutes les cls de Registre et les autres paramtres de configuration (par exemple, les paramtres de
journal d'audit et les paramtres d'emplacement des dossiers) dfinis dans les proprits du serveur
DHCP. Ces paramtres sont stocks dans la cl de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Pour sauvegarder cette cl, ouvrez l'diteur du Registre et enregistrez la cl spcifie dans
un fichier texte.
Remarque : Les informations d'identification pour les mises jour dynamiques DNS
(nom d'utilisateur, domaine et mot de passe) qu'utilise le serveur DHCP lors de l'inscription
des ordinateurs clients DHCP auprs du service DNS ne sont pas sauvegardes, quelle que
soit la mthode de sauvegarde employe.
Restauration d'une base de donnes
Si vous devez restaurer la base de donnes, utilisez la fonction Restore de la console du serveur DHCP.
Vous serez invit spcifier l'emplacement de la sauvegarde. Une fois que vous aurez slectionn
l'emplacement, le service DHCP s'arrte et la base de donnes est restaure. Pour restaurer la base
de donnes, le compte d'utilisateur doit disposer d'autorisations de niveau administrateur ou tre
membre du groupe Administrateurs DHCP.
Scurit des sauvegardes

Une fois le fichier de base de donnes DHCP sauvegard, il doit tre stock dans un emplacement
protg auquel seuls les administrateurs DHCP peuvent accder. Ceci est un gage de protection
durable des informations de rseau contenues dans les fichiers de sauvegarde.
Utilisation de Netsh
Vous pouvez galement utiliser des commandes dans le contexte de serveur DHCP de Netsh pour
sauvegarder la base de donnes ; cela est utile pour sauvegarder la base de donnes un emplacement
distant l'aide d'un fichier script.
La commande suivante est un script que vous pouvez utiliser dans l'invite Serveur DHCP de Netsh
pour sauvegarder les donnes DHCP de toutes les tendues :
export "c:\My Folder\Dhcp Configuration" all
Pour restaurer la base de donnes DHCP, utilisez la commande suivante :

import "c:\My Folder\Dhcp Configuration" all
Remarque : Le contexte Serveur DHCP de Netsh n'existe pas sur les ordinateurs serveurs
sur lesquels le rle Serveur DHCP n'est pas install.
Rapprochement d'une base de donnes DHCP

Le rapprochement des tendues peut rsoudre les
incohrences qui affectent les ordinateurs clients.
Le service Serveur DHCP stocke les informations
de bail d'adresses IP d'tendue sous les deux
formes suivantes :
informations dtailles sur les baux

d'adresses IP, stockes dans la base
de donnes DHCP ;
informations rsumes sur les baux

d'adresses IP, stockes dans le Registre
du serveur.
Lorsque vous rapprochez des tendues, les entres dtailles et rsumes sont compares pour dceler
les incohrences.
Pour corriger et rparer ces incohrences, vous devez rapprocher toutes les incohrences d'tendues.
Aprs avoir slectionn et rapproch les incohrences d'tendues, le service DHCP restitue ces adresses
IP au propritaire d'origine ou cre une rservation temporaire pour ces adresses. Ces rservations sont
valides pendant la dure du bail assigne l'tendue. Lorsque le bail arrive expiration, les adresses
sont rcupres pour une utilisation ultrieure.
Dplacement d'une base de donnes DHCP

Si vous tes amen dplacer le rle
Serveur DHCP vers un autre serveur, la pratique
recommande consiste dplacer la base de
donnes DHCP sur ce mme serveur. Vous serez
ainsi assur que les baux clients seront conservs
et vous rduirez les risques de rencontrer des
problmes de configuration au niveau des clients.
Dans un premier temps, vous devez dplacer
la base de donnes en la sauvegardant sur
l'ancien serveur DHCP. Vous arrtez ensuite
le service DHCP sur l'ancien serveur DHCP.
Enfin, vous copiez la base de donnes DHCP
sur le nouveau serveur, o vous pourrez la restaurer en suivant la procdure normale de restauration
de base de donnes.
Leon 4
Scurisation et surveillance DHCP
6-17
Le protocole DHCP n'intgre aucune mthode d'authentification des utilisateurs. Cela signifie que si vous
ne prenez pas de prcautions, les baux IP risquent d'tre octroys des priphriques et des utilisateurs
non autoriss.
DHCP est un service essentiel dans les environnements rseau de nombreuses entreprises.
Si le service DHCP ne fonctionne pas correctement ou si un problme de serveur DHCP se produit
du fait d'une situation particulire, il est important que vous puissiez identifier le problme et dterminer
ses causes potentielles afin de le rsoudre.
Cette leon explique comment empcher les utilisateurs non autoriss d'obtenir un bail, comment grer
les serveurs DHCP non autoriss et comment configurer les serveurs DHCP pour permettre un groupe
spcifique de les grer.
expliquer comment empcher un ordinateur non autoris d'obtenir un bail ;
expliquer comment empcher les serveurs DHCP non autoriss et non-Microsoft de louer
des adresses IP ;
expliquer comment dlguer l'administration du rle Serveur DHCP ;
dcrire les statistiques DHCP ;
dcrire le journal d'audit DHCP ;
identifier les problmes courants pouvant survenir avec DHCP.
Procdure pour empcher un ordinateur non autoris d'obtenir un bail

Par nature, DHCP peut tre difficile scuriser.
En effet, le protocole a t conu pour
fonctionner avant que les informations ncessaires
l'authentification d'un ordinateur client via
un contrleur de domaine ne soient disponibles.
C'est pourquoi vous devez prendre des
prcautions pour empcher les ordinateurs
non autoriss d'obtenir un bail avec DHCP.
Les prcautions prendre pour limiter l'accs non autoris sont les suivantes :
Veillez limiter l'accs physique : si des utilisateurs peuvent accder une connexion rseau active
sur votre rseau, leurs ordinateurs sont probablement en mesure d'obtenir une adresse IP. Si un port
rseau n'est pas utilis, vous devez le dconnecter physiquement de l'infrastructure de commutation.
Activez l'enregistrement d'audit sur tous les serveurs DHCP : vous obtiendrez un historique de
l'activit et pourrez en outre dterminer quel moment un utilisateur non autoris a obtenu une
adresse IP sur le rseau. Veillez prvoir du temps pour examiner intervalles rguliers les journaux
d'audit.
Exigez des connexions authentifies de couche 2 au rseau : la plupart des commutateurs matriels
d'entreprise prennent dsormais en charge l'authentification IEEE (Institute of Electrical and
Electronics Engineers, Inc.) 802.1X qui permet une authentification utilisateur au niveau du port.
Les normes sans fil scurises, telles que Wi-Fi Protected Access (WPA) Enterprise et WPA2 Enterprise,
utilisent galement l'authentification 802.1X.
Implmentez un systme NAP : la protection d'accs rseau (NAP) permet aux administrateurs
de garantir qu'un ordinateur client est conforme aux exigences d'intgrit du systme, notamment
l'excution de toutes les dernires mises jour du systme d'exploitation Windows ou l'excution
d'un client antivirus jour. Si des utilisateurs qui ne respectent pas les exigences de scurit tentent
d'accder au rseau, ils reoivent une configuration d'adresse IP qui leur permet d'accder un
rseau de mise jour o ils peuvent se procurer les mises jour ncessaires. L'administrateur peut
galement limiter l'accs au rseau en autorisant uniquement les ordinateurs intgres accder
au rseau local (LAN) interne.
Procdure pour empcher des serveurs DHCP non autoriss

et non-Microsoft de louer des adresses IP
Nombreux sont les priphriques et les systmes
d'exploitation rseau qui intgrent plusieurs
implmentations de serveur DHCP. Sachant que
par nature, les rseaux ne sont pratiquement
jamais homognes, il est possible qu' un
moment donn, un serveur DHCP qui ne vrifie
pas les serveurs authentifis par Active Directory
soit activ sur le rseau. Dans ce cas, les clients
risquent d'obtenir des donnes de configuration
incorrectes.
Pour supprimer un serveur DHCP non autoris,
vous devez d'abord le localiser. Vous devez
ensuite l'empcher de communiquer sur le rseau en le dsactivant physiquement ou en dsactivant
le service DHCP.
Si les utilisateurs se plaignent de ne pas disposer de connexion au rseau, vrifiez l'adresse IP de leur
serveur DHCP. Utilisez la commande ipconfig/all pour vrifier le champ d'adresse IP du serveur DHCP.
Si l'adresse IP n'est pas celle d'un serveur DHCP autoris, le rseau compte probablement en son sein
un serveur non autoris.
Vous pouvez employer l'utilitaire DHCP Server Locator (Dhcploc.exe) pour localiser les serveurs DHCP
actifs sur un sous-rseau. Vous trouverez l'utilitaire DHCP Server Locator dans les Outils du Kit de
ressources Windows Server 2003, les Outils de support Windows XP ou la Galerie TechNet.
Dlgation de l'administration DHCP

Assurez-vous que seules les personnes autorises
peuvent administrer le rle Serveur DHCP.
Pour cela, effectuez l'une des tches suivantes :
limitez les membres du groupe

Administrateurs DHCP ;
affectez les utilisateurs qui ont besoin

de l'accs en lecture seule au groupe
Utilisateurs DHCP.
6-19
Le groupe local Administrateurs DHCP est utilis

pour limiter et octroyer l'accs aux fonctions
d'administration des serveurs DHCP. Par
consquent, le groupe Administrateurs DHCP est cr dans AD DS lorsque le rle Serveur DHCP est
install sur un contrleur de domaine, ou sur l'ordinateur local lorsque le rle Serveur DHCP est install
sur des membres de domaine ou des serveurs autonomes.
Autorisations requises pour autoriser et administrer le service DHCP
Seuls les administrateurs d'entreprise peuvent autoriser un service DHCP. Si un administrateur dont les
informations d'identification sont infrieures celles d'un administrateur d'entreprise doit autoriser le
domaine, il doit utiliser la dlgation Active Directory. Tout utilisateur du groupe Administrateurs DHCP
peut grer le service DHCP du serveur. Tout utilisateur du groupe Utilisateurs DHCP peut bnficier
d'un accs en lecture seule la console DHCP.
En quoi consistent les statistiques DHCP ?

Les statistiques DHCP fournissent des informations
sur l'activit et l'utilisation du service DHCP. Vous
pouvez utiliser cette console pour dterminer
rapidement s'il existe un problme au niveau
du service DHCP ou des clients DHCP du rseau.
Les statistiques peuvent s'avrer utiles si vous
dtectez un nombre excessif de paquets d'accus
de rception ngatif (NAK), ce qui peut indiquer
que le serveur ne fournit pas les donnes correctes
aux clients.
Vous pouvez configurer la frquence
d'actualisation des statistiques sous l'onglet
Gnral de la bote de dialogue Proprits du serveur.
Statistiques sur le serveur DHCP
Les statistiques sur le serveur DHCP offrent un aperu de l'utilisation du serveur DHCP. Ces donnes
peuvent vous tre utiles pour connatre rapidement l'tat du serveur DHCP. Certaines informations, telles
que le nombre d'offres, le nombre de demandes, le nombre total d'adresses utilises/disponibles, peuvent
vous aider vous faire une ide de l'tat du serveur. Les statistiques sur le serveur sont grs sparment
pour IPv4 et IPv6.
Statistiques sur les tendues DHCP
Bien que nettement moins dtailles, les statistiques sur les tendues DHCP fournissent des informations
sur le nombre total d'adresses contenues dans une tendue donne, le nombre d'adresses utilises
et le nombre d'adresses disponibles. Si vous remarquez dans les statistiques du serveur que le nombre
d'adresses disponibles est peu lev, il est simplement possible qu'une tendue soit proche de son
point d'puisement. Les statistiques d'tendue permettent un administrateur de dterminer
rapidement l'tat d'une tendue donne eu gard aux adresses disponibles.
Qu'est-ce que le journal d'audit DHCP ?

Le journal d'audit DHCP est un journal qui
consigne l'activit d'un serveur DHCP. Vous
pouvez utiliser ce journal pour suivre les
demandes, les octrois et les refus de bail. Ces
informations vous permettent de rsoudre les
problmes de performances des serveurs DHCP.
Par dfaut, les fichiers journaux sont stocks dans
le dossier %systemroot%\system32\dhcp. Vous
pouvez configurer les paramtres du fichier
journal dans la bote de dialogue Proprits
du serveur.
Les fichiers journaux d'audit DHCP sont nomms

en fonction du jour de la semaine o ils ont t crs. Par exemple, si le journal d'audit est activ un lundi,
le fichier s'intitule DhcpSrvLog-Mon.log.
Champs du fichier journal d'audit DHCP

Le tableau suivant dcrit les champs contenus dans un journal d'audit DHCP.
Champ
Description
ID
Code d'identification d'vnement du serveur DHCP
Date
Date laquelle l'entre a t crite dans le journal du serveur DHCP
Heure
Heure laquelle l'entre a t crite dans le journal du serveur DHCP
Description
Description de l'vnement du serveur DHCP
Adresse IP
Adresse IP du client DHCP
Nom d'hte
Nom d'hte du client DHCP
Adresse MAC
Adresse MAC utilise par la carte rseau du client
Codes d'identification des vnements courants

Les codes d'identification des vnement courants se prsentent comme suit :
ID,Date,Heure,Description,Adresse IP,Nom d'hte,Adresse MAC
Les codes d'identification d'vnements courants sont les suivants :
00,06/22/99,22:35:10,Dmarr,,,,
56,06/22/99,22:35:10,chec de l'autorisation, arrt du service,,domaine1.local,,
55,06/22/99,22:45:38,Autoris (en service),,domaine1.local
Discussion : Problmes DHCP courants

Le tableau suivant dcrit quelques problmes
DHCP courants. crivez les solutions possibles
dans la colonne Solution, puis discutez de vos
rponses avec la classe.
Problme
Description
Exemple
Conflits d'adresses
La mme adresse IP est

offerte deux clients
diffrents.
Un administrateur supprime
un bail. Toutefois, le client
qui bnficiait du bail
fonctionne toujours comme
si le bail tait valide. Si le
serveur DHCP ne vrifie pas
l'adresse IP, il risque de la
louer un autre ordinateur,
ce qui va entraner un
conflit d'adresse. Cela peut
galement se produire si
deux serveurs DHCP ont
des tendues qui se
chevauchent.
chec d'obtention
d'adresse DHCP
Au lieu de recevoir une

adresse DHCP, le client
reoit une adresse APIPA
(Automatic Private
IP Addressing)
auto-assigne.
Si le pilote de la carte
rseau d'un client est
mal configure, cela
peut entraner un chec
d'obtention d'adresse DHCP.
En outre, le serveur DHCP
ou l'agent de relais sur le
sous-rseau du client peut
tre hors ligne. Une autre
raison pourrait tre que
l'tendue du serveur DHCP
est puise. Dans ce cas, il
est ncessaire d'tendre
ou de modifier l'tendue.
Solution
6-21
(suite)
Problme
Description
Exemple
Obtention d'adresse
provenant d'une
tendue incorrecte
Le client obtient une

adresse IP provenant
d'une tendue
incorrecte, ce qui lui
vaut des problmes de
communication.
Si le client est connect un

rseau incorrect ou si l'agent
de relais DHCP n'est pas
correctement configur,
cette erreur peut se
produire.
Altration ou perte
de donnes dans la
base de donnes
DHCP
La base de donnes
DHCP devient illisible
ou est perdue en raison
d'une dfaillance
matrielle.
Une dfaillance matrielle

peut entraner l'altration
de la base de donnes.
puisement du pool
d'adresses du
serveur DHCP
Les tendues IP du
serveur DHCP sont
puises. Tout nouveau
client qui demandera
une demande IP essuiera
un refus.
Si toutes les adresses IP

qui sont attribues une
tendue sont loues, cette
erreur se produit.
Solution

Scnario
La socit A. Datum Corporation a un bureau et un centre de donnes informatiques Londres qui
prennent en charge le site de Londres ainsi que d'autres sites. A. Datum a rcemment dploy une
infrastructure Windows 2012 Server avec des clients Windows 8.
6-23
Vous avez rcemment accept une promotion au sein de l'quipe d'assistance technique des serveurs.
L'une de vos premires missions consiste configurer le service d'infrastructure pour une nouvelle
succursale. Dans le cadre de cette mission, vous devez configurer un serveur DHCP qui fournira des
adresses IP et la configuration requise aux ordinateurs clients. Les serveurs sont configurs avec des
adresses IP statiques et n'utilisent pas DHCP.
Objectifs
implmenter DHCP ;
implmenter un agent de relais DHCP (facultatif).

22410B-LON-DC1
22410B-LON-SVR1
22410B-LON-RTR
22410B-LON-CL1
22410B-LON-CL2
Nom d'utilisateur
Mot de passe
Pa$$w0rd
1.
2.
Dans le Gestionnaire Microsoft Hyper-V, cliquez sur 22410B-LON-DC1, puis, dans le volet Actions,
3.
4.

o
Mot de passe : Pa$$w0rd.
Domaine : ADATUM
5.
Rptez les tapes 2 4 pour 22410B-LON-SVR1 et 22410B-LON-CL1.
6.
Pour l'exercice 2 facultatif, vous devez rpter les tapes 2 4 pour 22410B-LON-RTR
et 22410B-LON-CL2.
Exercice 1 : Implmentation de DHCP

Scnario
Dans le cadre de la configuration de l'infrastructure de la nouvelle succursale, vous devez configurer un

serveur DHCP qui fournira des adresses IP et la configuration requise aux ordinateurs clients. Les serveurs
sont configurs avec des adresses IP statiques et n'utilisent gnralement pas DHCP pour obtenir des
adresses IP.
Un des ordinateurs clients de la succursale doit accder une application de comptabilit installe
au sige social. L'quipe rseau utilise des pare-feu bass sur les adresses IP pour limiter l'accs cette
application. L'quipe rseau vous a demand d'attribuer une adresse IP statique cet ordinateur client.
Plutt que de configurer manuellement une adresse IP statique sur l'ordinateur client, vous dcidez
de crer une rservation dans DHCP pour l'ordinateur client.
1.
Installer le rle Serveur DHCP (Dynamic Host Configuration Protocol)
2.
Configurer les tendues et les options DHCP
3.
Configurer le client pour utiliser DHCP, puis tester la configuration
4.
Configurer un bail en tant que rservation
Tche 1 : Installer le rle Serveur DHCP (Dynamic Host Configuration Protocol)

1.
2.
Ouvrez le Gestionnaire de serveur et installez le rle Serveur DHCP.
3.
Dans l'Assistant Ajout de rles et de fonctionnalits, acceptez toutes les valeurs par dfaut.
Tche 2 : Configurer les tendues et les options DHCP

1.
Dans le Gestionnaire de serveur, ouvrez la console DHCP.
2.
Autorisez le serveur lon-svr1.adatum.com dans AD DS.
3.
Dans le volet de navigation de DHCP, accdez IPv4, cliquez avec le bouton droit sur IPv4,
puis cliquez sur Nouvelle tendue.
4.
5.
Nom : Succursale
Longueur : 16
Exclusions : 172.16.0.190-172.16.0.200
Configurez les options Routeur 172.16.0.1
Utilisez les valeurs par dfaut pour tous les autres paramtres
Activez l'tendue.
Tche 3 : Configurer le client pour utiliser DHCP, puis tester la configuration

1.
Basculez vers LON-CL1.
2.
Reconfigurez la connexion au rseau local l'aide des informations suivantes :

o
Configurez Protocole Internet version 4 (TCP/IPv4)
Obtenir une adresse IP automatiquement
Obtenir les adresses des serveurs DNS automatiquement
3.
Ouvrez la fentre d'invite de commandes et lancez le processus DHCP l'aide de la commande

ipconfig /renew.
4.
Pour tester la configuration, vrifiez que LON-CL1 a reu une adresse IP de l'tendue DHCP
en saisissant ipconfig /all dans la fentre d'invite de commandes.
Cette commande renverra les informations telles que l'adresse IP, le masque de sous-rseau
et l'tat d'activation de DHCP, qui devrait tre Oui.
Tche 4 : Configurer un bail en tant que rservation

1.
Dans la fentre d'invite de commandes, tapez ipconfig/all pour afficher l'adresse physique
de la carte rseau.
2.
3.
4.
Dans la console DHCP, dans le volet de navigation, accdez tendue [172.16.0.0] Succursale,
cliquez avec le bouton droit sur Rservations, puis cliquez sur Nouvelle rservation.
5.
Crez une nouvelle rservation pour LON-CL1 utilisant l'adresse physique de la carte
rseau LON-CL1 et l'adresse IP 172.16.0.155.
6.
Sur LON-CL1, utilisez la commande ipconfig pour renouveler et vrifier l'adresse IP.
Rsultats : la fin de cet exercice, vous aurez implment DHCP, configur les tendues et options
DHCP, et configur une rservation DHCP.
Pour prparer l'exercice facultatif

Si vous voulez effectuer l'atelier pratique facultatif, rtablissez l'ordinateur virtuel suivant :
22410B-LON-CL1. Pour ce faire, procdez comme suit :
1.
Sur l'ordinateur hte, dmarrez le Gestionnaire Hyper-V-Manager.
2.
Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-CL1,
3.
6-25
Exercice 2 : Implmenter un agent de relais DHCP (exercice facultatif)

Scnario
Pour viter de configurer un serveur DHCP supplmentaire sur le sous-rseau, votre gestionnaire vous
a demand de configurer un agent de relais DHCP pour un autre sous-rseau de votre succursale.
1.
Installer un agent de relais DHCP
2.
Configurer un agent de relais DHCP
3.
Tester l'agent de relais DHCP avec un client
4.
Tche 1 : Installer un agent de relais DHCP

1.
Basculez vers LON-RTR.
2.
Dans le Gestionnaire de serveur, ouvrez Routage et accs distant.
3.
Procdez comme suit pour ajouter l'agent de relais DHCP au routeur :

o
Dans le volet de navigation, dveloppez IPv4, cliquez avec le bouton droit sur Gnral,
puis cliquez sur Nouveau protocole de routage.
Dans la liste Protocoles de routage, cliquez sur Agent de relais DHCP, puis sur OK.
Tche 2 : Configurer un agent de relais DHCP

1.
Ouvrez Routage et accs distant.
2.
Procdez comme suit pour configurer l'agent de relais DHCP :
3.
Dans le volet de navigation, cliquez avec le bouton droit sur Agent de relais DHCP, puis cliquez
sur Nouvelle interface.
Dans la bote de dialogue Nouvelle interface pour Agent de relais DHCP, cliquez sur
Connexion au rseau local 2, puis sur OK.
Dans la bote de dialogue Proprits de : Proprits de relais DHCP Con, cliquez sur OK.
Cliquez avec le bouton droit sur Agent de relais DHCP, puis cliquez sur Proprits.
Dans la bote de dialogue Proprits de : Agent de relais DHCP, dans la zone Adresse
du serveur, tapez 172.16.0.21, puis cliquez sur Ajouter et OK.
Fermez la bote de dialogue Routage et accs distant.
Tche 3 : Tester l'agent de relais DHCP avec un client

Remarque : Pour tester la manire dont un client reoit une adresse IP de l'agent de relais DHCP
sur un autre sous-rseau, vous devez crer une autre tendue DHCP.
1.
2.
3.
Dans le volet de navigation de DHCP, dveloppez lon-svr1.adatum.com, dveloppez IPv4,

cliquez avec le bouton droit sur IPv4, puis cliquez sur Nouvelle tendue.
4.
6-27
Nom : Succursale 2
Longueur : 16
Exclusions : 10.10.0.190-10.10.0.200
Les autres paramtres utilisent les valeurs par dfaut
Configurez les options Routeur 10.10.0.1. Les autres paramtres utilisent les valeurs par dfaut
5.
Activez l'tendue.
6.
Pour tester le client, basculez vers LON-CL2.
7.
Ouvrez la fentre Centre Rseau et partage et configurez les proprits Connexion au rseau local,
Protocole Internet version 4 (TCP/IPv4) avec les paramtres suivants :
o
Obtenir une adresse IP automatiquement
Obtenir les adresses des serveurs DNS automatiquement
8.
Ouvrez la fentre d'invite de commandes.
9.
Dans la fentre d'invite de commandes, l'invite de commandes, tapez la commande suivante :

ipconfig /renew
10. Vrifiez que les paramtres de l'adresse IP et du serveur DNS sur LON-CL2 sont obtenus partir
d'tendue de serveur DHCP installe sur LON-SVR1.
Remarque : L'adresse IP doit tre comprise dans la plage suivante : 10.10.0.100/16
10.10.0.200/16.
Rsultats : la fin de cet exercice, vous aurez implment un agent de relais DHCP.
comme suit :
1.
2.
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-SVR1, 22410B-LON-RTR et 22410B-LON-CL2.

Mthode conseille
Consacrez du temps la conception de votre modle d'adressage IP afin qu''il rponde aux besoins
actuels et futurs de votre infrastructure informatique.
Dterminez les priphriques qui ont besoin de rservations DHCP, tels que les imprimantes rseau,
les scanneurs rseau ou les camras IP.
Isolez votre rseau des serveurs DHCP non autoriss.
Configurez la base de donnes DHCP sur les configurations de lecteurs hautement disponibles,
tels que les disques RAID-5 (Redundant Array of Independent Disks) ou RAID-1, pour assurer
la disponibilit du service DHCP en cas de dfaillance d'un seul disque.
Sauvegardez la base de donnes DHCP rgulirement et testez la procdure de restauration dans

un environnement isol non utilis pour la production.
Surveillez l'utilisation des serveurs DHCP par le systme et mettez niveau le matriel des serveurs
DHCP si ncessaire pour amliorer les performances du service.

Question : Vous avez deux sous-rseaux dans votre entreprise et souhaitez utiliser DHCP
pour allouer des adresses aux ordinateurs client sur les deux sous-rseaux. Vous ne souhaitez
pas dployer deux serveurs DHCP. De quels facteurs devez-vous tenir compte ?
Question : Votre entreprise s'est dveloppe et votre tendue IPv4 est presque court
d'adresses. Que devez-vous faire ?
Question : De quelles informations avez-vous besoin pour configurer une rservation
DHCP ?
Question : Pouvez-vous configurer l'option 003 - Routeur comme option d'tendue DHCP
au niveau du serveur ?
Outils
Outil
Utilisation
Emplacement
DHCP
Interface graphique de gestion du serveur DHCP
Gestionnaire de serveur
PowerShell
Interface de ligne de commande permettant de grer

le serveur DHCP
Barre des tches Windows

sur le Bureau
Ipconfig.exe
Gestion et rsolution des problmes en relation avec

les paramtres IP du client
Ligne de commande
Netsh.exe
Configuration des paramtres IP ct client et ct

serveur, y compris ceux du rle Serveur DHCP
Ligne de commande
Regedit.exe
Modification et affinage des paramtres, y compris

ceux du rle Serveur DHCP
Interface Windows ou
ligne de commande

7-1
Module 7
Implmentation du systme DNS (Domain Name System)
Table des matires :
7-1
Leon 1 : Rsolution de noms pour les clients et les serveurs Windows
7-2
Leon 2 : Installation et gestion d'un serveur DNS
7-12
Leon 3 : Gestion des zones DNS
7-19
7-23
7-28
La rsolution de noms est le processus de traduction logicielle des noms, que les utilisateurs peuvent
lire et comprendre, et des adresses IP numriques, qui sont ncessaires aux communications TCP/IP.
Pour cette raison, la rsolution de noms est l'un des concepts les plus importants de toute infrastructure
du rseau. Vous pouvez comparer DNS (Domain Name System) un annuaire des ordinateurs sur
Internet. Les ordinateurs clients utilisent le processus de rsolution de noms lors de la localisation
d'htes sur Internet et lors de la localisation d'autres htes et services dans un rseau interne. DNS
(Domain Name System) est l'une des technologies les plus rpandues pour la rsolution de noms.
Les services de domaine Active Directory (AD DS) dpendent fortement de DNS, de mme que le
trafic Internet. Ce module prsente certains concepts de base relatifs la rsolution de noms, ainsi
qu' l'installation et la configuration d'un service Serveur DNS et de ses composants.
Objectifs
dcrire la rsolution de noms pour les clients utilisant le systme d'exploitation Windows
et les serveurs Windows Server ;
installer et grer le service Serveur DNS ;
grer les zones DNS.
Leon 1
Rsolution de noms pour les clients

et les serveurs Windows
7-2
Vous pouvez configurer un ordinateur pour communiquer sur un rseau en utilisant un nom au lieu d'une
adresse IP. L'ordinateur utilise ensuite la rsolution de noms pour trouver une adresse IP qui correspond
un nom, par exemple un nom d'hte. Ce cours porte sur les diffrents types de nom d'ordinateur, les
mthodes utilises pour les rsoudre, ainsi que la rsolution des problmes lis la rsolution de noms.
dcrire les noms d'ordinateurs ;
dcrire DNS ;
dcrire les zones et les enregistrements DNS ;
dcrire la rsolution des noms DNS Internet ;
dcrire la rsolution LLMNR (Link Local Multicast Name Resolution) ;
dcrire la faon dont un client rsout un nom ;
rsoudre les problmes lis la rsolution de noms.
Que sont les noms d'ordinateurs ?

L'ensemble de protocoles TCP/IP identifie les
ordinateurs source et de destination en fonction
de leur adresse IP. Toutefois, les utilisateurs
d'ordinateurs sont plus enclins utiliser et
se souvenir de noms que de chiffres. Pour cette
raison, les administrateurs affectent gnralement
des noms aux ordinateurs. Les administrateurs
lient ensuite ces noms aux adresses IP des
ordinateurs via un systme de rsolution de
noms tel que DNS. Ces noms sont soit au format
de nom d'hte, par exemple dc1.contoso.com
(qui est reconnu par DNS), soit au format de nom
NetBIOS, par exemple DC1, (qui est reconnu par le service WINS (Windows Internet Name Service)).
Type de nom
7-3
Le type de nom (nom d'hte ou nom NetBIOS) qu'une application utilise est dtermin par le
dveloppeur d'applications. Si le dveloppeur d'applications conoit une application pour demander
des services rseau via des sockets Windows, les noms d'htes sont utiliss. En revanche, si le dveloppeur
d'applications conoit une application pour demander des services via NetBIOS, un nom NetBIOS est
utilis. La plupart des applications actuelles, notamment les applications Internet, utilisent des sockets
Windows (et, par consquent, des noms d'htes) pour accder aux services rseau. NetBIOS est utilis
par de nombreuses applications des versions antrieures du systme d'exploitation Windows.
Les versions antrieures des systmes d'exploitation Windows, par exemple Microsoft Windows 98
et Windows Millennium Edition, requirent NetBIOS pour prendre en charge les fonctionnalits
rseau telles que le partage de fichiers. Toutefois, depuis Microsoft Windows 2000, tous les systmes
d'exploitation prennent en charge NetBIOS (sans pour autant ncessiter NetBIOS) des fins
de compatibilit descendante avec les versions antrieures de Windows.
Remarque : Vous pouvez utiliser des applications de sockets Windows pour spcifier l'hte
de destination, soit par l'adresse IP, soit par le nom d'hte. Les applications NetBIOS requirent
l'utilisation d'un nom NetBIOS.
Noms d'htes
Un nom d'hte est un nom convivial associ l'adresse IP d'un ordinateur afin de l'identifier en tant
qu'hte TCP/IP. Le nom d'hte peut comprendre jusqu' 255 caractres (caractres alphabtiques
et numriques, points et traits d'union).
Vous pouvez utiliser les noms d'htes sous diverses formes. Les deux formes les plus rpandues sont
l'alias et le nom de domaine complet (FQDN). Un alias est un nom unique associ une adresse IP, tel
que payroll. Vous pouvez combiner un alias avec un nom de domaine pour crer un nom de domaine
complet. Un nom de domaine complet est structur pour tre utilis sur Internet et inclut des points
comme sparateurs. Exemple d'un nom de domaine complet : payroll.contoso.com.
Noms NetBIOS
Un nom NetBIOS, qui compte 16 caractres, identifie une ressource NetBIOS sur le rseau. Un nom
NetBIOS peut reprsenter un ordinateur unique ou un groupe d'ordinateurs. Les 15 premiers caractres
sont utiliss pour le nom, le dernier caractre identifie la ressource ou le service de l'ordinateur auquel
il est fait rfrence. Le nom de 15 caractres peut inclure le nom de l'ordinateur, le nom du domaine
et le nom de l'utilisateur connect. Le seizime caractre est un identificateur hexadcimal d'un octet.
L'espace de noms NetBIOS est plat, ce qui signifie que les noms ne peuvent tre utiliss qu'une seule
fois au sein d'un rseau. Vous ne pouvez pas organiser les noms NetBIOS en une structure hirarchique,
comme c'est le cas avec les noms de domaine complets.
Documentation supplmentaire : Pour plus d'informations sur la rsolution
de noms NetBIOS, consultez la page Rsolution de noms NetBIOS l'adresse
Qu'est-ce que DNS ?

DNS est un service qui rsout les noms de
domaine complets et autres noms d'htes en
adresses IP. Tous les systmes d'exploitation
Windows Server incluent un service Serveur DNS.
Lorsque vous utilisez DNS, les utilisateurs de votre
rseau peuvent localiser les ressources rseau
en tapant des noms conviviaux (par exemple
www.microsoft.com), que l'ordinateur rsout
ensuite en adresses IP. L'avantage rside dans le
fait que les adresses IPv4 peuvent tre difficiles
mmoriser (par exemple 131.107.0.32), alors qu'il
est gnralement plus facile de se souvenir d'un
nom de domaine. En outre, vous pouvez utiliser des noms d'htes qui ne changent pas, alors que
les adresses IP sous-jacentes peuvent tre modifies en fonction des besoins de votre organisation.
DNS utilise une base de donnes (stocke dans un fichier ou dans les services AD DS) de noms et
d'adresses IP pour fournir ce service. Les logiciels clients DNS effectuent des requtes dans la base
de donnes DNS et la mettent jour. Par exemple, dans une organisation, un utilisateur qui tente
de localiser un serveur d'impression peut utiliser le nom DNS printserver.contoso.com. Le logiciel
client DNS va rsoudre le nom en adresse IP de l'imprimante, par exemple 172.16.23.55. Mme si
l'adresse IP de l'imprimante change, le nom convivial peut rester le mme.
7-4
l'origine, un seul fichier sur Internet contenait la liste de tous les noms de domaine et leurs adresses IP
correspondantes. Cette liste est rapidement devenue trop longue grer et distribuer. DNS a t
dvelopp pour rsoudre les problmes lis l'utilisation d'un fichier unique sur Internet. Avec
l'adoption de la norme IPv6, le rle de DNS est de plus en plus important, car les adresses IPv6 sont
encore plus complexes que les adresses IPv4 (par exemple, 2001:db8:4136:e38c:384f:3764:b59c:3d97).
DNS regroupe les informations sur les ressources rseau en une structure hirarchique de domaines.
Cette structure hirarchique de domaines est une arborescence inverse qui possde un domaine
racine son sommet et qui progresse vers le bas en branches distinctes avec des niveaux communs
de domaines parents. Cette progression se poursuit toujours plus bas vers les domaines enfants
individuels. La reprsentation de l'ensemble de la structure hirarchique de domaines s'appelle
un espace de noms DNS.
Internet utilise un espace de noms DNS unique avec plusieurs serveurs racine. Pour faire partie de l'espace
de noms DNS Internet, un nom de domaine doit tre inscrit auprs d'un bureau d'enregistrement DNS.
Cela garantit qu'il n'existe pas deux organisations qui tentent d'utiliser le mme nom de domaine.
Si les htes qui sont situs sur Internet n'ont pas besoin de rsoudre les noms de votre domaine, vous
pouvez hberger un domaine en interne, sans l'inscrire. Toutefois, vous devez toujours veiller ce que
le nom de domaine soit unique par rapport aux noms de domaine Internet. Sinon, la connectivit aux
ressources Internet risque de s'en trouver affecte. Il est frquent de garantir cette unicit en crant
un domaine interne dans le domaine .local. Le domaine .local est rserv un usage interne, l'instar
des adresses IP prives qui sont rserves un usage interne.
Outre la rsolution des noms d'htes en adresses IP, DNS peut tre utilis pour effectuer les tches
suivantes :
Rechercher des contrleurs de domaine et des serveurs de catalogue global. Cela a lieu lors
de la connexion aux services AD DS.
Rsoudre des adresses IP en noms d'htes. Cela est utile lorsqu'un fichier journal contient
uniquement l'adresse IP d'un hte.
Rechercher un serveur de messagerie pour la remise du courrier lectronique. Cela a lieu lors
de la remise de l'ensemble du courrier lectronique Internet.
Zones et enregistrements DNS

Une zone DNS est une partie spcifique
de l'espace de noms DNS qui contient des
enregistrements DNS. Une zone DNS est hberge
sur un serveur DNS charg de rpondre aux
requtes portant sur les enregistrements d'un
domaine spcifique. Par exemple, le serveur
DNS charg de rsoudre www.contoso.com en
adresse IP doit contenir la zone contoso.com.
7-5
La zone de contenu peut tre stocke dans un

fichier ou dans la base de donnes AD DS.
Lorsque le serveur DNS stocke la zone dans un
fichier, ce dernier se trouve dans un dossier local
sur le serveur. Lorsque la zone n'est pas stocke dans les services AD DS, seule une copie de la zone peut
tre accessible en criture, alors que toutes les autres copies sont en lecture seule.
Les types de zone DNS les plus couramment utiliss dans le DNS Windows Server sont les zones
de recherche directe et les zones de recherche inverse.
Zones de recherche directe
Les zones de recherche directe rsolvent les noms d'htes en adresses IP et hbergent les enregistrements
de ressources courants, notamment les enregistrements de ressources d'hte (A), d'alias (CNAME), de
service (SRV), de serveur de messagerie (MX), de source de noms (SOA) et de serveur de noms (NS).
Le type d'enregistrement de ressource le plus courant est l'enregistrement de ressource d'hte (A).
Zones de recherche inverse
La zone de recherche inverse rsout les adresses IP en noms de domaine. Une zone inverse fonctionne
de la mme manire qu'une zone directe, mais l'adresse IP fait partie de la requte et le nom d'hte
reprsente l'information retourne. Les zones de recherche inverse hbergent les enregistrements
de ressources SOA, NS et de pointeur (PTR). Les zones inverses ne sont pas toujours configures,
mais vous devez les configurer pour rduire le nombre de messages d'avertissement et d'erreur.
De nombreux protocoles Internet standard se fient aux donnes de recherche des zones inverses
pour valider les informations des zones directes. Par exemple, si la recherche directe indique que
training.contoso.com est rsolu en 192.168.2.45, vous pouvez utiliser une recherche inverse pour
confirmer que 192.168.2.45 est associ training.contoso.com.
Remarque : Dans Windows Server 2008 R2 et Windows Server 2012, vous pouvez
galement utiliser la technologie DNSSec pour effectuer un type de vrification similaire.
7-6
De nombreux serveurs de messagerie utilisent une recherche inverse pour rduire le volume de courrier
indsirable. En effectuant une recherche inverse, les serveurs de messagerie tentent de dtecter les
serveurs SMTP (Simple Mail Transfer Protocol () ouverts (relais ouverts).
Il est important de disposer d'une zone de recherche inverse si vous avez des applications qui s'appuient
sur la recherche d'htes en fonction de leurs adresses IP. De nombreuses applications enregistrent ces
informations dans des journaux de scurit ou des vnements. Si vous observez une activit suspecte
pour une adresse IP particulire, vous pouvez rechercher le nom d'hte l'aide des informations de
la zone inverse.
Enregistrements de ressources
Le fichier de zone DNS stocke les enregistrements de ressources. Les enregistrements de ressources
spcifient un type de ressource et l'adresse IP permettant de localiser la ressource. L'enregistrement
de ressource le plus courant est un enregistrement de ressource d'hte (A). Il s'agit d'un enregistrement
simple qui rsout un nom d'hte en une adresse IP. L'hte peut tre une station de travail, un serveur
ou un autre priphrique rseau, tel qu'un routeur.
Les enregistrements de ressources facilitent galement la recherche de ressources pour un domaine

particulier. Par exemple, lorsqu'un serveur Microsoft Exchange Server a besoin de trouver le serveur
responsable de la remise du courrier d'un autre domaine, il demande l'enregistrement de ressource
du serveur de messagerie (MX) de ce domaine. Cet enregistrement pointe vers l'enregistrement de
ressource d'hte (A) de l'hte qui excute le service de messagerie SMTP (Simple Mail Transfer Protocol).
Les enregistrements de ressources peuvent galement contenir des attributs personnaliss. Les
enregistrements MX, par exemple, comportent un attribut de prfrence, qui s'avre utile si une
organisation possde plusieurs serveurs de messagerie. L'enregistrement MX indique au serveur
d'envoi quel serveur de messagerie l'organisation rceptrice prfre. Les enregistrements SRV
contiennent galement des informations sur le port que le service coute et sur le protocole
que vous devez utiliser pour communiquer avec le service.
Rsolution des noms DNS Internet

Lors de la rsolution de noms DNS sur Internet,
tout un systme d'ordinateurs est utilis au lieu
d'un seul serveur. Il existe des centaines de
serveurs sur Internet, appels serveurs racine,
qui grent l'ensemble du processus de rsolution
DNS. Ces serveurs sont reprsents par 13 noms
de domaine complets. Une liste de ces 13 serveurs
est prcharge sur chaque serveur DNS. Lorsque
vous inscrivez un nom de domaine sur Internet,
vous payez pour faire partie de ce systme.
Pour voir comment ces serveurs fonctionnent
conjointement afin de rsoudre un nom DNS,
examinez le processus de rsolution de noms suivant pour le nom www.microsoft.com :
1.
Un poste de travail interroge le serveur DNS local pour obtenir l'adresse IP de www.microsoft.com.
2.
Si le serveur DNS local ne dispose pas de l'information, il interroge un serveur DNS racine pour
connatre l'emplacement des serveurs DNS .com.
3.
Le serveur DNS local interroge un serveur DNS .com pour connatre l'emplacement
des serveurs DNS microsoft.com.
4.
Le serveur DNS local interroge le serveur DNS microsoft.com pour connatre l'adresse IP
de www.microsoft.com.
5.
L'adresse IP de www.microsoft.com est retourne au poste de travail.
Le processus de rsolution de noms peut tre modifi par mise en cache ou par redirection :
7-7
Mise en cache. Une fois qu'un serveur DNS local a rsolu un nom DNS, il met en cache les rsultats
pendant environ 24 heures. Les requtes de rsolution ultrieures du nom DNS obtiennent les
informations mises en cache.
Redirection. Au lieu d'interroger les serveurs racine, vous pouvez configurer un serveur DNS pour
rediriger les requtes DNS vers un autre serveur DNS. Par exemple, les requtes portant sur tous les
noms Internet peuvent tre rediriges vers un serveur DNS chez un fournisseur de services Internet.
Qu'est-ce que la rsolution LLMNR (Link-Local Multicast

Name Resolution) ?
Dans Windows Server 2012, la rsolution LLMNR
(Link-local Multicast Name Resolution) est une
nouvelle mthode de rsolution des noms en
adresses IP. En raison de diverses limitations
(qui ne sont pas traites dans ce cours), la
rsolution LLMNR est gnralement utilise
sur les rseaux localiss uniquement. Bien
que la rsolution LLMNR puisse rsoudre les
adresses IPv4, elle a t conue spcifiquement
pour le protocole IPv6. Par consquent, si vous
voulez l'utiliser, IPv6 doit tre pris en charge
et activ sur vos htes.
La rsolution LLMNR est couramment utilise dans les rseaux o :
il n'y a aucun service DNS ou NetBIOS pour la rsolution de noms ;
l'implmentation de ces services n'est pas pratique pour une raison quelconque ;
ces services ne sont pas disponibles.
Par exemple, vous voulez mettre en place un rseau temporaire des fins de test, sans une infrastructure
serveur.
La rsolution LLMNR est prise en charge sur Windows Vista, Windows Server 2008 et tous les nouveaux
systmes d'exploitation Windows. Elle utilise un systme simple de messages de requte et de rponse
pour rsoudre les noms d'ordinateurs en adresses IPv6 ou IPv4. Pour qu'un nud rponde une requte
de rsolution LLMNR, la dcouverte rseau doit tre active. Toutefois, cette mthode n'est pas seulement
ncessaire pour effectuer une requte de rsolution de noms.
Pour utiliser la rsolution LLMNR, vous devez activer la fonctionnalit de dcouverte du rseau pour
tous les nuds du sous-rseau local. Cette fonctionnalit est disponible dans le Centre Rseau et partage.
Gardez l'esprit que la dcouverte du rseau est gnralement dsactive pour les rseaux que vous
dsignez comme publics.
7-8
Si vous voulez contrler l'utilisation de la rsolution LLMNR sur votre rseau, vous pouvez la configurer
via une stratgie de groupe. Pour dsactiver la rsolution LLMNR via une stratgie de groupe, dfinissez
la valeur de stratgie de groupe suivante :
Stratgie de groupe = Configuration de l'ordinateur\Modles d'administration\Rseau\
Client DNS\Dsactiver la rsolution de noms multidiffusion.
Dfinissez cette valeur sur Activ si vous ne voulez pas utiliser la rsolution LLMNR, ou sur Dsactiv
si vous voulez utiliser la rsolution LLMNR.
Comment un client rsout un nom

Les systmes d'exploitation Windows prennent
en charge plusieurs mthodes distinctes pour
rsoudre les noms d'ordinateurs, par exemple
DNS, WINS et le processus de rsolution de
noms d'htes.
DNS
Comme indiqu prcdemment, DNS est la
norme Microsoft de rsolution de noms d'htes
en adresses IP. Pour plus d'informations sur DNS,
consultez la deuxime rubrique de ce cours
Qu'est-ce que DNS.
WINS
WINS fournit une base de donnes centralise qui permet d'inscrire les mappages dynamiques des
noms NetBIOS d'un rseau. Les systmes d'exploitation Windows conservent la prise en charge de WINS
pour assurer une compatibilit descendante.
Vous pouvez rsoudre les noms NetBIOS en utilisant les options suivantes :
Messages de diffusion. Les messages de diffusion, toutefois, ne fonctionnent pas bien sur les rseaux
de grande envergure, car les routeurs ne transmettent pas de diffusion.
Fichier Lmhosts sur tous les ordinateurs. L'utilisation d'un fichier Lmhosts pour la rsolution de noms
NetBIOS est une solution qui requiert une maintenance leve, car vous devez maintenir le fichier
manuellement sur tous les ordinateurs.
Fichier Hosts sur tous les ordinateurs. l'image d'un fichier Lmhosts, vous pouvez galement utiliser
un fichier Hosts pour la rsolution de noms NetBIOS. Ce fichier est galement stock localement
sur chaque ordinateur. Il est utilis pour les mappages fixes de noms aux adresses IP sur le segment
rseau local.
Remarque : Le rle serveur DNS dans Windows Server 2008 R2 et Windows Server 2012
fournit galement un nouveau type de zone, la zone GlobalNames. Vous pouvez utiliser la zone
GlobalNames pour rsoudre les noms en une partie qui sont uniques dans l'ensemble d'une fort.
Ce type de zone limine le besoin d'utiliser le service WINS bas sur NetBIOS pour prendre en
charge les noms en une partie.
Processus de rsolution de noms d'htes
7-9
Lorsqu'une application spcifie un nom d'hte et utilise des sockets Windows, le protocole TCP/IP utilise
le cache de rsolution DNS et DNS lors de la tentative de rsolution de noms d'htes. Le fichier d'htes
est charg dans le cache de rsolution DNS. Si NetBIOS sur TCP/IP est activ, TCP/IP utilise galement
des mthodes de rsolution de noms NetBIOS lors de la rsolution de noms d'htes.
Les systmes d'exploitation Windows rsolvent les noms d'htes en effectuant les tches suivantes
dans cet ordre prcis :
1.
Vrification de la similarit du nom d'hte et du nom d'hte local.
2.
Recherche du cache de rsolution DNS ; Dans le cache de rsolution du client DNS, les entres
du fichier Hosts sont prcharges.
3.
Envoi d'une demande DNS ses serveurs DNS configurs.
4.
Conversion du nom d'hte en un nom NetBIOS et vrification du cache de noms NetBIOS local.
5.
Contact des serveurs WINS configurs de l'hte.
6.
Diffusion de trois messages maximum de demande de requte de nom NetBIOS sur le sous-rseau
connect directement.
7.
Recherche du fichier Lmhosts.
Remarque : Vous pouvez contrler l'ordre utilis pour rsoudre les noms. Par exemple, si
vous dsactivez NetBIOS sur TCP/IP, aucune des mthodes de rsolution de noms NetBIOS n'est
tente. Vous pouvez aussi modifier le type de nud NetBIOS, ce qui change l'ordre dans lequel
les mthodes de rsolution de noms NetBIOS sont tentes.
Rsolution des problmes lis la rsolution de noms

Comme pour la plupart des autres technologies, la
rsolution de noms requiert parfois une rsolution
des problmes correspondants. Des problmes
peuvent se produire lorsque le serveur DNS, ses
zones et ses enregistrements de ressources ne
sont pas configurs correctement. Lorsque des
enregistrements de ressources provoquent des
problmes, il peut s'avrer parfois plus difficile
d'identifier le vrai problme parce que les
problmes de configuration ne sont pas toujours
vidents.
Outils et commandes
Les outils en ligne de commande et les commandes que vous utilisez pour rsoudre les problmes
de configuration sont les suivants :
7-10 Implmentation du systme DNS (Domain Name System)
Nslookup : utilisez cet outil pour interroger des informations DNS. Il s'agit d'un outil flexible,
capable de fournir des informations prcieuses propos de l'tat du serveur DNS. Vous pouvez
galement l'utiliser pour rechercher des enregistrements de ressources et valider leur configuration.
Vous pouvez, en outre, tester des transferts de zone, des options de scurit et la rsolution des
enregistrements MX.
DNSCmd : utilisez cet outil en ligne de commande pour grer le rle serveur DNS. Cet outil
permet de crer des scripts dans des fichiers de commandes dans le but d'automatiser des tches
de gestion DNS de routine ou de procder un simple travail d'installation et de configuration
sans assistance de nouveaux serveurs DNS sur votre rseau.
Dnslint : utilisez cet outil pour diagnostiquer les problmes DNS courants. Cet outil diagnostique
rapidement les problmes de configuration de DNS et peut gnrer un rapport au format HTML
sur l'tat du domaine que vous testez.
Ipconfig : utilisez cette commande pour afficher et modifier les dtails de la configuration IP que
l'ordinateur utilise. Cet outil inclut des options de ligne de commande supplmentaires que vous
pouvez utiliser pour dpanner et prendre en charge des clients DNS. Vous pouvez consulter le cache
DNS local du client l'aide de la commande ipconfig/displaydns. En outre, vous pouvez effacer le
cache local l'aide de ipconfig/flushdns. Si vous voulez rinscrire un hte dans DNS, vous pouvez
utiliser ipconfig /registerdns.
Analyse du serveur DNS: pour tester si le serveur peut communiquer avec des serveurs en amont,
vous pouvez effectuer de simples requtes locales et rcursives partir de l'onglet Analyse du
serveur DNS. Vous pouvez galement planifier ces tests pour qu'ils s'excutent de manire rgulire.
L'onglet Analyse du serveur DNS est disponible uniquement dans Windows Server 2008 et
Windows Server 2012, dans la bote de dialogue Proprits de : nom du serveur DNS. L'applet
de commande TestDNSServer peut galement servir vrifier les fonctionnalits du serveur DNS.
Dans Windows Server 2012, il existe un nouvel ensemble d'applets de commande Windows PowerShell
que vous pouvez utiliser pour la gestion des clients et serveurs DNS. Voici certaines des applets
de commande les plus frquemment utilises :
Clear-DNSClientCache. Cette applet de commande efface le cache client, l'instar de ipconfig

/flushdns.
Get-DNSClient. Cette applet de commande affiche les dtails des interfaces rseau.
Get-DNSClientCache. Cette applet de commande affiche le contenu du cache client DNS local.
Register-DNSClient. Cette applet de commande inscrit toutes les adresses IP de l'ordinateur sur
le serveur DNS configur.
Resolve-DNSName. Cette applet de commande effectue une rsolution de noms DNS pour un nom
spcifique, l'instar de Nslookup.
Set-DNSClient. Cette applet de commande dfinit les configurations de client DNS spcifiques
l'interface sur l'ordinateur.
Ces applets de commande vous permettent galement d'utiliser plusieurs commutateurs et options,
ce qui vous donne accs des options et des fonctionnalits supplmentaires.
Processus de rsolution des problmes

Lorsque vous rsolvez des problmes lis la rsolution de noms, vous devez identifier les mthodes
de rsolution de noms utilises par l'ordinateur, ainsi que l'ordre dans lequel l'ordinateur les utilise.
Veillez effacer le cache de rsolution DNS entre les tentatives de rsolution. Si vous ne pouvez pas
vous connecter un hte distant et si vous pensez qu'il existe un problme de rsolution de noms,
vous pouvez rsoudre le problme li la rsolution de noms en procdant comme suit :
7-11
1.
Ouvrez une invite de commandes avec lvation de privilges, puis dsactivez le cache de rsolution
DNS en tapant ipconfig /flushdns. Vous pouvez aussi ouvrir Windows PowerShell et utiliser l'applet
de commande Clear-DNSClientCache quivalente.
2.
Tentez d'effectuer un test ping de l'hte distant l'aide de son adresse IP. Cela permet de dterminer
si le problme est li la rsolution de noms. Si le test ping russit avec l'adresse IP mais qu'il choue
avec le nom d'hte correspondant, cela signifie que le problme est li la rsolution de noms.
3.
Tentez d'effectuer un test ping de l'hte distant l'aide de son nom d'hte. Pour plus de prcision,
utilisez le nom de domaine complet avec un point final. Par exemple, si vous travaillez chez Contoso,
Ltd, entrez la commande suivante l'invite de commandes : Ping LON-dc1.contoso.com.
4.
Si le test ping russit, cela signifie que le problme n'est probablement pas li la rsolution
de noms. Si le test ping choue, modifiez le fichier texte C:\windows\system32\drivers\etc\hosts,
puis ajoutez l'entre approprie la fin du fichier. Dans l'exemple prcdent de Contoso, Ltd,
vous devez ajouter la ligne ci-aprs et enregistrer le fichier :
10.10.0.10
LON-dc1.contoso.com
5.
Recommencez le test ping l'aide du nom d'hte. La rsolution de noms doit maintenant
s'effectuer correctement. Assurez-vous que le nom a t rsolu correctement en examinant
le cache de rsolution DNS. Pour afficher le cache de rsolution DNS, l'invite de commandes,
tapez IPConfig /displaydns, ou utilisez l'applet de commande Windows PowerShell quivalente.
6.
Supprimez l'entre que vous avez ajoute au fichier Hosts, puis effacez nouveau le cache
de rsolution.
7.
l'invite de commandes, tapez la commande suivante, puis examinez le contenu du fichier

filename.txt afin d'identifier l'tape qui a chou lors de la rsolution de noms :
Nslookup.exe -d2 LON-dc1.contoso.com. > filename.txt
Remarque : Vous devez galement savoir comment interprter la sortie du cache de

rsolution DNS afin de pouvoir dterminer si le problme de rsolution de noms se situe au
niveau de la configuration de l'ordinateur client, du serveur de noms ou de la configuration
des enregistrements dans la base de donnes de zone du serveur de noms. L'interprtation
de la sortie du cache de rsolution DNS n'est pas traite dans ce cours.
Leon 2
Installation et gestion d'un serveur DNS

Pour utiliser un service Serveur DNS, vous devez d'abord l'installer. L'installation du service Serveur DNS
sur un serveur DNS est une procdure simple. Pour grer votre service Serveur DNS, il est important
que vous compreniez le fonctionnement des composants du serveur DNS et leur finalit. Dans ce cours,
vous dcouvrirez les composants DNS. Vous apprendrez galement comment installer et grer le rle
serveur DNS.
dcrire les composants d'une solution DNS ;
dcrire les indications de racine ;
dcrire les requtes DNS ;
dcrire la redirection ;
expliquer le fonctionnement de la mise en cache du serveur DNS ;
expliquer comment installer le rle serveur DNS.
Quels sont les composants d'une solution DNS ?

Les composants d'une solution DNS incluent
les serveurs DNS, les serveurs DNS sur Internet
et les rsolutions DNS (ou clients DNS).
Serveur DNS
Un serveur DNS rpond aux requtes DNS
rcursives et itratives. Les serveurs DNS peuvent
galement hberger une ou plusieurs zones
d'un domaine particulier. Les zones contiennent
diffrents enregistrements de ressources.
Les serveurs DNS peuvent galement mettre
en cache des recherches afin de gagner
du temps pour les requtes communes.
Serveurs DNS sur Internet

Les serveurs DNS sur Internet sont accessibles au public. Ces serveurs hbergent des informations
sur les domaines publics, tels que les domaines de premier niveau (par exemple .com, .net et .edu).
Rsolution DNS
La rsolution DNS gnre et envoie des requtes itratives ou rcursives au serveur DNS.
Une rsolution DNS peut tre un ordinateur qui excute une recherche DNS ncessitant une
interaction avec le serveur DNS. Les serveurs DNS peuvent galement publier des demandes DNS
sur d'autres serveurs DNS.
Que sont les indications de racine ?

Les indications de racine correspondent une liste
de 13 noms de domaine complets sur Internet
que votre serveur DNS utilise s'il ne parvient
pas rsoudre une requte DNS en utilisant ses
propres donnes de zone, un redirecteur DNS
ou son propre cache. Les indications de racine
rpertorient les serveurs les plus levs dans la
hirarchie DNS et peuvent fournir les informations
ncessaires un serveur DNS pour qu'il excute
une requte itrative sur la couche infrieure
suivante de l'espace de noms DNS.
7-13
Les serveurs racine sont automatiquement

installs lorsque vous installez le rle DNS. Ils sont copis partir du fichier cache.dns inclus dans les
fichiers d'installation du rle DNS. Vous pouvez galement ajouter des indications de racine un serveur
DNS pour prendre en charge des recherches de domaines non contigus dans une fort.
Lorsqu'un serveur DNS communique avec un serveur d'indications de racine, il utilise uniquement une
requte itrative. Si vous slectionnez l'option Ne pas utiliser la rcursivit pour ce domaine (dans la
bote de dialogue Proprits du serveur DNS), le serveur ne sera pas en mesure d'excuter des requtes
sur les indications de racine. Si vous configurez le serveur l'aide d'un redirecteur, il va tenter d'envoyer
une requte rcursive son serveur de redirection. Si le serveur de redirection ne rpond pas cette
requte, le premier serveur rpond que l'hte est introuvable.
Il est important de comprendre que la rcursivit sur un serveur DNS et les requtes rcursives ne sont
pas la mme chose. La rcursivit sur un serveur DNS signifie que le serveur utilise ses indications de
racine pour tenter de rsoudre une requte DNS, alors qu'une requte rcursive est une requte adresse
un serveur DNS, o le demandeur demande au serveur de se charger de fournir une rponse complte
la requte. Les rubriques suivantes dcrivent les requtes rcursives de manire plus approfondie.
Que sont les requtes DNS ?

Une requte DNS est une requte de rsolution de
noms envoye un serveur DNS. Le serveur DNS
fournit ensuite une rponse faisant autorit ou
ne faisant pas autorit la requte du client.
Remarque : Il est important de noter que
les serveurs DNS peuvent galement servir de
programmes de rsolution DNS et envoyer
des requtes DNS d'autres serveurs DNS.
Rponses faisant autorit ou ne faisant pas autorit

Les deux types de rponse sont les suivants :
Faisant autorit. Une rponse faisant autorit est une rponse que le serveur retourne et qu'il sait
correcte, car la requte est adresse au serveur faisant autorit qui gre le domaine. Un serveur
DNS fait autorit lorsqu'il hberge une copie principale ou secondaire d'une zone DNS.
Ne faisant pas autorit. Une rponse ne faisant pas autorit est une rponse o le serveur DNS qui
contient le domaine demand dans son cache rpond une requte en utilisant des redirecteurs ou
des indications de racine. Dans la mesure o la rponse fournie risque de ne pas tre exacte (car seul
le serveur DNS faisant autorit pour le domaine donn peut mettre cette information), il s'agit d'une
rponse ne faisant pas autorit.
Si le serveur DNS fait autorit pour l'espace de noms de la requte, il vrifie la zone, puis ragit de l'une
des manires suivantes :
Il renvoie l'adresse demande.
Il renvoie une rponse de type Non, ce nom n'existe pas faisant autorit.
Remarque : Une rponse faisant autorit peut tre donne uniquement par le serveur
faisant autorit directe pour le nom demand.
S'il ne fait pas autorit pour l'espace de noms de la requte, le serveur DNS local ragit de l'une des
manires suivantes :
Il vrifie son cache et renvoie une rponse mise en cache.
Il transmet la requte qu'il ne sait pas rsoudre un serveur spcifique appel redirecteur.
Il utilise les adresses connues de plusieurs serveurs racine pour rechercher un serveur DNS
faisant autorit afin de rsoudre la requte. Ce processus utilise des indications de racine.
Requtes rcursives
Dans une requte rcursive, le demandeur demande au serveur DNS une adresse IP entirement rsolue
de la ressource demande, avant de retourner la rponse au demandeur. Le serveur DNS peut tre amen
effectuer plusieurs requtes destines d'autres serveurs DNS avant de trouver la rponse recherche.
Les requtes rcursives sont gnralement effectues par un client DNS vers un serveur DNS, ou par un
serveur DNS configur pour transmettre les requtes non rsolues vers un autre serveur DNS, dans le
cas d'un serveur DNS configur pour utiliser un redirecteur.
Une requte rcursive a deux rsultats possibles :
Le serveur DNS renvoie l'adresse IP de l'hte demand.
Le serveur DNS ne peut pas rsoudre une adresse IP.
Pour des raisons de scurit, il est parfois ncessaire de dsactiver les requtes rcursives sur un serveur
DNS. Ainsi, le serveur DNS en question n'essaiera pas de transfrer ses demandes DNS un autre serveur.
Cette dsactivation peut s'avrer utile lorsque vous ne souhaitez pas qu'un serveur DNS particulier
communique l'extrieur de son rseau local.
Requtes itratives
7-15
Les requtes itratives ont accs aux informations de noms de domaine qui se trouvent sur le systme
DNS. l'aide des requtes itratives, vous pouvez rsoudre rapidement et efficacement des noms sur
de nombreux serveurs. Lorsqu'un serveur DNS reoit une demande laquelle il ne peut pas rpondre
en utilisant ses informations locales ou ses recherches mises en cache, il fait la mme demande un
autre serveur DNS en utilisant une requte itrative. Lorsqu'un serveur DNS reoit une requte itrative,
il peut rpondre soit en indiquant l'adresse IP du nom de domaine (s'il la connat), soit en adressant
la demande aux serveurs DNS responsables du domaine sur lequel porte la requte. Le serveur DNS
poursuit ce processus jusqu' ce qu'il trouve un serveur DNS qui fait autorit pour le nom demand,
jusqu' ce qu'une erreur se produise ou jusqu' l'expiration du dlai.
Qu'est-ce que le transfert ?

Un redirecteur est un serveur DNS rseau
qui transfre des requtes DNS de noms DNS
externes aux serveurs DNS situs l'extrieur
de son rseau. Vous pouvez galement utiliser
des redirecteurs conditionnels pour transfrer
des requtes en fonction de noms de domaine
spcifiques.
Une fois que vous avez dsign un serveur DNS
rseau en tant que redirecteur, d'autres serveurs
DNS de ce rseau transfrent les requtes qu'ils
ne savent pas rsoudre localement ce serveur.
l'aide d'un redirecteur, vous pouvez grer la
rsolution de noms pour les noms externes votre rseau, par exemple les noms situs sur Internet.
Cela amliore l'efficacit de la rsolution de noms pour les ordinateurs de votre rseau.
Le redirecteur doit tre en mesure de communiquer avec le serveur DNS situ sur Internet. Cela signifie
que soit vous le configurez afin de transfrer les demandes un autre serveur DNS, soit vous le configurez
afin d'utiliser des indications de racine pour communiquer.
Mthode conseille : Utilisez un serveur DNS de redirection central pour la rsolution
de noms Internet. Cela peut amliorer la scurit, car vous pouvez isoler le serveur DNS de
redirection dans un rseau de primtre, lequel garantit qu'aucun serveur au sein du rseau
ne communique directement avec Internet.
Redirecteur conditionnel
Un redirecteur conditionnel est un serveur DNS sur un rseau qui transfre des requtes DNS en fonction
du nom de domaine DNS de la requte. Par exemple, vous pouvez configurer un serveur DNS afin qu'il
transfre toutes les requtes qu'il reoit concernant des noms se terminant par corp.contoso.com
l'adresse IP d'un serveur DNS spcifique ou aux adresses IP de plusieurs serveurs DNS. Ce transfert
peut s'avrer utile lorsque vous avez plusieurs espaces de noms DNS dans une fort.
Redirection conditionnelle dans Windows Server 2008 R2 et Windows Server 2012

Dans Windows Server 2008 R2 et Windows Server 2012, la configuration des redirecteurs conditionnels
a t dplace vers un nud dans la console de configuration DNS. Vous pouvez rpliquer ces
informations sur d'autres serveurs DNS via l'intgration du service DNS Active Directory.
Mthode conseille : Utilisez des redirecteurs conditionnels si vous avez plusieurs espaces
de noms internes. Ainsi, la rsolution de noms est plus rapide.
Fonctionnement de la mise en cache du serveur DNS

La mise en cache DNS augmente les performances
du systme DNS de l'organisation en acclrant
les recherches DNS.
Lorsqu'un serveur DNS rsout correctement un
nom DNS, il ajoute ce nom son cache. Au fur
et mesure, il gnre un cache des noms de
domaine et de leurs adresses IP associes pour
la plupart des domaines que l'organisation utilise
ou auxquels elle accde. La dure par dfaut de
conservation d'un nom dans le cache est d'une
heure. Le propritaire d'une zone peut changer
ce paramtre en modifiant l'enregistrement SOA
pour la zone DNS approprie.
Un serveur cache uniquement est le type idal de serveur DNS utiliser en tant que redirecteur.
Il n'hberge aucune donne de zone DNS. Il rpond uniquement aux requtes de recherche des
clients DNS.
Dans Windows Server 2012, vous pouvez accder au contenu du cache du serveur DNS en slectionnant
l'affichage Avanc dans la console du Gestionnaire DNS. Lorsque vous activez cet affichage, le contenu
mis en cache s'affiche sous la forme d'un nud dans le Gestionnaire DNS. Vous pouvez galement
supprimer des entres spcifiques (ou la totalit) du cache du serveur DNS. Vous pouvez galement
utiliser l'applet de commande Windows PowerShell Get-DNSServerCache pour afficher le contenu
du cache.
Le cache client DNS est stock sur l'ordinateur local par le service client DNS. Pour voir la mise en cache
ct client, une invite de commandes, excutez la commande ipconfig /displaydns. Cela permet
d'afficher le cache client DNS local. Si vous avez besoin d'effacer le cache local, vous pouvez utiliser
ipconfig /flushdns. Pour ce faire, vous pouvez galement utiliser les applets de commande
Windows PowerShell Get-DNSClientCache et Clear-DNSClientCache.
Pour empcher les caches clients DNS d'tre remplacs, utilisez la fonctionnalit de verrouillage
de cache DNS, disponible dans Windows Server 2008 R2 et Windows Server 2012. Lorsque cette
fonctionnalit est active, les enregistrements mis en cache ne sont pas remplacs pendant la valeur
de la dure de vie (TTL, Time to Live). Le verrouillage du cache fournit une scurit amliore contre
les attaques par empoisonnement du cache.
Comment installer le rle serveur DNS

Par dfaut, le rle serveur DNS n'est pas install
sur Windows Server 2012. En fait, vous devez
l'ajouter comme un rle lorsque vous configurez
le serveur pour effectuer ce rle. Vous installez
le rle serveur DNS l'aide de l'Assistant Ajout
de rles et de fonctionnalits dans le Gestionnaire
de serveur.
Vous pouvez galement ajouter le rle serveur
DNS lorsque vous effectuez la promotion de
votre serveur en contrleur de domaine. Pour
ce faire, utilisez la page Options du contrleur
de domaine de l'Assistant Installation des services
de domaine Active Directory.
7-17
Une fois que vous avez install le rle serveur DNS, le composant logiciel enfichable Gestionnaire DNS
peut tre ajout vos consoles d'administration. Le composant logiciel enfichable est automatiquement
ajout la console du Gestionnaire de serveur et la console du Gestionnaire DNS. Vous pouvez excuter
le Gestionnaire DNS partir de la zone Accueil en tapant dnsmgmt.msc.
Lorsque vous installez le rle serveur DNS, l'outil en ligne de commande dnscmd.exe est galement
ajout. Vous pouvez utiliser l'outil DNSCmd pour crer un script de la configuration DNS et automatiser
cette dernire. Pour obtenir de l'aide sur cet outil, l'invite de commandes, tapez : dnscmd.exe /?.
Dans Windows Server 2012, vous pouvez galement utiliser Windows PowerShell pour grer un serveur
DNS. Il est recommand d'utiliser les applets de commande Windows PowerShell pour grer le serveur
DNS l'aide de lignes de commande. En outre, vous pouvez utiliser les outils en ligne de commande
Nslookup, DNSCmd, Dnslint et Ipconfig dans l'environnement Windows PowerShell.
Pour administrer un serveur DNS distant, ajoutez les Outils d'administration de serveur distant sur votre
poste de travail d'administration, lequel doit excuter Windows Vista Service Pack 1 (SP1) ou une version
plus rcente du systme d'exploitation Windows.
Dmonstration : Installation du rle de serveur DNS

De nombreuses organisations possdent dj ou veulent plusieurs serveurs DNS sur leur rseau. Vous
pouvez installer des serveurs DNS l'aide de la console du Gestionnaire de serveur. Pour permettre
votre serveur DNS de rsoudre les noms Internet, vous devrez probablement activer la redirection.
installer un second serveur DNS ;
configurer le transfert.
Installer un second serveur DNS
1.
Connectez-vous LON-DC1 et LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.
2.
Sur LON-SVR1, ouvrez le Gestionnaire de serveur.
3.
Dmarrez l'Assistant Ajout de rles et de fonctionnalits.
4.
Ajoutez le rle serveur DNS.
Configurer le transfert
Configurez le serveur DNS avec un redirecteur sur l'adresse IP 172.16.0.10.
suivante.
Leon 3
Gestion des zones DNS

Le serveur DNS hberge les donnes de zone dans une base de donnes Active Directory ou dans
le fichier de zone. En outre, le serveur DNS peut hberger plusieurs types de zone. Dans ce cours,
vous dcouvrirez les types de zone DNS et les zones DNS intgres Active Directory.
dcrire les types de zones DNS ;
dcrire les mises jour dynamiques ;
dcrire les zones intgres Active Directory ;
expliquer comment crer une zone intgre Active Directory.
Quels sont les types de zone DNS ?

Il existe quatre types de zone DNS :
Principale
Secondary
Stub
Intgre Active Directory
Zone principale
7-19
Une zone principale est une zone pour laquelle

le serveur DNS est la fois l'hte et la source
principale des informations relatives cette zone.
En outre, le serveur DNS stocke la copie principale
des donnes de zone dans un fichier local ou dans les services AD DS. Lorsque le serveur DNS stocke la
zone dans un fichier, le fichier de la zone principale est nomm par dfaut nom_zone.dns et se trouve sur
le serveur dans le dossier %windir%\System32\Dns. Lorsque la zone n'est pas stocke dans les services
AD DS, il s'agit du seul serveur DNS qui dispose d'une copie accessible en criture de la base de donnes.
Zone secondaire
Une zone secondaire est une zone pour laquelle le serveur DNS sert d'hte mais o il reprsente la source
secondaire des informations de zone. Les informations relatives la zone au niveau de ce serveur doivent
tre obtenues partir d'un autre serveur DNS distant qui hberge galement la zone. Ce serveur DNS doit
avoir un accs rseau au serveur DNS distant pour recevoir les informations mises jour de la zone. tant
donn qu'une zone secondaire est une copie d'une zone principale qu'un autre serveur hberge, la zone
secondaire ne peut pas tre stocke dans les services AD DS. Les zones secondaires peuvent s'avrer utiles
si vous rpliquez des donnes provenant de zones DNS non Windows.
Zone de stub
Une zone de stub est une copie rplique d'une zone qui contient uniquement les enregistrements
de ressources ncessaires l'identification des serveurs DNS faisant autorit pour la zone en question.
Une zone de stub rsout les noms entre des espaces de noms DNS distincts, lesquels peuvent s'avrer
ncessaires lorsqu'une fusion d'entreprises a besoin que les serveurs DNS de deux espaces de noms
DNS distincts rsolvent les noms des clients dans les deux espaces de noms.
Une zone de stub comprend ce qui suit :
l'enregistrement de ressource Source de noms (SOA, Start Of Authority), les enregistrements de

ressources Serveur de noms (NS, Name Server) et les enregistrements de ressources de type A
de la zone dlgue ;
l'adresse IP d'un ou plusieurs serveurs matres que vous pouvez utiliser pour mettre jour la zone
de stub.
Les serveurs matres d'une zone de stub sont reprsents par un ou plusieurs serveurs DNS qui font
autorit pour la zone enfant. En rgle gnrale, c'est le serveur DNS qui hberge la zone principale
pour le nom de domaine dlgu.
Zone intgre Active Directory
Si les services AD DS stockent les donnes de zone, le serveur DNS peut utiliser le modle de rplication
multimatre pour rpliquer les donnes de la zone principale. Cela vous permet de modifier des donnes
de zone sur plusieurs serveurs DNS simultanment.
Que sont les mises jour dynamiques ?

Une mise jour dynamique est une mise
jour de DNS en temps rel. Les mises jour
dynamiques sont importantes pour les clients DNS
qui changent d'emplacement, car elles peuvent
inscrire et mettre jour dynamiquement leurs
enregistrements de ressources sans intervention
manuelle.
Le service client DHCP (Dynamic Host
Configuration Protocol) effectue l'inscription,
indpendamment du fait que l'adresse IP du client
soit obtenue partir d'un serveur DHCP ou qu'elle
soit fixe. L'inscription a lieu lors des vnements
suivants :
le client dmarre et le service client DHCP a dmarr ;
une adresse IP est configure, ajoute ou modifie sur n'importe quelle connexion rseau ;
un administrateur excute la commande ipconfig /registerdns l'invite de commandes, ou excute

l'applet de commande Windows PowerShell Register-DNSClient.
Le processus relatif aux mises jour dynamiques est le suivant :
7-21
1.
Le client identifie un serveur de noms et envoie une mise jour. Si le serveur de noms hberge
uniquement une zone secondaire, le serveur de noms refuse la mise jour du client. Si la zone
n'est pas une zone intgre Active Directory, le client peut tre amen effectuer cette opration
plusieurs fois.
2.
Si la zone prend en charge les mises jour dynamiques, le client finit par joindre un serveur DNS
qui peut crire dans la zone. Ce serveur DNS est le serveur principal d'une zone standard, base
sur un fichier, ou un contrleur de domaine qui reprsente le serveur de noms d'une zone intgre
Active Directory.
3.
Si la zone est configure pour des mises jour dynamiques scurises, le serveur DNS refuse
la modification. Le client s'authentifie ensuite et renvoie la mise jour.
Dans certaines configurations, vous ne voulez pas que les clients mettent jour leurs enregistrements,
mme dans une zone de mise jour dynamique. Dans ce cas, vous pouvez configurer le serveur DHCP
afin qu'il inscrive les enregistrements pour le compte des clients. Par dfaut, un client inscrit qu'il est
un enregistrement (hte/adresse) et le serveur DHCP inscrit l'enregistrement PTR (pointeur/recherche
inverse).
Par dfaut, les systmes d'exploitation Windows tentent d'inscrire leurs enregistrements auprs de leur
serveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du client ou via une
stratgie de groupe. Les contrleurs de domaine inscrivent galement leurs enregistrements SRV dans
DNS, en plus de leurs enregistrements d'htes. Les enregistrements SRV sont inscrits chaque fois que
le service NETLOGON dmarre.
Que sont les zones intgres Active Directory ?

Un serveur DNS peut stocker des donnes de
zone dans la base de donnes AD DS condition
que le serveur DNS soit un contrleur de domaine
AD DS. Lorsque le serveur DNS stocke des
donnes de zone de cette faon, cela entrane la
cration d'une zone intgre Active Directory.
Les avantages d'une zone intgre
Active Directory sont importants :
Mises jour multimatres. Contrairement

aux zones principales (qui ne peuvent tre
modifies que par un seul serveur principal),
les zones intgres Active Directory sont
accessibles en criture n'importe quel contrleur de domaine vers lequel la zone est rplique. Cela
permet d'tablir une redondance dans l'infrastructure DNS. En outre, les mises jour multimatres
sont particulirement importantes dans les organisations rparties gographiquement et qui utilisent
des zones de mise jour dynamique, car les clients peuvent mettre jour leurs enregistrements
DNS sans avoir se connecter un serveur principal potentiellement loign d'un point de vue
gographique.
Rplication des donnes de zone DNS l'aide de la rplication AD DS. L'une des caractristiques de
la rplication Active Directory est la rplication au niveau de l'attribut, o seuls les attributs modifis
sont rpliqus. Une zone intgre Active Directory peut tirer parti des avantages de la rplication
Active Directory, au lieu de rpliquer l'intgralit du fichier de zone comme dans les modles
classiques de redirection de zone DNS.
Mises jour dynamiques scurises. Une zone intgre Active Directory peut appliquer
des mises jour dynamiques scurises.
Scurit granulaire. Comme pour d'autres objets Active Directory, une zone intgre
Active Directory vous permet de dlguer l'administration des zones, des domaines et
des enregistrements de ressources en modifiant la liste de contrle d'accs de la zone.
Question : Pouvez-vous penser des inconvnients lis au stockage des informations DNS
dans les services AD DS ?
Dmonstration : Cration d'une zone intgre Active Directory
Pour crer une zone intgre Active Directory, vous devez installer un serveur DNS sur un contrleur
de domaine. Toutes les modifications apportes une zone intgre Active Directory sont rpliques
vers les autres serveurs DNS situs sur les contrleurs de domaine via le modle de rplication multimatre
des services AD DS.
promouvoir un serveur en tant que contrleur de domaine ;
crer une zone intgre Active Directory ;
crer un enregistrement ;
vrifier la rplication vers un second serveur DNS.
Effectuer la promotion de LON-SVR1 en tant que contrleur de domaine supplmentaire
1.
Installez le rle serveur AD DS.
2.
Dmarrez l'Assistant Configuration des services de domaine Active Directory.
3.
Installez le service Serveur DNS.
Crer une zone intgre Active Directory

1.
Sur LON-DC1, ouvrez la console du Gestionnaire DNS.
2.
Dmarrez l'Assistant Nouvelle zone.
3.
Crez une zone de recherche directe intgre Active Directory.
4.
Nommez la zone Contoso.com.
5.
Autorisez uniquement les mises jour dynamiques scurises.
6.
Examinez les enregistrements de la nouvelle zone.
Crer un enregistrement
Crez un enregistrement Nouvel hte dans la zone Contoso.com nomme www, puis faites-le
pointer vers 172.16.0.100.
Vrifier la rplication vers un second serveur DNS
Vrifiez que le nouvel enregistrement se rplique sur le serveur DNS LON-SVR1.

Scnario
infrastructure Windows Server 2012 avec des clients Windows 8. Vous devez configurer le service
d'infrastructure pour une nouvelle succursale.
Votre responsable vous a demand de configurer le contrleur de domaine de la filiale en tant que
serveur DNS. Il vous a galement t demand de crer des enregistrements d'htes pour assurer
la prise en charge d'une nouvelle application en cours d'installation. Enfin, vous devez configurer
la redirection sur le serveur DNS de la filiale pour prendre en charge la rsolution de noms Internet.
Objectifs
installer et configurer le systme DNS ;
crer des enregistrements d'htes dans DNS ;
grer le cache du serveur DNS.

22410B-LON-DC1
22410B-LON-SVR1
22410B-LON-CL1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
7-23
1.
2.
sur Accueil.
3.
4.
5.
Domaine : ADATUM
Exercice 1 : Installation et configuration du systme DNS

Scnario
Dans le cadre de la configuration de l'infrastructure de la nouvelle filiale, vous devez configurer un serveur
DNS qui fournira un service de rsolution de noms la filiale. Le serveur DNS de la filiale sera galement
un contrleur de domaine. Les zones intgres Active Directory, qui sont ncessaires la prise en charge
des ouvertures de session, sont rpliques automatiquement vers la filiale.
1.
Configurer LON-SVR1 en tant que contrleur de domaine sans installer le rle serveur DNS
(Domain Name System)
2.
Crer et configurer la zone nwtraders.msft sur LON-DC1
3.
Vrifier les paramtres de configuration sur le serveur DNS existant pour confirmer les indications
de racine
4.
Ajouter le rle serveur DNS de la filiale au contrleur de domaine
5.
Vrifier la rplication de la zone intgre Active Directory Adatum.com
6.
Utiliser Nslookup pour tester une rsolution non locale
7.
Configurer la rsolution de noms Internet pour effectuer une redirection vers le sige
8.
Utiliser Nslookup pour confirmer la rsolution de noms
Tche 1 : Configurer LON-SVR1 en tant que contrleur de domaine sans installer

le rle serveur DNS (Domain Name System)
1.
Utilisez Ajouter des rles et des fonctionnalits dans le Gestionnaire de serveur pour ajouter le rle
Services AD DS LON-SVR1.
2.
Dmarrez l'Assistant Ajout de rles et de fonctionnalits pour promouvoir LON-SVR1 en

contrleur de domaine.
3.
Choisissez d'ajouter LON-SVR1 en tant que contrleur de domaine supplmentaire au domaine

Adatum.com.
4.
N'installez pas le serveur DNS.
Tche 2 : Crer et configurer la zone nwtraders.msft sur LON-DC1

1.
Sur l'ordinateur LON-DC1, ouvrez la console du Gestionnaire DNS.
2.
Crez une zone de recherche directe avec les paramtres suivants :

a.
Nom de la zone : nwtraders.msft
b.
Type de zone : Zone principale
c.
Ne stockez pas la zone dans Active Directory.
Tche 3 : Vrifier les paramtres de configuration sur le serveur DNS existant

pour confirmer les indications de racine
1.
Dans le Gestionnaire DNS sur LON-DC1, ouvrez la bote de dialogue Proprits de LON-DC1.
2.
Examinez les indications de racine et la configuration du redirecteur.
Tche 4 : Ajouter le rle serveur DNS de la filiale au contrleur de domaine
Utilisez le Gestionnaire de serveur pour ajouter le rle serveur DNS LON-SVR1.
7-25
Tche 5 : Vrifier la rplication de la zone intgre Active Directory Adatum.com

1.
Sur LON-SVR1, ouvrez la console du Gestionnaire DNS.
2.
Dveloppez Zones de recherche directes, puis vrifiez que les zones Adatum.com
et _msdcs.Adatum.com sont rpliques.
Si vous ne voyez pas ces zones, ouvrez Sites et services Active Directory, forcez la rplication
entre LON-DC1 et LON-SVR1, puis ressayez.
Tche 6 : Utiliser Nslookup pour tester une rsolution non locale

1.
Sur LON-SVR1, sur la carte rseau Connexion au rseau local, dans le champ Serveur DNS prfr,
supprimez l'adresse IP 172.16.0.10.
2.
Faites de l'adresse 127.0.0.1 le serveur DNS prfr de LON-SVR1.
3.
Ouvrez une fentre Windows PowerShell sur LON-SVR1, puis essayez de rsoudre
www.nwtraders.msft avec l'applet de commandeResolve-DNSName.
4.
Vous recevez une rponse ngative (cela est prvu).
Tche 7 : Configurer la rsolution de noms Internet pour effectuer une redirection

vers le sige
1.
2.
Configurez un redirecteur afin que LON-SVR1 corresponde l'adresse 172.16.0.10.
3.
Redmarrez le service Serveur DNS sur LON-SVR1.
Tche 8 : Utiliser Nslookup pour confirmer la rsolution de noms
Sur LON-SVR1, dans une fentre d'invite de commandes, dmarrez l'outil nslookup, puis essayez
de rsoudre www.nwraders.msft. Vous devez obtenir une rponse et une adresse IP.
Rsultats : Aprs avoir termin cet exercice, vous aurez install et configur DNS sur LON-SVR1.
Exercice 2 : Cration d'enregistrements d'htes dans DNS

Scnario
Plusieurs nouvelles applications Web sont implmentes au sige de la socit A. Datum. Chaque
application requiert que vous configuriez un enregistrement d'hte dans DNS. Vous avez t invit
crer les enregistrements d'htes de ces applications.
1.
Configurer un client pour utiliser LON-SVR1 en tant que serveur DNS
2.
Crer plusieurs enregistrements d'htes dans le domaine Adatum.com pour des applications Web
3.
Vrifier la rplication des nouveaux enregistrements sur LON-SVR1
4.
Utilisez la commande ping pour localiser de nouveaux enregistrements de LON-CL1
Tche 1 : Configurer un client pour utiliser LON-SVR1 en tant que serveur DNS
1.
Connectez-vous LON-CL1 en tant que ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2.
Ouvrez le Panneau de configuration.
3.
Ouvrez la bote de dialogue Proprits pour la carte Connexion au rseau local.
4.
Configurez le serveur DNS prfr afin qu'il corresponde l'adresse 172.16.0.21.
Tche 2 : Crer plusieurs enregistrements d'htes dans le domaine Adatum.com

pour des applications Web
1.
Sur LON-DC1, ouvrez le Gestionnaire DNS.
2.
Accdez la zone de recherche directe Adatum.com.
3.
Crez un enregistrement nomm www avec l'adresse IP 172.16.0.200.
4.
Crez un enregistrement nomm ftp avec l'adresse IP 172.16.0.201.
Tche 3 : Vrifier la rplication des nouveaux enregistrements sur LON-SVR1

1.
Sur LON-SVR1, ouvrez le Gestionnaire DNS.
2.
Accdez la zone de recherche directe Adatum.com.
3.
Assurez-vous que les enregistrements www et ftp s'affichent. (Vous devrez peut-tre actualiser
la zone Adatum.com et patienter quelques minutes avant que ces enregistrements n'apparaissent
sur LON-SVR1.)
Tche 4 : Utilisez la commande ping pour localiser de nouveaux enregistrements

de LON-CL1
1.
Sur LON-CL1, ouvrez une fentre d'invite de commandes.
2.
Effectuez un test ping de www.adatum.com. Assurez-vous que ce test ping rsout ce nom en
172.16.0.100.
3.
Effectuez un test ping de ftp.adatum.com. Assurez-vous que ce test ping rsout ce nom en
172.16.0.200.
Rsultats : Aprs avoir termin cet exercice, vous aurez configur les enregistrements DNS.
Exercice 3 : Gestion du cache d'un serveur DNS

Scnario
Aprs avoir chang quelques enregistrements d'htes dans les zones configures sur LON-DC1, vous avez
remarqu que les clients qui utilisent LON-SVR1 comme serveur DNS continuent recevoir d'anciennes
adresses IP pendant le processus de rsolution de noms. Vous voulez identifier le composant qui met
en cache ces donnes.
1.
Utiliser la commande ping pour localiser un enregistrement Internet de LON-CL1
2.
Mettre jour un enregistrement Internet pour pointer vers l'adresse IP de LON-DC1
3.
Examiner le contenu du cache DNS
4.
Vider le cache et ressayer la commande ping
Tche 1 : Utiliser la commande ping pour localiser un enregistrement Internet

de LON-CL1
1.
Sur LON-CL1, dans la fentre d'invite de commandes, utilisez la commande ping pour localiser
www.nwtraders.msft.
2.
Assurez-vous que le nom est rsolu en une adresse IP, puis documentez l'adresse IP.
Tche 2 : Mettre jour un enregistrement Internet pour pointer vers l'adresse IP

de LON-DC1
1.
Sur LON-DC1, ouvrez la console du Gestionnaire DNS.
2.
Accdez la zone de recherche directe nwtraders.msft.
3.
Remplacez l'adresse IP de l'enregistrement www par 172.16.0.10.
4.
partir de LON-CL1, effectuez un test ping de www.nwtraders.msft.
5.
Notez que cet enregistrement continue d'tre rsolu avec l'ancienne adresse IP.
Tche 3 : Examiner le contenu du cache DNS

1.
Sur LON-SVR1, dans la console du Gestionnaire DNS, activez Affichage dtaill.
2.
Parcourez le contenu du conteneur Recherches mises en cache pour l'espace de noms msft.
3.
Sur LON-CL1, l'invite de commandes, tapez ipconfig /displaydns.
4.
Examinez le contenu mis en cache.
Tche 4 : Vider le cache et ressayer la commande ping

1.
Videz le cache sur le serveur DNS LON-SVR1, l'aide de l'applet de commande

Clear-DNSServerCache.
2.
Ressayez d'effectuer le test ping de www.nwtraders.msft sur LON-CL1 (Le rsultat retourne
toujours l'ancienne adresse IP.)
3.
Videz le cache de rsolution du client sur LON-CL1 en tapant ipconfig /flushdns dans une
fentre d'invite de commandes.
4.
Sur LON-CL1, ressayez d'effectuer le test ping de www.nwtraders.msft. (Le rsultat devrait
tre bon.)
Rsultats : la fin de cet exercice, vous aurez examin le cache du serveur DNS.

Une fois l'atelier pratique termin, rtablissez l'tat initial des ordinateurs virtuels.
1.
2.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-SVR1 et 22410B-LON-CL1.
7-27

Question : Vous rsolvez des problmes lis la rsolution de noms DNS partir
d'un ordinateur client. Que devez-vous penser faire avant chaque test ?
Question : Vous dployez des serveurs DNS dans un domaine Active Directory et votre
client a besoin que l'infrastructure rsiste aux points uniques de dfaillance. Que devez-vous
prendre en compte lors de la planification de la configuration DNS ?
Question : Quels sont les avantages lis l'utilisation de redirecteurs ?
Outils
Nom de l'outil
Utilis pour
Emplacement
Console du Gestionnaire DNS
Grer le rle serveur DNS
Nslookup
Dpanner le systme DNS
Outil en ligne de commande
Ipconfig
Dpanner le systme DNS
Outil en ligne de commande
Applets de commande
Windows PowerShell
Grer et dpanner le systme DNS
Windows PowerShell
Mthode conseille
Lors de l'implmentation de DNS, utilisez les meilleures pratiques suivantes :
Utilisez toujours des noms d'htes la place des noms NetBIOS.
Utilisez des redirecteurs la place des indications de racine.
Soyez vigilant face aux problmes potentiels de mise en cache lors de la rsolution de problmes
lis la rsolution de noms.
Utilisez les zones intgres Active Directory au lieu des zones principale et secondaire.

Problme courant
Les clients mettent parfois en cache
des enregistrements DNS non valides.
Le serveur DNS s'excute lentement.

8-1
Module 8
Implmentation d'IPv6
Table des matires :
8-1
Leon 1 : Vue d'ensemble du protocole IPv6
8-2
Leon 2 : Adressage IPv6
8-8
Leon 3 : Cohabitation avec le protocole IPv4
8-15
Leon 4 : Technologies de transition IPv6
8-20
8-26
8-31
IPv6 est une technologie qui permet Internet de prendre en charge d'un nombre croissant d'utilisateurs
et d'une quantit accrue de priphriques IP. IPv4 a t le protocole Internet sous-jacent pendant prs
de trois dcennies. Sa robustesse, son extensibilit et ses fonctionnalits limites sont dsormais mises
mal face au besoin croissant de nouvelles adresses IP. Ceci est en grande partie d l'mergence rapide
de nouveaux priphriques rseau.
Objectifs
dcrire les fonctionnalits et les avantages du protocole IPv6 ;
dcrire la cohabitation d'IPv6 avec IPv4 ;
dcrire les technologies de transition d'IPv6.
Leon 1
Vue d'ensemble du protocole IPv6

IPv6 a t inclus avec les serveurs et systmes d'exploitation clients Windows en commenant par
Windows Server 2008 et Windows Vista. L'utilisation d'IPv6 devient de plus en plus rpandue sur
des rseaux d'entreprise et certaines parties d'Internet.
Il est primordial que vous compreniez comment cette technologie affecte les rseaux actuels
et comment intgrer IPv6 ces derniers. Cette leon prsente les avantages d'IPv6 et explique
en quoi ce protocole diffre d'IPv4.
dcrire les avantages d'IPv6 ;
dcrire les principales diffrences entre IPv4 et IPv6 ;
dcrire le format d'adresse IPv6.
Avantages du protocole IPv6

La prise en charge d'IPv6 est comprise dans
Windows Server 2012 et Windows 8. La liste
suivante d'avantages explique pourquoi IPv6
est implment.
Espace d'adressage plus tendu

L'espace d'adressage IPv6 est de 128 bits,
ce qui est beaucoup plus long grand que
l'espace d'adressage de 32 bits d'IPv4.
Un espace d'adressage de 32 bits a 232
ou 4 294 967 296 adresses possibles ;
un espace d'adressage de 128 bits a 2128
ou 340 282 366 920 938 463 463 374 607 431 768
211 456 (ou 3,4x1038 ou 340 undcillions) adresses possibles. mesure qu'Internet continue
se dvelopper, IPv6 prvoit l'espace d'adressage plus grand qui est requis.
Infrastructure d'adressage et de routage hirarchique

L'espace d'adressage IPv6 public est allou plus efficacement que pour IPv4. Les adresses IPv4 ne sont
pas toutes alloues par blocs gographiques, mais les adresses IPv6 publiques le sont. Ceci signifie que
quoiqu'il y ait beaucoup plus d'adresses, les routeurs Internet peuvent traiter les donnes beaucoup
plus efficacement en raison de l'optimisation des adresses.
8-2
Configuration d'adresse sans tat et avec tat
8-3
IPv6 dispose d'une fonctionnalit de configuration automatique sans protocole DHCP (Dynamic Host
Configuration Protocol) et peut dtecter des informations sur les routeurs afin de permettre aux htes
d'accder Internet. Cette fonctionnalit est appele configuration d'adresse sans tat. Lorsque le
protocole DHCPv6 est utilis, il est question, l'inverse, d'une configuration d'adresse avec tat.
Cela offre aux administrateurs rseau une meilleure flexibilit dans la faon dont les donnes
de configuration et les adresses IPv6 sont distribues aux clients.
Prise en charge obligatoire d'IPsec.
Les normes IPv6 requirent la prise en charge de l'en-tte d'authentification (AH) et des en-ttes ESP
(Encapsulating Security Payload) qui sont dfinis par la scurit du protocole Internet (IPSec). Bien que
la prise en charge des mthodes d'authentification et des algorithmes de chiffrement IPsec spcifiques
ne soit pas spcifie, IPsec est dfini ds le dbut comme manire de protger les paquets IPv6. Ceci
garantit la disponibilit d'IPsec sur tous les htes IPv6. La prise en charge d'IPsec n'tait pas requise
pour les htes IPv4, mais elle tait gnralement implmente.
Communication de bout en bout
Un des objectifs de conception d'IPv6 est de fournir un espace d'adressage suffisant, de sorte que vous
ne deviez pas utiliser de mcanismes de traduction, tels que la traduction d'adresses rseau (NAT). Ceci
simplifie la communication, car les htes IPv6 peuvent communiquer directement entre eux via Internet.
Ceci simplifie galement la prise en charge d'applications telles que la vidoconfrence et d'autres
applications peer to peer. Cependant, beaucoup d'organisations peuvent choisir de continuer utiliser
des mcanismes de traduction par mesure de scurit.
Prise en charge obligatoire de la qualit de service (QoS)
Un paquet IPv6 contient un champ Qualit de service (QoS) qui spcifie le dlai de traitement du paquet.
Ceci permet d'attribuer une priorit au trafic des paquets IPv6. Par exemple, lorsque vous diffusez en
continu du trafic vido, il est primordial que les paquets arrivent dans le temps imparti. Vous pouvez
dfinir ce champ QoS de faon vous assurer que les priphriques rseau reconnaissent que la remise
des paquets doit tre effectue en un certain temps. La prise en charge de la qualit de service tait
facultative pour les htes IPv4.
Prise en charge amliore des environnements de sous-rseau unique
Tous les htes IPv6 sont configurs automatiquement avec une adresse de liaison locale qui permet
l'hte pour communiquer sur le sous-rseau local. Cependant, comme pour l'adressage IP priv
automatique (APIPA), qui tait implment de manire facultative dans les environnements IPv4,
les ordinateurs ne sont pas configurs automatiquement avec un serveur DNS (Domain Name System)
ou une passerelle par dfaut.
Extensibilit
IPv6 a t conu pour que les dveloppeurs puissent l'tendre avec beaucoup moins de contraintes
que le protocole IPv4. En tant qu'administrateur rseau, vous n'tendrez pas IPv6, mais les applications
que vous achetez peuvent tirer profit de ceci pour amliorer les fonctionnalits d'IPv6.
Diffrences entre les protocoles IPv4 et IPv6

Lorsque fut cr l'espace d'adressage IPv4, il tait
difficile d'imaginer qu'il pourrait s'puiser un jour.
Toutefois, en raison des avances technologiques
et d'une mthode d'allocation qui n'avait pas
prvu le dveloppement des htes Internet,
la ncessit d'un protocole de remplacement
apparut vidente ds 1992.
Quand l'espace d'adressage IPv6 a t conu, les
adresses sont passes une longueur de 128 bits,
de telle sorte que l'espace d'adressage puisse tre
subdivis en domaines de routage hirarchique
qui refltent la topologie d'Internet d'aujourd'hui.
Avec 128 bits, il y a assez de bits pour crer plusieurs niveaux de hirarchie, et il y a suffisamment
de flexibilit pour concevoir le routage et l'adressage hirarchiques. Le Protocole Internet IPv4 est
actuellement dpourvu de ces fonctionnalits.
Comparaison entre IPv4 et IPv6

Le tableau suivant souligne des diffrences supplmentaires existant entre les protocoles IPv4 et IPv6.
IPv4
IPv6
8-4
La fragmentation est effectue par les routeurs

et l'hte d'envoi.
La fragmentation n'est pas ralise par les

routeurs, mais uniquement par l'hte d'envoi.
Le protocole ARP (Address Resolution Protocol)

utilise des trames de diffusion de demandes
ARP pour rsoudre une adresse IPv4 en une
adresse de couche de liaison.
Les trames de demandes ARP sont remplaces

par des messages de sollicitation du voisin
de multidiffusion.
Le protocole IGMP (Internet Group

Management Protocol) gre l'appartenance
aux groupes de sous-rseaux locaux.
Le protocole IGMP est remplac par des messages

de dcouverte d'couteurs multidiffusion
(MLD, Multicast Listener Discovery).
La fonctionnalit facultative de dcouverte

des routeurs ICMP (Internet Control Message
Protocol) dtermine l'adresse IPv4 de
la meilleure passerelle par dfaut.
La dcouverte de routeurs ICMP est remplace

par des messages d'annonce et de sollicitation de
routeur ICMP version 6 (v6), qui sont obligatoires.
Utilise des enregistrements de ressources

de l'hte (A) dans le DNS pour mapper
des noms d'htes aux adresses IPv4.
Utilise des enregistrements de ressources de l'hte

IPv6 (AAAA) dans le DNS pour mapper des noms
d'htes aux adresses IPv6.
Utilise des enregistrements de ressources

du pointeur (PTR) dans le domaine DNS
IN-ADDR.ARPA pour mapper des adresses
IPv4 aux noms d'htes.
Utilise des enregistrements de ressources du

pointeur (PTR) dans le domaine DNS IP6.ARPA
pour mapper des adresses IPv6 aux noms d'htes.
Doit prendre en charge une taille de paquet

s'levant 576 octets (fragmentation possible).
Doit prendre en charge une taille de paquet

s'levant 1 280 octets (sans fragmentation).
Format d'adresse IPv6

La fonctionnalit la plus distinctive du
protocole IPv6 est sa capacit utiliser des
adresses de taille beaucoup plus importante. Les
adresses IPv4 sont exprimes en quatre groupes
de nombres dcimaux (par exemple, 192.168.1.1).
Chaque groupe de nombres reprsente un octet
binaire. En code binaire, 192.168.1.1 se prsente
comme suit :
11000000.10101000.00000001.00000001
(4 octets = 32 bits)
Toutefois, une adresse IPv6 est quatre fois plus
longue qu'une adresse IPv4. Pour cette raison, les
adresses IPv6 sont exprimes en code hexadcimal (hexa). Par exemple :
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
8-5
Cela peut paratre complexe pour les utilisateurs finaux, mais il faut partir du principe que les utilisateurs
auront recours aux noms DNS pour la rsolution des htes et taperont rarement des adresses IPv6
manuellement. Il est galement plus facile d'effectuer la conversion de l'adresse IPv6 hexadcimale
entre binaire et hexadcimal que d'effectuer la conversion entre binaire et dcimal. Ceci qui simplifie
l'utilisation des sous-rseaux et le calcul des htes et des rseaux.
Systme de numrotation hexadcimal (base 16)
Dans le systme de numrotation hexadcimal, certaines lettres reprsentent des nombres ; ceci est d
au fait que chaque position doit contenir 16 symboles uniques. Du fait que 10 symboles (0 9) existent
dj, il doit y avoir six nouveaux symboles pour le systme hexadcimal, d'o l'utilisation des lettres A F.
Le nombre hexadcimal 10 est gal au nombre dcimal 16.
Remarque : Vous pouvez utiliser l'application de calculatrice fournie avec
Windows Server 2012 pour effectuer des conversions entre les nombres binaires,
dcimaux et hexadcimaux.
Pour convertir une adresse binaire IPv6 d'une longueur de 128 bits, sparez-la en huit blocs de 16 bits.
Convertissez ensuite chacun de ces huit blocs de 16 bits en quatre caractres hexadcimaux. Pour chacun
des blocs, vous valuez quatre bits la fois. Si possible, numrotez chaque section de quatre nombres
binaires 1, 2, 4 et 8, en partant de la droite vers la gauche. C'est--dire :
Le premier bit [0010] se voit attribuer une valeur de 1.
Le deuxime bit [0010] se voit attribuer une valeur de 2.
Le troisime bit [0010] se voit attribuer une valeur de 4.
Le quatrime bit [0010] se voit attribuer une valeur de 8.
Pour calculer la valeur hexadcimale de cette section de quatre bits, ajoutez la valeur de chaque bit dfini
1. Dans l'exemple de 0010, le seul bit dfini 1 est le bit qui se voit attribuer une valeur de 2. Les autres
sont dfinis zro. Par consquent, la valeur hexadcimale de cette section de quatre bits est 2.
Conversion du format binaire l'hexadcimal

Le tableau suivant dcrit la conversion de 8 bits binaires au format hexadcimal pour le nombre binaire
[0010] [1111] :
Binaire
0010
1111
Valeurs de chaque position

binaire
8421
8421
Ajout de valeurs o le bit est 1
0+0+2+0=2
8+4+2+1=15 ou F hexadcimal
L'exemple ci-aprs prsente une adresse IPv6 unique au format binaire. Notez que la reprsentation
binaire de l'adresse IP est trs longue. Les deux lignes de nombres binaires ci-dessous reprsentent
une seule adresse IP :
0010000000000001000011011011100000000000000000000010111100111011
0000001010101010000000001111111111111110001010001001110001011010
L'adresse de 128 bits est prsent divise en limites de 16 bits (huit blocs de 16 bits) :
0010000000000001 0000110110111000 0000000000000000 0010111100111011
0000001010101010 0000000011111111 1111111000101000 1001110001011010
Chaque bloc est lui-mme divis en sections de quatre bits. Le tableau ci-dessous affiche les valeurs
binaires de chaque section de quatre bits, ainsi que leurs valeurs hexadcimales correspondantes :
Binaire
Hexadcimal
[0010][0000][0000][0001]
[2][0][0][1]
[0000][1101][1011][1000]
[0][D][B][8]
[0000][0000][0000][0000]
[0][0][0][0]
[0010][1111][0011][1011]
[2][F][3][B]
[0000][0010][1010][1010]
[0][2][A][A]
[0000][0000][1111][1111]
[0][0][F][F]
[1111][1110][0010][1000]
[F][E][2][8]
[1001][1100][0101][1010]
[9][C][5][A]
Chaque bloc de 16 bits est exprim sous la forme de quatre caractres hexadcimaux, puis spar par
des deux-points. Le rsultat obtenu est le suivant :
2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A
Vous pouvez simplifier davantage la reprsentation IPv6 en supprimant les zros non significatifs dans
chaque bloc de 16 bits. Toutefois, chaque bloc doit comporter au moins un chiffre. Avec la suppression
des zros non significatifs, la reprsentation de l'adresse devient la suivante :
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
8-6
Compression des zros

Quand plusieurs blocs de zros contigus se produisent, vous pouvez les compresser et les reprsenter
dans l'adresse sous la forme de double-deux-points (::) ; ceci simplifie encore la notation IPV6.
L'ordinateur reconnat le symbole :: et le remplace par le nombre de blocs ncessaire pour
former l'adresse IPv6 approprie.
Dans l'exemple suivant, l'adresse est exprime en utilisant la compression des zros :
2001:DB8::2F3B:2AA:FF:FE28:9C5A
Pour dterminer combien de bits 0 sont reprsents par le symbole :: , vous pouvez comptabiliser
le nombre de blocs dans l'adresse compresse, soustraire ce nombre du chiffre huit, puis multiplier
le rsultat par 16. Si nous prenons l'exemple prcdent, il y a sept blocs. Soustrayez sept de huit et
multipliez le rsultat (un) par 16. Il y a donc 16 bits ou 16 zros dans l'adresse contenant le symbole
double deux-points .
Vous pouvez ne pouvez utiliser qu'une seule fois la compression des zros dans une adresse spcifique.
Si vous l'utilisez deux fois ou plus, alors il n'y a aucune faon de montrer combien de bits 0 sont
reprsents par chaque instance du symbole double-deux-points (::).
Pour convertir une adresse au format binaire, appliquez de manire inverse la mthode dcrite
prcdemment :
1.
Ajoutez des zros au moyen de la compression des zros.
2.
Ajoutez des zros non significatifs.
3.
Convertissez chaque nombre 1 au format binaire quivalent.
8-7
Leon 2
Adressage IPv6
Comprendre les diffrents types d'adresse et lorsqu'ils sont utiliss constitue un aspect essentiel du
protocole IPv6. Ceci vous permet de comprendre le processus de communication global entre les htes
IPv6 et d'effectuer le dpannage. Vous devez galement comprendre les processus disponibles pour
configurer un hte avec une adresse IPv6 afin de vrifier que les htes sont configurs correctement.
dcrire la structure des adresses IPv6 ;
dcrire la structure des adresses monodiffusion globales ;
dcrire les adresses monodiffusion uniques locales ;
dcrire les adresses monodiffusion de liaison locale et les ID de zone.
dcrire la configuration automatique des adresses pour le protocole IPv6 ;
expliquer comment configurer les paramtres clients IPv6 sur un hte du rseau.
Structure de l'adresse IPv6

Chaque adresse IPv6 a une longueur de 128 bits.
Le prfixe est la partie de l'adresse qui indique
les bits qui possdent des valeurs fixes ou qui
appartiennent au prfixe de sous-rseau. C'est
l'quivalent de l'ID rseau pour une adresse IPv4.
Les prfixes des sous-rseaux, des itinraires et
des plages d'adresses IPv6 sont exprims de la
mme manire que les notations CIDR (Classless
Inter-Domain Routing) pour le protocole IPv4. Un
prfixe IPv6 respecte la notation adresse/longueur
de prfixe. Par exemple, 2001:DB8::/48 et
2001:DB8:0:2F3B::/64 sont des prfixes
d'adresse IPv6.
Remarque : IPv6 utilise des prfixes au lieu d'un masque de sous-rseau.
Quand une adresse IPv6 monodiffusion est attribue un hte, le prfixe est de 64 bits. Les 64 bits
restants sont allous l'identificateur d'interface, qui identifie de faon unique l'hte sur ce rseau.
L'identificateur d'interface peut tre gnr alatoirement, attribu par DHCPv6 ou tre bas
sur l'adresse MAC (Media Access Control) du rseau. Par dfaut, les bits d'hte sont gnrs
alatoirement moins qu'ils soient attribus par DHCPv6.
Remarque : Les routes sur un routeur IPv6 ont des tailles de prfixe variables dtermines
par la taille du rseau.
8-8
quivalents IPv6 aux adresses spciales IPv4

Le tableau suivant montre les quivalents dans le protocole IPv6 quelques adresses IPv4 courantes.
Adresse IPv4
Adresse IPv6
Adresse non spcifie
0.0.0.0
::
Adresse de bouclage
127.0.0.1
::1
Adresses configures
automatiquement
169.254.0.0/16
FE80::/64
Adresse de diffusion
255.255.255.255
Utilise des multidiffusions la place
Adresses de multidiffusion
224.0.0.0/4
FF00::/8
Adresses monodiffusion globales

Les adresses monodiffusion globales quivalent
aux adresses IPv4 publiques qui sont fournies
par un fournisseur de services Internet (ISP).
Elles peuvent faire l'objet d'un routage et
sont accessibles globalement sur la partie IPv6
d'Internet. la diffrence du nombre limit
d'adresses IPv4 adressables depuis Internet
qui demeurent, il y a beaucoup d'adresses
monodiffusion globales disponibles.
8-9
L'espace d'adresses monodiffusion globales

est conu pour permettre chaque client du
fournisseur de services Internet d'obtenir un grand
nombre d'adresses d'IPv6. Les 48 premiers bits sont utiliss pour identifier le site client. Les 16 bits suivants
sont allous pour que le client effectue un sous-rseautage dans son propre rseau.
Remarque : Le rseau 2001:0db8::/32 est rserv la documentation et n'est pas routable.
La structure d'une adresse monodiffusion globale est la suivante :
Partie fixe dfinie 001. Les trois bits d'ordre haut sont dfinis 001. Le prfixe d'adresse pour
les adresses globales actuellement attribues est 2000::/3. Par consquent, toutes les adresses
monodiffusion globales commencent par 2 ou 3.
Prfixe de routage global. Ce champ indique le prfixe de routage global pour le site d'une
organisation spcifique. La combinaison des trois bits fixes et du prfixe de routage global de 45 bits
est utilise pour crer un prfixe de site de 48 bits attribu au site indpendant d'une organisation.
Au moment de l'attribution, les routeurs sur Internet IPv6 acheminent alors le trafic IPv6 qui fait
correspondre le prfixe de 48 bits aux routeurs du site de l'organisation.
8-10 Implmentation d'IPv6
ID de sous-rseau. L'ID de sous-rseau est utilis sur le site d'une organisation pour identifier des
sous-rseaux. La taille de ce champ est de 16 bits. Le site de l'organisation peut exploiter ces 16 bits
sur son site pour crer 65 536 sous-rseaux, ou plusieurs niveaux dans une hirarchie d'adressage,
ainsi qu'une infrastructure de routage efficace.
ID d'interface. L'ID d'interface identifie l'interface dans un sous-rseau spcifique sur le site. La taille
de ce champ est de 64 bits. Ceci est alatoirement gnr ou attribu par DHCPv6. Auparavant, l'ID
d'interface tait bas sur l'adresse MAC de la carte d'interface rseau laquelle l'adresse a t lie.
Adresses de monodiffusion uniques locales

Les adresses locales uniques sont l'quivalent dans
le protocole IPv6 des adresses prives IPv4. Ces
adresses sont routables dans une organisation,
mais pas sur Internet.
Les adresses IP prives IPv4 reprsentaient une
partie relativement petite de l'espace d'adressage
IPv4 global, et beaucoup de socits utilisaient le
mme espace d'adressage. Ceci provoquait des
problmes lorsque des organisations distinctes
tentaient de communiquer directement. Cela
entranait galement des problmes lors de
la fusion des rseaux de deux organisations,
ventuellement suite une fusion ou un rachat.
Pour viter les problmes de duplication rencontrs avec les adresses IPv4 prives, la structure d'adresse
locale unique du protocole IPv6 alloue 40 bits l'identificateur d'une organisation. Cet identificateur
d'organisation de 40 bits est alatoirement gnr. La probabilit que deux identificateurs de 40 bits
alatoirement gnrs soient identiques est trs faible. Ceci permet de garantir que chaque organisation
a un espace d'adressage unique.
Les sept premiers bits de l'identificateur d'organisation ont la valeur binaire fixe de 1111101. Toutes
les adresses locales uniques ont le prfixe d'adresse FC00::/7. L'indicateur local (L) est dfini 1 pour
indiquer une adresse locale. Une valeur d'indicateur L dfinie 0 n'a pas encore t dfinie. Par
consquent, les adresses locales uniques avec l'indicateur L dfini 1 ont le prfixe d'adresse FD::/8.
Adresses monodiffusion de liaison locale

Tous les htes IPv6 ont une adresse de liaison
locale qui est utilise pour communiquer
seulement sur le sous-rseau local. L'adresse de
liaison locale est gnre automatiquement et
est non routable. En cela, les adresses de liaison
locale sont similaires aux adresses APIPA IPv4.
Cependant, une adresse de liaison locale est
une partie essentielle de la communication IPv6.
Des adresses de liaison locale sont utilises pour la
communication dans de nombreux scnarios o
IPv4 aurait utilis des diffusions. Par exemple, des
adresses de liaison locale sont utilises lors de la
communication avec un serveur DHCPv6. Les adresses de liaison locale sont galement utilises pour
la dcouverte de voisins, qui est l'quivalent dans le protocole IPv6 de l'ARP dans IPv4.
Le prfixe des adresses de liaison locale est toujours FE80::/64. Les 64 derniers bits sont l'identificateur
d'interface.
ID de zone
8-11
Quel que soit le nombre d'interfaces rseau dans l'hte, chaque hte IPv6 a une adresse de liaison locale
unique. Si l'hte a plusieurs interfaces rseau, la mme adresse de liaison locale est rutilise sur chaque
interface rseau. Pour permettre des htes pour identifier la communication de liaison locale sur chaque
interface rseau unique, un ID de zone est ajout l'adresse de liaison locale.
Un ID de zone est utilis au format suivant :
Adresse%ID_zone
Chaque hte expditeur dtermine l'ID de zone qu'il associera chaque interface. Il n'y a aucune
ngociation d'ID de zone entre les htes. Par exemple, sur le mme rseau, l'hte A pourrait utiliser 3
pour l'ID de zone sur son interface et l'hte B pourrait utiliser 6 pour l'ID de zone sur son interface.
Un index d'interface unique, qui est un entier, est attribu chaque interface dans un hte Windows.
Outre les cartes rseau physiques, les interfaces comprennent galement des interfaces de bouclage
et de tunnel. Les htes IPv6 Windows utilisent l'index d'interface d'une interface comme ID de zone
pour cette interface.
Dans l'exemple suivant, l'ID d'interface pour l'interface rseau est 3.
fe80::2b0:d0ff:fee9:4143%3
Configuration automatique des adresses IPv6

Dans la plupart des cas, vous utiliserez la
configuration automatique pour fournir une
adresse IPv6 des htes IPv6. la diffrence
du protocole IPv4 qui utilise principalement les
serveurs DHCP pour fournir des informations
d'adressage, IPv6 utilise galement les routeurs
dans le cadre du processus de configuration
automatique. Les routeurs peuvent fournir
l'adresse rseau et une passerelle par dfaut aux
clients dans les messages d'annonce de routeur.
Types de configurations automatiques

Les types de configurations automatiques sont
prsents ci-dessous.
Sans tat. Avec la configuration automatique sans tat, la configuration d'adresse est uniquement
base sur la rception des messages d'annonce de routeur. La configuration automatique sans tat
comprend un prfixe de routeur, mais ne comprend pas d'options de configuration supplmentaires,
comme des serveurs DNS.
Avec tat. Dans la configuration automatique avec tat, la configuration d'adresse se base sur
l'utilisation d'un protocole de configuration d'adresse avec tat, tel que DHCPv6, pour se procurer
des adresses et d'autres options de configuration : Un hte utilise la configuration d'adresse avec
tat quand :
il reoit l'instruction de le faire dans des messages d'annonce de routeur ;
il n'y a aucun routeur prsent sur la liaison locale.
Les deux types. Avec les deux types, la configuration est base la fois sur la rception des messages
d'annonce de routeur et sur DHCPv6.
Configuration avec tat
Avec la configuration avec tat, les organisations peuvent contrler la manire dont les adresses IPv6 sont
affectes au moyen du protocole DHCPv6. S'il existe des options d'tendue spcifiques que vous devez
configurer, telles que les adresses IPv6 des serveurs DNS, un serveur DHCPv6 est ncessaire.
Quand le protocole IPv6 tente de communiquer avec un serveur DHCPv6, il utilise des adresses de
multidiffusion IPv6. Ce comportement diffre du protocole IPv4 qui utilise des adresses de diffusion IPv4.
tats des adresses configures automatiquement
8-13
Pendant la configuration automatique, l'adresse IPv6 d'un hte passe par plusieurs tats qui dfinissent
le cycle de vie de l'adresse IPv6. Les adresses configures automatiquement adoptent un ou plusieurs
des tats suivants :
Provisoire. Dans l'tat provisoire, la vrification a lieu pour dterminer si l'adresse est unique.
La dtection d'adresses en double se charge de la vrification. Quand une adresse est dans
l'tat provisoire, un nud ne peut pas recevoir le trafic de monodiffusion.
Valide. Dans l'tat valide, l'adresse a t vrifie comme tant unique, et elle peut envoyer et recevoir
du trafic de monodiffusion.
Privilgi. Dans l'tat privilgi, l'adresse permet un nud d'envoyer et de recevoir des donnes
du trafic de monodiffusion.
Dconseill. Dans l'tat dconseill, l'adresse est valide, mais son utilisation est dconseille pour
une nouvelle communication.
Non valide. Dans l'tat non valide, l'adresse ne permet plus un nud d'envoyer ou de recevoir
le trafic de monodiffusion.
Dmonstration : Configuration des paramtres clients IPv6
Dans la plupart des cas, IPv6 est configur dynamiquement l'aide de DHCPv6 ou d'annonces de routeur.
Cependant, vous pouvez galement configurer IPv6 manuellement avec une adresse IPv6 statique.
Le processus de configuration d'IPv6 est semblable au processus de configuration d'IPv4.
afficher la configuration IPv6 l'aide d'IPconfig ;
configurer IPv6 sur un contrleur de domaine et un serveur ;
vrifier que la communication IPv6 est fonctionnelle.
Afficher la configuration IPv6 l'aide d'IPconfig
1.
Ouvrez une session sur LON-DC1 et LON-SVR1 en tant que ADATUM\Administrateur avec le mot
de passe Pa$$w0rd.
2.
3.
Utilisez ipconfig pour afficher l'adresse IPv6 de liaison locale sur la connexion au rseau local.
4.
Utilisez l'applet de commande Get-NetIPAddress pour afficher la configuration rseau.
Configurer IPv6 sur LON-DC1

1.
Sur LON-DC1, utilisez le Gestionnaire de serveur pour ouvrir la bote de dialogue Proprits
du serveur local, puis cliquez sur Connexion au rseau local.
2.
Ouvrez la bote de dialogue Proprits IP, version 6 (TCP/IPv6), et entrez les informations
suivantes :
o
Utiliser l'adresse IPv6 suivante
Adresse IPv6 : FD00:AAAA:BBBB:CCCC::A
Longueur du prfixe de sous-rseau : 64
Utiliser l'adresse de serveur DNS suivante :
Serveur DNS prfr : ::1
Configurer IPv6 sur LON-SVR1

1.
Sur LON-DC1, utilisez le Gestionnaire de serveur pour ouvrir la bote de dialogue Proprits
du serveur local, puis cliquez sur Connexion au rseau local.
2.
Ouvrez la bote de dialogue Proprits IP, version 6 (TCP/IPv6), et entrez les donnes suivantes :
o
Utiliser l'adresse IPv6 suivante
Adresse IPv6 : FD00:AAAA:BBBB:CCCC::15
Longueur du prfixe de sous-rseau : 64
Utiliser l'adresse de serveur DNS suivante :
Serveur DNS prfr : FD00:AAAA:BBBB:CCCC::A
Vrifier que la communication IPv6 est fonctionnelle

1.
Sur LON-SVR1, ouvrez une invite Windows PowerShell.
2.
Utilisez ipconfig pour afficher l'adresse IPv6 pour la connexion au rseau local.
3.
Utilisez ping -6 pour tester la communication IPv6 avec LON-DC1.
4.
Utilisez ping -4 pour tester la communication IPv4 avec LON-DC1.
suivante.
Leon 3
Cohabitation avec le protocole IPv4
8-15
Depuis le dbut, le protocole IPv6 a t conu pour la coexistence long terme avec IPv4 ; dans la plupart
des cas, votre rseau utilisera la fois IPv4 et IPv6 pendant de nombreuses annes. En consquence, vous
devez comprendre comment ils coexistent.
Cette leon propose une vue d'ensemble des technologies qui permettent la cohabitation de ces
deux protocoles IP. Cette leon dcrit galement les diffrents types de nud et les diverses
implmentations de pile IP d'IPv6. Enfin, cette leon explique comment le systme DNS rsout
des noms en adresses IPv6 et les divers types de technologies de transition d'IPv6.
dcrire les types de nuds IP ;
dcrire les mthodes qui permettent la cohabitation d'IPv4 et IPv6 ;
configurer le systme DNS pour la prise en charge du protocole IPv6 ;
expliquer le concept de tunneling IPv6/IPv4.
Quels sont les types de nuds ?

Lorsque vous planifiez un rseau IPv6, vous
devez connatre les types de nuds ou d'htes
qui interviennent sur le rseau. Dcrire les nuds
d'une manire spcifique permet de dfinir
leurs possibilits sur le rseau. Comprendre
les possibilits de chaque type de nud est
important si vous utilisez le tunneling, parce que
certaines sortes de tunnels requirent des types
de nud spcifiques. Voici les descriptions des
divers types de nuds :
Nud IPv4 uniquement. C'est un nud qui

implmente uniquement le protocole IPv4
(et dispose seulement d'adresses IPv4) et ne prend pas en charge le protocole IPv6.
Nud IPv6 uniquement. C'est un nud qui implmente uniquement le protocole IPv6 (et dispose
seulement d'adresses IPv6) et ne prend pas en charge le protocole IPv4. Ce nud est capable de
communiquer uniquement avec des nuds et des applications IPv6 et est actuellement peu utilis.
Il risque toutefois de s'imposer davantage puisque les priphriques de plus petite taille (tlphones
portables et les ordinateurs de poche, par exemple) utilisent uniquement le protocole IPv6.
Nud IPv6/IPv4. C'est un nud qui implmente la fois les protocoles IPv4 et IPv6.
Windows Server 2008 et les systmes d'exploitation Windows Server ultrieurs, ainsi que
Windows Vista et les systmes d'exploitation clients ultrieurs utilisent IPv4 et IPv6 par dfaut.
Nud IPv4. C'est un nud qui implmente le protocole IPv4. Il peut s'agir d'un nud IPv4
uniquement ou d'un nud IPv6/IPv4.
Nud IPv6. C'est un nud qui implmente le protocole IPv6. Il peut s'agir d'un nud IPv6
uniquement ou d'un nud IPv6/IPv4.
La cohabitation se produit lorsqu'une majorit de nuds (nuds IPv4 ou IPv6) peut communiquer
au moyen d'une infrastructure IPv4, d'une infrastructure IPv6 ou d'une infrastructure combinant les
protocoles IPv4 et IPv6. Pour accomplir une vritable migration, vous devez convertir tous les nuds IPv4
en nuds IPv6 uniquement. Toutefois, dans un avenir prvisible, vous pourrez procder une migration
effective aprs avoir converti le plus grand nombre possible de nuds IPv4 uniquement en nuds
IPv6/IPv4. Les nuds IPv4 uniquement ne peuvent communiquer avec des nuds IPv6 uniquement
que lorsque vous utilisez un proxy ou une passerelle de traduction IPv4 vers IPv6.
Cohabitation IPv4/IPv6
Plutt que de remplacer IPv4, la plupart
des organisations ajoutent IPv6 leur rseau
IPv4 existant. Depuis Windows Server 2008
et Windows Vista, les systmes d'exploitation
Windows prennent en charge l'utilisation
simultane d'IPv4 et d'IPv6 via une architecture
double couche IP. Les systmes d'exploitation
Windows XP et Windows Server 2003 utilisent
une architecture double pile moins efficace.
Architecture double couche IP
Une architecture double couche IP a t

implmente partir de Windows Vista, et jusqu'
Windows Server 2012 et Windows 8. Cette architecture contient des couches Internet IPv4 et IPv6 avec
une implmentation unique de protocoles de la couche transport, tels que les protocoles TCP et UDP.
La double pile permet une migration plus facile vers IPv6, et il y a moins fichiers maintenir pour fournir
la connectivit d'IPv6. IPv6 est galement disponible sans ajout de tous les nouveaux protocoles dans
la configuration de carte rseau.
Architecture double pile
L'architecture double pile comprend les deux couches Internet IPv4 et IPv6, et a des piles de protocoles
spares qui contiennent des implmentations distinctes de protocoles de la couche transport, tels que
les protocoles TCP et UDP. Le pilote de protocole IPv6 Tcpip6.sys disponible dans Windows Server 2003
et Windows XP contient une implmentation distincte des protocoles TCP et UDP.
Configuration requise pour l'infrastructure DNS
8-17
De la mme faon que DNS est utilis en tant que service de prise en charge sur un rseau IPv4, il est
galement requis sur un rseau IPv6. Quand vous ajoutez IPv6 au rseau, vous devez vrifier que vous
ajoutez les enregistrements qui sont ncessaires pour la prise en charge des rsolutions noms/adresses
et adresses/noms IPv6. Les enregistrements DNS qui sont requis pour la coexistence sont :
enregistrements de ressource de l'hte (a) pour les nuds IPv4 ;
enregistrements de ressource de l'hte IPv6 (AAAA) ;
enregistrements de ressource de pointeur de recherche inverse (PTR) pour les nuds IPv4 et IPv6.
Remarque : Dans la plupart des cas, les enregistrements de ressource de l'hte IPv6 (AAAA)
requis par les nuds IPv6 sont enregistrs dans le DNS dynamiquement.
Quand un nom peut tre rsolu la fois en adresse IPv4 et en adresse IPv6, les deux adresses sont
retournes au client. Le client choisit alors l'adresse utiliser en fonction des stratgies de prfixes.
Dans ces stratgies de prfixes, un niveau de priorit est attribu chaque prfixe. Une priorit plus
leve est prfre une priorit infrieure. Le tableau suivant prsente les stratgies gnrales de
prfixes pour Windows Server 2012.
Prfixe
Ordre de priorit
Label
Description
::1/128
50
Bouclage IPv6
::/0
40
::ffff:0:0/96
10
Adresse compatible IPv4
2002::/16
6to4
2001::/32
Teredo
FC00::/7
13
Locale unique
::/96
Adresse compatible IPv4 (abandonn)
fec0::/10
11
Locale de site (abandonn)
3ffe::/16
12
6Bone (abandonn)
Remarque : Vous pouvez afficher les stratgies de prfixes dans Windows Server 2012
l'aide de l'applet de commande Windows PowerShell Get-NetPrefixPolicy.
Documentation supplmentaire : Pour plus d'informations sur les stratgies de prfixes,
consultez la rubrique Slection d'adresses source et de destination pour IPv6 l'adresse
Dmonstration : Configuration du systme DNS pour la prise en charge

du protocole IPv6
De mme que les nuds IPv4, les nuds IPv6 utilisent les enregistrements d'htes crs
automatiquement sur un DNS dynamique. Vous pouvez galement crer manuellement les
enregistrements hte pour les adresses IPv6. Un enregistrement de ressource hte IPv6 (AAAA)
est un type d'enregistrement unique et est diffrent d'un enregistrement de ressource hte IPv4 (A).
configurer un enregistrement de ressource hte IPv6 (AAAA) pour une adresse IPv6 ;
vrifier la rsolution des noms pour un enregistrement de ressource hte IPv6 (AAAA).
Configurer un enregistrement de ressource hte IPv6 (AAAA)
1.
Sur LON-DC1, dans le Gestionnaire de serveur, ouvrez l'outil DNS et accdez la zone de recherche
directe Adatum.com.
2.
Dans le Gestionnaire DNS, vrifiez que des adresses IPv6 ont t enregistres dynamiquement
pour LON-DC1 et LON-SVR1.
3.
Crez un nouvel enregistrement d'hte dans Adatum.com en utilisant les paramtres suivants :
o
Nom : WebApp
Adresse IP : FD00:AAAA:BBBB:CCCC::A
Vrifier la rsolution des noms pour un enregistrement de ressource hte IPv6

(AAAA)
1.
Sur LON-SVR1, si ncessaire, ouvrez une invite Windows PowerShell.
2.
Utilisez ping pour tester la communication avec WebApp.adatum.com.
Qu'est-ce que le tunneling IPv6/IPv4 ?

Le tunneling IPv6/IPv4 dsigne le processus qui
consiste encapsuler des paquets IPv6 au moyen
d'un en-tte IPv4 dans le but de transmettre
ces paquets IPv6 sur une infrastructure IPv4
uniquement. Les caractristiques relever
dans l'en-tte IPv4 sont les suivantes :
Le champ Protocole IPv4 est dfini 41

pour indiquer un paquet IPv6 encapsul.
Les champs Source et Destination sont

dfinis sur les adresses IPv4 des points
de terminaison de tunnel. Vous pouvez
configurer des points de terminaison de
tunnel manuellement dans le cadre de l'interface de tunnel ; ou sinon, ils peuvent tre drivs
automatiquement.
8-19
Contrairement au tunneling pour les protocoles PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer
Two Tunneling Protocol), il n'y a aucun change de messages pour la configuration, la maintenance
ou l'arrt des tunnels. Qui plus est, le tunneling IPv6/IPv4 n'offre aucune scurit pour les paquets IPv6
transmis par tunnel, ce qui signifie que lorsque vous faites appel au tunneling IPv6, ce dernier n'a pas
besoin d'tablir d'abord une connexion protge.
Vous pouvez configurer manuellement le tunneling IPv6/IPv4, ou utiliser des technologies automatises,
telles que Teredo, ISATAP ou 6to4, qui implmentent le tunneling IPv6/IPv4.
Leon 4
Technologies de transition IPv6

La transition d'IPv4 IPv6 requiert la coexistence entre les deux protocoles. Trop d'applications et
de services sont bass sur IPv4 pour que ce protocole soit supprim rapidement. Cependant, il existe
plusieurs technologies qui facilitent cette transition en permettant la communication entre les htes
IPv4-uniquement et IPv6-uniquement. Il existe galement des technologies qui permettent la
communication IPv6 sur des rseaux IPv4.
Cette leon fournit des informations sur ISATAP (Intra-Site Automatic Tunnel Addressing Protocol),
6to4 et Teredo, qui aident fournir la connectivit entre les technologies IPv4 et IPv6. Cette leon
traite galement de PortProxy, qui rend les applications compatibles.
dcrire ISATAP ;
dcrire 6to4 ;
dcrire Teredo ;
dcrire PortProxy ;
dcrire le processus de transition du protocole IPv4 vers le protocole IPv6.
Qu'est-ce qu'ISATAP ?
ISATAP est une technologie d'affectation
d'adresses que vous pouvez utiliser pour assurer
la connectivit IPv6 monodiffusion entre des htes
IPv6/IPv4 sur un intranet IPv4. Les paquets IPv6
sont encapsuls dans des paquets IPv4 afin
d'tre transmis sur le rseau. La communication
peut s'effectuer directement entre deux htes
ISATAP sur un rseau IPv4, ou peut passer par
un routeur ISATAP si un rseau n'a que des
htes IPv6-uniquement.
Les htes ISATAP ne ncessitent aucune

configuration manuelle et peuvent crer des
adresses ISATAP en utilisant des mcanismes de configuration automatique d'adresses standard. Bien que
le composant ISATAP soit activ par dfaut, il attribue des adresses ISATAP seulement s'il peut rsoudre
le nom ISATAP sur votre rseau.
Une adresse ISATAP base sur une adresse IPv4 prive est mise en forme comme dans l'exemple suivant :
[prfixe monodiffusion 64 bits]:0:5EFE:w.x.y.z
Une adresse ISATAP base sur une adresse IPv4 publique est mise en forme comme dans l'exemple
suivant :
[prfixe monodiffusion 64 bits]:200:5EFE:w.x.y.z
Par exemple, FD00::5EFE:192.168.137.133 est un exemple d'adresse IPv4 prive,
et 2001:db8::200:5EFE:131.107.137.133 est un exemple d'adresse IPv4 publique.
Qu'est-ce qu'un routeur ISATAP ?
8-21
S'il n'y a aucun hte IPv6-uniquement, alors le routeur ISATAP publie le prfixe IPv6 qui est utilis par les
clients ISATAP. L'interface ISATAP sur les ordinateurs client est configure pour utiliser ce prfixe. Quand
les applications utilisent l'interface ISATAP pour remettre des donnes, le paquet IPV6 est encapsul dans
un paquet IPv4 pour tre remis l'adresse IPv4 de l'hte de destination ISATAP.
S'il y a des htes IPv6-uniquement, alors le routeur ISATAP dcompacte galement les paquets IPv6. Les
htes ISATAP envoient les paquets l'adresse IPv4 du routeur ISATAP. Le routeur ISATAP dcompacte
alors les paquets IPv6 et les envoie sur le rseau IPv6-uniquement.
Comment activer le tunneling ISATAP

Vous pouvez initier le tunneling ISATAP de plusieurs manires, mais la manire la plus simple consiste
configurer un enregistrement d'hte ISATAP dans le DNS qui le rsout en l'adresse IPv4 du routeur
ISATAP. Les htes Windows qui peuvent rsoudre ce nom commencent automatiquement utiliser le
routeur ISATAP spcifi. En utilisant cette mthode, vous pouvez configurer le protocole ISATAP pour
plusieurs ordinateurs simultanment.
Vous pouvez galement dfinir la rsolution de noms ISATAP dans un fichier Hosts, mais cette mthode
n'est pas recommande, car elle est difficile de grer.
Remarque : Par dfaut, les serveurs DNS sur Windows Server 2008 ou les systmes
d'exploitation Windows Server plus rcents ont une liste rouge de requtes globales qui
empche la rsolution ISATAP, mme si l'enregistrement d'hte est cr et correctement
configur. Vous devez supprimer ISATAP de la liste rouge de requtes globales dans le
DNS si vous utilisez un enregistrement d'hte ISATAP pour configurer des clients ISATAP.
Voici d'autres faons de configurer des htes avec un routeur ISATAP :
utilisez l'applet de commande Windows PowerShell Set-NetIsatapConfiguration -Router x.x.x.x ;
utilisez Netsh Interface IPv6 ISATAP Set Router x.x.x.x ;
configurez le paramtre de stratgie de groupe ISATAP Nom du routeur.
Remarque : Tous les nuds ISATAP sont connects un sous-rseau IPv6 unique. Ceci
signifie que tous les nuds ISATAP font partie du mme site Active Directory Domain Services
(AD DS), ce qui peut ne pas tre souhaitable.
Vous devriez donc utiliser ISATAP seulement pour des tests limits. Pour un dploiement
l'chelle de l'intranet, vous devriez plutt dployer la prise en charge du protocole IPv6
en mode natif.
Qu'est-ce que 6to4 ?

6to4 est une technologie que vous utilisez pour
assurer la connectivit IPv6 monodiffusion sur le
rseau Internet IPv4. Vous pouvez utiliser 6to4
pour fournir la connectivit IPv6 entre deux
sites IPv6, ou entre un hte IPv6 et un site IPv6.
Cependant, 6to4 n'est pas adapt aux scnarios
qui requirent le processus de traduction NAT.
Un routeur 6to4 assure un site la connectivit
IPv6 sur le rseau Internet IPv4. Le routeur 6to4
a une adresse IPv4 publique qui est configure sur
l'interface externe, et une adresse IPv6 6to4 qui est
configure sur l'interface interne. Pour configurer
des ordinateurs client, l'interface interne publie le rseau 6to4. Tout ordinateur client qui commence
utiliser l'adresse rseau 6to4 est un hte 6to4. Les htes 6to4 du site envoient les paquets 6to4
au routeur 6to4 en vue de leur remise d'autres sites sur le rseau Internet IPv4.
L'adresse rseau IPv6 qui est utilise pour 6to4 est base sur l'adresse IPv4 de l'interface externe
sur un routeur IPv6. Le format de l'adresse IPv6 est 2002:WWXX:YYZZ:ID_sous-rseau:ID_Interface,
o WWXX:YYZZ est la reprsentation hexadcimale spare par un signe deux-points de w.x.y.z,
une adresse IPv4 publique.
Quand un hte unique sur le rseau Internet IPv4 participe 6to4, il est configur en tant
qu'hte/routeur. Un hte/routeur 6to4 n'effectue pas le routage pour d'autres htes, mais
gnre son propre rseau Ipv6 utilis pour 6to4.
Activation des fonctionnalits des routeurs 6to4 dans les systmes d'exploitation
Windows
Dans la plupart des cas, vous utilisez les composants de l'infrastructure rseau existante pour agir en tant
que routeur 6to4. Cependant, vous pouvez configurer Windows Server 2012 en tant que routeur 6to4
de diffrentes faons :
Activez le partage de connexion Internet (ICS). Quand vous activez ICS, Windows Server 2012
est configur automatiquement en tant que routeur 6to4.
Utilisez Windows PowerShell. Vous pouvez utiliser l'applet de commande Set-Net6to4Configuration

pour configurer 6to4.
Qu'est-ce que Teredo ?

Teredo est semblable 6to4 en ce qu'il vous
permet de transmettre par tunnel des paquets
IPv6 sur le rseau Internet IPv4. Cependant,
Teredo fonctionne correctement mme lorsque
la traduction d'adresses rseau est utilise pour
la connectivit Internet. Teredo est ncessaire
parce que beaucoup d'organisations utilisent des
adresses IP prives, qui ncessitent la traduction
d'adresses rseau pour accder Internet. Si un
priphrique NAT peut tre configur en tant
que routeur 6to4, alors Teredo n'est pas requis.
Remarque : Teredo est utilis uniquement si
le protocole ISATAP, 6to4 ou IPv6 en mode natif n'assure pas la connectivit.
8-23
La communication IPv6 entre deux clients Teredo sur le rseau Internet IPv4 requiert un serveur Teredo
hberg sur le rseau Internet IPv4. Le serveur Teredo facilite la communication entre les deux clients
Teredo en servant de point central pour l'initialisation de la communication. En gnral, les htes derrire
un priphrique NAT sont autoriss initier les communications sortantes, mais ne sont pas autoriss
accepter les communications entrantes. Pour contourner ce problme, les deux clients Teredo initient
la communication avec le serveur Teredo. Une fois que la connexion avec le serveur Teredo est tablie,
et que le priphrique NAT a autoris les communications sortantes, toutes les communications
ultrieures s'tablissent directement entre les deux clients Teredo.
Remarque : Plusieurs serveurs Teredo publics sont disponibles sur Internet. Les systmes
d'exploitation Windows utilisent par dfaut le serveur Teredo fourni par Microsoft l'adresse
teredo.ipv6.microsoft.com.
Teredo peut galement faciliter la communication avec des htes IPv6-uniquement sur le rseau Internet
IPv6 via un relais Teredo. Le relais Teredo transfre des paquets d'un client Teredo au rseau Internet IPv6.
Vous pouvez configurer Windows Server 2012 en tant que client Teredo, relais Teredo ou
serveur Teredo. Pour configurer Teredo, utilisez l'applet de commande Windows PowerShell
Set-NetTeredoConfiguration. Teredo est configur par dfaut en tant que client. Quand il est
configur en tant que client, Teredo est dsactiv lorsqu'il est li un rseau avec domaine. Pour
activer Teredo sur un rseau avec domaine, vous devez le configurer en tant que client d'entreprise.
Structure de l'adresse Teredo

Une adresse Teredo est une adresse IPv6 128 bits, mais elle utilise une structure diffrente des adresses
IPv6 monodiffusion typiques. La structure est la suivante :
2001::/32 (32 bits). C'est le prfixe spcifique Teredo qui est utilis par toutes les adresses Teredo.
Adresse IPv4 du serveur Teredo (32 bits). Ceci identifie le serveur Teredo.
Options (16 bits). Il existe plusieurs options qui dcrivent la configuration de communication, si le
client est derrire un priphrique NAT, par exemple.
Port externe masqu (16 bits). C'est le port externe utilis pour la communication par le priphrique
NAT pour cette communication. Il est masqu pour empcher le priphrique NAT de le traduire.
Adresse IP externe masque (32 bits). C'est l'adresse IP externe du priphrique NAT. Il est masqu
pour empcher le priphrique NAT de le traduire.
Qu'est-ce que PortProxy ?

Les dveloppeurs d'applications utilisent
des API de rseau spcifiques pour accder
des ressources rseau quand ils crivent des
applications. Les API modernes peuvent utiliser
IPv4 ou IPv6, et laissent le systme d'exploitation
choisir la version du protocole IP. Cependant,
quelques applications plus anciennes utilisent
des API qui peuvent seulement utiliser IPv4.
Vous utilisez le service PortProxy pour permettre

aux applications qui ne prennent pas en charge
le protocole IPv6 de communiquer avec des
htes IPv6. Vous activez PortProxy sur le serveur
o l'application s'excute. Les paquets IPv6 entrants de l'application sont traduits dans le protocole IPv4,
puis passs l'application.
Vous pouvez galement utiliser PortProxy comme proxy entre des htes IPv4-uniquement et des htes
IPv6-uniquement. Pour ce faire, vous devez configurer le DNS pour rsoudre le nom de l'hte distant
comme tant l'adresse de l'ordinateur PortProxy. Par exemple, un hte IPv4-uniquement rsoudrait
le nom d'un hte IPv6-uniquement comme tant l'adresse IPv4 de l'ordinateur de PortProxy.
Les paquets seraient ensuite envoys l'ordinateur PortProxy, qui les transmettrait par proxy
l'ordinateur IPv6-uniquement.
PortProxy a les limitations suivantes :
Il est limit aux connexions TCP seulement. Il ne peut pas tre utilis pour les applications
qui utilisent UDP.
Il ne peut pas modifier les informations d'adresses qui sont incorpores dans la partie donnes
du paquet. Si l'application (FTP (File Transfer Protocol), par exemple) incorpore les informations
d'adresses dans la partie donnes, alors elle ne fonctionnera pas.
Vous pouvez configurer PortProxy sur Windows Server 2012 l'aide de netsh interface portproxy.
Cependant, il est en gnral prfrable d'utiliser une technologie de tunneling au lieu de PortProxy.
Processus de transition vers IPv6

La transition de l'industrie du protocole IPv4
au protocole IPv6 devrait prendre un temps
considrable. Ce paramtre a t pris en
considration lors de la conception du
protocole IPv6. Le programme de transition
vers IPv6 est donc un processus plusieurs
tapes qui permet une cohabitation tendue.
Pour parvenir au dveloppement d'un
environnement IPv6-uniquement, suivez
les instructions gnrales suivantes :
8-25
Mettez niveau vos applications pour les

rendre indpendantes des protocoles IPv6 ou
IPv4. Par exemple, vous pouvez modifier les applications pour l'emploi de nouvelles API
Windows Sockets afin que la rsolution de noms, la cration de sockets et d'autres fonctions
demeurent indpendantes, que vous utilisiez le protocole IPv4 ou bien le protocole IPv6.
Mettez niveau l'infrastructure de routage pour le routage IPv6 natif. Vous devez mettre niveau
des routeurs capables de prendre en charge la fois les protocoles de routage IPv6 et IPv6 natif.
Effectuez la mise niveau des priphriques pour prendre en charge IPv6. La majorit du matriel
rseau actuel prend en charge IPv6, mais beaucoup d'autres types de priphriques ne font pas.
Vous devez vrifier que tous les priphriques lis au rseau, tels que les imprimantes et les
scanneurs, prennent galement en charge IPv6.
Mettez jour l'infrastructure DNS pour la prise en charge des enregistrements de ressource du
pointeur (PTR) et d'adresse IPv6. Vous devrez peut-tre mettre l'infrastructure DNS pour prendre
en charge les nouveaux enregistrements de ressource de l'adresse de l'hte IPv6 (AAAA) (obligatoire)
et les enregistrements de ressource du pointeur (PTR) dans le domaine inverse IP6.ARPA, mais c'est
facultatif. De plus, assurez-vous que les serveurs DNS prennent en charge le trafic DNS sur IPv6,
et la mise jour dynamique du systme DNS pour les enregistrements de ressource de l'adresse
de l'hte IPv6 (AAAA) afin que les htes IPv6 puissent enregistrer automatiquement leurs noms
et leurs adresses IPv6.
Mettez niveau les htes vers des nuds IPv6/IPv4. Vous devez mettre les htes niveau pour
utiliser IPv4 et IPv6. Ceci permet aux htes d'accder la fois aux ressources IPv4 et IPv6 pendant
le processus de migration.
La plupart des organisations ajouteront probablement IPv6 un environnement IPv4 existant et

continueront avoir faire coexister ces deux protocoles pendant longtemps. Beaucoup d'applications
et de priphriques hrits qui ne prennent pas en charge IPv6 existent toujours, et la coexistence est
beaucoup plus simple que l'utilisation de technologies de transition telles qu'ISATAP. Vous devriez
supprimer IPv4 uniquement aprs que les ressources qui dpendent de ce protocole aient t soit
supprimes, soit mises jour afin d'utiliser IPv6.
IPv6 est activ par dfaut pour Windows Vista et les systmes d'exploitation clients Windows
ultrieurs, et Windows Server 2008 et les systmes d'exploitation clients Windows Server ultrieurs.
Il est recommand de ne pas dsactiver IPv6 moins qu'il y ait une raison technique de le faire.
Certaines fonctionnalits des systmes d'exploitation Windows sont bases sur IPv6.

Scnario
La socit A. Datum Corporation a un bureau et un centre de donnes informatiques Londres
qui prennent en charge le site de Londres ainsi que d'autres sites. Ils ont rcemment dploy une
infrastructure Windows Server 2012 avec des clients Windows 8. Vous devez prsent configurer
le service d'infrastructure pour une nouvelle succursale.
Le responsable informatique chez A. Datum a reu des instructions de plusieurs diteurs d'applications
au sujet de la prise en charge d'IPv6 rcemment ajoute dans leurs produits. A. Datum n'a pas mis
en place la prise en charge d'IPv6 pour le moment. Le responsable informatique voudrait que
vous configuriez un environnement de test qui utilise IPv6. Dans le cadre de la configuration
de l'environnement de test, vous devez galement configurer ISATAP afin de permettre la
communication entre un rseau IPv4 et un rseau IPv6.
Ceci est la structure de l'environnement de test complt.
FIGURE 8.1 : RSULTAT FINAL DE L'ATELIER PRATIQUE
Objectifs
configurer un rseau IPv6 ;
configurer un routeur ISATAP.

22410B-LON-DC1
22410B-LON-RTR
22410B-LON-SVR2
Nom d'utilisateur
Mot de passe
Pa$$w0rd
8-27
1.
2.
sur Accueil.
3.
4.
5.
Domaine : ADATUM
Rptez les tapes 2 4 pour 22410B-LON-RTR et 22410B-LON-SVR2.
Exercice 1 : Configuration d'un rseau IPv6

Scnario
Pour la premire tape de la configuration de l'environnement de test, vous devez configurer LON-DC1
comme nud IPv4-uniquement et LON-SVR2 comme nud IPv6-uniquement. Vous devez galement
configurer LON-RTR afin de prendre en charge le routage IPv6 en ajoutant un rseau une interface sur
le rseau IPv6, et en activant les annonces de routage. Les annonces de routage permettent aux clients
IPv6 sur le rseau IPv6 d'obtenir automatiquement le rseau IPv6 correct via la configuration sans tat.
1.
Vrifier le routage IPv4
2.
Dsactiver le protocole IPv6 sur LON-DC1
3.
Dsactiver le protocole IPv4 sur LON-SVR2
4.
Configurer un rseau IPv6 sur LON-RTR
5.
Vrifier IPv6 sur LON-SVR2
Tche 1 : Vrifier le routage IPv4

1.
Sur LON-SVR2, ouvrez une invite Windows PowerShell.
2.
Utiliser la commande Ping sur LON-DC1 pour vrifier le routage d'IPv4 via LON-RTR.
3.
Utilisez la commande ipconfig pour vrifier que LON-SVR2 a seulement une adresse IPv6 de liaison
locale qui ne peut pas tre route.
Tche 2 : Dsactiver le protocole IPv6 sur LON-DC1

1.
Sur LON-DC1, dans le Gestionnaire de serveur, sur le Serveur local, ouvrez les proprits Connexion
au rseau local.
2.
Dsactivez IPv6 pour la connexion au rseau local pour faire de LON-DC1 un hte IPv4-uniquement.
Tche 3 : Dsactiver le protocole IPv4 sur LON-SVR2

1.
Sur LON-SVR2, dans le Gestionnaire de serveur, sur le Serveur local, ouvrez les proprits
de Connexion au rseau local.
2.
Dsactivez IPv4 pour la connexion au rseau local afin de faire de LON-SVR2 un hte
IPv6-uniquement.
Tche 4 : Configurer un rseau IPv6 sur LON-RTR
1.
Sur LON-RTR, ouvrez Windows PowerShell.
2.
Configurez une adresse rseau qui sera utilise sur le rseau IPv6 en utilisant l'applet de commande
New-NetRoute suivante de Windows PowerShell pour ajouter un rseau IPv6 sur la connexion
au rseau local 2 la table de routage locale :
New-NetRoute -InterfaceAlias "Connexion au rseau local 2" -DestinationPrefix
2001:db8:0:1::/64 -Publish Yes
3.
Autorisez les clients obtenir l'adresse de rseau IPv6 automatiquement partir de LON-RTR en
utilisant l'applet de commande Set-NetIPInterface suivante pour activer les annonces de routeur
sur la connexion au rseau local 2 :
Set-NetIPInterface -InterfaceAlias "Connexion au rseau local 2" -AddressFamily IPv6
-Advertising Enabled
4.
Utilisez ipconfig pour vrifier que la connexion au rseau local 2 a une adresse IPv6 sur le rseau
2001:db8:0:1::/64. Cette adresse est utilise pour la communication sur le rseau IPv6-uniquement.
Tche 5 : Vrifier IPv6 sur LON-SVR2
Sur LON-SVR2, utilisez ipconfig pour vrifier que la connexion au rseau local a une adresse IPv6
sur le rseau 2001:db8:0:1::/64. L'adresse rseau a t obtenue partir du routeur via la configuration
sans tat.
Rsultats : la fin de cet exercice, les stagiaires auront configur un rseau IPv6-uniquement.
Exercice 2 : Configuration d'un routeur ISATAP

Scnario
Aprs la configuration de l'infrastructure pour un rseau IPv4-uniquement et un rseau IPv6-uniquement,

vous devez configurer LON-RTR en tant que routeur ISATAP pour prendre en charge la communication
entre les nuds IPv4-uniquement et les nuds IPv6-uniquement.
Pour configurer LON-RTR en tant que routeur ISATAP, vous devez activer l'interface IPv4 en tant que
routeur ISATAP. Ensuite, vous configurez un rseau IPv6 sur l'interface ISATAP et activez l'annonce de
la route rseau qui comprend ce rseau. Les clients ISATAP obtiendront le rseau IPv6 automatiquement
partir des annonces.
Pour activer ISATAP automatiquement sur les clients, vous devez crer un enregistrement d'hte ISATAP
dans le DNS. Les clients qui peuvent rsoudre ce nom automatiquement deviennent des clients ISATAP.
Pour autoriser les clients rsoudre ce nom, vous devez supprimer ISATAP de la liste rouge de requtes
globales sur le serveur DNS.

1.
Ajouter un enregistrement d'hte ISATAP au DNS
2.
Activer le routeur ISATAP sur LON-RTR
3.
Supprimer ISATAP de la liste rouge de requtes globales
4.
Activer LON-DC1 en tant que client ISATAP
5.
Tester la connectivit
Tche 1 : Ajouter un enregistrement d'hte ISATAP au DNS

1.
Sur LON-DC1, dans le Gestionnaire de serveur, ouvrez l'outil DNS.
2.
Ajoutez un enregistrement d'hte ISATAP dans le domaine Adatum.com qui est rsolu en
172.16.0.1. Les clients ISATAP rsolvent ce nom d'hte pour rechercher le routeur ISATAP.
Tche 2 : Activer le routeur ISATAP sur LON-RTR

1.
Sur LON-RTR, configurez l'adresse IP de la connexion au rseau local en tant que routeur ISATAP.
Utilisez l'applet de commande Set-NetIsatapConfiguration suivante pour activer ISATAP :
Set-NetIsatapConfiguration -Router 172.16.0.1
2.
Utilisez l'applet de commande Get-NetIPAddress suivante pour identifier l'index d'interface

de l'interface ISATAP avec 172.16.0.1 dans l'adresse de liaison locale.
Get-NetIPAddress | Format-Table InterfaceAlias,InterfaceIndex,IPv6Address
Enregistrez l'index d'interface ici :

3.
La fonctionnalit de transfert est active
La fonctionnalit d'annonce est dsactive
L'interface ISATAP d'un routeur ISATAP doit avoir la fonctionnalit de transfert active et
la fonctionnalit d'annonce dsactive. Utilisez l'applet de commande Set-NetIPInterface
suivante pour activer les annonces de routeur sur l'interface ISATAP :
Set-NetIPInterface -InterfaceIndex IndexYouRecorded -Advertising Enabled
5.
8-29
Utilisez l'applet de commande Get-NetIPInterface pour vrifier les options suivantes sur l'interface
ISATAP :
Get-NetIPInterface -InterfaceIndex IndexYouRecorded -PolicyStore ActiveStore |

Format-List
4.
Crez un nouveau rseau IPv6 qui sera utilis pour le rseau ISATAP. Utilisez l'applet de commande
New-NetRoute suivante pour configurer une route rseau pour l'interface ISATAP :
New-NetRoute -InterfaceIndex IndexYouRecorded -DestinationPrefix 2001:db8:0:2::/64 Publish Yes
6.
Utilisez l'applet de commande Get-NetIPAddress suivante pour vrifier que l'interface ISATAP
a une adresse IPv6 sur le rseau 2001:db8:0:2::/64 :
Get-NetIPAddress -InterfaceIndex IndexYouRecorded
Tche 3 : Supprimer ISATAP de la liste rouge de requtes globales
1.
Sur LON-DC1, ouvrez Regedit et accdez

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters.
2.
Modifiez GlobalQueryBlockList pour supprimer isatap de la liste.
3.
Redmarrer le service DNS.
4.
Excutez la commande Ping sur isatap pour vrifier qu'il peut tre rsolu. Le nom devrait se rsoudre
et vous devriez recevoir quatre rponses de 172.16.0.1.
Tche 4 : Activer LON-DC1 en tant que client ISATAP

1.
Sur LON-DC1, utilisez l'applet de commande Set-NetIsatapConfiguration suivante pour activer

ISATAP :
Set-NetIsatapConfiguration -State Enabled
2.
Utilisez ipconfig pour vrifier que la carte tunnel pour ISATAP a une adresse IPv6 sur le
rseau 2001:db8:0:2/64. Notez que cette adresse comprend l'adresse IPv4 de LON-DC1.
Tche 5 : Tester la connectivit

1.
Sur LON-SVR2, utilisez la commande Ping suivante pour tester la connectivit l'adresse ISATAP
de LON-DC1 :
ping 2001:db8:0:2:0:5efe:172.16.0.10
2.
Utilisez le Gestionnaire de serveur pour modifier les proprits de TCP/IPv6 sur la connexion au
rseau local et ajoutez 2001:db8:0:2:0:5efe:172.16.0.10 en tant que serveur DNS prfr.
3.
Utilisez la commande ping pour tester la connectivit LON-DC1.
Remarque : Une commande ping de LON-DC1 LON-SVR2 ne rpond pas, parce que
la configuration du pare-feu sur LON-SVR2 bloque les demandes ping.
Rsultats : la fin de cet exercice, les stagiaires auront configur un routeur ISATAP sur LON-RTR
pour permettre la communication entre un rseau IPv6-uniquement et un rseau IPv4-uniquement.
comme suit :
1.
2.
sur Rtablir.
3.
4.

Question : Quelle est la diffrence principale entre 6to4 et Teredo ?
Question : Comment pouvez-vous fournir un serveur DNS un hte IPv6 de faon
dynamique ?
Question : Votre organisation envisage d'implmenter IPv6 en interne. Aprs quelques
recherches, vous avez identifi les adresses IPv6 locales uniques comme tant le type
d'adresses IPv6 adquat utiliser pour un rseau priv. Pour utiliser des adresses IPv6
locales uniques, vous devez slectionner un identificateur de 40 bits qui fasse partie du
rseau. Un collgue propose d'utiliser tous les zros pour les 40 bits. Pourquoi cela n'est-il
pas une bonne ide ?
Question : Avec combien d'adresses IPv6 un nud IPv6 devrait-il tre configur ?
Mthode conseille
Utilisez les mthodes conseilles suivantes lorsque vous implmentez IPv6 :
ne dsactivez pas IPv6 sur Windows 8 ou Windows Server 2012 ;
activez la coexistence d'IPv4 et IPv6 dans votre organisation au lieu d'utiliser des technologies
de transition ;
utilisez des adresses IPv6 locales uniques sur votre rseau interne ;
utilisez Teredo pour implmenter la connectivit IPv6 sur le rseau Internet IPv4.
8-31

9-1
Module 9
Implmentation d'un systme de stockage local
Table des matires :
9-1
Leon 1 : Vue d'ensemble du stockage
9-2
Leon 2 : Gestion des disques et des volumes
9-13
Leon 3 : Implmentation d'espaces de stockage
9-25
Atelier pratique : Implmentation d'un systme de stockage local
9-30
9-36
Le stockage est l'un des lments cls que vous devez prendre en compte lors de la planification et du
dploiement d'un systme d'exploitation Windows Server 2012. La plupart des organisations requirent
une grande quantit d'espace de stockage, car les utilisateurs utilisent rgulirement des applications
qui crent des fichiers ncessitant d'tre stocks dans un emplacement central. Lorsque les utilisateurs
conservent leurs fichiers plus longtemps, les besoins en matire de stockage augmentent. Chaque fois
qu'un utilisateur se connecte un serveur, un journal d'audit est cr dans un journal des vnements,
ce qui utilise galement du stockage. Mme les processus de cration, de copie et de dplacement
de fichiers requirent du stockage.
Ce module vous prsente diffrentes technologies de stockage. Il explique comment implmenter
les solutions de stockage dans Windows Server 2012 et comment utiliser les espaces de stockage,
une nouvelle fonctionnalit que vous pouvez utiliser pour regrouper des disques en pools qui sont
ensuite grs automatiquement.
Objectifs
Dcrire les diffrentes technologies de stockage.
Expliquer comment grer les disques et les volumes.
Expliquer comment implmenter des espaces de stockage.
Leon 1
Vue d'ensemble du stockage

Lorsque vous organisez un dploiement de serveur, l'un des lments cls dont vous avez besoin est le
stockage. Vous pouvez utiliser diffrents types de stockage, du stockage en local au stockage accessible
distance par le biais d'Ethernet, ou mme du stockage connect l'aide de la fibre optique. Il est
important que vous connaissiez les avantages et les inconvnients de chaque solution.
9-2
Lors de la prparation du dploiement du stockage pour votre environnement, vous devrez prendre
quelques dcisions importantes. Cette leon aborde des questions que vous tes susceptible d'examiner,
notamment les suivantes :
Le stockage doit-il tre rapide ?
Le stockage doit-il tre hautement disponible ?
Quelle capacit de stockage votre dploiement requiert-il rellement ?
Combien de rsilience devez-vous ajouter au stockage initial requis pour garantir la fiabilit de votre
investissement dans le temps ?
Dcrire les types et les performances de disque.
Dcrire le stockage connexion directe.
Dcrire le stockage rseau (NAS, Network-Attached Storage).
Dcrire un rseau de zone de stockage (SAN, Storage Area Network).
Dcrire un systme RAID (Redundant Array of Independent Disks).
Dcrire les niveaux de RAID.
Types et performances de disque

Il existe diffrents types de disque que vous
pouvez utiliser pour fournir un espace de stockage
aux systmes serveur et client. La vitesse des
disques est mesure en entres/sorties par
seconde. Les types de disque les plus courants
sont les suivants :
Disques IDE (Integrated Drive Electronics)

amliors. Les disques IDE amliors sont
bass sur des normes cres en 1986.
L'interface IDE (Integrated Drive Electronics)
prend en charge les normes ATA-2 et ATAPI.
L'amlioration fait rfrence la norme
ATA-2 (ATA rapide). En raison des normes d'adressage de cette technologie, la capacit des systmes
de stockage utilisant l'IDE amlior est limite 128 gigaoctets (Go). En outre, la vitesse des disques
IDE amliors ne peut pas dpasser 133 mgaoctets (Mo) par seconde. l'heure actuelle, les lecteurs
IDE amliors ne sont presque jamais utiliss sur des serveurs.
9-3
Disques SATA (Serial Advanced Technology Attachment). SATA est une interface de bus d'ordinateur,
ou un canal, permettant de connecter les cartes de carte mre ou de priphrique des
priphriques de stockage de masse tels que des lecteurs de disque dur et des lecteurs de disque
optique. La norme SATA a t conue pour remplacer la norme IDE amlior. Elle peut utiliser les
mmes commandes de bas niveau, mais les cartes et les priphriques htes SATA communiquent
par l'intermdiaire d'un cble srie ultra-rapide comportant deux paires de conducteurs. La norme
SATA a t introduite en 2003. Elle peut fonctionner des vitesses de 1,5, 3 et 6 Go par seconde,
selon la rvision de la norme (SATA 1, 2 ou 3 respectivement). Les lecteurs SATA sont moins chers
que d'autres options de lecteurs, mais ils sont galement moins performants. Les organisations
peuvent choisir de dployer des lecteurs SATA lorsqu'elles ont besoin de grandes capacits de
stockage mais pas de performances leves. Les disques SATA sont gnralement des disques
peu coteux qui permettent un stockage de masse. Toutefois, leur fiabilit est galement
moindre que celle des disques SAS (Serial Attached SCSI).
eSATA est une variation de l'interface SATA, conue pour permettre un accs rapide aux lecteurs
SATA externes.
SCSI (Small Computer System Interface). SCSI est un ensemble de normes permettant de connecter et
de transfrer physiquement des donnes entre des ordinateurs et des priphriques. La norme SCSI a
t introduite pour la premire fois en 1978. Il s'agissait d'une interface de communication de niveau
infrieur ncessitant moins de puissance de traitement tout en permettant d'excuter des transactions
des vitesses plus leves. SCSI est devenu une norme en 1986. Similaire EIDE, SCSI a t conu
pour s'excuter sur des cbles parallles, mais son utilisation a rcemment t tendue de manire
pouvoir s'excuter sur d'autres supports. La spcification SCSI parallle de 1986 avait une vitesse
de transfert initiale de 5 Mo par seconde. L'implmentation SCSI de 2003, la norme Ultra 640,
galement appele Ultra 5, peut transfrer des donnes la vitesse de 640 Mo par seconde.
Les disques SCSI offrent des performances plus leves que celles des disques SATA, mais ils
sont galement plus chers.
SAS. SAS est une autre implmentation de la norme SCSI. SAS dpend d'un protocole srie point par
point qui remplace la technologie des bus SCSI parallles et utilise l'ensemble des commandes de la
norme SCSI. SAS offre une compatibilit descendante avec les lecteurs SATA de seconde gnration.
Les lecteurs SAS sont fiables et conus pour fonctionner 24 heures sur 24, 7 jours sur 7 (24/7) dans
des centres de donnes. Avec jusqu' 15 000 tours/minute, ces disques sont galement les disques
durs classiques les plus rapides.
Disques SSD (Solid State Drives). Les disques SSD sont des dispositifs de stockage de donnes
qui utilisent une mmoire semi-conducteurs pour enregistrer les donnes plutt que d'utiliser
les disques rotation et les ttes de lecture-criture mobiles utiliss dans d'autres disques. Les
disques SSD utilisent des microprocesseurs pour stocker les donnes et ils ne contiennent aucune
pice mobile. Ils permettent un accs disque rapide, consomment moins d'nergie et sont moins
susceptibles d'avoir des dfaillances s'ils tombent que les disques durs traditionnels (tels que les
lecteurs SAS), mais ils sont galement beaucoup plus coteux par Go de stockage. Les disques SSD
utilisent gnralement une interface SATA, ce qui permet habituellement de remplacer des lecteurs
de disque dur par des disques SSD sans aucune modification.
Remarque : Les disques Fibre Channel, Firewire ou USB sont galement des options de
stockage possibles. Ils dfinissent le bus de transport ou le type de disque. Par exemple, les
disques USB utilisent principalement des lecteurs SATA ou SSD pour enregistrer les donnes.
Qu'est-ce que le stockage DAS ?
9-4
Presque tous les serveurs comportent un systme

de stockage intgr. Ce type de stockage est
appel stockage connexion directe (DAS, Direct
Attached Storage). Les systmes de stockage DAS
peuvent comprendre des disques qui se trouvent
physiquement l'intrieur du serveur ou qui se
connectent directement un tableau externe,
ou encore des disques qui se connectent au
serveur l'aide d'un cble USB ou d'une autre
mthodologie de communication. Le stockage
DAS est principalement connect physiquement
au serveur. Pour cette raison, si le serveur subit
une panne d'alimentation, le stockage n'est pas disponible. Les stockage DAS se prsentent sous diffrents
types de disque tels que les disques SATA, SAS ou SSD, qui affectent la vitesse et les performances
du stockage, et prsente la fois des avantages et des inconvnients.
Avantages de l'utilisation d'un stockage DAS
Un systme DAS type se compose d'un dispositif de stockage de donnes comprenant plusieurs lecteurs
de disque dur qui se connectent directement un ordinateur par le biais d'un adaptateur de bus hte
(HBA, Host Bus Adapter). Entre le systme DAS et l'ordinateur, il n'y a aucun priphrique rseau tel
qu'un concentrateur, un commutateur ou un routeur. la place, le stockage est connect directement
au serveur qui l'utilise, faisant de DAS le systme de stockage le plus facile dployer et grer.
De plus, l'heure actuelle, le systme DAS constitue gnralement le stockage le moins coteux et il
est largement disponible en diffrentes vitesses et tailles de manire s'adapter diverses installations.
Outre son cot peu lev, il est trs facile configurer. Dans la plupart des instances, il suffit de brancher
le priphrique, de vrifier que le systme d'exploitation Windows en cours d'excution l'identifie,
puis d'utiliser Gestion des disques pour configurer les disques.
Inconvnients de l'utilisation d'un stockage DAS

L'enregistrement des donnes en local sur un systme DAS rend la centralisation des donnes plus
difficile, car celles-ci se trouvent sur plusieurs serveurs. Cela peut rendre plus complexe la sauvegarde
des donnes et, pour les utilisateurs, la localisation des donnes qu'ils recherchent. En outre, si l'un
des priphriques auxquels le systme DAS est connect subit une panne de courant, le stockage
sur cet ordinateur n'est plus disponible.
Le systme DAS prsente galement des inconvnients en matire de mthodologies d'accs.
En raison de la faon dont le systme d'exploitation du serveur gre les accs en lecture et en criture,
le systme DAS peut tre plus lent que d'autres technologies de stockage. Un autre inconvnient rside
dans le fait que le systme DAS partage la puissance de traitement et la mmoire du serveur auquel il
est connect. Ceci signifie que sur les serveurs trs occups, l'accs disque peut tre plus lent lorsque
le systme d'exploitation est surcharg.
Qu'est-ce que le stockage NAS ?

Un stockage NAS (Network Attached Storage)
est un stockage connect un priphrique de
stockage ddi et accessible par le biais du rseau.
Un stockage NAS diffre d'un stockage DAS dans
la mesure o le stockage n'est pas directement
connect chaque serveur individuel mais qu'il
est accessible de nombreux serveurs par le
biais du rseau. Le systme NAS comporte deux
solutions distinctes : un dispositif bas de gamme
(NAS uniquement) et un systme NAS d'entreprise
qui s'intgre SAN.
9-5
Chaque priphrique NAS dispose d'un systme

d'exploitation ddi qui contrle uniquement l'accs aux donnes sur ce priphrique, ce qui rduit la
charge systme associe au partage du priphrique de stockage avec d'autres services de serveur. Un
exemple de logiciel de NAS est Windows Storage Server, une fonctionnalit de Windows Server 2012.
Pour activer le stockage NAS, vous avez besoin d'un priphrique de stockage. Ces priphriques sont
souvent des appareils qui ne disposent d'aucune interface de serveur telle qu'un clavier, une souris et
un cran. Pour configurer le priphrique, vous indiquez une configuration rseau, puis vous accdez
au priphrique via le rseau. Vous pouvez ensuite crer des partages rseau sur le priphrique l'aide
du nom du NAS et du partage crs. Ces partages sont alors accessibles aux utilisateurs sur le rseau.
Aujourd'hui, la plupart des solutions SAN comportent la fois un systme SAN et un systme NAS.
Les units principales, les disques et les technologies sont identiques. La seule diffrence rside dans
la mthode d'accs. Les entreprises permettent souvent aux serveurs d'accder au stockage des rseaux
SAN l'aide de FCOE (Fibre Channel over Ethernet) ou d'iSCSI (Internet Small Computer System Interface),
tandis que les services NAS sont rendus accessibles par l'intermdiaire du protocole CIFS et du systme
NFS ; les lecteurs de disques (agrgats), les mthodes d'criture, la surcharge systme et la fiabilit
sont identiques.
Avantages de l'utilisation d'un stockage NAS
Le stockage NAS est le choix idal pour les organisations qui recherchent une manire simple et
rentable de permettre plusieurs clients d'accder rapidement des donnes au niveau des fichiers.
Les utilisateurs du stockage NAS obtiennent des gains en matire de performance et de productivit,
car la puissance de traitement du priphrique NAS est uniquement ddie la distribution des fichiers.
Les systmes de stockage NAS, en tant que solutions de moyenne de gamme, sont galement bien
positionns sur le march. Il ne sont pas coteux et rpondent davantage de besoins que les systmes
de stockage DAS de diffrentes faons :
Le stockage NAS est habituellement beaucoup plus important que le stockage DAS.
Le stockage NAS fournit un emplacement unique pour tous les fichiers critiques, contrairement
au stockage DAS qui les disperse sur diffrents serveurs ou priphriques.
Le stockage NAS permet un stockage centralis un prix abordable.
Les units de stockage NAS sont accessibles de n'importe quel systme d'exploitation. Elles
prennent souvent en charge plusieurs protocoles et peuvent servir des donnes par l'intermdiaire
du protocole CIFS et de NFS simultanment. Par exemple, des htes Windows et Linux peuvent
accder simultanment une unit de stockage NAS.
Le stockage NAS peut galement tre considr comme une solution prte l'emploi, facile installer,
dployer et grer, avec ou sans personnel informatique sur site.
Inconvnients de l'utilisation d'un stockage NAS

Le stockage NAS est plus lent que les technologies SAN. Le stockage NAS est frquemment accessible
par le biais de protocoles Ethernet. Pour cette raison, il repose principalement sur le rseau prenant
en charge la solution NAS. Il est donc gnralement utilis comme solution de partage/stockage
de fichiers et ne doit pas tre utilis avec des applications ncessitant de nombreuses donnes
telles que Microsoft Exchange Server et Microsoft SQL Server.
Le stockage NAS est abordable pour les petites et moyennes entreprises et, semblable au stockage
DAS, offre les traitements d'un systme d'exploitation qui lit et crit des donnes diffremment
d'une solution SAN. En tant que tels, les systmes de stockage NAS sont plus frquemment
sujets d'ventuelles pertes de donnes, en fonction de la taille des donnes copier.
Documentation supplmentaire : Pour plus d'informations sur
Windows Storage Server 2012, voir http://go.microsoft.com/fwlink/?LinkID=199647.
Qu'est-ce qu'un rseau SAN ?

Les rseaux SAN constituent le troisime type
de<stockage. Un rseau SAN est un rseau
haut dbit qui connecte des systmes
informatiques ou des serveurs htes des
sous-systmes de stockage hautes performances.
Un rseau SAN comprend habituellement divers
composants tels que des adaptateurs de bus hte,
des commutateurs spciaux pour aider router
le trafic, et des baies de disque de stockage avec
des numros d'unit logique pour le stockage.
9-6
Un rseau SAN permet plusieurs serveurs

d'accder un pool du stockage dans lequel
n'importe quel serveur peut potentiellement accder n'importe quelle unit de stockage. Un rseau
SAN utilise un rseau comme n'importe quel autre rseau, tel qu'un rseau local (LAN). Vous pouvez
donc utiliser un rseau SAN pour connecter de nombreux priphriques et htes diffrents et permettre
d'accder n'importe quel priphrique de n'importe o.
la diffrence des systmes DAS ou NAS, un rseau SAN est contrl par un priphrique matriel,
offre l'accs le plus rapide au stockage, et fournit des mthodes permettant de rduire la charge
systme ( l'aide de disques bruts, par exemple).
Avantages de l'utilisation d'un stockage SAN
9-7
Les technologies SAN lisent et crivent au niveau des blocs, ce qui rend l'accs aux donnes beaucoup
plus rapide. Par exemple, avec la plupart des solutions DAS et NAS, si vous crivez un fichier de 8 Go, la
totalit du fichier doit tre lue/crite et sa somme de contrle calcul. Avec une solution SAN, le fichier
est crit sur le disque en fonction de la longueur de bloc pour laquelle la solution est configure. Cette
vitesse est obtenue grce des mthodologies d'accs par fibre et de l'criture au niveau du bloc,
au lieu de devoir lire/crire un fichier entier l'aide d'une somme de contrle.
Les rseaux SAN permettent galement de bnficier des avantages suivants :
Centralisation du stockage dans un pool unique, qui permet des ressources de stockage et des
ressources de serveur de se dvelopper de manire indpendante. Ils permettent galement au
stockage d'tre affect dynamiquement partir du pool lorsque cela est ncessaire. Le stockage
sur un serveur donn peut tre augment ou rduit autant que ncessaire sans reconfiguration
complexe ou recblage de priphriques.
Infrastructure courante pour connecter le stockage, laquelle active un modle de gestion courant
unique pour la configuration et le dploiement.
Dispositifs de stockage partags de manire inhrente par plusieurs systmes.
Transfert de donnes directement de priphrique priphrique sans intervention de serveur.
d'un haut niveau de redondance. La plupart des solutions SAN sont dployes avec plusieurs
priphriques et chemins d'accs rseau via le rseau. Le dispositif de stockage contient
galement des composants redondants tels que des sources d'alimentation et des disques durs.
Inconvnients de l'utilisation d'un stockage SAN
L'inconvnient majeur de la technologie SAN rside dans la complexit de la configuration, les rseaux
SAN ncessitant souvent des outils de gestion et un bon niveau d'expertise. En outre, cette solution est
considrablement plus coteuse que les solutions DAS ou NAS ; une solution SAN d'entre de gamme
peut souvent coter aussi cher qu'un serveur entirement charg avec un priphrique DAS ou NAS,
et cela sans aucune configuration ou aucun disque SAN.
Pour grer un rseau SAN, vous utilisez souvent des outils de ligne de commande. Vous devez avoir une
solide comprhension de la technologie sous-jacente, y compris de la configuration du numro d'unit
logique, du rseau Fibre Channel, du dimensionnement des blocs et d'autres facteurs. En outre, chaque
fournisseur de stockage implmente souvent les solutions SAN en utilisant des fonctionnalits et des
outils diffrents. Pour cette raison, les organisations disposent frquemment d'un personnel entirement
ddi la gestion du dploiement SAN.
Remarque : Vous pouvez implmenter un rseau SAN l'aide de nombreuses
technologies. Les options les plus courantes sont Fibre Channel et iSCSI.
Qu'est-ce que RAID ?

RAID est une technologie que vous pouvez
utiliser pour configurer des systmes de
stockage prsentant une grande fiabilit et
(potentiellement) des performances leves.
RAID implmente des systmes de stockage
en combinant plusieurs disques en une seule
unit logique appele contrleur RAID. Selon la
configuration, un contrleur RAID peut rsister
la dfaillance d'un ou plusieurs des disques durs
physiques, ou offrir des performances plus leves
qu'avec un seul disque.
9-8
La technologie RAID offre un composant

important, la redondance, que vous pouvez utiliser lors de la planification et du dploiement de serveurs
Windows Server 2012. Dans la plupart des organisations, il est important que les serveurs soient
disponibles en permanence. La plupart des serveurs fournissent des composants trs redondants tels que
des sources d'alimentation redondantes et des cartes rseau redondantes. L'objectif de cette redondance
est de s'assurer que le serveur reste disponible mme lorsqu'un seul composant sur le serveur choue. En
implmentant la technologie RAID, vous pouvez fournir le mme niveau de redondance pour le systme
de stockage.
Fonctionnement de RAID
La technologie RAID active la tolrance de pannes en utilisant des disques supplmentaires afin de
garantir que le sous-systme de disque peut continuer fonctionner mme si un ou plusieurs disques
du sous-systme tombent en panne. RAID utilise deux options pour activer la tolrance de pannes :
Mise en miroir des disques. Grce cette option, toutes les informations qui sont crites sur un disque
le sont galement sur un autre disque. En cas de dfaillance de l'un des disques, l'autre disque reste
disponible.
Informations de parit. Les informations de parit sont utilises en cas de dfaillance de disque pour
calculer les informations qui ont t stockes sur un disque. Si vous utilisez cette option, le serveur
ou le contrleur RAID calcule les informations de parit pour chaque bloc de donnes crit sur
les disques, puis stocke ces informations sur un autre disque ou sur plusieurs disques. En cas de
dfaillance de l'un des disques du contrleur RAID, le serveur peut utiliser les donnes encore
disponibles sur les disques qui fonctionnent avec les informations de parit pour recrer les
donnes stockes sur le disque dfectueux.
9-9
Les sous-systmes RAID peuvent galement offrir de meilleures performances que les disques uniques
en rpartissant les lectures et critures de disque entre plusieurs disques. Par exemple, lors de
l'implmentation de l'agrgation de disques, le serveur peut lire les informations de tous les disques
durs dans l'agrgat par bandes. Combin avec plusieurs contrleurs de disque, cette technologie
peut apporter d'importantes amliorations en termes de performance du disque.
Remarque : Bien que RAID offre un niveau de tolrance suprieur pour les dfaillances
de disque, ne l'utilisez pas pour remplacer les sauvegardes classiques. Si un serveur subit une
surtension ou une dfaillance majeure et que tous les disques tombent en panne, vous devrez
toujours compter sur les sauvegardes standards.
RAID matriel et RAID logiciel

Pour implmenter un volume RAID matriel, vous installez un contrleur RAID sur le serveur, puis
procdez la configuration RAID l'aide de l'outil de configuration du contrleur RAID. Avec cette
implmentation, la configuration RAID est masque du systme d'exploitation, mais les baies RAID
sont exposes au systme d'exploitation en tant que disques uniques. La seule configuration
effectuer dans le systme d'exploitation est de crer des volumes sur les disques.
L'implmentation d'un volume RAID logiciel s'effectue en exposant tous les disques qui sont disponibles
sur le serveur au systme d'exploitation, puis en procdant la configuration RAID dans le systme
d'exploitation. Windows Server 2012 prend en charge l'utilisation d'un volume RAID logiciel et vous
pouvez utiliser l'outil de gestion des disques pour configurer plusieurs niveaux de RAID diffrents.
Lorsque vous choisissez d'implmenter un volume RAID matriel ou logiciel, tenez compte des lments
suivants :
Un volume RAID matriel requiert des contrleurs de disque compatibles RAID. La plupart des
contrleurs de disque fournis avec de nouveaux serveurs disposent de cette fonctionnalit.
Pour configurer un volume RAID matriel, vous devez accder au programme de gestion de
contrleur de disque. Normalement, vous pouvez y accder lors du processus de dmarrage du
serveur ou l'aide d'une page Web excutant un logiciel de gestion.
L'implmentation de la mise en miroir des disques pour le disque contenant le systme et le volume
de dmarrage avec le volume RAID logiciel peut ncessiter une configuration supplmentaire si un
disque est dfaillant. Dans la mesure o la configuration RAID est gre par le systme d'exploitation,
vous devez configurer l'un des disques mis en miroir comme disque de dmarrage. Si ce disque est
dfaillant, il se peut que vous deviez modifier la configuration de dmarrage du serveur pour
dmarre ce dernier. Ce n'est pas un problme avec un volume RAID matriel, car le contrleur de
disque accde au disque disponible et l'expose au systme d'exploitation.
Sur les serveurs plus anciens, il est possible que vous obteniez de meilleures performances avec un
volume RAID logiciel lorsque vous utilisez la parit, car le processeur de serveur peut calculer la parit
plus rapidement que le contrleur de disque. Ce n'est plus un problme avec les serveurs plus rcents,
lesquels vous permettent d'obtenir de meilleures performances tant donn que vous pouvez
dcharger les calculs de parit sur le contrleur de disque.
Niveaux RAID
Lorsque vous implmentez la technologie RAID,
vous devez dcider du niveau mettre en uvre.
Le tableau ci-dessous prsente les fonctionnalits
pour chaque niveau RAID.
Niveau
Description
Performances
Espace utilis
Redondance
Commentaires
9-10 Implmentation d'un systme de stockage local
RAID 0
Agrgat par
bandes sans parit
ou mise en miroir
Les donnes
sont crites
squentiellement
sur chaque disque
Performances
leves en
lecture/criture
La totalit de
l'espace des
disques est
disponible
La dfaillance
d'un seul disque
entrane la
perte de toutes
les donnes
utiliser seulement
dans les situations
o vous avez besoin
de performances
leves et pouvez
tolrer la perte
de donnes
RAID 1
Agrgat mis en
miroir sans parit
ou agrgation
par bandes
Les donnes sont
crites sur les
deux disques
simultanment
Bonnes
performances
Peut seulement
utiliser la
quantit
d'espace qui
est disponible
sur le plus petit
disque
Peut tolrer la
dfaillance d'un
seul disque
Frquemment
utilis pour les
volumes systme
et de dmarrage
dots de RAID
matriel
RAID 2
Les donnes sont

crites en bits sur
chaque disque
avec la parit
crite sur un
ou plusieurs
disques distincts
Performances
extrmement
leves
Utilise un
ou plusieurs
disques pour
la parit
Peut tolrer la
dfaillance d'un
seul disque
Requiert que tous

les disques soient
synchroniss
Non utilis
actuellement
RAID 3
Les donnes sont

crites en octets
sur chaque disque
avec la parit
crite sur un
ou plusieurs
disques distincts
Performances trs
leves
Utilise un
disque pour
la parit
Peut tolrer la
dfaillance d'un
seul disque
Requiert que tous

les disques soient
synchroniss
Rarement utilis
(suite)
Niveau
Description
Performances
Espace utilis
Redondance
9-11
Commentaires
RAID 4
Les donnes sont

crites en blocs sur
chaque disque
avec la parit
crite sur un
disque ddi
Bonnes
performances en
termes de lecture,
performances
mdiocres en
termes d'criture
Utilise un
disque pour
la parit
Peut tolrer
la dfaillance
d'un seul disque
Rarement utilis
RAID 5
Agrgat par
bandes avec parit
distribue
Les donnes sont
crites en blocs
sur chaque disque
avec la parit
rpartie entre
tous les disques
Bonnes
performances en
termes de lecture,
performances
mdiocres en
termes d'criture
Utilise
l'quivalent
d'un disque
pour la parit
Peut tolrer
la dfaillance
d'un seul disque
Gnralement
utilis pour le
stockage des
donnes lorsque
les performances
ne sont pas
critiques, mais
que l'optimisation
de l'utilisation
du disque est
importante
RAID 6
Agrgat par
bandes avec
double parit
distribue
Les donnes sont
crites en blocs
sur chaque disque
avec la double
parit crite sur
tous les disques
Bonnes
performances en
termes de lecture,
performances
mdiocres en
termes d'criture
Utilise
l'quivalent de
deux disques
pour la parit
Peut tolrer les

dfaillances de
deux disques
Gnralement
utilis pour le
stockage des
donnes lorsque
les performances
ne sont pas
critiques, mais
que l'optimisation
de l'utilisation
du disque et la
disponibilit sont
importantes
RAID0+1
Agrgats par
bandes dans un
agrgat mis en
miroir
Un ensemble de
lecteurs est agrg
par bandes, puis
l'agrgation par
bandes est mise
en miroir
Excellentes
performances
en lecture
et criture
Seule la moiti
de l'espace
disque est
disponible en
raison de la
mise en miroir
Peut tolrer
la dfaillance
d'au moins
deux disques si
tous les disques
dfectueux se
trouvent dans le
mme agrgat
par bandes
Utilis peu
frquemment
(suite)
Niveau
Description
Performances
Espace utilis
Redondance
Commentaires
RAID
1+0
(ou 10)
Agrgat mis en
miroir dans un
agrgat par
bandes
Plusieurs lecteurs
sont mis en miroir
dans un deuxime
ensemble de
lecteurs, puis un
lecteur de chaque
miroir est agrg
par bandes
Excellentes
performances
en lecture
et criture
Seule la moiti
de l'espace
disque est
disponible
en raison de la
mise en miroir
Peut tolrer
la dfaillance
d'au moins
deux disques s'il
ne s'agit pas de
deux disques
d'un mme
miroir
Frquemment
utilis dans les
scnarios o les
performances et
la redondance
sont critiques, et le
cot des disques
supplmentaires
requis acceptable
RAID
5+0
(ou 50)
Agrgat par
bandes avec parit
distribue dans
un agrgat par
bandes
Les lecteurs sont
agrgs par
bandes avec
RAID 5, puis
agrgs par
bandes sans
parit
Bonnes
performances
en termes
de lecture
et meilleures
performances
en termes
d'criture
que RAID 5
L'quivalent
d'au moins
deux disques
est utilis pour
la parit
Fournit une
meilleure
tolrance de
pannes qu'un
seul niveau
RAID
Ce niveau est
recommand pour
les applications
qui requirent
des performances
leves en termes
de tolrance
de pannes, de
capacit et de
positionnement
alatoire
Ncessite au moins
six lecteurs
Remarque : Les niveaux RAID les plus courants sont RAID 1 (galement appel mise
en miroir), RAID 5 (galement appel agrgat par bandes avec parit distribue) et RAID 1+0
(galement appel agrgat en miroir dans un agrgat par bandes).
Question : Tous les disques doivent-ils tre configurs avec la mme quantit de tolrance
de pannes ?
Leon 2
Gestion des disques et des volumes
9-13
Le choix de la technologie de stockage que vous souhaitez dployer est la premire tape critique
effectuer pour vous assurer que votre environnement rpond aux impratifs de stockage des donnes.
Toutefois, il s'agit seulement de la premire tape. Vous devez galement en effectuer d'autres dans
le cadre de la prparation aux spcifications de stockage des donnes.
Par exemple, une fois que vous avez identifi la meilleure solution de stockage, ou que vous avez choisi
une combinaison de solutions de stockage, vous devez trouver le meilleur moyen de grer ce stockage.
Posez-vous les questions suivantes :
Quels disques allouerez-vous un pool de stockage ?
Le type de systme de fichiers sera-t-il le mme pour tous les disques ?
Ce cours aborde ces questions ainsi que d'autres questions semblables, notamment pourquoi
il est important de grer les disques et quels outils vous avez besoin pour les grer.
Expliquer comment slectionner un format de table de partition.
Dcrire la diffrence entre un disque de base et un disque dynamique
Expliquer comment slectionner un systme de fichiers.
Dcrire un systme de fichiers rsilient.
Dcrire des points de montage et des liens.
Expliquer comment crer des points de montage et des liens.
Dcrire les processus d'extension et de rduction de volumes.
Slection d'un format de table de partition

Un format de table de partition, ou style
de partition, fait rfrence la mthode
qu'un systme d'exploitation tel que
Windows Server 2012 utilise pour organiser
les partitions ou les volumes sur un disque.
Pour les systmes d'exploitation Windows,
vous avez le choix entre un enregistrement de
dmarrage principal (MBR, Master Boot Record)
ou une table de partition GUID (GPT, GUID
Partition Table).
MBR
Le format de table de partition MBR est le mode de partitionnement standard utilis sur les disques
durs depuis l'apparition des premiers ordinateurs personnels dans les annes 1980. Le format de table
de partition MBR prsente les caractristiques suivantes :
Une partition prend en charge un maximum de quatre partitions principales par lecteur.
Une partition peut avoir un maximum de 2 traoctets (To) (2,19 octets x 10^12 octets).
Si vous initialisez un disque de plus de 2 To l'aide du mode MBR, le disque stockera un volume
maximal de 2 To et le reste du stockage ne sera pas utilis. Vous devez convertir le disque au
mode GPT si vous souhaitez utiliser l'intgralit de l'espace disponible.
Remarque : Utilisez le format de table de partition MBR pour les lecteurs de disques dont
la taille ne dpasse jamais 2 To. Vous bnficierez ainsi d'un peu plus d'espace, car le mode GPT
requiert plus d'espace disque que le mode MBR. Cependant, Microsoft recommande de toujours
utiliser le mode GPT dans la mesure du possible.
GPT
Le mode GPT a t introduit avec Windows Server 2003 et l'dition 64 bits de Windows XP afin de
contourner les limitations de MBR et de rpondre aux besoins des disques de plus grande capacit.
Il prsente les caractristiques suivantes :
GPT est le successeur du format de table de partition MBR.
Le mode GPT prend en charge un maximum de 128 partitions par lecteur.
Une partition peut contenir jusqu' 8 zettaoctets (Zo).
Un disque dur peut contenir jusqu' 18 exaoctets (Eo), avec 512 kilo-octets (Ko) d'adressage de blocs
logiques (LBA, Logical Block Addressing).
Pour dmarrer partir d'une table de partition GPT, votre BIOS doit prendre en charge le mode GPT.
Remarque : Si votre disque dur fait plus de 2 To, vous devez utiliser le format de table
de partition GPT.
Documentation supplmentaire : Pour consulter la Foire aux questions sur l'architecture
du disque de table de partition GUID, voir http://go.microsoft.com/fwlink/?LinkID=266748.
Slection d'un type de disque

Lorsque vous slectionnez un type de disque
pour une utilisation dans Windows Server 2012,
vous avez le choix entre des disques de base
et des disques dynamiques.
Disque de base
Le stockage de base utilise des tables de partition
normales utilises par toutes les versions du
systme d'exploitation Windows. Un disque
initialis pour le stockage de base est appel
disque de base. Un disque de base contient
des partitions de base, telles que des partitions
principales et des partitions tendues. Vous
pouvez subdiviser des partitions tendues en lecteurs logiques.
9-15
Par dfaut, lorsque vous initialisez un disque dans le systme d'exploitation Windows, ce disque est
configur en tant que disque de base. Vous pouvez facilement convertir des disques de base en disques
dynamiques sans aucune perte de donnes. En revanche, si vous convertissez un disque dynamique en
disque de base, toutes les donnes sur le disque seront perdues.
La conversion de disques de base en disques dynamiques ne procure aucun gain de performances, et

certaines applications ne peuvent pas traiter les donnes qui sont stockes sur des disques dynamiques.
C'est pourquoi la plupart des administrateurs ne convertissent pas les disques de base en disques
dynamiques sauf s'ils doivent utiliser certaines des options de configuration de volume supplmentaires,
disponibles avec les disques dynamiques.
Disque dynamique
Le stockage dynamique a t introduit dans le systme d'exploitation Microsoft Windows 2000 Server.
Un disque initialis pour le stockage dynamique est appel disque dynamique. Un disque dynamique
contient des volumes dynamiques. Avec le stockage dynamique, vous pouvez grer les disques et les
volumes sans devoir redmarrer les ordinateurs excutant des systmes d'exploitation Windows.
Lorsque vous configurez des disques dynamiques, vous crez des volumes au lieu de partitions. Un
volume est une unit de stockage constitue partir d'espace disponible sur un ou plusieurs disques.
Vous pouvez formater ce volume avec un systme de fichiers et vous pouvez lui attribuer une lettre
de lecteur ou le configurer avec un point de montage.
Liste des volumes dynamiques disponibles :
Volumes simples. Un volume simple utilise l'espace disponible d'un seul disque. Cet espace peut tre
une seule rgion d'un disque ou tre constitu de plusieurs rgions concatnes. Un volume simple
peut tre tendu sur le mme disque ou sur des disques supplmentaires. Si un volume simple est
tendu sur plusieurs disques, il devient un volume fractionn.
Volumes fractionns. Un volume fractionn est cr partir de l'espace disque disponible provenant
de plusieurs disques. Vous pouvez tendre un volume fractionn sur un nombre maximal de
32 disques. Un volume fractionn ne peut pas tre mis en miroir et ne tolre pas les pannes ;
par consquent, si vous perdez un disque, vous perdez l'intgralit du volume fractionn.
Volumes agrgs par bandes. Un volume agrg par bandes est un volume dont les donnes sont
rparties sur au moins deux disques physiques. Les donnes prsentes sur ce type de volume sont
alloues successivement et uniformment chacun des disques physiques. Un volume agrg par
bandes ne peut pas tre mis en miroir ou tendu et il n'est pas tolrant aux pannes. Cela signifie
que la perte d'un disque provoque la perte immdiate de toutes les donnes. L'agrgation par
bandes est galement appele RAID-0.
Volumes en miroir. Un volume en miroir est un volume tolrance de pannes qui duplique les
donnes sur deux disques physiques. Toute les donnes prsentes sur un volume sont copies sur
un autre disque afin d'implmenter une redondance de donnes. Si l'un des disques est dfaillant,
les donnes sont encore accessibles partir du disque restant. Un volume en miroir ne peut pas
tre tendu. La mise en miroir est galement appele RAID-1.
Volumes RAID-5. Un volume RAID-5 est un volume tolrance de pannes dont les donnes sont
agrges par bandes sur au moins trois disques. La parit est galement agrge par bandes sur
la baie de disques. Si un disque physique est dfaillant, la partie du volume RAID-5 qui se trouvait
sur ce disque dfaillant peut tre recre partir des donnes restantes et de la parit. Un volume
RAID-5 ne peut pas tre mis en miroir ou tendu.
Volumes de disque requis
Quel que soit le type de disque que vous utilisez, vous devez configurer un volume systme et un volume
de dmarrage sur un des disques durs du serveur :
Volumes systme. Le volume systme contient les fichiers propres au matriel qui sont ncessaires
pour charger le systme d'exploitation Windows (par exemple, Bootmgr et BOOTSECT.bak).
Le volume systme peut tre le mme volume que le volume de dmarrage. Ce n'est toutefois
pas obligatoire.
Volumes de dmarrage. Le volume de dmarrage contient les fichiers du systme d'exploitation

Windows qui sont situs dans les dossiers %Systemroot% et %Systemroot%\System32. Le volume
de dmarrage peut tre le mme volume que le volume systme. Ce n'est toutefois pas obligatoire.
Remarque : Lorsque vous installez le systme d'exploitation Windows 8 ou

Windows Server 2012 dans une nouvelle installation, un volume systme distinct est cr
pour autoriser le chiffrement du volume de dmarrage l'aide du chiffrement de lecteur
Windows BitLocker.
Documentation supplmentaire :
Pour plus d'informations sur le fonctionnement des disques et volumes de base,

voir http://go.microsoft.com/fwlink/?LinkID=199648.
Pour plus d'informations sur le fonctionnement des disques et volumes dynamiques,

Choix d'un systme de fichiers

Lorsque vous configurez vos disques dans
Windows Server 2012, vous pouvez choisir entre
la table d'allocation des fichiers (FAT), le systme
de fichiers NTFS, et les systmes de fichiers ReFS.
FAT
Le systme de fichiers FAT est le plus simple
des systmes de fichiers pris en charge par les
systmes d'exploitation Windows. Le systme
de fichiers FAT est caractris par une table qui
rside dans la partie suprieure du volume. Afin
de protger le volume, deux copies du systme de
fichiers FAT sont conserves au cas o l'une d'elles
serait endommage. En outre, les tables d'allocation des fichiers et le rpertoire racine doivent tre
stockes dans un emplacement fixe afin que les fichiers de dmarrage du systme puissent tre
correctement localiss.
9-17
Un disque format avec le systme de fichiers FAT est allou en clusters, dont la taille est dtermine
par la taille du volume. Lorsqu'un fichier est cr, une entre est galement cre dans le rpertoire et
le numro du premier cluster contenant des donnes est tabli. Cette entre dans la table indique qu'il
s'agit du dernier cluster du fichier, ou qu'elle pointe vers le cluster suivant. Aucune organisation ne rgit
la structure de rpertoires FAT, et les fichiers se voient octroyer le premier emplacement ouvert sur
le lecteur.
En raison de la limitation de taille avec la table d'allocation des fichiers, la version originale de FAT pouvait
uniquement accder aux partitions dont la taille tait infrieure 2 Go. Pour accder aux disques de plus
grande capacit, Microsoft a dvelopp FAT32. FAT32 prend en charge les partitions de taille infrieure
ou gale 2 To.
FAT ne fournit aucune scurit pour les fichiers qui se trouvent sur la partition. N'utilisez jamais FAT
ou FAT32 comme systme de fichiers pour les disques connects aux serveurs Windows Server 2012.
L'utilisation de FAT ou FAT32 peut tre envisage pour formater des medias externes tels que des
supports flash USB.
Le systme FAT tendue (exFAT) est un systme de fichiers conu spcialement pour les lecteurs flash.
Il peut tre utilis lorsque FAT32 n'est pas appropri, par exemple lorsque vous avez besoin d'un format
de disque fonctionnant avec un tlviseur, qui requiert un disque de plus de 2 To. Plusieurs priphriques
multimdias prennent en charge exFAT, comme les crans plats des tlviseurs actuels, les centres
multimdias et les lecteurs multimdias portables.
NTFS
NTFS est le systme de fichiers standard pour tous les systmes d'exploitation Windows partir de
Windows NT Server 3.1. la diffrence de FAT, le disque ne contient aucun objet spcial et il n'existe
aucune dpendance vis--vis du matriel sous-jacent, comme des secteurs de 512 octets. En outre,
NTFS n'utilise aucun emplacement spcial sur le disque, tel que les tables.
NTFS est une amlioration de FAT plusieurs gards. Il offre notamment une meilleure prise en charge
des mtadonnes et l'utilisation de structures de donnes avances permettant d'amliorer les
performances, la fiabilit et l'utilisation de l'espace disque. NTFS comporte galement des extensions
supplmentaires telles que des listes de contrle d'accs (ACL) de scurit, que vous pouvez utiliser
pour l'audit, la journalisation des systmes de fichiers et le chiffrement.
NTFS est requis pour plusieurs rles et fonctionnalits de Windows Server 2012 tel que les services
de domaine Active Directory (AD DS), les services VSS (Volume Shadow Services), le systme de fichiers
distribus (DFS) et les services de rplication de fichiers (FRS). NTFS offre un niveau de scurit beaucoup
plus lev que FAT ou FAT 32.
Systme ReFS (Resilient File System)
Ce systme a t introduit avec Windows Server 2012 pour amliorer les fonctionnalits de NTFS. ReFS
a t dvelopp pour amliorer NTFS grce des capacits maximales plus importantes pour les fichiers
individuels, les rpertoires, les volumes de disque et d'autres lments. En outre, ReFS offre une rsilience
suprieure, ce qui signifie une meilleure vrification des donnes, correction des erreurs et volutivit.
Utilisez ReFS avec les volumes trs importants et les partages de fichier trs volumineux de manire
viter la limitation de NTFS en matire de vrification et de correction des erreurs. Dans la mesure o
ReFS n'tait pas disponible avant Windows Server 2012 (le seul choix tait NTFS), il est conseill d'utiliser
ReFS, et non NTFS, avec Windows Server 2012 afin de bnficier d'une meilleure vrification des erreurs,
d'une plus grande fiabilit et d'un endommagement minimal.
Pour plus d'informations sur le fonctionnement de FAT, voir

Pour plus d'informations sur le fonctionnement de NTFS, voir

Question : Quel systme de fichiers utilisez-vous actuellement sur votre serveur de fichiers ?
Continuerez-vous l'utiliser ?
Qu'est-ce que le systme de fichiers ReFS ?

ReFS est une nouvelle fonctionnalit dans
Windows Server 2012. Ce systme est bas sur
le systme de fichiers NTFS et offre les avantages
suivants :
Intgrit des mtadonnes avec sommes

de contrle
Protection tendue contre l'endommagement

des donnes
Optimisation de la fiabilit, particulirement

lors d'une panne d'alimentation (NTFS est
connu pour endommager des donnes
dans des circonstances semblables)
Grandes tailles de volumes, de fichiers et de rpertoires
Pool de stockage et virtualisation, qui simplifient la cration et la gestion des systmes de fichiers
Agrgation par bandes des donnes pour de meilleures performances (la bande passante peut
tre gre)
Redondance de la tolrance de pannes
Nettoyage des disques pour les protger contre les erreurs de disque latentes
Rsilience aux dommages avec rcupration pour une disponibilit maximale des volumes
Pools de stockage partags sur les ordinateurs pour une tolrance de pannes et un quilibrage
de la charge supplmentaires.
9-19
Le systme ReFS hrite de certaines fonctionnalits de NTFS, notamment les fonctionnalits suivantes :
Chiffrement de lecteur BitLocker
Listes de contrle d'accs pour la scurit
Journal du nombre de squences de mise jour (USN, Update Sequence Number)
Notifications de modification
Liens symboliques, points de jonction, points de montage et points d'analyse
Captures instantanes de volume
Identificateurs de fichier
tant donn que ReFS utilise un sous-ensemble des fonctionnalits de NTFS, il est conu pour conserver
une compatibilit descendante avec NTFS. Par consquent, les applications qui s'excutent sur
Windows Server 2012 peuvent accder des fichiers sur ReFS comme elles le feraient sur NTFS.
Toutefois, un lecteur au format ReFS n'est pas reconnu lorsqu'il se trouve dans des ordinateurs
excutant des systmes d'exploitation Windows Server antrieurs Windows Server 2012.
Avec NTFS, vous pouvez modifier la taille d'un cluster ; en revanche, avec ReFS, chaque cluster a une
taille fixe de 64 Ko, que vous ne pouvez pas modifier. Le systme de fichiers chiffrs (EFS, Encrypted File
System) n'est pas pris en charge dans ReFS.
Comme l'indique son nom, le nouveau systme de fichiers offre une rsilience accrue, ce qui signifie
une meilleure vrification des donnes, correction des erreurs et volutivit.
Outre sa rsilience suprieure, ReFS surpasse galement NTFS en offrant des tailles maximales suprieures
pour les diffrents fichiers, rpertoires, volumes de disque et d'autres lments, qui sont rpertoris dans
le tableau ci-dessous.
Attribut
Limite
Taille maximale d'un fichier unique
Approximativement 16 Eo
(18.446.744.073.709.551.616 octets)
Taille maximale d'un volume unique
2^78 octets avec une taille de cluster de 16 Ko

(2^64 * 16 * 2^10)
L'adressage de pile Windows autorise 2^64 octets
Nombre maximal de fichiers dans

un rpertoire
2^64
Nombre maximal de rpertoires dans

un volume
2^64
Longueur maximale d'un nom de fichier
32 000 caractres Unicode
Longueur maximale d'un chemin d'accs
32,000
Taille maximale d'un pool de stockage
4 ptaoctets (Po)
Nombre maximal de pools de stockage

dans un systme
Aucune limite
Nombre maximal d'espaces dans un pool

de stockage
Aucune limite
Que sont les points de montage et les liens ?

Avec les systmes NTFS et ReFS, vous pouvez crer
des points de montage et des liens de manire
ce qu'ils fassent rfrence des fichiers,
des rpertoires et des volumes.
Points de montage
Les points de montage sont utiliss dans les
systmes d'exploitation Windows pour rendre
une partie ou la totalit d'un disque utilisable
par le systme d'exploitation. Gnralement, les
points de montage sont associs des mappages
de lettres de lecteur de sorte que le systme
d'exploitation puisse accder au disque par
le biais de la lettre de lecteur.
9-21
Depuis l'introduction de Windows 2000 Server, vous pouvez activer des points de montage de volume,
que vous pouvez ensuite utiliser pour monter un disque dur sur un dossier vide situ sur un autre lecteur.
Par exemple, si vous ajoutez un nouveau disque dur sur un serveur, plutt que de monter le lecteur en
utilisant une lettre de lecteur, vous pouvez attribuer un nom de dossier tel que C:\datadrive au lecteur.
Lorsque vous procdez ainsi, chaque fois que vous accdez au dossier C:\datadrive, vous accdez en
ralit au nouveau disque dur.
Les points de montage de volume peuvent tre utiles dans les scnarios suivants :
Lorsque l'espace disque devenant insuffisant sur un serveur, vous souhaitez en ajouter sans modifier
l'arborescence. Vous pouvez ajouter le disque dur et configurez un dossier de manire ce qu'il
pointe vers le disque dur.
Lorsque vous tes court de lettres disponibles attribuer aux partitions ou aux volumes. Si vous
avez plusieurs disques durs connects au serveur, vous pouvez manquer de lettres disponibles dans
l'alphabet pour attribuer des lettres de lecteur. l'aide d'un point de montage de volume, vous
pouvez ajouter des partitions ou des volumes supplmentaires sans utiliser plus de lettres de lecteur.
Lorsque vous devez sparer les entres/sorties de disque (E/S) dans une arborescence. Par exemple,
si vous utilisez une application qui requiert une structure de fichier spcifique, mais qui utilise
les disques durs de manire intensive, vous pouvez sparer l'E/S de disque en crant un point
de montage de volume dans l'arborescence.
Remarque : Vous pouvez attribuer des points de montage de volume uniquement

aux dossiers vides sur une partition NTFS. Cela signifie que si vous souhaitez utiliser un nom
du dossier existant, vous devez d'abord renommer ce dossier, crer et monter le disque dur
en utilisant le nom du dossier requis, puis copier les donnes sur le dossier mont.
Liens
Un lien est un type particulier de fichier qui contient une rfrence un autre fichier ou rpertoire sous
la forme d'un chemin d'accs relatif ou absolu. Windows prend en charge les deux types de lien suivants :
Un lien de fichier symbolique (galement appel lien logiciel)
Un lien de rpertoire symbolique (galement appel jonction de rpertoire)
Un lien stock sur un partage de serveur pourrait renvoyer un rpertoire figurant sur un client non
rellement accessible partir du serveur sur lequel le lien est stock. Dans la mesure o le traitement
de lien est effectu partir du client, le lien fonctionnerait correctement pour accder au client, bien
que le serveur ne puisse pas accder au client.
Les liens fonctionnent d'une manire transparente. Les applications qui lisent ou crivent dans des
fichiers nomms par un lien se comportent comme si elles fonctionnaient directement sur le fichier
cible. Par exemple, vous pouvez utiliser un lien symbolique vers un fichier de disque dur virtuel parent
Hyper-V (.vhd) partir d'un autre emplacement. Hyper-V utilise le lien pour travailler avec le disque dur
virtuel parent (VHD) comme il le ferait avec le fichier d'origine. L'avantage d'utiliser des liens symboliques
est que vous n'avez pas besoin de modifier les proprits de votre disque dur virtuel de diffrenciation.
Remarque : Dans Hyper-V, vous pouvez utiliser un disque dur virtuel (VHD) de
diffrenciation pour conomiser de l'espace en appliquant les modifications au disque
dur virtuel enfant uniquement, lorsque le disque dur virtuel enfant fait partie d'une
relation de disque dur virtuel parent/enfant.
Les liens sont parfois plus facile grer que les points de montage. Les points de montage vous
forcent placer les fichiers la racine des volumes, tandis que les liens vous permettent plus
de flexibilit quant l'emplacement o vous enregistrez les fichiers.
Vous pouvez crer des liens l'aide de la commande mklink dans l'application Invite de commandes.
Dmonstration : Cration de points de montage et de liens

crer un point de montage ;
crer une jonction de rpertoire pour un dossier ;
crer un lien physique pour un fichier.
Crer un point de montage
1.
Ouvrez une session sur LON-SVR1 avec le nom d'utilisateur ADATUM\Administrateur et le mot
de passe Pa$$w0rd.
2.
Ouvrez Gestion de l'ordinateur, puis dveloppez Gestion des disques.
3.
Dans Gestion des disques, initialisez Disque 2 avec Partition GPT (GUID Partition Table).
4.
Sur Disque 2, crez un volume simple avec les paramtres suivants :

o
Taille : 4000 Mo
Ne pas attribuer de lettre de lecteur ni de chemin d'accs de lecteur
Systme de fichiers : NTFS
Nom de volume : MountPoint
5.
Attendez que le volume soit cr, cliquez avec le bouton droit sur MountPoint, puis cliquez
sur Modifier la lettre de lecteur et le chemin d'accs.
6.
Changez la lettre de lecteur comme suit :
7.
Monter dans le dossier NTFS vide suivant
Crez le dossier C:\MountPointFolder et utilisez-le comme point de montage.
Dans la barre des tches, ouvrez une fentre de l'Explorateur de fichiers, puis cliquez sur Disque
local (C:). Vous devriez maintenant voir le dossier MountPoint avec une taille de 4 095 996 Ko.
Vous pouvez voir l'icne attribue au point de montage.
Crer une jonction de rpertoire pour un dossier
9-23
1.
Ouvrez une fentre d'invite de commandes.
2.
Crez un dossier dans C:\ appel CustomApp et excutez la commande suivante : copy
C:\windows\system32\notepad.exe C:\CustomApp.
3.
l'invite de commandes, tapez mklink /j AppLink CustomApp, puis appuyez sur Entre.
4.
Dans une fentre de l'Explorateur de fichiers, accdez C:\AppLink. Remarquez que comme il s'agit
d'un lien, le chemin du rpertoire dans la barre d'adresses n'est pas mis jour avec C:\CustomApp.
Crer un lien physique pour un fichier

1.
partir d'une invite de commandes, tapez mklink /h C:\AppLink\Notepad2.exe

C:\AppLink\Notepad.exe.
2.
Dans l'Explorateur de fichiers, remarquez que Notepad2.exe s'affiche exactement comme

Notepad.exe. Les deux noms de fichier pointent vers le mme fichier.
Extension et rduction de volumes

Dans les versions de Windows antrieures
Windows Server 2008 ou Windows Vista, vous
aviez besoin de logiciels supplmentaires pour
rduire ou tendre un volume sur votre disque.
Depuis Windows Server 2008 et Windows Vista,
cette fonctionnalit est comprise dans le systme
d'exploitation Windows et vous pouvez utiliser
le composant logiciel enfichable de gestion des
disques pour redimensionner des volumes NTFS.
Lorsque vous souhaitez redimensionner un
volume, vous devez prendre en compte les
lments suivants :
Vous pouvez uniquement rduire ou tendre des volumes NTFS. Les volumes FAT, FAT32 ou exFAT
ne peuvent pas tre redimensionns.
Vous pouvez uniquement tendre des volumes ReFS, vous ne pouvez pas les rduire.
Vous pouvez tendre un volume en utilisant l'espace libre se trouvant sur le mme disque et sur
d'autres disques. Lorsque vous tendez un volume avec d'autres disques, vous crez un disque
dynamique avec un volume fractionn. Si un disque d'un volume fractionn subit une dfaillance,
toutes les donnes du volume sont perdues. En outre, un volume fractionn ne peut pas contenir de
partitions de dmarrage ou de partitions systme. Vous ne pouvez donc pas tendre vos partitions
de dmarrage l'aide d'un autre disque.
Si des clusters dfectueux existent sur la partition, vous ne pouvez pas la rduire.
Lorsque vous souhaitez rduire une partition, les fichiers fixes, tels que les fichiers d'change, ne
sont pas relocaliss. Autrement dit, vous ne pouvez pas rcuprer d'espace au del de l'emplacement
o se trouvent ces fichiers sur le volume. Si vous avez besoin de rduire davantage une partition,
vous devez supprimer ou dplacer les fichiers fixes. Par exemple, vous pouvez supprimer le fichier
d'change, rduire le volume, puis ajouter nouveau le fichier d'change.
Remarque : Dans la mesure du possible, pour rduire des volumes, dfragmentez les
fichiers sur ces volumes avant de rduire ces derniers. Cette mthode renvoie la quantit
maximale d'espace disque libre. Durant le processus de dfragmentation, vous pouvez
identifier tous les fichiers fixes.
Pour modifier un volume, vous pouvez utiliser les outils Gestion des disques, Diskpart.exe,
ou l'applet de commande Resize-Partition dans Windows PowerShell.
Pour plus d'informations sur la manire d'tendre un volume de base,

Pour plus d'informations sur la manire de rduire un volume de base,

Leon 3
Implmentation d'espaces de stockage
9-25
La gestion des disques physiques connects directement un serveur s'est rvle tre une tche pnible
pour les administrateurs. Pour surmonter ce problme, de nombreuses organisations utilisent des rseaux
SAN qui, pour l'essentiel, regroupent des disques physiquement.
Les rseaux SAN ncessitent une configuration et parfois du matriel spcifiques. Ils sont donc chers.
Pour surmonter ces problmes, vous pouvez utiliser Espaces de stockage, qui est une fonctionnalit
de Windows Server 2012 rassemblant les disques en pools et les prsentant au systme d'exploitation
comme un disque unique. Cette leon explique comment configurer et implmenter la fonctionnalit
Espaces de stockage.
Dcrire la fonctionnalit Espaces de stockage.
Dcrire les diverses options pour configurer les disques virtuels.
Dcrire les options de gestion avance pour les espaces de stockage.
Configurer des espaces de stockage.
Qu'est-ce que la fonctionnalit Espaces de stockage ?
Espaces de stockage est une fonctionnalit

de virtualisation de stockage intgre
Windows Server 2012 et Windows 8. Il s'agit d'une
fonctionnalit disponible pour les volumes NTFS
et ReFS, pouvant assurer la redondance et fournir
un pool de stockage diffrents disques internes
et externes de diffrentes tailles et interfaces. Vous
pouvez utiliser cette fonctionnalit pour ajouter
des disques physiques de tout type et de toute
taille un pool de stockage, puis crer des disques
virtuels hautement disponibles partir du pool
de stockage. L'avantage principal des espaces
de stockage est que vous ne grez pas de disques uniques, mais que vous pouvez grer plusieurs disques
comme une seule unit.
Pour crer un disque virtuel hautement disponible, vous devez disposer des lments suivants :
Lecteur de disque. Il s'agit d'un volume auquel vous pouvez accder partir de votre systme
d'exploitation Windows, par exemple, l'aide d'une lettre de lecteur.
Disque virtuel (ou espace de stockage). Ce disque est semblable un disque physique pour les
utilisateurs et les applications. Mais les disques virtuels sont plus souples car ils comprennent
l'allocation dynamique (ou les allocations juste--temps) et la rsilience aux dfaillances
de disque physique avec une fonctionnalit intgre, par exemple la mise en miroir.
Pool de stockage. Un pool de stockage est une collection d'un ou plusieurs disques physiques que
vous pouvez utiliser pour crer des disques virtuels. Vous pouvez ajouter un pool de stockage
tout disque physique disponible qui n'est pas format ou connect un autre pool de stockage.
Disque physique. Les disques physiques sont des disques tels que les disques SATA ou SAS. Pour tre
ajouts un pool de stockage, les disques physiques doivent rpondre aux conditions suivantes :
o
Un disque physique est requis pour crer un pool de stockage. Au moins deux disques physiques
sont requis pour crer un disque virtuel en miroir rsilient.
Au moins trois disques physiques sont requis pour crer un disque virtuel avec une rsilience
par parit.
La mise en miroir triple requiert au moins cinq disques physiques.
Les disques doivent tre vierges et non formats. Ils ne doivent contenir aucun volume.
Les disques peuvent tre connects l'aide de diverses interfaces de bus, notamment SAS, SATA,
SCSI et USB. Si vous souhaitez utiliser le clustering avec basculement avec des pools de stockage,
vous ne pouvez pas utiliser de disques SATA, USB ou SCSI.
Options de configuration des disques virtuels

Vous pouvez crer des disques virtuels partir
de pools de stockage. Si votre pool de stockage
contient plus d'un disque, vous pouvez galement
crer les disques virtuels redondants. Pour
configurer des disques virtuels ou des espaces
de stockage dans le Gestionnaire de serveur
ou dans Windows PowerShell, vous devez
tenir compte des fonctionnalits suivantes
et de leurs fonctionnalits de redondance.
Disposition du stockage
Cette fonctionnalit dfinit le nombre de disques
du pool de stockage qui sont allous. Les options
valides sont les suivantes :
Simple. Un espace simple utilise l'agrgation par bandes des donnes mais pas la redondance. Dans
l'agrgation par bandes des donnes, les donnes logiquement squentielles sont segmentes sur
tous les disques de faon permettre aux diffrents disques de stockage physiques d'accder ces
segments squentiels. L'agrgation par bandes permet d'accder simultanment plusieurs segments
de donnes. N'hbergez des donnes importantes sur un volume simple, car il ne fournit pas de
fonctionnalits de basculement lorsque le disque sur lequel les donnes sont stockes subit une
dfaillance.
Miroirs doubles et triples. Les espaces en miroir grent deux ou trois copies des donnes qu'ils
hbergent (deux copies de donnes pour les miroirs doubles et trois copies de donnes pour les
miroirs triples). La duplication se produit avec chaque criture de manire s'assurer que toutes
les copies de donnes sont actualises en permanence. Les espaces en miroir rpartissent aussi les
donnes sur diffrents disques physiques. Ils offrent l'avantage d'un dbit de donnes lev et d'une
faible latence d'accs. Ils ne prsentent galement aucun risque d'endommagement des donnes au
repos et ne ncessitent pas de phase de journalisation supplmentaire lors de l'criture des donnes.
9-27
Parit. Un espace parit est semblable RAID 5. Les donnes et les informations de parit sont
agrges par bandes sur plusieurs disques physiques. La parit permet aux espaces de stockage de
continuer traiter les demandes de lecture et d'criture mme si un disque est dfectueux. Elle fait
toujours une rotation entre les disques disponibles pour optimiser les E/S. Les espaces de stockage
requirent au moins trois disques physiques pour les espaces parit. Les espaces parit ont
augment la rsilience via la journalisation.
Taille des secteurs de disque
La taille de secteur d'un pool de stockage est dfinie lors de la cration du pool de stockage. Si la liste
des lecteurs utiliss ne contient que des lecteurs 512 et/ou 512e, la valeur par dfaut attribue au pool
est 512e. Un lecteur 512 utilise des secteurs de 512 octets. Un lecteur 512e est un disque dur comportant
des secteurs de 4 096 octets qui mule des secteurs de 512 octets. Si la liste contient au moins un
disque de 4 Ko, la taille de secteur du pool est dfinie par dfaut sur 4 Ko. Un administrateur peut
ventuellement dfinir explicitement la taille de secteur hrite par tous les espaces contenus dans
le pool. Une fois qu'un administrateur a dfini la taille de secteur, le systme d'exploitation Windows
vous autorise uniquement ajouter des lecteurs qui ont une taille de secteur conforme, c'est--dire :
512 ou 512e pour un pool de stockage 512e, et 512, 512e ou 4 Ko pour un pool de 4 Ko.
Allocation de lecteurs
Les paramtres ci-dessous dfinissent l'allocation du disque au pool. Les options sont les suivantes :
Automatique. Il s'agit de l'allocation par dfaut lorsque un disque est ajout un pool. Les espaces de
stockage peuvent slectionner automatiquement la capacit disponible sur les disques des magasins
de donnes, la fois pour la cration d'espace de stockage et pour l'allocation juste--temps.
change chaud. Les disques ajouts un pool en tant que disques d'change chaud sont
des disques de rserve qui ne sont pas utiliss pour la cration d'un espace de stockage. Si une
dfaillance se produit sur un disque qui hberge les colonnes d'un espace de stockage, un disque
de rserve est invit remplacer ce disque dfectueux.
Modles d'approvisionnement
Vous pouvez approvisionner un disque virtuel l'aide de l'un ou l'autre des modles suivants :
Espace allocation dynamique. L'allocation dynamique est un mcanisme qui permet un stockage
d'tre allou facilement sur la base du juste assez et du juste--temps. La capacit de stockage du
pool est organise en sections d'approvisionnement qui ne sont pas alloues tant que la taille des
groupes de donnes ne ncessite pas de stockage. Contrairement la mthode d'allocation de
stockage fixe classique dans laquelle de grands pools de capacit de stockage sont allous mais
peuvent rester inutiliss, l'allocation dynamique optimise l'utilisation du stockage disponible.
Les organisations peuvent aussi rduire les frais d'exploitation, tels que l'lectricit et la surface
occupe lies au fonctionnement de disques inutiliss. L'allocation dynamique offre toutefois
des performances de disque infrieures.
Espace allocation fixe. Avec les espaces de stockage, les espaces allocation fixe utilisent galement
les sections d'approvisionnement flexible. La diffrence entre l'allocation dynamique et un espace
allocation fixe est que la capacit de stockage dans l'espace d'allocation fixe est alloue au moment
o l'espace est cr.
Configuration requise pour un disque de cluster

Le clustering avec basculement empche l'interruption des charges de travail ou des donnes en cas
de dfaillance d'un ordinateur. Pour qu'un pool prenne en charge le basculement, le clustering de
tous les disques attribus doit prendre en charge un protocole multi-initiateurs, par exemple SAS.
Remarque : Vous pouvez utiliser les espaces de stockage pour crer des disques virtuels
allocation dynamique et allocation fixe dans le mme pool de stockage. Le fait de disposer
des deux types d'allocation dans le mme pool de stockage est pratique, en particulier lorsqu'ils
concernent la mme charge de travail. Par exemple, vous pouvez choisir d'avoir un espace
allocation dynamique pour hberger une base de donnes et un espace allocation fixe pour
hberger son journal.
Question : Quel est le nom d'un disque virtuel qui est plus grand que la quantit d'espace
disque disponible sur la partie disques physiques du pool de stockage ?
Options de gestion avance pour les espaces de stockage

Le Gestionnaire de serveur effectue une gestion de
base des disques virtuels et des pools de stockage.
Il vous permet de crer des pools de stockage,
d'ajouter et supprimer des disques physiques des
pools, et de crer, grer et supprimer des disques
virtuels. Par exemple, le Gestionnaire de serveur
vous permet d'afficher les disques physiques lis
un disque virtuel. Si l'un de ces disques est
dfectueux, vous verrez une icne reprsentant
un disque dfectueux en regard du nom de
ce disque.
Pour corriger un disque dfectueux dans un
disque virtuel ou un pool de stockage, vous devez supprimer le disque qui provoque le problme.
Les outils de dfragmentation, d'analyse de disque, ou chkdsk ne peuvent pas rparer un pool de
stockage. Pour remplacer un disque dfectueux, vous devez ajouter un nouveau disque au pool. Le
nouveau disque se resynchronise automatiquement au cours de la maintenance du disque qui a lieu
lors de la maintenance quotidienne. Vous pouvez galement dclencher la maintenance du disque
manuellement.
Windows PowerShell fournit des options de gestion avance pour les disques virtuels et les pools
de stockage. Le tableau ci-dessous contient des exemples d'applets de commande de gestion.
Applet de commande Windows PowerShell
Description
Get-StoragePool
Rpertorie les pools de stockage
Get-VirtualDisk
Rpertorie les disques virtuels
Repair-VirtualDisk
Rpare un disque virtuel
(suite)
Applet de commande Windows PowerShell
Description
9-29
Get-PhysicalDisk | Where{$_.HealthStatus ne Healthy}
Rpertorie les disques physiques

dfectueux
Reset-PhysicalDisk
Supprime un disque physique d'un

pool de stockage
Get-VirtualDisk | Get-PhysicalDisk
Rpertorie les disques physiques

utiliss pour un disque virtuel
Documentation supplmentaire : Pour en savoir plus sur les applets de commande

de stockage dans Windows PowerShell, voir http://go.microsoft.com/fwlink/?LinkID=266751.
Dmonstration : Configuration d'espaces de stockage

crer un pool de stockage ;
crer un disque virtuel et un volume.
Crer un pool de stockage
1.
Connectez-vous en tant que ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2.
Sur LON-SVR1, dans le Gestionnaire de serveur, accdez Service de fichiers et de stockage,

et Pools de stockage.
3.
Dans le volet POOLS DE STOCKAGE, crez un Nouveau pool de stockage nomm StoragePool1,
puis ajoutez tous les disques disponibles.
Crer un disque virtuel et un volume

1.
Dans le volet DISQUES VIRTUELS, crez un Nouveau disque virtuel avec les paramtres suivants :
o
Pool de stockage : StoragePool1
Nom du disque : vDisk simple
Disposition du stockage : simple
Type d'approvisionnement : Fin
Taille : 2 Go
2.
Sur la page Afficher les rsultats, attendez que la tche se termine, puis assurez-vous que la case
cocher Crez un volume lorsque l'Assistant se ferme est active.
3.
Dans l'Assistant Nouveau volume, crez un volume avec les paramtres suivants :
4.
Disque virtuel : vDisk simple
Systme de fichiers : ReFS
Nom de volume : volume simple
Attendez que la tche soit termine, puis cliquez sur Fermer.
Atelier pratique : Implmentation d'un systme

de stockage local
Scnario
Votre fonction consistait examiner les ordinateurs de bureau pour rsoudre les problmes d'application
et les problmes rseau. Vous avez rcemment accept une promotion au sein de l'quipe d'assistance
technique des serveurs. L'une de vos premires missions consiste configurer le service d'infrastructure
pour une nouvelle succursale.
Votre responsable vous a demand d'ajouter de l'espace disque sur un serveur de fichiers. Aprs la
cration des volumes, votre responsable vous a galement demand de redimensionner ces volumes
en fonction des dernires informations dont il dispose. Enfin, vous devez rendre le stockage des donnes
redondant en crant un disque virtuel en miroir triple.
Objectifs
Installer et configurer un nouveau disque.
Redimensionner des volumes.
Configurer un espace de stockage redondant.

22410B-LON-DC1
22410B-LON-SVR1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
1.
Dans le Gestionnaire Hyper-V, cliquez sur 22410A-LON-DC1 puis, dans le volet Actions, cliquez
sur Accueil.
2.
3.
4.

o
Domaine : ADATUM
Rptez les tapes 1 3 pour 22410A-LON-SVR1.
Exercice 1 : Installation et configuration d'un nouveau disque

Scnario
9-31
Le serveur de fichiers de votre succursale ne dispose plus de suffisamment d'espace disque. Vous devez
ajouter un nouveau disque au serveur et crer des volumes en vous basant sur les spcifications fournies
par votre responsable.
1.
Initialiser un nouveau disque
2.
Crer et formater deux volumes simples sur le disque
3.
Vrifier la lettre de lecteur dans une fentre de l'Explorateur de fichiers
Tche 1 : Initialiser un nouveau disque

1.
Ouvrez une session sur LON-SVR1 avec le nom d'utilisateur ADATUM\Administrateur et le mot
de passe Pa$$w0rd.
2.
Dans le Gestionnaire de serveur, ouvrez Gestion de l'ordinateur, puis accdez Gestion des
disques.
3.
Initialisez Disque 2 et configurez-le pour utiliser Partition GPT (GUID Partition Table).
Tche 2 : Crer et formater deux volumes simples sur le disque

1.
2.
Dans la console Gestion de l'ordinateur, sur Disque2, crez un Volume simple avec les attributs
suivants :
o
Taille du volume : 4000 Mo
Lettre de lecteur : F
Systme de fichiers : NTFS
Nom de volume : Volume1
Dans la console Gestion de l'ordinateur, sur Disque2, crez un Volume simple avec les attributs
suivants :
o
Taille du volume : 5000 Mo
Lettre de lecteur : G
Nom de volume : Volume2
Tche 3 : Vrifier la lettre de lecteur dans une fentre de l'Explorateur de fichiers

1.
2.
Utilisez l'Explorateur de fichiers pour vrifier que vous pouvez accder aux volumes suivants :
o
Volume1 (F:)
Volume2 (G:)
Sur Volume2 (G:), crez un dossier nomm Dossier1.
Rsultats : la fin de cet exercice, vous devez avoir initialis un nouveau disque, cr deux volumes
simples et les avoir formats. Vous devez galement avoir vrifi que les lettres de lecteur sont disponibles
dans l'Explorateur de fichiers.
Exercice 2 : Redimensionnement des volumes

Scnario
Aprs l'installation du nouveau disque dans votre serveur de fichiers, votre responsable vous contacte
pour signaler que les informations qu'il vous a donnes taient incorrectes. Il est maintenant ncessaire
de redimensionner les volumes sans perdre de donnes.
1.
Rduire Volume1
2.
tendre Volume2
Tche 1 : Rduire Volume1
Utilisez l'outil Gestion des disques pour rduire Volume1 (F:) de sorte qu'il fasse 3 000 Mo.
Tche 2 : tendre Volume2

1.
Utilisez l'outil Gestion des disques pour tendre Volume2 (G:) de 1 000 Mo.
2.
Utilisez l'Explorateur de fichiers pour vrifier que le dossier Dossier1 se trouve toujours sur
le lecteur G.
Rsultats : la fin de cet exercice, vous devez avoir rduit un volume et tendu un autre.
Exercice 3 : Configuration d'un espace de stockage redondant

Scnario
Votre serveur ne dispose pas d'une carte RAID base sur le matriel, mais vous devez configurer un
stockage redondant. Pour prendre en charge cette fonctionnalit, vous devez crer un pool de stockage.
Aprs la cration du pool de stockage, vous devez galement crer un disque virtuel redondant. Comme il
s'agit de donnes critiques, la demande de stockage redondant indique que vous devez utiliser un volume
en miroir triple. Peu de temps aprs la mise en service du volume, un disque est tomb en panne et vous
devez ajouter un autre disque au pool de stockage pour le remplacer.

1.
Crer un pool de stockage partir de cinq disques connects au serveur
2.
Crer un disque virtuel en miroir triple
3.
Copier un fichier sur le volume et vrifier qu'il est visible dans l'Explorateur de fichiers
4.
Supprimer un disque physique
5.
Vrifier que le fichier write.exe est toujours accessible
6.
Ajouter un disque au pool de stockage et supprimer un disque endommag
Tche 1 : Crer un pool de stockage partir de cinq disques connects au serveur

1.
2.
Dans le volet gauche, cliquez sur Service de fichiers et de stockage, puis dans le volet Serveurs,
cliquez sur Pools de stockage.
3.
Crez un pool de stockage avec les paramtres suivants :

o
Nom : StoragePool1
Disques physiques :
o
PhysicalDisk3 (LON-SVR1)
Tche 2 : Crer un disque virtuel en miroir triple

1.
2.
Sur LON-SVR1, dans le Gestionnaire de serveur, dans le volet DISQUES VIRTUELS, crez un disque
virtuel avec les paramtres suivants :
o
Pool de stockage : StoragePool1
Nom : Disque en miroir
Disposition du stockage : Miroir
Paramtres de rsilience : Miroir triple
Type d'approvisionnement : Fin
Taille du disque virtuel : 10 Go
Dans l'Assistant Nouveau volume, crez un volume avec les paramtres suivants :
o
Disque virtuel : Disque en miroir
Lettre de lecteur : H
Nom de volume : Volume en miroir
9-33
Tche 3 : Copier un fichier sur le volume et vrifier qu'il est visible dans
l'Explorateur de fichiers
1.
Ouvrez une fentre d'invite de commandes.
2.
Tapez la commande suivante :

Copy C:\windows\system32\write.exe H:\
3.
Ouvrez l'Explorateur de fichiers partir de la barre des tches, puis accdez au Volume
en miroir (H:). Vous devez maintenant voir write.exe dans la liste des fichiers.
Tche 4 : Supprimer un disque physique
Sur l'ordinateur hte, dans le Gestionnaire Hyper-V, dans le volet Ordinateurs virtuels, remplacez
les paramtres de 22410B-LON-SVR1 par les suivants :
o
Supprimez le disque dur commenant par 22410B-LON-SVR1-Disk5.
Tche 5 : Vrifier que le fichier write.exe est toujours accessible

1.
2.
Ouvrez l'Explorateur de fichiers et accdez H:\write.exe pour vrifier que l'accs au fichier est
toujours possible.
3.
Dans le Gestionnaire de serveur, dans le volet POOLS DE STOCKAGE, sur la barre de menus, cliquez
sur le bouton Actualiser Pools de stockage . Notez l'avertissement qui s'affiche en regard
de Disque en miroir.
4.
Ouvrez la bote de dialogue Proprits de Disque en miroir, puis accdez au volet Intgrit.
Notez que l'tat d'intgrit signale un avertissement. L'tat oprationnel doit indiquer Incomplet
ou Dtrior.
Tche 6 : Ajouter un disque au pool de stockage et supprimer un disque

endommag
1.
2.
sur le bouton Actualiser Pools de stockage .
3.
Dans le volet POOLS DE STOCKAGE, cliquez avec le bouton droit sur StoragePool1, cliquez sur
Ajouter un disque physique, puis sur PhysicalDisk8 (LON-SVR1).
4.
Dans le volet DISQUES PHYSIQUES, cliquez avec le bouton droit sur le disque en regard duquel
s'affiche un avertissement, puis slectionnez Supprimer le disque.
5.
Cliquez sur le bouton Actualiser Pools de stockage pour faire disparatre les avertissements.
Rsultats : la fin de cet exercice, vous devez avoir cr un pool de stockage et lui avoir ajout cinq
disques. Vous devez ensuite avoir cr un disque virtuel en miroir triple allou dynamiquement partir du
pool de stockage. Vous devez galement avoir copi un fichier sur le nouveau volume et vrifi qu'il est
accessible. Ensuite, aprs avoir supprim un disque physique, vous devez avoir vrifi que le disque virtuel
tait toujours disponible et accessible. Enfin, vous devez avoir ajout un autre disque physique au pool
de stockage.
9-35
comme suit :
1.
2.
Dans la liste des ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-DC1, puis cliquez
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-SVR1.

Question : Votre volume actuel manque d'espace disque. Vous avez un autre disque
disponible dans le mme serveur. Quelles actions pouvez-vous effectuer dans le systme
d'exploitation Windows pour vous aider ajouter de l'espace disque ?
Question : Quels sont les deux diffrents types de disque dans l'outil Gestion des disques ?
Question : Quelles sont les implmentations de systme RAID les plus importantes ?
Question : Vous connectez cinq disques de 2 To votre ordinateur Windows Server 2012.
Vous souhaitez les grer presque automatiquement et, an cas de dfaillance d'un disque,
vous souhaitez vous assurer que les donnes ne seront pas perdues. Quelle fonctionnalit
pouvez-vous implmenter pour y parvenir ?
Outils
Outil
Gestion des disques
Utilisation
Initialiser des disques
Crer et modifier des volumes
Diskpart.exe
Initialiser des disques
Emplacement
Dans le menu Outils du

Gestionnaire de serveur (dans la
console Gestion de l'ordinateur)
Invite de commandes
Crer et modifier des volumes

partir d'une invite de commandes
Mklink.exe
Crer un lien symbolique vers un

fichier ou un dossier
Invite de commandes
Chkdsk.exe
Vrifier un disque pour un volume

au format NTFS
Invite de commandes
Ne peut pas tre utilis pour des

disques virtuels ou ReFS
Defrag.exe
Outil de dfragmentation de disque

pour les volumes au format NTFS
Invite de commandes
Ne peut pas tre utilis pour des

disques virtuels ou ReFS
Mthode conseille
Voici les meilleures pratiques recommandes :
Si vous souhaitez rduire un volume, commencez par le dfragmenter afin de pouvoir rcuprer plus
d'espace de ce volume.
Utilisez le format de table de partition GPT pour des disques de plus de 2 To.
Pour les volumes trs importants, utilisez le format ReFS.
N'utilisez pas FAT ou FAT32 sur les disques du systme d'exploitation Windows Server.
Utilisez la fonctionnalit Espaces de stockage pour que le systme d'exploitation Windows gre vos
disques.

10-1
Module 10
Implmentation des services de fichier et d'impression
Table des matires :
10-1
Leon 1 : Scurisation des fichiers et des dossiers
10-2
Leon 2 : Protection des fichiers et des dossiers partags l'aide de clichs

instantans
10-17
Leon 3 : Configuration de l'impression rseau
10-21
Atelier pratique : Implmentation des services de fichier et d'impression
10-28
10-35
L'accs aux fichiers et aux imprimantes dans le rseau reprsente l'une des activits les plus courantes
dans l'environnement Windows Server. Un accs fiable et scuris aux fichiers et dossiers, ainsi
qu'aux ressources d'impression constitue souvent la premire exigence d'un rseau bas sur
Windows Server 2012. Pour fournir l'accs aux ressources de fichier et d'impression dans votre rseau,
vous devez comprendre comment configurer ces ressources sur le serveur Windows Server 2012 et
comment configurer l'accs appropri aux ressources pour les utilisateurs dans votre environnement.
Ce module explique comment fournir ces ressources de fichier et d'impression importantes l'aide
de Windows Server 2012. Vous apprendrez comment activer et configurer des services de fichiers
et d'impression dans Windows Server 2012 et vous dcouvrirez des considrations importantes
et les meilleures pratiques pour utiliser ces services de fichiers et d'impression.
Objectifs
scuriser les fichiers et les dossiers partags ;
protger les fichiers et dossiers partags l'aide de clichs instantans ;
configurer l'impression rseau.
Leon 1
Scurisation des fichiers et des dossiers
10-2 Implmentation des services de fichier et d'impression
Les fichiers et les dossiers que vos serveurs stockent contiennent en gnral les donnes fonctionnelles et
mtier de votre organisation. La fourniture d'un accs appropri ces fichiers et dossiers, habituellement
via le rseau, constitue une part importante de la gestion des services de fichiers et d'impression dans
Cette leon vous fournit les informations ncessaires pour scuriser les fichiers et les dossiers sur vos
serveurs Windows Server 2012, afin que les donnes de votre organisation soient disponibles tout en
tant protges.
dcrire les autorisations NTFS ;
dcrire un dossier partag ;
dcrire l'hritage des autorisations ;
dcrire l'efficacit des autorisations quand vous accdez des dossiers partags ;
dcrire l'numration base sur l'accs ;
dcrire les fichiers hors connexion ;
expliquer comment crer et configurer un dossier partag.
Que sont les autorisations NTFS ?

Des autorisations NTFS sont attribues aux fichiers
et dossiers sur un lecteur de stockage au format
NTFS. Les autorisations que vous attribuez aux
fichiers et dossiers NTFS rgissent l'accs
utilisateur ces fichiers et dossiers.
Les points suivants dcrivent les aspects
cl des autorisations NTFS :
Les autorisations NTFS peuvent tre

configures pour un fichier ou un
dossier individuel ou pour des
ensembles de fichiers ou de dossiers.
Les autorisations NTFS peuvent tre attribues individuellement des objets qui incluent des
utilisateurs, des groupes ou des ordinateurs.
Les autorisations NTFS sont contrles en refusant ou en accordant des types spcifiques d'accs
aux fichiers et dossiers NTFS, tels que Lecture ou criture.
Les autorisations NTFS peuvent tre hrites des dossiers parents. Par dfaut, les autorisations NTFS
qui sont attribues un dossier sont galement attribues aux dossiers et fichiers nouvellement crs
au sein de ce dossier parent.
Types d'autorisation NTFS

Il existe deux types d'autorisations NTFS attribuables : les autorisations standard et avances.
Autorisations standard
Les autorisations standard fournissent les paramtres d'autorisation les plus couramment utiliss pour
les fichiers et les dossiers. Vous attribuez des autorisations standard dans la fentre Attribution des
autorisations NTFS.
Le tableau ci-dessous dtaille les options d'autorisation standard pour les fichiers et les dossiers NTFS.
Autorisations
sur les fichiers
Description
10-3
Contrle total
Accorde l'utilisateur un contrle complet du fichier ou du dossier,

y compris le contrle des autorisations.
Modification
Accorde l'utilisateur l'autorisation de lire, crire ou supprimer un fichier ou

un dossier, y compris de crer un fichier ou un dossier. Il accorde galement
l'autorisation d'excuter des fichiers.
Lecture et excution
Accorde l'utilisateur l'autorisation de lire un fichier et de dmarrer

des programmes.
Lecture
Accorde l'utilisateur l'autorisation d'afficher le contenu d'un fichier

ou d'un dossier.
criture
Accorde l'utilisateur l'autorisation d'crire dans un fichier.
Affichage du contenu
du dossier (dossiers
uniquement)
Accorde l'utilisateur l'autorisation d'afficher la liste du contenu du dossier.
Remarque : Accorder des utilisateurs les autorisations Contrle total sur un fichier ou
un dossier leur donne la capacit d'excuter n'importe quelle opration de systme de fichiers
sur l'objet, ainsi que la capacit de modifier les autorisations sur l'objet. Ils peuvent galement
supprimer des autorisations sur la ressource pour tous les utilisateurs qu'ils souhaitent,
y compris vous.
Autorisations avances
Les autorisations avances peuvent fournir un niveau de contrle nettement suprieur sur les fichiers
et dossiers NTFS. Les autorisations avances sont accessibles en cliquant sur le bouton Avanc dans
l'onglet Scurit de la bote de dialogue Proprits d'un fichier ou d'un dossier.
Le tableau ci-dessous dtaille les autorisations avances pour les fichiers et les dossiers NTFS.
Autorisations
sur les fichiers
Description
Parcours du
dossier/excuter
le fichier
L'autorisation Parcours du dossier s'applique uniquement aux dossiers. Cette

autorisation autorise ou non l'utilisateur parcourir les dossiers pour atteindre
d'autres fichiers ou dossiers, mme si l'utilisateur n'a pas d'autorisation sur les
dossiers parcourus. L'autorisation Parcours du dossier entre en vigueur seulement
lorsque le droit d'utilisateur Contourner la vrification de parcours n'est pas
accord au groupe ou l'utilisateur. Par dfaut, le groupe Tout le monde
dispose du droit d'utilisateur Contourner la vrification de parcours.
L'autorisation Excuter le fichier permet ou non d'excuter les fichiers programmes.
Si vous dfinissez l'autorisation Parcours du dossier sur un dossier, l'autorisation
Excuter le fichier n'est pas automatiquement dfinie sur tous les fichiers de ce
dossier.
Liste du
dossier/lecture
de donnes
L'autorisation Liste du dossier accorde l'utilisateur l'autorisation d'afficher les

noms des fichiers et des sous-dossiers. L'autorisation Liste du dossier s'applique
uniquement des dossiers et affecte uniquement le contenu du dossier ; elle ne
dtermine pas si le dossier lui-mme sera rpertori. En outre, ce paramtre n'a
aucun effet sur l'affichage de la structure de fichiers partir d'une interface de
ligne de commande.
L'autorisation Lecture de donnes accorde ou refuse l'utilisateur l'autorisation
d'afficher les donnes dans les fichiers. L'autorisation Lecture de donnes
s'applique uniquement aux fichiers.
Lecture
d'attributs
L'autorisation Lecture d'attributs accorde l'utilisateur l'autorisation d'afficher les

attributs lmentaires d'un fichier ou d'un dossier, tels que les attributs Lecture
seule et Cach. Les attributs sont dfinis par NTFS.
Lecture des
attributs
tendus
L'autorisation Lecture des attributs tendus accorde l'utilisateur l'autorisation

d'afficher les attributs tendus d'un fichier ou d'un dossier. Les attributs tendus
sont dfinis par les applications et peuvent varier selon l'application.
Cration de
fichiers/criture
de donnes
L'autorisation Cration de fichiers s'applique uniquement aux dossiers et accorde

l'utilisateur l'autorisation de crer des fichiers dans le dossier.
L'autorisation criture de donnes accorde l'utilisateur l'autorisation d'apporter
des modifications au fichier et de remplacer le contenu existant par NTFS.
L'autorisation criture de donnes s'applique uniquement aux fichiers.
Cration de
dossiers/ajout
de donnes
L'autorisation Cration de dossiers accorde l'utilisateur l'autorisation de crer des

dossiers dans le dossier. L'autorisation Cration de dossiers s'applique uniquement
aux dossiers.
L'autorisation Ajout de donnes accorde l'utilisateur l'autorisation d'apporter des
modifications la fin du fichier, mais pas de supprimer ni de remplacer les donnes
existantes. L'autorisation Ajout de donnes s'applique uniquement aux fichiers.
criture
d'attributs
L'autorisation criture d'attributs accorde l'utilisateur l'autorisation de modifier

les attributs lmentaires d'un fichier ou d'un dossier, tels que Lecture seule et
Cach. Les attributs sont dfinis par NTFS.
L'autorisation criture d'attributs n'implique pas que vous pouvez crer ou
supprimer des fichiers ou des dossiers ; elle inclut uniquement l'autorisation de
modifier les attributs d'un fichier ou d'un dossier. Pour accorder les autorisations de
cration et de suppression, reportez-vous aux entres Cration de fichiers/criture
de donnes, Cration de dossiers/ajout de donnes, Suppression de sous-dossiers
et de fichiers, et Suppression de ce tableau.
(suite)
Autorisations
sur les fichiers
Description
10-5
criture
d'attributs
tendus
L'autorisation criture d'attributs tendus accorde l'utilisateur l'autorisation de

modifier les attributs tendus d'un fichier ou d'un dossier. Les attributs tendus
sont dfinis par les programmes et peuvent varier selon le programme.
L'autorisation criture d'attributs tendus n'implique pas que l'utilisateur peut crer
ou supprimer des fichiers ou des dossiers ; elle inclut uniquement l'autorisation de
modifier les attributs d'un fichier ou d'un dossier. Pour accorder les autorisations de
cration et de suppression, reportez-vous aux entres Cration de fichiers/criture
de donnes, Cration de dossiers/ajout de donnes, Suppression de sous-dossiers
et de fichiers, et Suppression de ce tableau.
Suppression de
sous-dossiers
et de fichiers
L'autorisation Suppression de sous-dossiers et de fichiers accorde l'utilisateur

l'autorisation de supprimer des sous-dossiers et des fichiers, mme si l'autorisation
Supprimer n'est pas accorde sur les sous-dossiers ou les fichiers. L'autorisation
Suppression de sous-dossiers et de fichiers s'applique uniquement aux dossiers.
Suppression
L'autorisation Suppression accorde l'utilisateur l'autorisation de supprimer le

fichier ou le dossier. Si l'autorisation Suppression ne vous a pas t accorde sur un
fichier ou un dossier, vous pouvez quand mme supprimer le fichier ou le dossier
si vous disposez de l'autorisation Suppression de sous-dossiers et de fichiers sur le
dossier parent.
Lire les
autorisations
L'option Lire les autorisations accorde l'utilisateur l'autorisation de lire les

autorisations concernant le fichier ou le dossier, telles que Contrle total,
Lecture et criture.
Modifier les
autorisations
L'option Modifier les autorisations accorde l'utilisateur l'autorisation de modifier

les autorisations portant sur le fichier ou le dossier, telles que Contrle total,
Lecture et criture.
Appropriation
L'autorisation Appropriation accorde l'utilisateur l'autorisation de s'approprier le

fichier ou le dossier. Le propritaire d'un fichier ou d'un dossier peut modifier les
autorisations s'y rapportant, quelles que soient les autorisations existantes qui
protgent le fichier ou le dossier.
Synchronisation
L'autorisation Synchronisation autorise des threads diffrents attendre le handle

de fichier ou de dossier, puis se synchroniser avec un autre thread qui peut le
signaler. Cette autorisation s'applique uniquement aux programmes multithreads
et plusieurs processus.
Remarque : Les autorisations standard sont des combinaisons de plusieurs autorisations

avances individuelles, groupes dans des scnarios d'utilisation courante de fichiers
et de dossiers.
Exemples d'autorisations NTFS

Voici quelques exemples lmentaires d'attribution d'autorisations NTFS :
Pour le dossier Images marketing, un administrateur a choisi d'attribuer Adam Carter des
autorisations Autoriser pour le type d'autorisation Lecture. Comme comportement par dfaut li
aux autorisations NTFS, Adam Carter aura un accs en lecture aux fichiers et aux dossiers contenus
dans le dossier Images marketing.
Lors de l'application des autorisations NTFS, les rsultats sont cumulatifs. Par exemple, dans l'exemple
prcdent, supposons qu'Adam Carter appartient galement au groupe Marketing. Le groupe
marketing a reu des autorisations en criture sur le dossier Images marketing. Lorsque nous
associons les autorisations attribues au compte d'utilisateur d'Adam Carter avec les autorisations
attribues au groupe Marketing, Adam bnficie la fois des autorisations en lecture et en criture
pour le dossier Images marketing.
Rgles importantes pour les autorisations NTFS

Il existe deux groupes importants d'autorisations NTFS :
Autorisations explicites et hrites. Lorsque vous appliquez des autorisations NTFS, les autorisations
qui sont appliques explicitement un fichier ou un dossier ont priorit sur celles qui sont hrites
d'un dossier parent.
Autorisations Refuser et Autoriser. Une fois que les autorisations NTFS ont t divises en
autorisations explicites et hrites, toutes les autorisations Refuser existantes remplacent les
autorisations Autoriser contradictoires au sein du groupe.
Par consquent, en tenant compte de ces rgles, les autorisations NTFS s'appliqueront dans l'ordre
suivant :
1.
Refus explicite
2.
Autorisation explicite
3.
Refus hrit
4.
Autorisation hrite
Il est important de se souvenir que les autorisations NTFS sont cumulatives et que ces rgles
s'appliquent seulement lorsque deux paramtres d'autorisation NTFS sont en conflit mutuel.
Procdure de configuration des autorisations NTFS

Vous pouvez afficher et configurer des autorisations NTFS en procdant comme suit :
1.
Cliquez avec le bouton droit sur le fichier ou le dossier pour lequel vous voulez attribuer des
autorisations, puis cliquez sur Proprits.
2.
Dans la bote de dialogue Proprits, cliquez sur l'onglet Scurit. Dans cet onglet, vous pouvez
slectionner les utilisateurs ou les groupes actuels dots d'autorisations permettant d'afficher les
autorisations spcifiques attribues chaque principal.
3.
Pour ouvrir une bote de dialogue d'autorisations modifiable afin de pouvoir modifier des
autorisations existantes ou ajouter de nouveaux utilisateurs ou groupes, cliquez sur le bouton
Modifier.
Que sont les dossiers partags ?

Les dossiers partags constituent un composant
cl pour accorder l'accs aux fichiers sur votre
serveur partir du rseau. Lorsque vous
partagez un dossier, ce dossier et tout son
contenu deviennent accessibles plusieurs
utilisateurs simultanment, via le rseau. Les
dossiers partags conservent un ensemble distinct
d'autorisations par rapport aux autorisations
NTFS, qui s'appliquent au contenu du dossier. Ces
autorisations sont utilises pour fournir un niveau
de scurit supplmentaire pour les fichiers et les
dossiers mis la disposition des utilisateurs dans
le rseau.
10-7
La plupart des entreprises dploient des serveurs de fichiers ddis pour hberger les dossiers partags.
Vous pouvez stocker des fichiers dans des dossiers partags par catgorie ou par fonction. Par exemple,
vous pouvez placer des fichiers partags pour le service Ventes dans un dossier partag et les fichiers
partags pour le service Marketing dans un autre.
Remarque : Le processus de partage s'applique seulement au niveau du dossier.
Vous ne pouvez pas partager un fichier individuel ou un groupe de fichiers.
Accs un dossier partag

Les utilisateurs accdent en gnral un dossier partag via le rseau en utilisant son adresse UNC
(Universal Naming Convention). L'adresse UNC contient le nom du serveur qui hberge le dossier et
le nom rel du dossier partag, spars par une barre oblique inverse (\) et prcds par deux barres
obliques inverses (\\). Par exemple, le chemin d'accs UNC du dossier partag Sales sur le serveur
LON-SVR1 peut tre \\LON-SVR1\Sales.
Partage d'un dossier dans le rseau

Windows Server 2012 fournit diffrentes manires de partager un dossier :
Cliquez sur le lecteur appropri, puis dans la section Services de fichiers et de stockage dans
le Gestionnaire de serveur, cliquez sur la tche Nouveau partage.
Utilisez l'Assistant Partage de fichiers, partir du menu contextuel du dossier ou en cliquant

sur le bouton Partager dans l'onglet Partage de la bote de dialogue Proprits du dossier.
Utilisez le partage avanc en cliquant sur le bouton Partage avanc dans l'onglet Partage
de la bote de dialogue Proprits du dossier.
Utilisez l'outil en ligne de commande Net use dans une fentre de ligne de commande.
Utilisez l'applet de commande New-SMBShare dans Windows PowerShell.
Remarque : Lors du partage d'un dossier, vous tes invit donner un nom au dossier
partag. Ce nom ne doit pas ncessairement tre le mme que celui du dossier rel ; ce peut
tre un nom descriptif qui dcrit mieux le contenu du dossier aux utilisateurs du rseau.
Partages administratifs
Vous pouvez crer des dossiers partags administratifs (ou cachs) qui doivent tre accessibles via le
rseau mais cachs aux utilisateurs parcourant le rseau. Vous pouvez accder un dossier partag
administratif en entrant son chemin d'accs UNC, mais le dossier ne s'affichera pas si vous accdez au
serveur en utilisant une fentre de l'Explorateur de fichiers. Les dossiers partags administratifs disposent
galement en gnral d'un ensemble d'autorisations plus restrictif qui reflte la nature administrative
du contenu de ces dossiers.
Pour masquer un dossier partag, ajoutez le symbole dollar ($) au nom du dossier. Par exemple,
vous pouvez transformer un dossier partag sur LON-SVR1, nomm Sales, en dossier partag cach
en le nommant Sales$. Le dossier partag est accessible via le rseau l'aide du chemin d'accs UNC
\\LON-SVR1\Sales$.
Remarque : Les autorisations d'un dossier partag s'appliquent uniquement aux utilisateurs
qui accdent au dossier via le rseau. Elles n'affectent pas les utilisateurs qui accdent au dossier
localement sur l'ordinateur o le dossier est stock.
Autorisations de dossier partag

Tout comme les autorisations NTFS, vous pouvez attribuer des autorisations de dossier partag
des utilisateurs, des groupes et des ordinateurs. Toutefois, la diffrence des autorisations NTFS, les
autorisations de dossier partag ne sont pas configurables pour les fichiers ou les dossiers individuels
figurant dans le dossier partag. Les autorisations de dossier partag sont dfinies une fois pour
le dossier partag lui-mme et s'appliquent universellement au contenu entier du dossier partag
pour les utilisateurs qui accdent au dossier via le rseau.
Lorsque vous crez un dossier partag, l'autorisation partage attribue par dfaut au groupe Tout
le monde est dfinie sur Lecture.
Le tableau ci-dessous rpertorie les autorisations que vous pouvez accorder un dossier partag.
Autorisation de
dossier partag
Description
Lecture
Les utilisateurs peuvent visualiser les noms des dossiers et des fichiers, visualiser
les donnes et les attributs des fichiers, excuter les fichiers programmes et les
scripts, ainsi que parcourir l'arborescence au sein du dossier partag.
Modification
Les utilisateurs peuvent crer des dossiers, ajouter des fichiers aux dossiers,
modifier ou ajouter des donnes dans les fichiers, modifier les attributs des
fichiers, supprimer des dossiers et des fichiers et effectuer toutes les tches
permises par l'autorisation Lecture.
Contrle total
Les utilisateurs peuvent changer les autorisations des fichiers, prendre possession
des fichiers et effectuer toutes les tches permises par l'autorisation Modification.
Remarque : Quand vous attribuez des autorisations Contrle total sur un dossier partag
un utilisateur, ce dernier peut modifier les autorisations sur le dossier partag, notamment
supprimer tous les utilisateurs (y compris les administrateurs) de la liste des autorisations du
dossier partag. Dans la plupart des cas, vous devriez accorder l'autorisation Modification
la place de l'autorisation Contrle total.
Hritage des autorisations

Par dfaut, NTFS et les dossiers partags utilisent
l'hritage pour propager les autorisations dans
l'ensemble d'une arborescence. Quand vous
crez un fichier ou un dossier, vous lui attribuez
automatiquement les autorisations dfinies sur les
dossiers placs au-dessus de lui (dossiers parents)
dans la hirarchie de l'arborescence.
Application de l'hritage
Examinez l'exemple suivant. Adam Carter est
membre du groupe Marketing et du groupe New
York Editors. Le tableau suivant est un rsum
des autorisations pour cet exemple :
Dossier ou fichier
Marketing (dossier)
Images marketing (dossier)
New York (dossier)
Fall_Composite.jpg (fichier)
Autorisations attribues
Lecture Marketing
Aucune dfinie
criture New York Editors
Aucune dfinie
Autorisations d'Adam
Lecture
Lecture (hrite)
Lecture(h) + criture
Lecture(h) + criture(h)
Dans cet exemple, Adam est membre de deux groupes auxquels sont attribues des autorisations
pour des fichiers et des dossiers dans l'arborescence. Ces autorisations sont les suivantes :
10-9
Le dossier de niveau suprieur, Marketing, possde une autorisation attribue pour le groupe
Marketing qui autorise l'accs en lecture.
Au niveau suivant, le dossier Images marketing ne possde aucune autorisation explicite dfinie
mais, en raison de l'hritage des autorisations, Adam a obtenu l'accs en lecture ce dossier et
son contenu partir des autorisations dfinies sur le dossier Marketing.
Au troisime niveau, le dossier New York a l'autorisation criture attribue l'un des groupes d'Adam,
New York Editors. Outre cette autorisation criture explicitement attribue, le dossier New York hrite
galement de l'autorisation Lecture du dossier Marketing. Ces autorisations sont transmises vers le
bas aux objets fichiers et dossiers et se cumulent aux autorisations de lecture et d'criture explicites
dfinies sur ces fichiers.
Le quatrime et dernier niveau correspond au fichier Fall_Composite.jpg. Mme si aucune

autorisation explicite n'a t dfinie pour ce fichier, Adam dispose d'un accs en lecture et
en criture au fichier en raison des autorisations hrites des dossiers Marketing et New York.
Conflits entre autorisations
Parfois, des autorisations dfinies explicitement sur un fichier ou un dossier entrent en conflit avec
des autorisations hrites d'un dossier parent. Dans ce cas, les autorisations attribues explicitement
remplacent toujours les autorisations hrites. Dans l'exemple donn, si l'accs en criture au dossier
parent Marketing a t refus Adam Carter, mais que l'accs en criture au dossier New York lui a t
ensuite accord explicitement, l'autorisation d'accs en criture accorde a priorit sur l'autorisation
refuse d'accs en criture hrite.
Blocage de l'hritage
10-10
Vous pouvez galement dsactiver le comportement d'hritage pour un fichier ou un dossier (et son
contenu) sur un lecteur NTFS pour dfinir explicitement des autorisations pour un ensemble d'objets sans
inclure les autorisations hrites partir des dossiers parents. Windows Server 2012 propose une option
permettant de bloquer l'hritage sur un fichier ou un dossier. Pour bloquer l'hritage sur un fichier ou
un dossier, procdez comme suit :
Cliquez avec le bouton droit sur le fichier ou le dossier o vous souhaitez bloquer l'hritage, puis
cliquez sur Proprits.
Dans la fentre Proprits, cliquez sur l'onglet Scurit, puis sur le bouton Avanc.
Dans la fentre Paramtres de scurit avancs, cliquez sur le bouton Modifier les autorisations.
Dans la fentre Paramtres de scurit avancs suivante, cliquez sur le bouton Dsactiver l'hritage.
ce stade, vous tes invit convertir les autorisations hrites en autorisations explicites ou supprimer
toutes les autorisations hrites de l'objet pour repartir zro en matire d'autorisations.
Rinitialisation du comportement d'hritage par dfaut
Aprs avoir bloqu l'hritage, les modifications apportes aux autorisations sur l'arborescence parente
n'exercent plus aucun effet sur les autorisations pour l'objet enfant (et son contenu) dont l'hritage est
bloqu, moins que vous rinitialisiez ce comportement partir d'un des dossiers parents en activant la
case cocher Remplacer toutes les autorisations des objets enfants par des autorisations pouvant
tre hrites de cet objet. Quand vous activez cette case cocher, l'ensemble existant d'autorisations
sur le dossier actif est propag vers le bas tous les objets enfants dans l'arborescence et remplace
toutes les autorisations explicitement attribues pour ces fichiers et dossiers. Cette case cocher est
situe directement sous la case cocher Inclure les autorisations pouvant tre hrites du parent
de cet objet.
Autorisations effectives
L'accs un fichier ou dossier dans
Windows Server 2012 est accord sur la base
d'une combinaison d'autorisations. Lorsqu'un
utilisateur tente d'accder un fichier ou un
dossier, l'autorisation qui s'applique dpend
de divers facteurs, incluant :
les autorisations hrites et explicitement

dfinies qui s'appliquent l'utilisateur ;
les autorisations hrites et explicitement

dfinies qui s'appliquent aux groupes
auxquels l'utilisateur appartient ;
la faon dont l'utilisateur accde au fichier ou aux dossiers : localement ou via le rseau.
10-11
Les autorisations NTFS effectives sont les autorisations cumulatives qui sont attribues un utilisateur pour
un fichier ou un dossier en fonction des facteurs rpertoris ci-dessus. Les principes suivants dterminent
les autorisations NTFS effectives :
Les autorisations cumulatives sont la combinaison des plus hautes autorisations NTFS accordes
l'utilisateur et tous les groupes dont l'utilisateur est membre. Par exemple, si un utilisateur est
membre d'un groupe disposant de l'autorisation de lecture et membre d'un groupe disposant de
l'autorisation de modification, l'autorisation de modification cumulative est attribue l'utilisateur.
Les refus ont priorit sur les autorisations quivalentes. Toutefois, une autorisation explicite peut
primer sur un refus hrit. Par exemple, si l'accs en criture un dossier est refus un utilisateur
par le biais d'un refus hrit, mais que l'accs en criture un sous-dossier ou un fichier particulier
lui est accord explicitement, l'autorisation explicite prime sur le refus hrit pour le sous-dossier
ou le fichier particulier.
Vous pouvez appliquer des autorisations un utilisateur ou un groupe. Il est prfrable d'attribuer
des autorisations des groupes, car elles sont plus efficaces que la gestion d'autorisations dfinies
pour de nombreux individus.
Les autorisations de fichiers NTFS ont la priorit sur les autorisations de dossiers NTFS. Par exemple,
si un utilisateur a l'autorisation de lecture sur un dossier mais que l'autorisation de modification lui
a t accorde sur certains fichiers dans ce dossier, l'autorisation effective pour ces fichiers est dfinie
sur Modification.
Chaque objet sur un lecteur NTFS ou dans les services de domaine Active Directory (AD DS) a
un propritaire. Le propritaire contrle la manire dont les autorisations sont dfinies sur l'objet
et qui en bnficie. Par exemple, un utilisateur qui cre un fichier dans un dossier o il dispose de
l'autorisation de modification peut modifier les autorisations sur le fichier en spcifiant Contrle total.
Outil Autorisations effectives
Windows Server 2012 fournit un outil Autorisations effectives qui montre les autorisations NTFS effectives
sur un fichier ou un dossier pour un utilisateur, en fonction des autorisations attribues au compte
d'utilisateur et aux groupes auxquels le compte d'utilisateur appartient. Vous pouvez accder
l'outil Autorisations effectives en procdant comme suit :
1.
Cliquez avec le bouton droit sur le fichier ou le dossier pour lequel vous voulez analyser les
autorisations, puis cliquez sur Proprits.
2.
Dans la bote de dialogue Proprits, cliquez sur le bouton Avanc.
3.
Dans la fentre Paramtres de scurit avancs, cliquez sur l'onglet Autorisations effectives.
4.
Choisissez un utilisateur ou un groupe valuer l'aide du bouton Slectionner.
Combinaison d'autorisations NTFS et d'autorisations de dossier partag
Les autorisations NTFS et les autorisations de dossier partag fonctionnent ensemble pour contrler
l'accs aux ressources de fichiers et de dossiers via un rseau. Lorsque vous configurez l'accs aux
ressources rseau sur un lecteur NTFS, utilisez les autorisations NFTS les plus restrictives pour contrler
l'accs aux dossiers et aux fichiers, et combinez-les avec les autorisations de dossier partag les plus
restrictives pour contrler l'accs au rseau.
Fonctionnement de la combinaison d'autorisations NTFS et d'autorisations

de dossier partag
Quand vous appliquez des autorisations NTFS et de dossier partag, souvenez-vous que l'autorisation
la plus restrictive des deux dfinit l'accs dont bnficiera un utilisateur un fichier ou un dossier.
Les deux exemples suivants expliquent cela plus en dtail :
10-12
Si vous dfinissez l'autorisation NTFS Contrle total sur un dossier, mais dfinissez l'autorisation de
dossier partag Lecture, l'utilisateur dispose uniquement de l'autorisation Lecture lorsqu'il accde
au dossier via le rseau. L'accs est restreint au niveau du dossier partag et aucun accs suprieur
au niveau des autorisations NTFS ne s'applique.
De mme, si vous dfinissez l'autorisation de dossier partag sur Contrle total et que vous dfinissez
les autorisations NTFS sur criture, l'utilisateur n'aura aucune restriction au niveau du dossier partag,
mais les autorisations NTFS sur le dossier accorderont uniquement les autorisations criture sur ce
dossier.
L'utilisateur doit avoir des autorisations appropries sur le fichier ou le dossier NTFS et sur le dossier
partag. Si aucune autorisation n'existe pour l'utilisateur (en tant qu'individu ou en tant que membre
d'un groupe) sur les deux ressources, l'accs est refus.
Considrations lies aux autorisations NTFS et de dossier partag combines

Voici quelques considrations permettant de faciliter l'administration des autorisations :
Accordez des autorisations aux groupes plutt qu'aux utilisateurs. Des individus peuvent toujours
tre ajouts ou supprims dans les groupes, tandis que les autorisations au cas-par-cas sont difficiles
suivre et complexes grer.
Refusez des autorisations uniquement en cas de ncessit. Les refus tant hrits, le fait de refuser des
autorisations sur un dossier peut empcher des utilisateurs d'avoir accs des fichiers un niveau
infrieur de l'arborescence. Vous ne devez refuser des autorisations que dans les cas suivants :
pour exclure un sous-ensemble d'un groupe disposant d'une autorisation ;
pour exclure une autorisation spcifique lorsque vous avez accord des autorisations de contrle
total un utilisateur ou un groupe.
Ne refusez jamais l'accs un objet au groupe Tout le monde. Si vous refusez l'accs un objet au
groupe Tout le monde, vous refusez l'accs aux administrateurs, y compris vous-mme. Supprimez
plutt le groupe Tout le monde de la liste des autorisations condition d'accorder des autorisations
sur l'objet d'autres utilisateurs, groupes ou ordinateurs.
Accordez des autorisations sur un objet situ le plus haut possible dans l'arborescence, pour que les
paramtres de scurit soient propags dans toute l'arborescence. Par exemple, au lieu de rassembler
des groupes qui reprsentent tous les services de la socit dans un dossier Lecture , attribuez le
groupe Utilisateurs du domaine (qui est un groupe par dfaut de tous les comptes d'utilisateurs du
domaine) au partage. De cette manire, plus besoin de mettre jour les groupes de services avant
que les nouveaux utilisateurs ne reoivent le dossier partag.
Utilisez des autorisations NTFS la place d'autorisations de dossier partag pour affiner l'accs.
Configurer la fois des autorisations de dossier partag et NTFS peut s'avrer difficile. Envisagez
d'affecter les autorisations les plus restrictives un groupe qui contient de nombreux utilisateurs
au niveau du dossier partag, puis utilisez des autorisations NTFS pour attribuer des autorisations
plus spcifiques.
Qu'est-ce que l'numration base sur l'accs ?

Avec l'numration base sur l'accs, les
utilisateurs voient seulement les fichiers et
dossiers auxquels ils ont l'autorisation d'accder.
L'numration base sur l'accs fournit une
meilleure exprience utilisateur, car elle permet
d'afficher une vue moins complexe du contenu
d'un dossier partag, ce qui aide les utilisateurs
rechercher les fichiers dont ils ont besoin.
Windows Server 2012 permet l'numration
base sur l'accs des dossiers qu'un serveur
partage via le rseau.
Activation de l'numration base sur l'accs

Pour activer l'numration base sur l'accs pour un dossier partag :
10-13
1.
Ouvrez le Gestionnaire de serveur.
2.
Dans le volet de navigation, cliquez sur Services de fichiers et de stockage.
3.
Dans le volet de navigation, cliquez sur Partages.
4.
Dans le volet Partages, cliquez avec le bouton droit sur le dossier partag pour lequel vous souhaitez
activer l'numration base sur l'accs, puis cliquez sur Proprits.
5.
Dans la bote de dialogue Proprits, cliquez sur Paramtres, puis activez la case cocher Activer
l'numration base sur l'accs.
Quand la case cocher Activer l'numration base sur l'accs est active, l'numration base
sur l'accs est active sur le dossier partag. Ce paramtre est unique pour chaque dossier partag
sur le serveur.
Remarque : La console Services de fichiers et de stockage est le seul emplacement de
l'interface Windows Server 2012 o vous pouvez configurer l'numration base sur l'accs pour
un dossier partag. L'numration base sur l'accs est non disponible dans l'ensemble des botes
de dialogue de proprits accessibles en cliquant avec le bouton droit sur le dossier partag dans
l'Explorateur de fichiers.
Que sont les fichiers hors connexion ?

Un fichier hors connexion est une copie d'un fichier
rseau qui est stocke sur un ordinateur client. Les
fichiers hors connexion permettent aux utilisateurs
d'accder aux fichiers rseau lorsque leur
ordinateur client est dconnect du rseau.
Les fichiers et les dossiers hors connexion
sont dits ou modifis par le client, et les
modifications sont synchronises avec la copie
rseau des fichiers la prochaine fois que le client
se connecte au rseau. Le comportement et la
planification de la synchronisation des fichiers
hors connexion sont contrls par le systme
d'exploitation client Windows.
Les fichiers hors connexion sont disponibles avec les systmes d'exploitation suivants :
Windows 8
Windows Server 2012
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Vista
Windows Server 2003
Windows XP
10-14
Avec Windows Server 2012, vous visualisez la fentre Paramtres hors connexion pour un dossier partag
en cliquant sur le bouton Mise en cache dans la fentre Partage avanc. Les options suivantes sont
disponibles dans la fentre Paramtres hors connexion :
Seuls les fichiers et les programmes spcifis par les utilisateurs sont disponibles hors connexion.
Il s'agit de l'option par dfaut lorsque vous configurez un dossier partag. Quand vous utilisez cette
option, aucun fichier ni programme n'est disponible hors connexion par dfaut, et les utilisateurs
contrlent quels fichiers et programmes ils souhaitent accder lorsqu'ils ne sont pas connects
au rseau. Vous pouvez galement choisir l'option Activer BranchCache. Cette option permet aux
ordinateurs qui accdent aux fichiers de mettre en cache les fichiers tlchargs partir du dossier
l'aide de Windows BranchCache. Vous devez installer et configurer BranchCache sur le serveur
Windows Server 2012 pour pouvoir slectionner cette option.
Aucun fichier ou programme du dossier partag n'est disponible hors connexion. Cette option
empche les ordinateurs clients d'effectuer des copies des fichiers et programmes dans le dossier
partag.
10-15
Tous les fichiers et les programmes ouverts par les utilisateurs partir du dossier partag sont
automatiquement disponibles hors connexion. Chaque fois qu'un utilisateur accde au lecteur
ou dossier partag et y ouvre un fichier ou un programme, ce fichier ou ce programme est
automatiquement mis la disposition de cet utilisateur hors connexion. Les fichiers et programmes
automatiquement rendus disponibles hors connexion demeurent dans le cache des fichiers hors
connexion et sont synchroniss avec la version sur le serveur jusqu' ce que le cache soit plein
ou que l'utilisateur supprime les fichiers. Les fichiers et programmes qui ne sont pas ouverts ne
sont pas disponibles hors connexion.
Optimis pour les performances. Si vous activez la case cocher Optimis pour les performances,
les fichiers excutables (.exe, .dll) qui sont excuts partir du dossier partag par un ordinateur
client sont automatiquement mis en cache sur cet ordinateur client. La prochaine fois que l'ordinateur
client excutera les fichiers excutables, il accdera son cache local plutt qu'au dossier partag
sur le serveur.
Remarque : La fonctionnalit Fichiers hors connexion doit tre active sur l'ordinateur
client pour que les fichiers et les programmes soient automatiquement mis en cache. En outre,
l'option Optimis pour les performances n'a aucun effet sur les ordinateurs clients qui utilisent
Windows Vista ou un systme d'exploitation Windows antrieur, parce que ces systmes
d'exploitation effectuent automatiquement une mise en cache au niveau des programmes,
telle que la spcifie cette option.
Configuration du paramtre Toujours disponible hors connexion
Vous pouvez configurer des ordinateurs excutant Windows Server 2012 ou Windows 8 pour qu'ils
utilisent le mode Toujours disponible hors connexion lorsqu'ils accdent des dossiers partags.
Lorsque vous configurez cette option, les ordinateurs clients utilisent toujours la version mise en cache
localement des fichiers partir d'un partage rseau, mme s'ils sont connects au serveur de fichiers via
une connexion rseau haut-dbit.
Cette configuration favorise en gnral un accs plus rapide aux fichiers pour les ordinateurs
clients, notamment lorsque la connectivit ou la vitesse d'une connexion rseau est intermittente.
La synchronisation avec les fichiers sur le serveur se produit selon la configuration des fichiers hors
connexion de l'ordinateur client.
Procdure d'activation du mode Toujours disponible hors connexion
Pour activer le mode Toujours disponible hors connexion, vous pouvez utiliser la stratgie de groupe pour
activer le paramtre Configurer le mode de liaison lente et dfinir la valeur de latence 1. Le paramtre
Configurer le mode de liaison lente est situ dans la stratgie de groupe sous le nud Configuration
ordinateur\Stratgies administratives\Rseau\Fichiers hors connexion.
Dmonstration : Cration et configuration d'un dossier partag

La cration et la configuration d'un dossier partag sont en gnral effectues dans l'Explorateur de
fichiers, dans la bote de dialogue Proprits du fichier ou du dossier, dans l'onglet Partage. Lorsque
vous crez un dossier partag, assurez-vous toujours que vous dfinissez des autorisations appropries
pour tous les fichiers et dossiers dans le dossier partag.
crer un dossier partag ;
attribuer des autorisations pour le dossier partag ;
configurer l'numration base sur l'accs ;
configurer les fichiers hors connexion.
Crer un dossier partag
10-16
1.
Connectez-vous LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2.
Sur le lecteur E:, crez un dossier nomm Donnes.
3.
Partagez le dossier Donnes.
Attribuer des autorisations pour le dossier partag
Accordez aux utilisateurs authentifis les autorisations de modification pour \\LON-SVR1\Donnes.
Configurer l'numration base sur l'accs

1.
2.
Naviguez jusqu'au volet Partager dans la console de gestion Services de fichiers et de stockage.
3.
Ouvrez la bote de dialogue Proprits de Donnes pour \\LON-SVR1\Donnes et activez

l'numration base sur l'accs.
Configurer les fichiers hors connexion

1.
Ouvrez la bote de dialogue Proprits de Donnes pour E:\Donnes.
2.
Accdez l'onglet Partage et ouvrez les paramtres de partage avanc.
3.
Ouvrez les paramtres de mise en cache, puis dsactivez les fichiers hors connexion.
suivante.
Leon 2
Protection des fichiers et des dossiers partags l'aide

de clichs instantans
10-17
Vous utilisez des clichs instantans pour restaurer des versions prcdentes de fichiers et de dossiers.
Il est nettement plus rapide de restaurer une version prcdente d'un fichier partir d'un clich
instantan qu' partir d'une copie de sauvegarde traditionnelle qui pourrait tre stocke hors site.
Les fichiers et les dossiers peuvent tre rcuprs par les administrateurs, ou directement par les
utilisateurs finaux.
Cette leon prsente aux stagiaires les clichs instantans et leur montre comment configurer une
planification de clichs instantans dans Windows Server 2012.
dcrire les clichs instantans ;
dcrire les considrations pour la planification de clichs instantans ;
identifier les mthodes de restauration des donnes partir des clichs instantans ;
restaurer des donnes partir d'un clich instantan.
Que sont les clichs instantans ?

Un clich instantan est une image statique
(ou une capture instantane) d'un ensemble
de donnes, tel qu'un fichier ou un dossier. Les
clichs instantans permettent de rcuprer des
fichiers et des dossiers en fonction des captures
instantanes qui sont prises des lecteurs de
stockage. Aprs une capture instantane, vous
pouvez visualiser et ventuellement restaurer les
versions prcdentes des fichiers et des dossiers
qui existaient au moment o la capture
instantane a t effectue.
Un clich instantan n'effectue pas une copie

complte de tous les fichiers pour chaque capture instantane. Au lieu de cela, aprs une capture
instantane, Windows Server 2012 effectue le suivi des modifications sur le lecteur. Une quantit
spcifique d'espace disque est alloue pour le suivi des blocs modifis du disque. Quand vous accdez
une version prcdente d'un fichier, une partie du contenu peut figurer dans la version actuelle du
fichier et une autre dans la capture instantane.
Par dfaut, les blocs modifis du disque sont stocks sur le mme lecteur que le fichier original, mais vous
pouvez modifier ce comportement. Vous pouvez galement dfinir la quantit d'espace disque alloue
pour les clichs instantans. Plusieurs captures instantanes sont retenues jusqu' ce que l'espace disque
allou soit satur, aprs quoi, les captures instantanes les plus vieilles sont supprimes pour faire de
la place pour de nouvelles captures instantanes. La quantit d'espace disque utilise par une capture
instantane est base sur la taille des modifications du disque entre les captures instantanes.
Puisqu'une capture instantane n'est pas une copie complte des fichiers, vous ne pouvez pas utiliser
les clichs instantans pour remplacer des sauvegardes traditionnelles. Si le disque contenant un
lecteur est perdu ou endommag, les captures instantanes de ce lecteur sont galement perdues.
10-18
Les clichs instantans conviennent pour la rcupration des fichiers de donnes, mais pas pour des
donnes plus complexes (telles que des bases de donnes), qui doivent tre cohrentes logiquement
avant qu'une sauvegarde soit effectue. Une base de donnes restaure partir de versions prcdentes
est susceptible d'tre endommage et de requrir des rparations de base de donnes.
lments prendre en compte pour la planification des clichs instantans

La planification par dfaut pour la cration de
clichs instantans est du lundi au vendredi
7h00 du matin, et de nouveau midi. Vous
pouvez modifier la planification par dfaut
comme vous le souhaitez pour votre organisation.
Lorsque vous planifiez des clichs instantans :
Considrez que l'augmentation de la

frquence des clichs instantans augmente
la charge qui pse sur le serveur. Il est
recommand de ne pas planifier de clichs
instantans de lecteur plus d'une fois par
heure.
Augmentez la frquence des clichs instantans pour des donnes qui changent souvent.
Ceci augmente la probabilit de capturer les modifications rcentes des fichiers.
Augmentez la frquence des clichs instantans pour les donnes importantes. Ceci augmente
la probabilit de capturer les modifications rcentes des fichiers.
Restauration de donnes partir d'un clich instantan

Les versions prcdentes des fichiers peuvent
tre restaures par les utilisateurs ou les
administrateurs. La plupart des utilisateurs
ignorent qu'ils peuvent faire ceci et ils auront
besoin d'instructions sur la faon de restaurer
une version prcdente d'un fichier.
Les administrateurs peuvent accder aux versions

prcdentes des fichiers directement sur le serveur
qui stocke les fichiers. Les utilisateurs peuvent
accder aux versions prcdentes des fichiers via
le rseau partir d'un partage de fichiers. Dans les
deux cas, les versions prcdentes sont accessibles
partir de la bote de dialogue Proprits du fichier ou du dossier. Les administrateurs peuvent restaurer
des versions prcdentes des fichiers directement sur le serveur, alors que les utilisateurs peuvent
restaurer des versions prcdentes pour les fichiers et les dossiers partags auxquels ils peuvent
accder via le rseau.
10-19
Lors de l'affichage de versions prcdentes d'un dossier, vous pouvez parcourir les fichiers disponibles et
slectionner seulement le fichier dont vous avez besoin. Si plusieurs versions des fichiers sont disponibles,
vous pouvez examiner chaque version avant de dcider laquelle restaurer. Enfin, vous pouvez copier une
version prcdente d'un fichier dans un autre emplacement au lieu de la restaurer son emplacement
prcdent. Ceci vite de remplacer la version actuelle du fichier.
Les systmes d'exploitation clients Windows XP avec Service Pack 2 (SP2) ou ultrieurs, Windows Vista
et Windows 7 sont capables d'accder aux versions prcdentes des fichiers sans qu'aucun logiciel
supplmentaire ne soit install. La capacit accder aux versions prcdentes des fichiers n'est
plus prise en charge dans les systmes d'exploitation Windows antrieurs Windows XP avec SP2.
Dmonstration : Restauration de donnes partir d'un clich instantan
Vous pouvez crer des clichs instantans en utilisant la planification par dfaut ou vous pouvez modifier
la planification pour fournir des captures instantanes plus frquentes. Dans les deux cas, vous verrez
uniquement les versions du fichier tel qu'il a chang. La ralisation d'un clich instantan d'un fichier
qui n'a pas chang n'exerce aucun effet rel sur le clich instantan. Aucune version supplmentaire
n'est disponible et aucun espace n'est utilis dans la capture instantane pour ce fichier particulier.
configurer des clichs instantans ;
crer un nouveau fichier ;
crer un clich instantan ;
modifier le fichier ;
restaurer la version prcdente.
Configurer des clichs instantans
1.
Sur LON-SVR1, ouvrez l'Explorateur de fichiers.
2.
Activez les clichs instantans pour Disque local (C:).
Crer un nouveau fichier

1.
Ouvrez l'Explorateur de fichiers.
2.
Crez un dossier sur le lecteur C:, nomm Donnes.
3.
Crez un fichier texte nomm TestFile.txt dans le dossier Donnes.
4.
Modifiez le contenu de TestFile.txt en ajoutant et en enregistrant le texte Version 1.
Crer un clich instantan

1.
Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur Disque local (C:), puis cliquez
sur Configurer les clichs instantans.
2.
Dans la fentre Clichs instantans, cliquez sur Crer.
3.
Une fois le clich instantan termin, cliquez sur OK.
Modifier le fichier
1.
Dans l'Explorateur de fichiers, double-cliquez sur TestFile.txt pour ouvrir le document.
2.
Dans le Bloc-notes, tapez Version 2.
3.
Fermez le Bloc-notes et cliquez sur Enregistrer pour enregistrer les modifications.
Restaurer la version prcdente
10-20
1.
Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur TestFile.txt, puis cliquez sur Restaurer
les versions prcdentes.
2.
Restaurez la version la plus rcente.
3.
Dans la fentre d'avertissement, cliquez sur Restaurer.
4.
Ouvrez TestFile.txt pour ouvrir le document et vrifiez que la version prcdente est restaure.
suivante.
Leon 3
Configuration de l'impression rseau
10-21
En utilisant le rle Services d'impression et de numrisation de document dans Windows Server 2012,
vous pouvez partager des imprimantes dans un rseau et centraliser la gestion des serveurs d'impression
et des imprimantes rseau. La console de gestion de l'impression vous permet de surveiller les files
d'attente d'impression et de recevoir des notifications importantes concernant l'activit des serveurs
d'impression.
Windows Server 2012 prsente de nouvelles fonctionnalits et modifications importantes au rle
Services d'impression et de numrisation de document que vous pouvez utiliser pour mieux grer votre
environnement d'impression rseau. Cette leon explique les aspects importants de l'impression rseau
et prsente les nouvelles fonctionnalits d'impression rseau disponibles dans Windows Server 2012.
identifier les avantages de l'impression rseau ;
dcrire l'opration amliore Pointer et imprimer ;
identifier les options de scurit pour l'impression rseau ;
crer plusieurs configurations pour un priphrique d'impression ;
dcrire le pool d'imprimantes ;
dcrire l'impression directe pour les filiales ;
identifier les mthodes pour dployer des imprimantes sur les clients.
Avantages de l'impression rseau

Vous pouvez configurer l'impression rseau en
utilisant Windows Server 2012 en tant que serveur
d'impression pour les utilisateurs. Dans cette
configuration, les ordinateurs clients soumettent
les travaux d'impression au serveur d'impression
pour les remettre une imprimante connecte au
rseau.
Avantages de l'impression rseau
Gestion centralise. Le plus grand avantage

li l'utilisation de Windows Server 2012 en
tant que serveur d'impression est la gestion
centralise de l'impression. Au lieu de grer
les connexions des clients de nombreux priphriques individuels, vous grez leur connexion
au serveur. Vous installez des pilotes d'imprimante de manire centralise sur le serveur et les
distribuez aux stations de travail.
Dpannage simplifi. En installant les pilotes d'imprimante de manire centralise sur un serveur,
vous simplifiez galement la rsolution des problmes. Il est relativement facile de dterminer si
des problmes d'impression sont provoqus par l'imprimante, le serveur ou l'ordinateur client.
10-22
Cots rduits. Une imprimante rseau est plus chre que celles utilises habituellement pour
l'impression locale, mais elle prsente galement des cots sensiblement infrieurs en matire de
consommables et une impression de meilleure qualit. Par consquent, le cot de l'impression est
minimis car le cot initial de l'imprimante est rparti entre tous les ordinateurs qui se connectent
cette imprimante. Par exemple, une imprimante rseau unique peut servir 100 utilisateurs ou plus.
Les utilisateurs peuvent aisment rechercher des imprimantes. Vous pouvez galement publier des
imprimantes rseau dans AD DS, ce qui permet aux utilisateurs de rechercher des imprimantes dans
leur domaine.
Qu'est-ce que l'opration amliore Pointer et imprimer ?

L'opration amliore Pointer et imprimer est une
nouvelle fonctionnalit de Windows Server 2012,
qui facilite l'installation de pilotes pour les
imprimantes rseau. L'opration amliore
Pointer et imprimer utilise le nouveau type
de pilote de version 4 (v4) qui est introduit
dans Windows Server 2012 et Windows 8.
Prsentation des pilotes V3 et V4
Le standard de pilote d'imprimante Windows

qui est utilis dans les versions antrieures
de Windows Server a exist sous une forme
relativement identique depuis l'introduction des
pilotes de version 3 (v3) dans les systmes d'exploitation Microsoft Windows 2000. Avec les pilotes v3, les
fabricants d'imprimantes crent des pilotes d'impression personnaliss pour chaque appareil spcifique
qu'ils produisent, pour garantir que les applications Windows peuvent utiliser toutes leurs fonctionnalits
d'impression. Avec le modle v3, la gestion de l'infrastructure d'imprimante exige des administrateurs
qu'ils conservent des pilotes pour chaque priphrique d'impression dans l'environnement, ainsi que des
pilotes 32 bits et 64 bits distincts pour un priphrique d'impression unique, afin de prendre en charge
les deux plateformes.
Prsentation du pilote d'imprimante V4
Windows Server 2012 et Windows 8 incluent la prise en charge des pilotes d'impression v4, qui permet
une gestion et une installation amliores des pilotes de priphrique d'impression. Sous le modle v4,
les fabricants de priphriques d'impression peuvent crer des pilotes de classe d'impression qui prennent
en charge un langage et des fonctionnalits d'impression similaires qui peuvent tre communs un grand
ensemble de priphriques. Les langages d'impression communs peuvent inclure le langage PCL (Printer
Control Language), .ps ou XPS (XML Paper Specification).
Les pilotes V4 sont en gnral dlivrs l'aide de Windows Update ou de Windows Software Update
Services. la diffrence des pilotes v3, les pilotes v4 ne sont pas dlivrs partir d'un magasin
d'impression hberg sur le serveur d'impression.
Le modle de pilote V4 offre les avantages suivants :
10-23
Le partage d'une imprimante ne requiert pas la fourniture de pilotes correspondant l'architecture

cliente.
Les fichiers de pilote sont isols pilote par pilote, ce qui vite les conflits de noms de fichier de pilote.
Un seul pilote peut prendre en charge plusieurs priphriques.
Les packages de pilotes sont plus petits et plus simples que les pilotes v3, ce qui favorise des temps
d'installation de pilote plus courts.
Le pilote d'imprimante et l'interface utilisateur de l'imprimante peuvent tre dploys de manire

indpendante.
Utilisation de l'opration amliore Pointer et imprimer pour l'installation

des pilotes
Sous le modle v4, le partage d'imprimantes et l'installation de pilotes fonctionnent automatiquement

sous l'opration amliore Pointer et imprimer. Lorsqu'une imprimante rseau est installe sur
un ordinateur client, le serveur et le client fonctionnent ensemble pour identifier le priphrique
d'impression. Le pilote s'installe alors directement partir du magasin de pilotes sur l'ordinateur
client, ou partir de Windows Update ou de Windows Software Update Services.
Avec l'opration amliore Pointer et imprimer, les pilotes de priphrique d'impression n'ont plus besoin
d'tre conservs sur le serveur d'impression. L'installation de pilotes pour les priphriques d'impression
rseau est acclre parce que les pilotes d'imprimante n'ont plus besoin d'tre transfrs via le rseau
du serveur au client.
Si le magasin de pilotes sur l'ordinateur client ne contient pas de pilote pour l'imprimante rseau en
cours d'installation, et s'il est impossible d'obtenir un pilote appropri partir de Windows Update ou
de Windows Server Update Services, Windows utilise un mcanisme de rappel pour activer l'impression
interplateforme l'aide du pilote d'impression issu du serveur d'impression.
Options de scurit pour l'impression rseau

Quand une imprimante est partage via un rseau,
aucune scurit n'est requise dans de nombreux
cas. L'imprimante est considre d'accs libre,
ce qui signifie que chacun est autoris l'utiliser
pour imprimer. Ceci est la configuration par
dfaut pour une imprimante qui est partage
sur un serveur Windows.
Les autorisations disponibles pour l'impression partage incluent les autorisations suivantes :
10-24
Imprimer : cette autorisation permet aux utilisateurs d'imprimer des documents sur l'imprimante. Par
dfaut, le groupe Tout le monde dispose de cette autorisation.
Grer cette imprimante : cette autorisation permet aux utilisateurs de modifier les paramtres
de l'imprimante, y compris de mettre jour les pilotes. Par dfaut, cette autorisation est accorde
aux administrateurs, aux oprateurs de serveur et aux oprateurs d'impression.
Gestion des documents : cette autorisation permet aux utilisateurs de modifier et de supprimer
des travaux d'impression dans la file d'attente. Cette autorisation est attribue au CRATEUR
PROPRITAIRE, ce qui signifie que l'utilisateur qui cre un travail d'impression gre ce travail.
Les administrateurs, les oprateurs de serveur et les oprateurs d'impression disposent
galement de cette autorisation pour tous les travaux d'impression.
Dmonstration : Cration de plusieurs configurations pour un priphrique

d'impression
La cration de plusieurs configurations pour un priphrique d'impression vous permet d'attribuer des
files d'attente d'impression des utilisateurs ou des groupes spcifiques de sorte qu'ils puissent imprimer
des travaux prioritaires sur une imprimante en cours d'utilisation par d'autres utilisateurs. Lorsqu'un travail
d'impression est envoy la file d'attente d'impression prioritaire, le serveur d'impression traite ce travail
avant tous les travaux provenant de la file d'attente de priorit normale.
crer une imprimante partage ;
crer une deuxime imprimante partage utilisant le mme port ;
augmenter la priorit d'impression pour une file d'attente d'impression prioritaire.
Crer une imprimante partage
1.
Ouvrez la fentre Priphriques et imprimantes.
2.
Ajoutez une imprimante utilisant le port local LPT1 et le pilote de classe Brother Color Leg Type1.
3.
Nommez l'imprimante AllUsers.
4.
Partagez l'imprimante en utilisant les paramtres par dfaut.
Crer une deuxime imprimante partage utilisant le mme port

1.
Ouvrez la fentre Priphriques et imprimantes.
2.
Ajoutez une imprimante utilisant le port local LPT1 et le pilote de classe Brother Color Leg Type1.
3.
Nommez l'imprimante Executives.
4.
Partagez l'imprimante en utilisant les paramtres par dfaut.
Augmenter la priorit d'impression pour une file d'attente d'impression prioritaire

1.
Ouvrez la fentre de proprits Imprimante Executives.
2.
Augmentez la priorit en spcifiant 10.
Qu'est-ce que le pool d'imprimantes ?

Le pool d'imprimantes est une manire d'associer
plusieurs imprimantes physiques en une seule
unit logique. Pour les ordinateurs clients, le pool
d'imprimantes apparat comme une imprimante
unique. Lorsque des travaux sont soumis au pool
d'imprimantes, n'importe quelle imprimante
disponible dans le pool d'imprimantes peut
les traiter.
10-25
Le pool d'imprimantes augmente l'volutivit

et la disponibilit de l'impression rseau. Si une
imprimante dans le pool est non disponible (par
exemple, en raison d'un travail d'impression de
grande envergure, d'un bourrage papier ou de son tat hors connexion), tous les travaux sont distribus
aux imprimantes restantes. Si un pool d'imprimantes n'a pas une capacit suffisante, vous pouvez ajouter
une autre imprimante au pool d'imprimantes sans effectuer aucune configuration des clients.
Un pool d'imprimantes est configur sur un serveur en spcifiant plusieurs ports pour une imprimante.
Chaque port correspond l'emplacement d'une imprimante physique. Dans la plupart des cas, les ports
correspondent une adresse IP sur le rseau plutt qu' une connexion LPT ou USB.
Les conditions requises pour un pool d'imprimantes sont les suivantes :
Les imprimantes doivent utiliser le mme pilote : les clients utilisent un pilote d'imprimante unique
pour gnrer les travaux d'impression. Toutes les imprimantes doivent accepter les travaux
d'impression dans le mme format. Dans de nombreux cas, ceci signifie qu'un modle unique
d'imprimante est utilis.
Les imprimantes doivent tre dans le mme emplacement : les imprimantes d'un pool d'imprimantes
doivent tre physiquement proches les unes des autres. Lorsque les utilisateurs rcuprent leurs
travaux d'impression, ils doivent passer en revue toutes les imprimantes du pool d'imprimantes pour
trouver leur document. Les utilisateurs n'ont aucun moyen de savoir quelle imprimante a imprim
leur document.
Qu'est-ce que l'impression directe pour les filiales ?

L'impression directe pour les filiales rduit les
cots du rseau pour les organisations qui ont
centralis leurs rles Windows Server. Lorsque
l'impression directe pour les filiales est active,
les clients Windows obtiennent les informations
sur l'imprimante partir du serveur d'impression,
mais envoient les travaux d'impression
directement l'imprimante. Les donnes
d'impression ne transitent plus par le serveur
central avant de revenir l'imprimante de la
filiale. Cette configuration rduit le trafic entre
l'ordinateur client, le serveur d'impression et
l'imprimante de la filiale, et se traduit par une hausse de l'efficacit du rseau.
10-26
L'impression directe pour les filiales est transparente l'utilisateur. En outre, l'utilisateur est en mesure
d'imprimer mme si le serveur d'impression est non disponible pour une raison quelconque (par exemple,
si la liaison WAN [rseau tendu] au centre de donnes est interrompue). Ceci est d au fait que les
informations sur l'imprimante sont mises en cache sur l'ordinateur client dans la filiale.
Configuration de l'impression directe pour les filiales
L'impression directe pour les filiales est configure par un administrateur l'aide de la console de gestion
de l'impression ou de l'interface de ligne de commande Windows PowerShell.
Pour configurer l'impression directe pour les filiales dans la console de gestion de l'impression, procdez
comme suit :
1.
Dans le Gestionnaire de serveur, ouvrez la console de gestion de l'impression.
2.
Dans le volet de navigation, dveloppez Serveurs d'impression, puis dveloppez le serveur

d'impression qui hberge l'imprimante rseau pour laquelle l'impression directe pour les filiales
sera active.
3.
Cliquez sur le nud Imprimantes, cliquez avec le bouton droit sur l'imprimante souhaite,
puis cliquez sur Activer l'impression directe pour les filiales.
Pour configurer l'impression directe pour les filiales l'aide de Windows PowerShell, tapez l'applet
de commande suivante une invite Windows PowerShell :
Set-Printer -name "<Nom de l'imprimante>" -ComputerName <Nom du serveur d'impression> RenderingMode BranchOffice
Dploiement d'imprimantes sur des clients

Le dploiement d'imprimantes sur les clients est
une partie essentielle de la gestion des services
d'impression dans le rseau. Un systme bien
conu pour dployer les imprimantes est volutif
et peut tre utilis pour grer des centaines
ou des milliers d'ordinateurs.
Les options de dploiement des imprimantes
10-27
Prfrences des stratgies de groupe. Vous

pouvez utiliser les prfrences des stratgies
de groupe pour dployer des imprimantes
partages sur des clients Windows XP,
Windows Vista, Windows 7 et Windows 8. L'imprimante peut tre associe avec le compte
d'utilisateur ou le compte d'ordinateur, et peut tre cible par groupe. Pour les ordinateurs
excutant Windows XP, vous devez installer l'extension Stratgie de groupe Client de prfrences.
Objet de stratgie de groupe cr par la gestion de l'impression. L'outil d'administration de gestion

de l'impression peut ajouter des imprimantes un objet GPO pour leur distribution sur les
ordinateurs clients sur la base d'un compte d'utilisateur ou d'un compte d'ordinateur. Les
ordinateurs Windows XP doivent tre configurs pour excuter PushPrinterConnections.exe.
Installation manuelle. Chaque utilisateur peut ajouter des imprimantes manuellement en parcourant
le rseau ou en utilisant l'Assistant Ajout d'imprimante. Il est important de noter que les imprimantes
rseau qui sont installes manuellement sont disponibles seulement pour l'utilisateur qui les a
installes. Si plusieurs utilisateurs partagent un ordinateur, chacun d'eux doit installer l'imprimante
manuellement.
Atelier pratique : Implmentation des services de fichier

et d'impression
Scnario
10-28
Votre responsable vous a rcemment demand de configurer les services de fichiers et d'impression pour
la filiale. Ceci vous oblige configurer un nouveau dossier partag qui sera utilis par plusieurs services,
configurer des clichs instantans sur les serveurs de fichiers et configurer un pool d'imprimantes.
Objectifs
crer et configurer un partage de fichiers ;
configurer des clichs instantans ;
crer et configurer un pool d'imprimantes.

22410B-LON-CL1
22410B-LON-DC1
22410B-LON-SVR1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
1.
2.
sur Accueil.
3.
4.
5.
Domaine : ADATUM
Rptez les tapes 2 4 pour 22410B-LON-SVR1. Rptez les tapes 2 et 3 pour 22410B-LON-CL1.
Ne vous connectez pas LON-CL1 tant qu'il ne vous a pas t demand de le faire.
Exercice 1 : Cration et configuration d'un partage de fichiers

Scnario
Votre responsable vous a demand de crer un nouveau dossier partag qui sera utilis par tous les
services. Il y aura un partage de fichiers unique avec des dossiers distincts pour chaque service. Pour
garantir que les utilisateurs voient uniquement les fichiers auxquels ils ont accs, vous devez activer
l'numration base sur l'accs sur le partage.
10-29
Des problmes se sont produits dans d'autres filiales avec des conflits lorsque les fichiers hors connexion
sont utiliss pour les structures de donnes partages. Pour viter les conflits, vous devez dsactiver
les fichiers hors connexion pour ce partage.
1.
Crer l'arborescence du nouveau partage
2.
Configurer des autorisations NTFS sur l'arborescence
3.
Crer le dossier partag
4.
Tester l'accs au dossier partag
5.
Activer l'numration base sur l'accs
6.
Tester l'accs au partage
7.
Dsactiver les fichiers hors connexion pour le partage
Tche 1 : Crer l'arborescence du nouveau partage

1.
Sur LON-SVR1, ouvrez l'Explorateur de fichiers et crez les dossiers suivants :
E:\Donnes
E:\Donnes\Development
E:\Donnes\Marketing
E:\Donnes\Research
E:\Donnes\Sales
Tche 2 : Configurer des autorisations NTFS sur l'arborescence

1.
Dans l'Explorateur de fichiers, bloquez l'hritage des autorisations NTFS pour E:\Donnes et,
lorsque vous y tes invit, convertissez les autorisations hrites en autorisations explicites.
2.
Dans l'Explorateur Windows, supprimez les autorisations pour LON-SVR1\Users sur les
sous-rpertoires dans E:\Donnes.
3.
Dans l'Explorateur de fichiers, ajoutez les autorisations NTFS suivantes pour l'arborescence :
Dossier
Autorisations
E:\Donnes
Aucune modification
E:\Donnes\Development
Modification : ADATUM\Development
E:\Donnes\Marketing
Modification : ADATUM\Marketing
E:\Donnes\Research
Modification : ADATUM\Research
E:\Donnes\Sales
Modification : ADATUM\Sales
Tche 3 : Crer le dossier partag

1.
Dans l'Explorateur de fichiers, partagez le dossier E:\Donnes.
2.
Attribuez les autorisations suivantes au dossier partag :
Modification : ADATUM\Utilisateurs authentifis
Tche 4 : Tester l'accs au dossier partag

1.
Connectez-vous LON-CL1 en tant que ADATUM\Bernard avec le mot de passe Pa$$w0rd.

Remarque : Bernard est membre du groupe Development.
2.
3.
Accdez \\LON-SVR1\Donnes.
4.
Essayez d'ouvrir les dossiers Development, Marketing, Research et Sales.
Remarque : Bernard doit avoir accs au dossier Development. Toutefois, bien que Bernard
puisse encore voir les autres dossiers, il n'a pas accs leur contenu.
5.
Tche 5 : Activer l'numration base sur l'accs

1.
2.
3.
Cliquez sur Services de fichiers et de stockage.
4.
Cliquez sur Partages.
5.
Ouvrez la fentre Proprits pour le partage de Donnes et, dans la page Paramtres,
activez l'option numration base sur l'accs.
10-30
Tche 6 : Tester l'accs au partage

1.
2.
Ouvrez une fentre de l'Explorateur de fichiers et accdez \\LON-SVR1\Donnes.
Remarque : Bernard peut prsent visualiser uniquement le dossier Development, le dossier

pour lequel des autorisations lui ont t attribues.
3.
Ouvrez le dossier Development pour confirmer l'accs.
4.
Tche 7 : Dsactiver les fichiers hors connexion pour le partage

1.
2.
3.
Accdez au lecteur Allfiles (E:).
4.
Ouvrez la fentre Proprits pour le dossier Donnes et dsactivez la mise en cache des fichiers
hors connexion.
Rsultats : la fin de cet exercice, vous aurez cr un nouveau dossier partag l'usage de plusieurs
services.
Exercice 2 : Configuration de clichs instantans

Scnario
10-31
La socit A. Datum Corporation stocke des sauvegardes quotidiennes hors site pour permettre une
rcupration d'urgence. Chaque matin, la sauvegarde de la nuit prcdente est place hors site. La
rcupration d'un fichier de la sauvegarde exige le renvoi sur site des bandes de sauvegarde. La dure
globale de rcupration d'un fichier de la sauvegarde peut tre d'une journe ou plus.
Votre responsable vous a demand de garantir l'activation des clichs instantans sur le serveur de fichiers
afin que vous puissiez restaurer les fichiers rcemment modifis ou supprims sans utiliser de bande de
sauvegarde. Puisque les donnes propres cette filiale changent frquemment, il vous a t demand
de configurer la cration d'un clich instantan toutes les heures.
1.
Configurer des clichs instantans pour le partage de fichiers
2.
Crer plusieurs clichs instantans d'un fichier
3.
Rcuprer un fichier supprim partir d'un clich instantan
Tche 1 : Configurer des clichs instantans pour le partage de fichiers

1.
2.
3.
Accdez au lecteur E, cliquez avec le bouton droit sur Allfiles (E:), puis cliquez sur Configurer
les clichs instantans.
4.
Activez les clichs instantans pour le lecteur E.
5.
Configurez les paramtres pour planifier un clich instantan toutes les heures pour le lecteur E.
Tche 2 : Crer plusieurs clichs instantans d'un fichier

1.
Sur LON-SVR1, basculez vers l'Explorateur de fichiers et accdez au dossier

E:\Donnes\Development.
2.
Crez un nouveau fichier texte nomm Report.txt.
3.
Revenez la bote de dialogue Proprits de Allfiles (E:) ; elle devrait tre encore ouverte dans
l'onglet Clichs instantans. Cliquez sur Crer.
Tche 3 : Rcuprer un fichier supprim partir d'un clich instantan

1.
Sur LON-SVR1, revenez la fentre de l'Explorateur de fichiers.
2.
Supprimez le fichier Report.txt.
3.
Ouvrez la bote de dialogue Proprits pour E:\Donnes\Development, puis cliquez sur l'onglet
Versions prcdentes.
4.
Ouvrez la version la plus rcente du dossier Development, puis copiez le fichier Report.txt.
5.
Collez le fichier dans le dossier Development.
6.
Fermez l'Explorateur de fichiers et toutes les fentres ouvertes.
Rsultats : la fin de cet exercice, vous aurez activ des clichs instantans sur le serveur de fichiers.
Exercice 3 : Cration et configuration d'un pool d'imprimantes

Scnario
Votre responsable vous a demand de crer une nouvelle imprimante partage pour votre filiale.
Toutefois, au lieu de crer l'imprimante partage sur le serveur local dans la filiale, il vous a demand
de crer l'imprimante partage dans le sige social et d'utiliser l'impression directe pour les filiales.
Ceci permet de grer l'imprimante dans le sige social, mais empche les travaux d'impression
d'tre transmis via les liaisons WAN.
Pour garantir la haute disponibilit de cette imprimante, vous devez formater cette dernire en tant
qu'imprimante mise en pool. Deux priphriques d'impression physiques du mme modle ont t
installs dans la succursale cet effet.
1.
Installer le rle serveur Services d'impression et de numrisation de document
2.
Installer une imprimante
3.
Configurer le pool d'imprimantes
4.
Installer une imprimante sur un ordinateur client
5.
10-32
Tche 1 : Installer le rle serveur Services d'impression et de numrisation

de document
1.
2.
Installez le rle Services de document et d'impression et acceptez les paramtres par dfaut.
Tche 2 : Installer une imprimante

1.
Sur LON-SVR1, utilisez la console de gestion de l'impression pour installer une imprimante avec
les paramtres suivants :
Adresse IP : 172.16.0.200
Pilote : Microsoft XPS Class Driver
Nom : Imprimante de filiale
2.
Partagez l'imprimante.
3.
Rpertoriez l'imprimante dans AD DS.
4.
Activez l'impression directe pour les filiales.
Tche 3 : Configurer le pool d'imprimantes

1.
Sur LON-SVR1, dans la console de gestion de l'impression, crez un nouveau port avec
la configuration suivante :
Type : Port TCP/IP standard
Adresse IP : 172.16.0.201
Connexion : Generic Network Card
2.
Ouvrez la page Proprits de Imprimante de filiale, et, dans l'onglet Ports, activez le pool
d'imprimantes.
3.
Slectionnez le port 172.16.0.201 comme deuxime port.
Tche 4 : Installer une imprimante sur un ordinateur client
10-33
1.
Connectez-vous LON-CL1 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2.
Ajoutez une imprimante, en slectionnant Imprimante de filiale sur LON-SVR1.
Tche 5 : Pour prparer le module suivant
comme suit :
1.
2.
Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-SVR1, puis cliquez
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-CL1 et 22410B-LON-DC1.
Rsultats : la fin de cet exercice, vous aurez install le rle serveur Services de documents
et d'impression et install une imprimante avec le pool d'imprimantes.
Question : Comment l'implmentation de l'numration base sur l'accs bnficie-t-elle
aux utilisateurs du dossier partag Donnes dans cet atelier pratique ?
Question : Existe-t-il une autre manire de rcuprer le fichier dans l'exercice relatif aux
clichs instantans ? Quel avantage les clichs instantans offrent-ils en comparaison ?
Question : Dans l'exercice 3, comment pourriez-vous configurer l'impression directe pour les
filiales si vous tiez dans un emplacement distant et n'aviez pas accs l'interface graphique
utilisateur de Windows Server 2012 pour le serveur d'impression ?
10-34

Question : Comment l'hritage affecte-t-il les autorisations explicitement attribues sur
un fichier ?
Question : Pourquoi ne devriez-vous pas utiliser les clichs instantans comme moyen
de sauvegarde des donnes ?
Question : Dans quels scnarios l'impression directe pour les filiales peut-elle tre
avantageuse ?
Outils
10-35
Nom de l'outil
Utilis pour
Emplacement
Outil Autorisations
effectives
valuation des autorisations combines

pour un fichier, un dossier ou un dossier
partag.
Sous Avanc, dans l'onglet Scurit

de la bote de dialogue Proprits
d'un fichier, d'un dossier ou d'un
dossier partag.
Outil en ligne de
commande Net use
Configuration des composants rseau

Invite de commandes.
Console de gestion
de l'impression
Gestion de l'environnement d'impression

dans Windows Server 2012.
Menu Outils dans le Gestionnaire

de serveur.

11-1
Module 11
Implmentation d'une stratgie de groupe
Table des matires :
11-1
Leon 1 : Vue d'ensemble d'une stratgie de groupe
11-2
Leon 2 : Traitement d'une stratgie de groupe
11-11
Leon 3 : Implmentation d'un magasin central pour les modles

d'administration
11-18
Atelier pratique : Implmentation d'une stratgie de groupe
11-23
11-27

Assurer la maintenance d'un environnement informatique cohrent au sein d'une organisation
reprsente un vritable dfi. Les administrateurs ont besoin d'un mcanisme pour configurer
et appliquer les paramtres et les restrictions des ordinateurs et des utilisateurs. La stratgie de
groupe peut fournir cette cohrence en permettant aux administrateurs de grer et d'appliquer
les paramtres de configuration de manire centralise.
Ce module fournit une vue d'ensemble d'une stratgie de groupe et fournit des informations
dtailles sur la procdure d'implmentation des objets de stratgie de groupe.
Objectifs
crer et grer des objets de stratgie de groupe ;
dcrire le traitement de stratgie de groupe ;
implmenter un magasin central pour les modles d'administration.
Leon 1
Vue d'ensemble d'une stratgie de groupe

La stratgie de groupe vous permet de contrler l'environnement informatique. Afin de pouvoir
l'appliquer correctement, il est important de comprendre comment la stratgie de groupe fonctionne.
Cette leon fournit une vue d'ensemble de la structure d'une stratgie de groupe, et dfinit les objets
de stratgie de groupe locale et base sur un domaine. Elle dcrit galement les types de paramtre
disponibles pour les utilisateurs et les groupes.
dcrire les composants de la stratgie de groupe ;
dcrire les objets de stratgie de groupe locale multiple ;
dcrire les options de stockage des objets de stratgie de groupe de domaine ;
dcrire les prfrences et les stratgies d'objet de stratgie de groupe ;
dcrire les objets de stratgie de groupe Starter ;
dcrire le processus de dlgation de la gestion des objets de stratgie de groupe ;
dcrire le processus de cration et de gestion des objets de stratgie de groupe.
Composants de la stratgie de groupe

Les paramtres de stratgie de groupe sont des
paramtres de configuration qui permettent aux
administrateurs d'appliquer des paramtres en
modifiant les paramtres du Registre spcifiques
l'utilisateur et spcifiques l'ordinateur sur les
ordinateurs bass sur un domaine. Vous pouvez
regrouper des paramtres de stratgie de groupe
pour crer des objets de stratgie de groupe, que
vous pouvez ensuite appliquer aux utilisateurs
ou aux ordinateurs.
Objets de stratgie de groupe
11-2 Implmentation d'une stratgie de groupe
Un objet de stratgie de groupe est un objet qui

contient un ou plusieurs paramtres de stratgie qui appliquent un paramtre de configuration pour les
utilisateurs, les ordinateurs ou les deux. Les modles d'objets de stratgie de groupe sont stocks dans
SYSVOL tandis que les objets des conteneurs d'objets de stratgie de groupe sont stocks dans AD DS.
Les objets de stratgie de groupe peuvent tre grs l'aide de la console Gestion des stratgies de
groupe (GPMC). Dans cette console, vous pouvez ouvrir et modifier un objet de stratgie de groupe
l'aide de l'diteur de gestion des stratgies de groupe. Les objets de stratgie de groupe sont lis
logiquement des conteneurs Active Directory pour appliquer des paramtres aux objets contenus
dans ces conteneurs. Les objets de stratgie de groupe ne peuvent pas tre relis aux conteneurs
Utilisateurs et Ordinateurs. Ils peuvent tre relis des sites, des domaines et des units d'organisation.
Paramtres de stratgie de groupe
11-3
Un paramtre de stratgie de groupe est le composant le plus prcis de la stratgie de groupe. Il dfinit
une modification de configuration spcifique appliquer un objet (un ordinateur, un utilisateur, ou les
deux) au sein des services de domaine Active Directory (AD DS). Une stratgie de groupe a des milliers
de paramtres configurables. Ces paramtres peuvent affecter presque chaque zone de l'environnement
informatique. Les paramtres ne peuvent pas tous tre appliqus toutes les versions antrieures des
systmes d'exploitation Windows Server et Windows. Chaque nouvelle version introduit de nouveaux
paramtres et de nouvelles fonctions qui s'appliquent uniquement cette version spcifique. Si un
paramtre de stratgie de groupe est appliqu un ordinateur qui ne peut pas le traiter, celui-ci
l'ignore simplement.
La plupart des paramtres de stratgie ont trois tats :
Non configur. L'objet de stratgie de groupe ne modifiera pas la configuration existante

de ce paramtre particulier pour l'utilisateur ou l'ordinateur.
Activ. Le paramtre de stratgie sera appliqu.
Dsactiv. Le paramtre de stratgie est spcifiquement invers.
Par dfaut, l'tat Non configur est affect la plupart des paramtres.
Remarque : Il existe quelques paramtres valeurs multiples ou dont les valeurs sont de
type chane de texte. Ceux-ci sont gnralement utiliss pour fournir des dtails de configuration
spcifiques aux applications ou aux composants du systme d'exploitation. Par exemple, un
paramtre pourrait fournir l'URL de la page d'accueil de Windows Internet Explorer ou de
certaines applications bloques.
Les effets de la modification de configuration varient selon le paramtre de stratgie. Par exemple,
si vous activez le paramtre de stratgie Empcher l'accs au Panneau de configuration, les
utilisateurs ne pourront plus ouvrir le Panneau de configuration. Si vous dsactivez ce paramtre
de stratgie, vous permettez aux utilisateurs d'ouvrir le Panneau de configuration. Remarquez
le double ngatif de ce paramtre de stratgie : vous dsactivez une stratgie qui empche
une action, ce qui autorise ainsi cette action.
Structure des paramtres de stratgie de groupe

Il y a deux groupes distincts de paramtres de stratgie de groupe :
Paramtres de l'utilisateur. Il s'agit des paramtres qui modifient la ruche HKey de l'utilisateur actuel
dans le Registre.
Paramtres de l'ordinateur. Il s'agit des paramtres qui modifient la ruche HKEY de l'ordinateur local
dans le Registre.
Les paramtres de l'utilisateur et de l'ordinateur ont chacun trois domaines de configuration, qui sont
dcrits dans le tableau suivant.
Section
Description
Paramtres logiciels
Comprennent les paramtres logiciels qui peuvent tre dploys pour

l'utilisateur ou l'ordinateur. Les logiciels qui sont dploys pour un
utilisateur sont spcifiques cet utilisateur. Les logiciels qui sont dploys
pour l'ordinateur sont la disposition de tous les utilisateurs de cet
ordinateur.
Paramtres du systme
Comprennent les paramtres de script et les paramtres de scurit

pour l'utilisateur et l'ordinateur, et la maintenance Internet Explorer
pour la configuration utilisateur.
Modles d'administration
Comprennent des centaines de paramtres qui modifient le Registre

afin de contrler les divers aspects de l'environnement de l'utilisateur
et de l'ordinateur. De nouveaux modles d'administration peuvent tre
crs par Microsoft ou d'autres fournisseurs. Vous pouvez ajouter ces
nouveaux modles la Console de gestion des stratgies de groupe.
Par exemple, Microsoft met disposition le tlchargement des modles
Office 2010 et vous pouvez les ajouter la Console de gestion des
stratgies de groupe.
diteur de gestion des stratgies de groupe

L'diteur de gestion des stratgies de groupe affiche les diffrents paramtres de stratgie de groupe
qui sont disponibles dans un objet de stratgie de groupe. Ceux-ci sont affichs dans une hirarchie
organise qui commence par la division entre les paramtres de l'ordinateur et les paramtres de
l'utilisateur, puis qui se dveloppe pour afficher le nud Configuration de l'ordinateur et le nud
Configuration de l'utilisateur. L'diteur de gestion des stratgies de groupe est l'endroit o tous les
paramtres et les prfrences de stratgie de groupe sont configurs.
Prfrences de stratgie de groupe
En plus des sections de la stratgie de groupe prsentes dans le tableau prcdent, un nud Prfrences
est prsent sous les nuds Configuration de l'ordinateur et Configuration de l'utilisateur dans l'diteur
de gestion des stratgies de groupe. Les prfrences fournissent encore plus de fonctions avec lesquelles
configurer l'environnement et seront prsentes ultrieurement dans ce module.
Stratgie de groupe locale

Tous les systmes qui excutent les systmes d'exploitation client ou serveur Microsoft Windows 2000
ou version plus rcente disposent galement d'objets de stratgie de groupe locale. Les paramtres
de stratgie locale s'appliquent uniquement l'ordinateur local, mais vous pouvez les exporter et les
importer sur d'autres ordinateurs.
Que sont les objets de stratgie de groupe locale multiple ?
11-5
Dans les systmes d'exploitation Windows

antrieurs Windows Vista, il n'y avait qu'une
seule configuration utilisateur disponible dans
la stratgie de groupe locale. Cette configuration
tait applique tous les utilisateurs qui se
connectaient depuis cet ordinateur local. C'est
encore vrai, mais Windows Vista et les systmes
d'exploitation client Windows plus rcents,
ainsi que Windows Server 2008 et les systmes
d'exploitation Windows Server plus rcents sont
dots d'une fonctionnalit supplmentaire : les
objets de stratgie de groupe locale multiple.
Dans Windows 8 et Windows Server 2012, vous pouvez dsormais galement avoir diffrents paramtres
utilisateur pour diffrents utilisateurs locaux, mais cette option est uniquement disponible pour les
configurations des utilisateurs qui figurent dans la stratgie de groupe. En fait, il y a un seul ensemble
de configurations d'ordinateur disponible dans Windows 8 et Windows Server 2012, qui affecte tous
les utilisateurs de l'ordinateur.
Windows 8 et Windows Server 2012 fournissent cette fonctionnalit avec les trois couches d'objets
de stratgie de groupe locale suivantes :
Stratgie de groupe locale (contient les paramtres de configuration de l'ordinateur)
Stratgie de groupe Administrateurs et Non-administrateurs
Stratgie de groupe locale spcifique l'utilisateur
Remarque : Il existe une exception cette fonctionnalit : les contrleurs de domaine.

En raison de la nature de leur rle, les contrleurs de domaine ne peuvent pas avoir d'objets
de stratgie de groupe locale.
Mode de traitement des couches

Les couches d'objets de stratgie de groupe locale sont traites dans l'ordre suivant :
1.
Stratgie de groupe locale
2.
Stratgie de groupe Administrateurs et Non-administrateurs
3.
Stratgie de groupe locale spcifique l'utilisateur
l'exception des catgories Administrateur ou Non-administrateur, il n'est pas possible d'appliquer des
objets de stratgie de groupe locale des groupes, mais uniquement diffrents comptes d'utilisateurs
locaux. Les utilisateurs du domaine sont soumis la stratgie de groupe locale, ou aux paramtres
Administrateur ou Non-administrateur, selon les besoins.
Remarque : Les administrateurs de domaine peuvent dsactiver le traitement des objets
de stratgie de groupe locale sur les clients qui excutent des systmes d'exploitation Windows
ou Windows Server en activant le paramtre de stratgie Dsactiver le traitement des objets
de stratgie de groupe locaux dans un objet de stratgie de groupe du domaine.
Stockage des objets de stratgie de groupe de domaine

Les paramtres de stratgie de groupe sont
prsents sous forme d'objets de stratgie de
groupe dans la console de gestion des stratgies
de groupe (GPMC), mais un objet de stratgie de
groupe reprsente en ralit deux composants :
un modle de stratgie de groupe et un
conteneur de stratgie de groupe.
Modle de stratgie de groupe
Les modles de stratgie de groupe

correspondent la collection relle de paramtres
que vous pouvez modifier. Le modle de stratgie
de groupe est une collection de fichiers stocke
dans le dossier SYSVOL de chaque contrleur de domaine. SYSVOL se trouve dans le chemin
%SystemRoot% \SYSVOL\Domain\Policies\GPOGUID, o GPOGUID est le GUID du conteneur de stratgie
de groupe. Lorsque vous crez un objet de stratgie de groupe, un nouveau modle de stratgie
de groupe est cr dans le dossier SYSVOL et un nouveau conteneur de stratgie de groupe est cr
dans AD DS.
Conteneur de stratgie de groupe
Le conteneur de stratgie de groupe est un objet Active Directory qui est stock dans la base de donnes
Active Directory. Chaque conteneur de stratgie de groupe comprend un attribut d'identificateur unique
universel (GUID) qui identifie l'objet de faon unique dans AD DS. Le conteneur de stratgie de groupe
dfinit les attributs de base de l'objet de stratgie de groupe, tels que les liens et les numros de version,
mais il ne contient aucun paramtre.
Par dfaut, lors de l'actualisation de la stratgie de groupe, les extensions ct client (CSE) de la stratgie
de groupe appliquent les paramtres d'un objet de stratgie de groupe uniquement si celui-ci a t mis
jour.
Le client de stratgie de groupe peut identifier un objet de stratgie de groupe mis jour par son numro
de version. Chaque objet de stratgie de groupe a un numro de version qui est incrment chaque fois
qu'une modification est faite. Le numro de version est enregistr en tant qu'attribut de conteneur de
stratgie de groupe et dans un fichier texte, GPT.ini, dans le dossier Modle de stratgie de groupe.
Le client de stratgie de groupe connat le numro de version de chaque objet de stratgie de groupe
qu'il a prcdemment appliqu. Si, pendant l'actualisation de la stratgie de groupe, le client de stratgie
de groupe dcouvre que le numro de version du conteneur de stratgie de groupe a t modifi,
les extensions CSE sont informes que l'objet de stratgie de groupe est mis jour.
Lors de la modification d'une stratgie de groupe, c'est la version situe sur l'ordinateur qui dispose du
rle d'oprations matre unique flottant (FSMO) d'mulateur de contrleur de domaine principal (PDC)
qui est modifie. Quel que soit l'ordinateur utilis pour effectuer la modification, la console de gestion
des stratgies de groupe est axe sur l'mulateur PDC par dfaut. Il est possible de modifier le focus
de la console de gestion des stratgies de groupe pour modifier une version sur un autre contrleur
de domaine.
Que sont les prfrences de stratgie de groupe ?

Les prfrences de stratgie de groupe sont
une fonctionnalit du systme d'exploitation
Windows Server 2012. Les prfrences
comprennent plus de 20 extensions de
stratgie de groupe qui dveloppent la plage
des paramtres configurables dans un objet de
stratgie de groupe. Les prfrences contribuent
rduire le besoin de scripts d'ouverture de session.
Remarque : Les extensions ct client de la
stratgie de groupe doivent tre installes sur les
systmes d'exploitation Windows XP pour leur
permettre de traiter les prfrences de stratgie de groupe. Elles peuvent tre tlcharges
partir du site de tlchargement de Microsoft.
Caractristiques des prfrences

Les prfrences prsentent les caractristiques suivantes :
11-7
Les prfrences existent pour les ordinateurs et les utilisateurs.
la diffrence des paramtres de stratgie de groupe, les prfrences ne sont pas appliques,
et les utilisateurs peuvent modifier les configurations qui sont tablies par des prfrences.
Les prfrences peuvent tre gres l'aide des Outils d'administration de serveur distant (RSAT).
Les prfrences peuvent tre appliques une seule fois au dmarrage ou l'ouverture de session,
ou tre actualises intervalles rguliers.
la diffrence des paramtres de stratgie de groupe, les prfrences ne sont pas supprimes quand
l'objet de stratgie de groupe n'est plus appliqu, mais vous pouvez modifier ce comportement.
Les prfrences peuvent facilement tre cibles vers certains utilisateurs ou ordinateurs de diffrentes
manires, par exemple l'appartenance au groupe de scurit ou la version du systme d'exploitation.
Les prfrences ne sont pas disponibles pour les objets de stratgie de groupe locale.
la diffrence de la stratgie de groupe, l'interface utilisateur du paramtre n'est pas dsactive.
Utilisations courantes des prfrences de stratgie de groupe
Bien que vous puissiez configurer de nombreux paramtres via les prfrences de stratgie de groupe,
voici certaines de leurs utilisations les plus courantes :
Mapper des lecteurs rseau pour des utilisateurs
Configurer des raccourcis Bureau pour des utilisateurs ou des ordinateurs
Dfinir les variables d'environnement
Mapper des imprimantes
Dfinir les options d'alimentation
Configurer les menus de dmarrage
Configurer les sources de donnes
Configurer les options Internet
Planifier les tches
Que sont les objets de stratgie de groupe Starter ?

Les objets de stratgie de groupe Starter sont
des modles qui facilitent la cration des objets
de stratgie de groupe. Lorsque vous crez
des objets de stratgie de groupe, vous pouvez
choisir d'utiliser un objet de stratgie de groupe
Starter comme source. Cela simplifie et acclre
la cration de plusieurs objets de stratgie de
groupe avec la mme configuration de base.
Paramtres disponibles
Les objets de stratgie de groupe Starter peuvent
uniquement contenir des paramtres du
nud Modles d'administration de la section
Configuration de l'utilisateur ou Configuration de l'ordinateur. Les nuds Paramtres du logiciel
et Paramtres Windows de la stratgie de groupe ne sont pas disponibles, car ces nuds impliquent
l'interaction des services et sont plus complexes et dpendants du domaine.
Exportation des objets de stratgie de groupe Starter
Vous pouvez exporter des objets de stratgie de groupe Starter vers un fichier CAB (.cab) puis charger
ce fichier .cab dans un autre environnement totalement indpendant de la fort ou du domaine source.
L'exportation d'un objet de stratgie de groupe Starter vous permet d'envoyer le fichier .cab d'autres
administrateurs, qui peuvent ensuite l'utiliser dans d'autres zones. Par exemple, vous pouvez crer un
objet de stratgie de groupe qui dfinit les paramtres de scurit d'Internet Explorer. Si vous souhaitez
que tous les sites et les domaines utilisent les mmes paramtres, vous pouvez exporter l'objet de
stratgie de groupe Starter vers un fichier .cab, puis le distribuer.
Quand utiliser des objets de stratgie de groupe Starter ?
La situation la plus courante dans laquelle vous pouvez utiliser un objet de stratgie de groupe Starter est
lorsque vous souhaitez un groupe de paramtres pour un type de rle d'ordinateur. Par exemple, vous
pourriez souhaiter que tous les portables de l'entreprise aient les mmes restrictions de bureau, ou que
tous les serveurs de fichiers aient les mmes paramtres de stratgie de groupe de base, mais permettre
certaines variations pour les diffrents services.
Objets de stratgie de groupe Starter inclus

La console de gestion des stratgies de groupe comprend un lien permettant de crer un dossier Objet
de stratgie de groupe Starter, qui contient un certain nombre d'objets de stratgie de groupe Starter
prdfinis. Ces stratgies fournissent des paramtres prconfigurs et orients scurit pour les clients
Client Entreprise (EC) et Scurit spcialise - Fonctionnalit limite (SSLF) pour les paramtres de
l'utilisateur et de l'ordinateur sur les systmes d'exploitation Windows Vista et Windows XP avec
Service Pack 2 (SP2). Vous pouvez utiliser ces stratgies comme point de dpart quand vous
concevez des stratgies de scurit.
Dlgation de la gestion des objets de stratgie de groupe
11-9
Les administrateurs peuvent dlguer certaines

des tches d'administration de stratgie de
groupe d'autres utilisateurs. Ces utilisateurs
n'ont pas besoin d'tre des administrateurs
de domaine ; ils peuvent tre des utilisateurs
auxquels certains droits sur les objets de stratgie
de groupe sont accords. Par exemple, un
utilisateur qui gre une unit d'organisation
particulire pourrait tre charg d'effectuer des
tches de cration de rapports et d'analyse, tandis
que le groupe d'assistance technique est autoris
modifier les objets de stratgie de groupe pour
cette unit d'organisation. Un troisime groupe de dveloppeurs pourrait tre charg de crer des filtres
Windows Management Instrumentation (WMI).
Les tches de stratgie de groupe suivantes peuvent tre dlgues de manire indpendante :
Cration d'objets de stratgie de groupe, y compris d'objets de stratgie de groupe Starter
Modification d'objets de stratgie de groupe
Gestion des liens de stratgies de groupe pour un site, un domaine ou une unit d'organisation
Excution de l'analyse de modlisation de stratgie de groupe
Lecture des donnes des rsultats de stratgie de groupe
Cration de filtres WMI
Le groupe Propritaires crateurs de la stratgie de groupe laisse ses membres crer de nouveaux objets
de stratgie de groupe, et modifier ou supprimer les objets de stratgie de groupe qu'ils ont crs.
Autorisations de stratgie de groupe par dfaut

Par dfaut, les utilisateurs et les groupes suivants disposent de l'accs complet pour grer la stratgie
de groupe :
Administrateurs de domaine
Administrateurs de l'entreprise
Propritaire crateur
Systme local
Le groupe Utilisateur authentifi dispose des autorisations Lire et Appliquer la stratgie de groupe
uniquement.
Autorisations de cration d'objets de stratgie de groupe
Par dfaut, seuls les administrateurs du domaine, les administrateurs de l'entreprise et les propritaires
crateurs de la stratgie de groupe peuvent crer de nouveaux objets de stratgie de groupe. Vous
pouvez utiliser deux mthodes pour accorder ce droit un groupe ou un utilisateur :
Ajouter le groupe ou l'utilisateur au groupe Propritaires crateurs de la stratgie de groupe
Accorder explicitement au groupe ou l'utilisateur l'autorisation de crer des objets de stratgie

de groupe l'aide de la console de gestion des stratgies de groupe (GPMC)
Autorisations de modification d'objets de stratgie de groupe

Pour modifier un objet de stratgie de groupe, l'utilisateur doit y avoir accs aussi bien en lecture
qu'en criture. Vous pouvez accorder cette autorisation l'aide de la console GPMC.
Gestion des liaisons des objets de stratgie de groupe

La capacit de lier des objets de stratgie de groupe un conteneur est une autorisation qui est
spcifique ce conteneur. Dans la console GPMC, vous pouvez grer cette autorisation l'aide de
l'onglet Dlgation du conteneur. Vous pouvez galement la dlguer via l'Assistant Dlgation
de contrle dans Utilisateurs et ordinateurs Active Directory.
Modlisation et rsultats de stratgie de groupe

Vous pouvez dlguer la capacit d'utiliser les outils de cration de rapports via la console GPMC
ou l'aide de l'Assistant Dlgation de contrle dans Utilisateurs et ordinateurs Active Directory.
Cration de filtres WMI

Vous pouvez dlguer la capacit de crer et de grer les filtres WMI via la console GPMC ou l'aide
de l'Assistant Dlgation de contrle dans Utilisateurs et ordinateurs Active Directory.
Dmonstration : Cration et gestion d'objets de stratgie de groupe

crer un objet de stratgie de groupe l'aide de la console de gestion des stratgies de groupe ;
modifier un objet de stratgie de groupe l'aide de l'diteur de gestion des stratgies de groupe ;
utiliser Windows PowerShell pour crer un objet de stratgie de groupe.
11-10
Crer un objet de stratgie de groupe l'aide de la console de gestion des stratgies

de groupe
Connectez-vous LON-DC1 en tant qu'Administrateur avec le mot de passe Pa$$w0rd et crez

une stratgie nomme Interdire Windows Messenger.
Modifier un objet de stratgie de groupe l'aide de l'diteur de gestion des

stratgies de groupe
1.
Modifiez la stratgie pour interdire l'utilisation de Windows Messenger.
2.
Liez l'objet de stratgie de groupe Interdire Windows Messenger au domaine.
Utiliser Windows PowerShell pour crer un objet de stratgie de groupe nomm

Verrouillage de l'ordinateur
Dans Windows PowerShell, importez le module grouppolicy et utilisez l'applet de commande

New-GPO comme suit :
New-GPO Name Verrouillage de l'ordinateur
Leon 2
Traitement d'une stratgie de groupe
11-11
Il est essentiel de bien comprendre comment une stratgie de groupe est applique pour pouvoir
dvelopper une stratgie de groupe. Cette leon vous montre comment la stratgie de groupe est
associe des objets Active Directory, comment elle est traite et comment contrler son application.
Aprs avoir cr les objets de stratgie de groupe et configur les paramtres que vous souhaitez
appliquer, vous devez les lier des conteneurs. Les objets de stratgie de groupe sont appliqus dans
un ordre spcifique. Cet ordre peut dterminer quels paramtres sont appliqus aux objets. Il y a deux
stratgies par dfaut qui sont automatiquement cres. Ces stratgies sont utilises pour fournir le mot
de passe et les paramtres de scurit pour le domaine et les contrleurs de domaine. L'application des
stratgies peut galement tre contrle par le filtrage de scurit.
dcrire une liaison d'objet de stratgie de groupe ;
expliquer comment appliquer des objets de stratgie de groupe des conteneurs et des objets ;
dcrire l'ordre de traitement des stratgies de groupe ;
dcrire les objets de stratgie de groupe par dfaut ;
dcrire le filtrage de scurit des objets de stratgie de groupe.
Liaisons d'objet de stratgie de groupe

Une fois que vous avez cr un objet de stratgie
de groupe et dfini tous les paramtres que vous
souhaitez qu'il fournisse, l'tape suivante consiste
lier la stratgie un conteneur Active Directory.
Une liaison d'objet de stratgie de groupe est la
connexion logique de la stratgie un conteneur.
Vous pouvez lier un objet de stratgie de groupe
unique plusieurs conteneurs l'aide de la
console GPMC. Vous pouvez lier des objets de
stratgie de groupe aux types de conteneur
suivants :
Sites
Domaines
Units d'organisation
Une fois qu'un objet de stratgie de groupe est li un conteneur, par dfaut, la stratgie est applique
tous les objets de ce conteneur, et ensuite, tous les conteneurs enfants sous cet objet parent. C'est d
au fait que les autorisations par dfaut de l'objet de stratgie de groupe sont telles que les utilisateurs
authentifis disposent des autorisations Lire et Appliquer la stratgie de groupe. Vous pouvez modifier
ce comportement en grant les autorisations sur l'objet de stratgie de groupe.
Vous pouvez dsactiver les liens aux conteneurs, ce qui supprime les paramtres de configuration. Vous
pouvez galement supprimer des liens. La suppression de liens ne supprime pas l'objet de stratgie de
groupe rel, mais uniquement la connexion logique au conteneur.
11-12
Les objets de stratgie de groupe ne peuvent pas tre lis directement des utilisateurs, des groupes
ou des ordinateurs. En outre, les objets de stratgie de groupe ne peuvent pas tre lis aux conteneurs
systme dans AD DS, notamment aux conteneurs Intgr, Ordinateurs, Utilisateurs ou Comptes de services
administrs. Les conteneurs systme AD DS reoivent les paramtres de stratgie de groupe des objets
de stratgie de groupe qui sont lis au niveau du domaine uniquement.
Application des objets de stratgie de groupe

Les paramtres de configuration de l'ordinateur
sont appliqus au dmarrage, puis actualiss
intervalles rguliers. Tous les scripts de dmarrage
sont excuts au dmarrage de l'ordinateur.
L'intervalle par dfaut est de 90 minutes, mais il
est configurable. L'exception l'intervalle dfini
concerne les contrleurs de domaine, dont les
paramtres sont actualiss toutes les cinq minutes.
Les paramtres utilisateur sont appliqus
l'ouverture de session et actualiss intervalles
rguliers et configurables ; la valeur par dfaut
est galement de 90 minutes. Tous les scripts
d'ouverture de session sont excuts l'ouverture de la session.
Remarque : Divers paramtres utilisateur requirent deux ouvertures de session avant
que l'utilisateur peroive l'effet de l'objet de stratgie de groupe. Cela est d au fait que
les utilisateurs ouvrant une session sur le mme ordinateur utilisent des informations
d'identification mises en cache pour acclrer les ouvertures de session. Cela signifie
que, bien que les paramtres de stratgie soient fournis l'ordinateur, l'utilisateur est
dj connect et les paramtres n'entreront donc pas en vigueur avant l'ouverture
de session suivante. Le paramtre de redirection de dossier en est un exemple.
Vous pouvez modifier l'intervalle d'actualisation en configurant un paramtre de stratgie de groupe.
Pour les paramtres de l'ordinateur, le paramtre d'intervalle d'actualisation se trouve dans le nud
Configuration de l'ordinateur\Stratgies\Modles d'administration\Systme\Stratgie de groupe.
Pour les paramtres utilisateur, l'intervalle d'actualisation se trouve dans les paramtres correspondants
sous Configuration de l'utilisateur. Les paramtres de scurit constituent une exception l'intervalle
d'actualisation. La section paramtres de scurit de la stratgie de groupe est actualise au moins
toutes les 16 heures, indpendamment de l'intervalle dfini pour l'intervalle d'actualisation.
Vous pouvez galement actualiser la stratgie de groupe manuellement. L'utilitaire de ligne de
commande Gpupdate actualise et fournit toutes les nouvelles configurations de stratgie de groupe.
La commande Gpupdate /force actualise tous les paramtres de stratgie de groupe. Il existe
galement une nouvelle applet de commande Windows PowerShell Invoke-Gpupdate, qui remplit
la mme fonction.
11-13
L'Actualisation des stratgies distance est une nouvelle fonctionnalit de Windows Server 2012.
Cette fonctionnalit permet aux administrateurs d'utiliser la console GPMC pour cibler une unit
d'organisation et forcer l'actualisation de la stratgie de groupe sur tous ses ordinateurs et utilisateurs
actuellement connects. Pour ce faire, cliquez avec le bouton droit sur n'importe quelle unit
d'organisation, puis cliquez sur Mise jour de la stratgie de groupe. La mise jour se produit
dans un dlai de 10 minutes.
Ordre de traitement des stratgies de groupe

Les objets de stratgie de groupe ne sont pas
appliqus simultanment, mais dans un ordre
logique. Les objets de stratgie de groupe qui sont
appliqus plus tard dans le processus d'application
des objets de stratgie de groupe remplacent les
ventuels paramtres de stratgie conflictuels qui
ont t appliqus plus tt.
Les objets de stratgie de groupe sont appliqus
dans l'ordre suivant :
1.
Objets de stratgie de groupe locale.

Chaque systme d'exploitation qui excute
Windows 2000 ou version plus rcente
dispose potentiellement dj d'une stratgie de groupe locale configure.
2.
Objets de stratgie de groupe du site. Les stratgies qui sont lies des sites sont traites ensuite.
3.
Objets de stratgie de groupe du domaine. Les stratgies qui sont lies au domaine sont traites
ensuite. Il y a souvent plusieurs stratgies au niveau du domaine. Ces stratgies sont traites par
ordre de prfrence.
4.
Objets de stratgie de groupe de l'unit d'organisation. Les stratgies lies aux units d'organisation
sont traites ensuite. Ces stratgies contiennent les paramtres qui sont spcifiques aux objets de
cette unit d'organisation. Par exemple, les utilisateurs du groupe Ventes peuvent ncessiter des
paramtres spciaux. Vous pouvez lier une stratgie l'unit d'organisation Ventes pour fournir
ces paramtres.
5.
Stratgies d'unit d'organisation enfant. Les stratgies qui sont lies des units d'organisation
enfant sont traites en dernier.
Les objets contenus dans les conteneurs reoivent l'effet cumul de toutes les stratgies dans l'ordre
de traitement. En cas de conflit entre les paramtres, c'est la dernire stratgie applique qui entre
en vigueur. Par exemple, une stratgie au niveau du domaine peut restreindre l'accs aux outils de
modification du Registre, mais vous pouvez configurer une stratgie au niveau de l'unit d'organisation
et la lier l'unit d'organisation Service informatique pour inverser cette stratgie. tant donn que
la stratgie au niveau de l'unit d'organisation est applique plus tard dans le processus, l'accs aux
outils de modification du Registre sera disponible.
Remarque : D'autres mthodes, telles que l'application et le blocage de l'hritage, peuvent
modifier l'effet des stratgies sur les conteneurs.
Si plusieurs stratgies sont appliques au mme niveau, l'administrateur peut leur attribuer une valeur
de prfrence pour contrler leur ordre de traitement. L'ordre de prfrence par dfaut est l'ordre dans
lequel les stratgies ont t lies.
Vous pouvez galement dsactiver la configuration d'utilisateur ou d'ordinateur d'un objet de stratgie
de groupe particulier. Si vous savez qu'une section d'une stratgie est vide, vous devez dsactiver la
section vide pour acclrer le traitement de la stratgie. Par exemple, si vous avez une stratgie qui
fournit uniquement la configuration du bureau utilisateur, vous pouvez dsactiver la section ordinateur
de la stratgie.
Que sont les objets de stratgie de groupe par dfaut ?

Lors de l'installation du rle AD DS, deux objets
de stratgie de groupe par dfaut sont crs :
la stratgie de domaine par dfaut et la stratgie
par dfaut des contrleurs de domaine.
Stratgie de domaine par dfaut

La stratgie de domaine par dfaut est lie au
domaine et affecte tous les principes de scurit
du domaine. Elle contient les paramtres de
stratgie de mot de passe, les paramtres de
verrouillage de compte et le protocole Kerberos.
Il est recommand de ne configurer aucun autre
paramtre dans cette stratgie. Si vous devez
configurer d'autres paramtres appliquer au domaine entier, vous devez crer de nouvelles stratgies
pour fournir ces paramtres, puis lier ces stratgies au domaine.
Stratgie par dfaut des contrleurs de domaine

La stratgie par dfaut des contrleurs de domaine est lie l'unit d'organisation des contrleurs
de domaine et devrait seulement affecter des contrleurs de domaine. Cette stratgie est conue pour
fournir des paramtres d'audit et des droits d'utilisateur, et ne devrait pas tre utilise d'autres fins.
Filtrage de scurit des objets de stratgie de groupe

Par nature, un objet de stratgie de groupe
s'applique tous les principes de scurit
du conteneur et tous les conteneurs enfant
situs au-dessous du parent. Cependant, vous
souhaiterez peut-tre modifier ce comportement
et faire s'appliquer certains objets de stratgie de
groupe certains principes de scurit particuliers
uniquement. Par exemple, vous pourriez souhaiter
exempter certains utilisateurs d'une unit
d'organisation d'une stratgie de bureau
restrictive. Vous pouvez le faire grce au
filtrage de scurit.
11-14
11-15
Chaque objet de stratgie de groupe dispose d'une liste de contrle d'accs (ACL) qui dfinit les
autorisations sur cet objet de stratgie de groupe. Par dfaut, les utilisateurs authentifis sont autoriss
appliquer les autorisations Lire et Appliquer la stratgie de groupe. En rglant les autorisations dans
la liste de contrle d'accs, vous pouvez contrler les principes de scurit qui reoivent l'autorisation
d'appliquer les paramtres de l'objet de stratgie de groupe. Pour ce faire, deux approches sont
possibles : refuser l'accs la stratgie de groupe ou limiter les autorisations sur la stratgie de groupe.
Remarque : Le groupe Utilisateurs authentifis inclut tous les comptes d'utilisateurs
et d'ordinateurs qui ont t authentifis dans AD DS.
Refuser l'accs la stratgie de groupe
Si la plupart des principes de scurit du conteneur doivent recevoir les paramtres de la stratgie,
mais pas certains, vous pouvez exempter des principes de scurit particuliers en leur refusant l'accs
la stratgie de groupe. Par exemple, vous pourriez avoir une stratgie de groupe que tous les utilisateurs
de l'unit d'organisation Ventes doivent recevoir, l'exception du groupe Responsables des ventes. Vous
pouvez exempter ce groupe (ou cet utilisateur) en l'ajoutant la liste de contrle d'accs de l'objet de
stratgie de groupe, puis en affectant la valeur Refuser l'autorisation.
Limiter les autorisations sur la stratgie de groupe
Sinon, si vous avez cr un objet de stratgie de groupe qui ne doit tre appliqu qu' quelques
principes de scurit d'un conteneur, vous pouvez supprimer le groupe Utilisateurs authentifis de la
liste de contrle d'accs, ajouter les principes de scurit qui doivent recevoir les paramtres de l'objet
de stratgie de groupe, puis leur accorder les autorisations Lire et Appliquer la stratgie de groupe. Par
exemple, vous pourriez avoir un objet de stratgie de groupe contenant des paramtres de configuration
de l'ordinateur qui ne doivent s'appliquer qu'aux ordinateurs portables. Vous pourriez supprimer le
groupe Utilisateurs authentifis de la liste de contrle d'accs, ajouter les comptes d'ordinateurs des
portables, puis leur accorder les autorisations Lire et Appliquer la stratgie de groupe.
Remarque : Il est recommand de ne jamais refuser l'accs au groupe Utilisateurs
authentifis. Si vous le faites, les principes de scurit ne recevront jamais les paramtres
de l'objet de stratgie de groupe.
Vous pouvez accder la liste de contrle d'accs d'un objet de stratgie de groupe dans la console
GPMC en slectionnant l'objet de stratgie de groupe dans le dossier Objet de stratgie de groupe,
puis en cliquant sur l'onglet Dlgation>Avanc.
Discussion : Identification de l'application de la stratgie de groupe

Pour cette discussion, examinez la structure AD DS
dans le graphique, lisez le scnario, puis rpondez
aux questions de la diapositive.
Scenario
L'illustration suivante reprsente une partie
de la structure AD DS d'A. Datum Corporation,
qui contient l'unit d'organisation Ventes avec
ses units d'organisation enfants et l'unit
d'organisation Serveurs.
GPO1 est li au conteneur du

domaine Adatum. Cet objet
de stratgie de groupe
configure les options
d'alimentation qui teignent
les crans et les disques aprs
30 minutes d'inactivit, et
restreint l'accs aux outils de
modification du Registre.
GPO2 contient des

paramtres pour verrouiller
les postes de travail de l'unit
d'organisation Commerciaux
et configurer les imprimantes
pour les commerciaux.
GPO3 configure les options

d'alimentation pour les
ordinateurs portables de l'unit d'organisation Ordinateurs portables du service des ventes.
GPO4 configure un autre ensemble d'options d'alimentation pour garantir que les serveurs
ne passent jamais en mode d'conomie d'nergie.
Certains utilisateurs de l'unit d'organisation Ventes disposent des droits d'administration sur leurs
ordinateurs et ont cr des stratgies locales pour accorder spcifiquement l'accs au Panneau
de configuration.
11-16
Questions de discussion
Sur la base de ce scnario, rpondez aux questions suivantes :
Question : Quelles options d'alimentation recevront les serveurs de l'unit d'organisation
Serveurs ?
Question : Quelles options d'alimentation recevront les ordinateurs portables
de l'unit d'organisation Ordinateurs portables du service des ventes ?
Question : Quelles options d'alimentation recevront tous les autres ordinateurs
du domaine ?
Question : Les utilisateurs de l'unit d'organisation Commerciaux, qui ont cr les stratgies
locales pour accorder l'accs au Panneau de configuration, pourront-ils accder au Panneau
de configuration ?
Question : Si vous deviez accorder l'accs au Panneau de configuration certains
utilisateurs, comment procderiez-vous ?
Question : L'objet GPO2 peut-il tre appliqu d'autres units d'organisation du service ?
11-17
Dmonstration : Utilisation des outils de diagnostic de stratgie de groupe

utiliser Gpupdate pour actualiser la stratgie de groupe ;
utiliser l'applet de commande Gpresult pour produire les rsultats dans un fichier HTML ;
utiliser l'Assistant Modlisation de stratgie de groupe pour tester la stratgie.
Utiliser Gpupdate pour actualiser la stratgie de groupe
Sur LON-DC1, utilisez Gpupdate pour actualiser les objets de stratgie de groupe.
Utiliser l'applet de commande Gpresult pour produire les rsultats dans

un fichier HTML
1.
Utilisez Gpresult /H pour crer un fichier HTML qui affiche les paramtres des objets de stratgie
de groupe actuels.
2.
Ouvrez le rapport HTML et consultez les rsultats.
Utiliser l'Assistant Modlisation de stratgie de groupe pour tester la stratgie
Utilisez l'Assistant Modlisation de stratgie de groupe pour simuler l'application d'une stratgie pour
les utilisateurs de l'unit d'organisation Responsables qui se connectent n'importe quel ordinateur.
Leon 3
Implmentation d'un magasin central pour les modles

d'administration
11-18
Les grandes organisations peuvent avoir de nombreux objets de stratgie de groupe grs par plusieurs
administrateurs. Lorsqu'un administrateur modifie un objet de stratgie de groupe, les fichiers de modle
sont extraits du poste de travail local. Le magasin central fournit un dossier unique dans SYSVOL qui
contient tous les modles requis pour crer et modifier des objets de stratgie de groupe. Cette
leon prsente les fichiers qui constituent les modles, et explique comment crer un emplacement
de magasin central pour assurer la cohrence des modles que les administrateurs utilisent.
dcrire le magasin central ;
dcrire les modles d'administration ;
dcrire le mode de fonctionnement des modles d'administration ;
dcrire les paramtres de stratgie grs et non grs.
Qu'est-ce que le magasin central ?
Si votre organisation dispose de plusieurs postes

de travail d'administration, des problmes sont
susceptibles de survenir lors de la modification des
objets de stratgie de groupe. Si vous n'avez pas
de magasin central pour contenir les fichiers de
modles, le poste de travail partir duquel
vous effectuez les modifications va utiliser les
fichiers .admx (ADMX) et .adml (ADML) qui sont
stocks dans le dossier PolicyDefinitions local.
Si les diffrents postes de travail d'administration
ont diffrents systmes d'exploitation ou
diffrents niveaux de Service Pack, les
fichiers ADMX et ADML peuvent prsenter certaines diffrences. Par exemple, les fichiers ADMX et ADML
qui sont stocks sur un poste de travail Windows 7 sans Service Pack peuvent ne pas tre identiques aux
fichiers qui sont stocks sur un contrleur de domaine Windows Server 2012.
11-19
Le magasin central traite ce problme. Il fournit un point unique partir duquel les postes de travail
d'administration peuvent tlcharger les mmes fichiers ADMX et ADML lors de la modification d'un objet
de stratgie de groupe. Le magasin central est dtect automatiquement par les systmes d'exploitation
Windows Vista ou version plus rcente, et par les systmes d'exploitation Windows Server 2008. Le poste
de travail local que l'administrateur utilise pour effectuer l'administration vrifie donc toujours s'il existe
un magasin central avant de charger les fichiers ADMX et ADML locaux dans l'diteur d'objets de stratgie
de groupe. Lorsque le poste de travail local dtecte un magasin central, il tlcharge les fichiers de
modle partir de celui-ci. De cette faon, l'exprience d'administration est cohrente entre les divers
postes de travail.
Vous devez crer et configurer manuellement le magasin central. Vous devez tout d'abord crer un
dossier sur un contrleur de domaine, nommer ce dossier PolicyDefinitions et l'enregistrer sous
C:\Windows\SYSVOL\sysvol\{Nom de domaine}\Policies\. Ce dossier sera maintenant votre magasin
central. Vous devez ensuite copier tout le contenu du dossier C:\Windows\PolicyDefinitions dans le
magasin central. Les fichiers ADML de ce dossier se trouvent galement dans un dossier spcifique
la langue (tel que fr-FR).
Que sont les modles d'administration ?

Un modle d'administration se compose de deux
types de fichier XML :
Les fichiers ADMX spcifient le paramtre

du Registre modifier. Ils sont indpendants
de la langue.
Les fichiers ADML gnrent l'interface

utilisateur pour configurer les paramtres de
stratgie des modles d'administration dans
l'diteur de gestion des stratgies de groupe.
Ils sont spcifiques la langue.
Les fichiers ADMX et ADML sont stocks dans le

dossier %SystemRoot%\PolicyDefinitions. Vous pouvez galement crer vos propres modles
d'administration personnaliss au format XML. Les modles d'administration qui contrlent
les produits Microsoft Office (par exemple, Office Word, Office Excel et Office PowerPoint)
sont galement disponibles partir du site Web de tlchargement de Microsoft.
Les modles d'administration prsentent les caractristiques suivantes :
Ils sont organiss en sous-dossiers qui hbergent les options de configuration des zones spcifiques
de l'environnement, telles que le rseau, le systme et les composants Windows.
Les paramtres de la section Ordinateur modifient la ruche HKEY_LOCAL_MACHINE du Registre,

et les paramtres de la section Utilisateur modifient la ruche HKEY_CURRENT_USER du Registre.
11-20
Certains paramtres existent la fois pour l'utilisateur et l'ordinateur. Par exemple, il existe un
paramtre empchant l'excution de Windows Messenger la fois dans le modle Utilisateur
et dans le modle Ordinateur. En cas de paramtres conflictuels, le paramtre de la section
Ordinateur est prioritaire.
Certains paramtres sont disponibles uniquement pour certaines versions des systmes d'exploitation
Windows, comme plusieurs nouveaux paramtres qui ne peuvent tre appliqus qu' Windows 7
et aux versions plus rcentes du systme d'exploitation. Double-cliquer sur un paramtre permet
d'afficher les versions prises en charge pour ce paramtre. Tout paramtre qui ne peut pas tre
trait par un systme d'exploitation Windows plus ancien est simplement ignor par ce systme.
Fichiers ADM
Avant Windows Vista, les modles d'administration avaient l'extension de fichier .adm (ADM). Les fichiers
ADM taient spcifiques la langue et difficiles personnaliser. Les fichiers ADM sont enregistrs dans
SYSVOL dans le cadre du modle de stratgie de groupe. Si un fichier ADM est utilis dans plusieurs
objets de stratgie de groupe, ce fichier est enregistr plusieurs fois. Cela augmente la taille de SYSVOL
et augmente donc la taille du trafic de rplication Active Directory.
Mode de fonctionnement des modles d'administration

Les modles d'administration ont des paramtres
pour presque tous les aspects de l'environnement
informatique. Chaque paramtre du modle
correspond un paramtre du Registre
qui contrle un aspect de l'environnement
informatique. Par exemple, quand vous activez
le paramtre qui empche l'accs au Panneau
de configuration, cela change la valeur de la cl
de Registre qui contrle cet aspect.
Le nud Modles d'administration est organis comme indiqu dans le tableau suivant.
Section
Paramtres de l'ordinateur
Nuds
Panneau de configuration
Rseau
Imprimantes
Systme
Composants Windows
Tous les paramtres
Paramtres de l'utilisateur
Panneau de configuration
Bureau
Rseau
Dossiers partags
Menu Accueil et barre des tches
Systme
Composants Windows
Tous les paramtres
La plupart des nuds contiennent plusieurs sous-dossiers pour mieux organiser les paramtres en
groupes logiques. Mme avec cette organisation, la recherche du paramtre dont vous avez besoin
pourrait tre une tche dcourageante. Pour vous aider localiser les paramtres, dans le dossier
Tous les paramtres, vous pouvez filtrer la liste de paramtres complte dans la section Ordinateur
ou Utilisateur. Les options de filtre suivantes sont disponibles :
Gr ou non gr
Configur ou non configur
Comment
Par mot cl
Par plateforme
11-21
Vous pouvez galement combiner plusieurs critres. Par exemple, vous pourriez filtrer les paramtres
pour rechercher tous les paramtres configurs qui s'appliquent Internet Explorer 10 l'aide du mot
cl ActiveX.
Paramtres de stratgie grs et non grs

Il existe deux types de paramtres de stratgie :
grs et non grs. Tous les paramtres de
stratgie inclus dans les modles d'administration
d'un objet de stratgie de groupe sont des
stratgies gres. Le service Stratgie de groupe
contrle les paramtres de stratgie grs et
supprime un paramtre de stratgie lorsqu'il
n'est plus dans l'tendue de l'utilisateur ou
de l'ordinateur. Le service Stratgie de groupe
ne contrle pas les paramtres de stratgie
non grs. Ces paramtres de stratgie sont
persistants. Le service Stratgie de groupe ne
supprime pas les paramtres de stratgie non grs.
Paramtres de stratgie grs

Un paramtre de stratgie gr prsente les caractristiques suivantes :
11-22
L'interface utilisateur est verrouille de sorte qu'un utilisateur ne puisse pas modifier le paramtre.
Avec les paramtres de stratgie grs, l'interface utilisateur approprie est dsactive. Par exemple,
si vous configurez le papier peint du Bureau via un paramtre de stratgie de groupe, l'utilisateur
verra ce paramtre gris dans son interface utilisateur locale.
Les modifications sont effectues dans des zones restreintes du Registre, auxquelles seuls
les administrateurs ont accs. Ces cls de Registre rserves sont les suivantes :
HKLM\Software\Policies (paramtres de l'ordinateur)
HKCU\Software\Policies (paramtres de l'utilisateur)
HKLM\Software\Microsoft\Windows\Current Version\Policies (paramtres de l'ordinateur)
HKCU\Software\Microsoft\Windows\Current Version\Policies (paramtres de l'utilisateur)
Les modifications apportes par un paramtre de stratgie de groupe et le verrouillage de l'interface

utilisateur sont annuls si l'utilisateur ou l'ordinateur passe hors de l'tendue de l'objet de stratgie de
groupe. Par exemple, si vous supprimez un objet de stratgie de groupe, les paramtres de stratgie
grs qui avaient t appliqus un utilisateur seront annuls. Cela signifie que, gnralement,
le paramtre est rinitialis son tat prcdent. En outre, l'interface utilisateur correspondant
ce paramtre est ractive.
Paramtres de stratgie non grs

En revanche, un paramtre de stratgie non gr apporte une modification persistante au Registre.
Si l'objet de stratgie de groupe ne s'applique plus, le paramtre reste actif. On parle souvent de
marquage du Registre, ce qui signifie lui apporter une modification permanente. Pour inverser
l'effet du paramtre de stratgie, vous devez dployer une modification qui rtablit la configuration
l'tat souhait. En outre, un paramtre de stratgie non gr ne verrouille pas l'interface utilisateur
correspondant ce paramtre.
Par dfaut, l'diteur de gestion des stratgies de groupe masque les paramtres de stratgie non grs
pour vous dcourager d'implmenter une configuration difficile rtablir. Bon nombre des paramtres
qui sont disponibles dans les prfrences de stratgie de groupe sont des paramtres non grs.
Atelier pratique : Implmentation d'une stratgie

de groupe
Scnario
11-23
En tant que membre de l'quipe de techniciens responsables des serveurs, votre rle consiste aider
dployer et configurer de nouveaux serveurs et services dans l'infrastructure existante, conformment
aux instructions fournies par votre responsable informatique.
Votre responsable vous a demand de crer un magasin central pour les fichiers ADMX afin de garantir
que tout le monde puisse modifier les objets de stratgie de groupe qui ont t crs avec des fichiers
ADMX personnaliss. Vous devez galement crer un objet de stratgie de groupe Starter qui comprend
des paramtres Internet Explorer, puis configurer un objet de stratgie de groupe qui applique des
paramtres d'objet de stratgie de groupe pour les services Marketing et Informatique.
Objectifs
configurer un magasin central ;
crer des objets de stratgie de groupe.

22410B-LON-DC1
22410B-LON-CL1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
Instructions de configuration de l'atelier pratique

1.
2.
sur Accueil.
3.
4.
5.
Rptez les tapes 2 et 3 pour 22410B-LON-CL1. Ne vous connectez pas tant qu'il ne vous
a pas t demand de le faire.
Exercice 1 : Configuration d'un magasin central

Scnario
A. Datum a rcemment implment un modle ADMX personnalis pour configurer une application.
Un collgue a obtenu les fichiers ADMX du fournisseur avant de crer l'objet de stratgie de groupe
avec les paramtres de configuration. Les paramtres ont t appliqus l'application comme prvu.
11-24
Aprs l'implmentation, vous avez remarqu que vous ne pouvez pas modifier les paramtres de
l'application dans l'objet de stratgie de groupe partir de tout autre emplacement que le poste de
travail qui a t initialement utilis par votre collgue. Afin de rsoudre ce problme, votre responsable
vous a demand de crer un magasin central pour les modles d'administration. Une fois que vous aurez
cr le magasin central, votre collgue copiera le modle ADMX du fournisseur du poste de travail vers
le magasin central.
1.
Afficher l'emplacement des modles d'administration dans un objet de stratgie de groupe
2.
Crer un magasin central
3.
Copier les modles d'administration dans le magasin central
4.
Vrifier l'emplacement des modles d'administration dans la console GPMC
Tche 1 : Afficher l'emplacement des modles d'administration dans un objet

1.
Connectez-vous LON-DC1 en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Dmarrez l'Assistant GPMC.
3.
Dans le dossier Objet de stratgie de groupe, ouvrez Default Domain Policy et affichez
l'emplacement des modles d'administration.
Tche 2 : Crer un magasin central

1.
Ouvrez l'Explorateur de fichiers et accdez C:\Windows\SYSVOL\sysvol\Adatum.com\Policies.
2.
Crez un dossier nomm PolicyDefinitions, qui sera utilis pour le magasin central.
Tche 3 : Copier les modles d'administration dans le magasin central
Copiez le contenu du dossier PolicyDefinitions par dfaut situ dans

C:\Windows\PolicyDefinitions vers le nouveau dossier PolicyDefinitions situ dans
C:\Windows\SYSVOL\sysvol\Adatum.com\Policies.
Tche 4 : Vrifier l'emplacement des modles d'administration dans la console GPMC
Vrifiez que l'diteur d'objets de stratgie de groupe utilise les fichiers ADMX du dossier
PolicyDefinitions central en affichant le texte des informations sur l'emplacement du dossier
des modles d'administration.
Rsultats : la fin de cet exercice, vous devez avoir configur un magasin central.
Exercice 2 : Cration d'objets de stratgie de groupe

Scnario
11-25
Aprs une rcente runion du comit de stratgie informatique, la direction a dcid qu'A. Datum va
utiliser la stratgie de groupe pour restreindre l'accs utilisateur l'onglet Gnral d'Internet Explorer.
Votre responsable vous a demand de crer un objet de stratgie de groupe Starter qui peut tre utilis
pour tous les services avec les paramtres de restriction par dfaut pour Internet Explorer. Vous devez
ensuite crer les objets de stratgie de groupe qui fourniront les paramtres pour les membres
de tous les services l'exception du service informatique.
1.
Crer un objet de stratgie de groupe Starter par dfaut Restrictions de Windows Internet Explorer
2.
Configurer l'objet de stratgie de groupe Starter Restrictions d'Internet Explorer
3.
Crer un objet de stratgie de groupe Restrictions d'Internet Explorer partir de l'objet de stratgie
de groupe Starter Restrictions d'Internet Explorer
4.
Tester l'objet de stratgie de groupe pour les utilisateurs du domaine
5.
Utiliser le filtrage de scurit pour exempter le service informatique de la stratgie Restrictions

d'Internet Explorer
6.
Tester l'application de l'objet de stratgie de groupe pour les utilisateurs du service informatique
7.
Tester l'application de l'objet de stratgie de groupe pour les autres utilisateurs du domaine
8.
Tche 1 : Crer un objet de stratgie de groupe Starter par dfaut Restrictions

de Windows Internet Explorer
1.
Ouvrez la console GPMC et crez un objet de stratgie de groupe Starter nomm Restrictions
d'Internet Explorer.
2.
Tapez un commentaire stipulant que Cet objet de stratgie de groupe dsactive l'onglet
Gnral des Options Internet.
Tche 2 : Configurer l'objet de stratgie de groupe Starter Restrictions

d'Internet Explorer
Configurez l'objet de stratgie de groupe Starter nomm Restrictions d'Internet Explorer

pour dsactiver l'onglet Gnral des Options Internet.
Assistant de lecture : slectionnez Tous les paramtres dans les modles d'administration
et recherchez une concordance exacte en filtrant par les mots cls onglet Gnral.
Tche 3 : Crer un objet de stratgie de groupe Restrictions d'Internet Explorer

partir de l'objet de stratgie de groupe Starter Restrictions d'Internet Explorer
Crez un objet de stratgie de groupe nomm Restrictions d'IE bas sur l'objet de stratgie
de groupe Starter Restrictions d'Internet Explorer et liez-le au domaine Adatum.com.
Tche 4 : Tester l'objet de stratgie de groupe pour les utilisateurs du domaine

1.
Connectez-vous LON-CL1 en tant qu'ADATUM\Brad avec le mot de passe Pa$$w0rd.
2.
3.
Essayez de modifier votre page d'accueil.
4.
Ouvrez Options Internet pour vrifier que l'onglet Gnral a t restreint.
5.
Tche 5 : Utiliser le filtrage de scurit pour exempter le service informatique

de la stratgie Restrictions d'Internet Explorer
1.
Sur LON-DC1, ouvrez la console GPMC.
2.
Configurez le filtrage de scurit sur la stratgie Restrictions d'Internet Explorer pour refuser l'accs
au service informatique.
Tche 6 : Tester l'application de l'objet de stratgie de groupe pour les utilisateurs

du service informatique
1.
Connectez-vous LON-CL1 en tant que Brad avec le mot de passe Pa$$w0rd.
2.
3.
Essayez de modifier votre page d'accueil. Vrifiez que la bote de dialogue Proprits Internet
affiche l'onglet Gnral et que tous les paramtres sont disponibles.
4.
Tche 7 : Tester l'application de l'objet de stratgie de groupe pour les autres

utilisateurs du domaine
1.
Connectez-vous LON-CL1 en tant que Boris avec le mot de passe Pa$$w0rd.
2.
3.
Essayez de modifier votre page d'accueil.
4.
Ouvrez Options Internet pour vrifier que l'onglet Gnral a t restreint.
5.
Rsultats : la fin de cet atelier pratique, vous devez avoir cr un objet de stratgie de groupe.
11-26
comme suit :
1.
2.
Dans la liste des ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-DC1, puis
cliquez sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-CL1.

Question : Quels sont certains des avantages et des inconvnients lis l'utilisation d'objets
de stratgie de groupe au niveau du site ?
Question : Vous avez un certain nombre de scripts d'ouverture de session qui mappent des
lecteurs rseau pour des utilisateurs. Les utilisateurs n'ont pas tous besoin de ces mappages
de lecteurs. Vous devez donc vous assurer que seuls les utilisateurs souhaits reoivent les
mappages. Vous souhaitez arrter d'utiliser des scripts. Quel est le meilleur moyen de
mapper des lecteurs rseau sans utiliser de scripts pour les utilisateurs slectionns ?
Outils
Outil
Utilisation
Emplacement
11-27
Console de gestion des

stratgies de groupe (GPMC)
Contrle tous les aspects des

stratgies de groupe
Dans le Gestionnaire de serveur,

dans le menu Outils
diteur d'objets de stratgie

de groupe
Configure les paramtres des

objets de stratgie de groupe
Accessible en modifiant tout objet

Jeu de stratgie rsultant

(RSoP)
Dtermine quels paramtres

s'appliquent un utilisateur
ou un ordinateur
Dans la console GPMC
Assistant Modlisation
Teste ce qui se produirait si des

paramtres taient appliqus
aux utilisateurs ou aux
ordinateurs, avant d'appliquer
rellement ces paramtres
Dans la console GPMC
diteur de stratgie
de groupe locale
Configure les paramtres

de stratgie de groupe qui
s'appliquent seulement
l'ordinateur local
Accessible en crant une console

MMC (Microsoft Management
Console) sur l'ordinateur local et
en ajoutant le composant logiciel
enfichable diteur d'objet de
stratgie de groupe
Mthode conseille
N'utilisez pas la stratgie de domaine par dfaut ni la stratgie par dfaut des contrleurs
de domaine d'autres fins. Crez plutt de nouvelles stratgies.
Limitez l'utilisation du filtrage de scurit et des autres mcanismes qui rendent les diagnostics
plus complexes.
Dsactivez les sections Utilisateur ou Ordinateur des stratgies si elles ne contiennent aucun
paramtre configur.
Si vous avez plusieurs postes de travail d'administration, crez un magasin central.
Ajoutez des commentaires vos objets de stratgie de groupe pour expliquer ce que font les
stratgies.
Concevez votre structure d'units d'organisation de faon prendre en charge l'application

de stratgies de groupe.

Problme courant
Un utilisateur constate un comportement anormal
sur son poste de travail.
Tous les utilisateurs d'une unit d'organisation
spcifique rencontrent des problmes, et plusieurs
objets de stratgie de groupe sont appliqus
cette unit d'organisation.
11-28

12-1
Module 12
Scurisation des serveurs Windows l'aide d'objets
Table des matires :
12-1
Leon 1 : Vue d'ensemble de la scurit des systmes

12-2
Leon 2 : Configuration des paramtres de scurit
12-7
Atelier pratique A : Renforcement de la scurit des ressources

de serveur
12-18
Leon 3 : Restriction de l'accs aux logiciels
12-26
Leon 4 : Configuration du Pare-feu Windows avec fonctions avances

de scurit
12-31
Atelier pratique B : Configuration d'AppLocker et du Pare-feu Windows
12-36
12-43

La protection de l'infrastructure informatique a toujours t une priorit pour les organisations. De
nombreux risques de scurit menacent les socits et leurs donnes critiques. Lorsqu'une socit n'a
pas des stratgies de scurit adquates, elle peut perdre des donnes, subir des indisponibilits de
serveur et connatre une perte de crdibilit.
Pour assurer une protection face aux menaces contre la scurit, les socits doivent avoir des stratgies
de scurit bien conues qui comprennent de nombreux composants organisationnels et informatiques.
Les stratgies de scurit doivent tre values rgulirement car les menaces contre la scurit voluent
et l'informatique doit suivre cette volution.
Avant de commencer concevoir des stratgies de scurit pour favoriser la protection des donnes,
des services et de l'infrastructure informatique de votre organisation, vous devez apprendre identifier
les menaces contre la scurit, planifier votre stratgie pour attnuer ces menaces et scuriser votre
infrastructure Windows Server 2012.
Objectifs
dcrire la scurit du systme d'exploitation Windows Server ;
configurer les paramtres de scurit l'aide d'une stratgie de groupe ;
empcher l'excution de logiciels non autoriss sur les serveurs et les clients ;
configurer le Pare-feu Windows avec fonctions avances de scurit.
Leon 1
Vue d'ensemble de la scurit des systmes

12-2 Scurisation des serveurs Windows l'aide d'objets de stratgie de groupe
Plus les organisations tendent la disponibilit de leurs donnes rseau, applications et systmes, plus il
est difficile de garantir la scurit de l'infrastructure rseau. Les technologies de scurit intgres dans
Windows Server 2012 permettent aux organisations d'assurer une meilleure protection de leurs ressources
rseau et d'entreprise dans des environnements et des scnarios d'entreprise toujours plus complexes.
Cette leon passe en revue les outils et les concepts disponibles pour implmenter la scurit dans une
infrastructure Windows 8 et Windows Server 2012.
Windows Server 2012 comprend de nombreuses fonctionnalits qui fournissent diffrentes mthodes
d'implmentation de la scurit. Ces fonctionnalits sont combines pour former le noyau des
fonctionnalits de scurit de Windows Server 2012. Pour maintenir un environnement scuris,
il est essentiel de comprendre ces fonctionnalits et les concepts associs et de bien connatre leur
implmentation lmentaire.
identifier les risques de scurit pour Windows Server 2012 et les cots qui leur sont associs ;
appliquer le modle de dfense en profondeur pour amliorer la scurit ;
dcrire les meilleures pratiques pour amliorer la scurit de Windows Server 2012.
Discussion : identification des risques de scurit et des cots associs

La premire tape dans le cadre de la dfense
de vos systmes consiste identifier les risques
de scurit potentiels et leurs cots associs.
Aprs cela, vous pouvez commencer prendre
des dcisions claires au sujet de la faon
d'allouer les ressources pour attnuer ces risques.
Examinez la question indique sur la
diapositive et participez la discussion pour
identifier certains risques de scurit dans les
rseaux Windows et les cots qui y sont associs.
Application d'une dfense en profondeur pour amliorer la scurit

Vous pouvez attnuer les risques pesant sur le
rseau informatique de votre organisation en
scurisant diverses couches de l'infrastructure.
Le terme dfense en profondeur est souvent
utilis pour dcrire l'utilisation de plusieurs
technologies de scurit des points diffrents
de votre organisation.
Les technologies de dfense en profondeur
incluent les couches de scurit qui s'tendent
des stratgies utilisateur jusqu' l'application
et jusqu'aux donnes elles-mmes.
Stratgies, procdures et sensibilisation

Les mesures relatives aux stratgies de scurit doivent fonctionner dans le contexte des stratgies
de l'organisation concernant les meilleures pratiques de scurit. Par exemple, la mise en place d'une
stratgie de mot de passe utilisateur rigoureuse n'est pas utile si les utilisateurs notent leurs mots de
passe ct de leur cran d'ordinateur ; les utilisateurs doivent tre duqus sur la faon de protger
leurs mots de passe. Un autre exemple de meilleure pratique de scurit consiste garantir que
les utilisateurs ne s'loignent pas de leur ordinateur de bureau sans avoir verrouill au pralable
l'ordinateur ou s'tre dconnect de l'ordinateur. Lorsque vous tablissez les fondations de la scurit
du rseau de votre organisation, il est plus judicieux de commencer en crant des stratgies et des
procdures appropries et en les communiquant aux utilisateurs. Vous pouvez alors passer aux autres
aspects du modle de dfense en profondeur.
Scurit physique
Si n'importe quelle personne non autorise peut accder physiquement un ordinateur connect
au rseau, la plupart des autres mesures de scurit sont inutiles. Vous devez vous assurer que les
ordinateurs contenant les donnes les plus sensibles (tels que les serveurs) sont physiquement
scuriss et que l'accs est accord uniquement au personnel autoris.
Primtre
12-3
De nos jours, aucune organisation n'est isole. Les organisations fonctionnent dans la sphre Internet et
de nombreuses ressources rseau d'organisation sont disponibles partir d'Internet. Cela peut inclure un
site Web dcrivant les services de votre organisation, ou des services internes que vous rendez disponibles
en externe (comme les confrences Web et la messagerie lectronique) afin que les utilisateurs puissent
travailler de leur domicile ou de succursales.
Les rseaux de primtre marquent la limite entre les rseaux publics et privs. En fournissant des serveurs
proxy inverses dans le rseau de primtre, vous pouvez proposer des services d'entreprise plus scuriss
dans le rseau public.
De nombreuses organisations implmentent le contrle de quarantaine pour l'accs rseau, dans le cadre
duquel les ordinateurs qui se connectent au rseau d'entreprise font l'objet d'une vrification de divers
critres de scurit, par exemple si l'ordinateur possde les dernires mises jour de scurit, les mises
jour d'antivirus, ainsi que d'autres paramtres de scurit recommands par la socit. Si ces critres sont
remplis, l'ordinateur est autoris se connecter au rseau d'entreprise. Dans le cas contraire, l'ordinateur
est plac dans un rseau isol, appel rseau de quarantaine, sans accs aux ressources de l'entreprise.
Une fois que l'ordinateur a rsolu les problmes lis ses paramtres de scurit, il est retir du rseau
de quarantaine et est autoris se connecter aux ressources de l'entreprise.
Remarque : Un proxy inverse, tel que Microsoft Forefront Threat Management
Gateway 2010 (Forefront TMG), vous permet de publier des services tels que la messagerie
lectronique et les services Web, partir de l'intranet d'entreprise sans placer les serveurs de
messagerie et Web dans le primtre ni les exposer aux utilisateurs externes. Forefront TMG
agit la fois en tant que proxy inverse et solution de pare-feu.
Rseaux
Une fois que vous avez connect vos ordinateurs un rseau (interne ou public), ils sont exposs
diffrentes menaces, y compris l'coute clandestine, l'usurpation d'identit, le dni de service et
les attaques par relecture. En implmentant IPsec (Internet Protocol Security), vous pouvez chiffrer
le trafic rseau et protger les donnes lors de leur transfert entre ordinateurs.
Lorsque la communication a lieu via des rseaux publics, par exemple pour des employs travaillant
leur domicile ou dans des bureaux distants, il est recommand que ces employs se connectent
une solution de pare-feu telle que Forefront TMG 2010 pour assurer une protection contre diffrents
types de menaces lies au rseau.
Renforcement de la scurit de l'ordinateur hte
La couche suivante de dfense est la couche utilise pour l'ordinateur hte. Ensemble, les tapes suivantes
forment un processus appel renforcement de la scurit de l'ordinateur hte. Sur votre ordinateur hte,
vous devez :
maintenir scuriss les ordinateurs l'aide des dernires mises jour de scurit ;
configurer des stratgies de scurit, telles que la complexit des mots de passe ;
configurer le pare-feu de l'hte ;
installer un logiciel antivirus.
Renforcement de la scurit des applications
Les applications ne sont scurises que si les dernires mises jour de scurit ont t installes.
Ensemble, les tapes suivantes forment un processus appel renforcement de la scurit des applications :
Utilisez uniformment la fonctionnalit Windows Update des systmes d'exploitation Windows

pour maintenir jour les applications.
Testez les applications pour dterminer si elles prsentent des failles de scurit susceptibles de
permettre une personne malveillante externe de compromettre des applications ou d'autres
composants rseau.
Scurit des donnes

La dernire couche de scurit concerne les donnes. Pour assurer la protection de votre rseau,
vous devez :
garantir l'utilisation approprie des droits des utilisateurs de fichiers l'aide des listes de contrle
d'accs (ACL) ;
implmenter le chiffrement des donnes confidentielles l'aide du systme de fichiers EFS

(Encrypting File System) ;
effectuer des sauvegardes rgulires des donnes.

12-5
Pour obtenir les derniers conseils en matire de scurit et le dernier bulletin de scurit Microsoft,
reportez-vous au site relatif la scurit pour les professionnels de l'informatique, l'adresse
Pour plus d'informations sur les types courants d'attaques rseau, reportez-vous la page
Question : Combien de couches du modle de dfense en profondeur devez-vous
implmenter dans votre organisation ?
Meilleures pratiques pour amliorer la scurit

Considrez les meilleures pratiques suivantes
permettant d'amliorer la scurit :
Appliquez toutes les mises jour de scurit

disponibles aussi rapidement que possible
aprs leur diffusion. Vous devez vous efforcer
d'implmenter les mises jour de scurit
ds que possible pour garantir la protection
de vos systmes contre les vulnrabilits
connues. Microsoft diffuse publiquement les
dtails de toutes les vulnrabilits connues
aprs la publication d'une mise jour, ce
qui peut entraner une augmentation des
programmes malveillants tentant d'exploiter la vulnrabilit. Toutefois, veillez encore tester
convenablement les mises jour avant de les appliquer grande chelle dans votre organisation.
Appliquez le principe des privilges minimum. Fournissez aux utilisateurs et aux comptes de service
les niveaux d'autorisation les plus bas qui sont requis pour effectuer les tches requises. Ceci garantit
que les programmes malveillants qui utilisent ces informations d'identification ont un impact limit.
Cela garantit galement que les utilisateurs sont limits dans leur capacit supprimer par erreur
des donnes ou modifier des paramtres critiques du systme d'exploitation.
Restreignez l'ouverture de session dans la console d'administrateur. L'ouverture d'une session

localement dans une console reprsente un plus grand risque pour un serveur que l'accs distance
des donnes. Cela est d au fait que certains programmes malveillants peuvent infecter un ordinateur
uniquement en utilisant une session utilisateur sur cet ordinateur. Si vous autorisez les administrateurs
utiliser une connexion Bureau distance pour l'administration du serveur, assurez-vous que des
fonctionnalits de scurit avances sont actives, telles que le contrle de compte d'utilisateur.
Limitez l'accs physique. Si quelqu'un a physiquement accs votre serveur, cette personne
dispose pratiquement d'un accs illimit aux donnes sur ce serveur. Une personne non autorise
peut utiliser une grande varit d'outils pour rinitialiser rapidement le mot de passe sur des
comptes administrateur local et obtenir un accs local, ou utiliser un lecteur USB pour introduire
un programme malveillant.
Documentation supplmentaire : Pour plus d'informations sur les meilleures

pratiques en matire de scurit d'entreprise, reportez-vous la page
Leon 2
Configuration des paramtres de scurit
12-7
Une fois que vous tes inform des menaces et des risques de scurit, ainsi que des meilleures pratiques
pour amliorer la scurit, vous pouvez commencer configurer la scurit pour votre environnement
Windows 8 et Windows Server 2012. Cette leon explique comment configurer les paramtres de scurit.
Pour appliquer ces paramtres de scurit plusieurs utilisateurs et ordinateurs dans votre organisation,
vous pouvez utiliser les stratgies de groupe. Par exemple, vous pouvez configurer des paramtres de
stratgie de mot de passe l'aide des stratgies de groupe, puis les dployer pour plusieurs utilisateurs.
Une stratgie de groupe possde un composant de scurit important qui vous permet de configurer
la scurit pour des utilisateurs et des ordinateurs. Vous pouvez appliquer uniformment la scurit dans
toute l'organisation dans les services de domaine Active Directory (AD DS) en dfinissant des paramtres
de scurit dans un objet de stratgie de groupe (GPO) qui est associ un site, un domaine ou une
unit d'organisation (OU).
dcrire comment configurer des modles de scurit ;
expliquer ce que sont les droits des utilisateurs et comment les configurer ;
expliquer comment configurer les options de scurit ;
expliquer comment configurer le contrle de compte d'utilisateur ;
expliquer comment configurer l'audit de scurit ;
expliquer comment configurer des groupes restreints ;
expliquer comment configurer les paramtres de stratgie de compte.
Documentation supplmentaire : Pour rechercher une liste dtaille des paramtres

de stratgie de groupe, cliquez sur le lien suivant :
http://go.microsoft.com/fwlink/?LinkID=266744 (page en anglais).
Configuration de modles de scurit

Les modles de scurit sont des fichiers que
vous pouvez utiliser pour grer et configurer
les paramtres de scurit sur des ordinateurs
excutant Windows. Selon les diverses catgories
de paramtres de scurit, les modles de scurit
sont diviss en sections logiques. Vous pouvez
configurer chacune des sections suivantes selon
les besoins et les demandes d'une socit :
Stratgies de comptes. Stratgie de mot de

passe, stratgie de verrouillage de compte
et stratgie Kerberos
Stratgies locales. Stratgie d'audit,

attribution des droits utilisateur et options de scurit
Journal des vnements. Paramtres des journaux d'vnements Applications, Systme et Scurit
Groupes restreints. Appartenance des groupes dots de droits et autorisations spciaux
Services systme. Dmarrage et autorisations pour les services systme
Registre. Autorisations pour les cls du Registre
Systme de fichiers. Autorisations pour les dossiers et les fichiers
Lorsque vous configurez un modle de scurit, vous pouvez l'utiliser pour configurer un ordinateur
unique ou plusieurs ordinateurs dans le rseau. Voici quelques mthodes permettant de configurer
et distribuer des modles de scurit :
Secedit.exe. L'outil en ligne de commande secedit.exe configure et analyse la scurit des systmes
en comparant la configuration actuelle d'un ordinateur excutant Windows Server 2012 aux modles
de scurit spcifis.
Composant logiciel enfichable Modles de scurit. Le composant logiciel enfichable Modles

de scurit vous permet de crer une stratgie de scurit l'aide de modles de scurit.
Assistant Configuration et analyse de la scurit. Cet Assistant est un outil qui permet d'analyser
et configurer la scurit de l'ordinateur.
Stratgie de groupe. La stratgie de groupe est une technologie permettant d'analyser et configurer
les paramtres de l'ordinateur, y compris la distribution de paramtres de scurit spcifiques.
Responsable de la conformit de scurit. Le responsable de la conformit de scurit est un outil qui

fournit des fonctionnalits de gestion de base de scurit et des fonctionnalits d'exportation de base
de scurit centralises.
Configuration des droits des utilisateurs

L'attribution des droits utilisateur se rapporte
la capacit d'excuter des actions sur le systme
d'exploitation. Chaque ordinateur possde son
propre ensemble de droits utilisateur, tels que
le droit de modifier l'heure systme. La plupart des
droits sont accords au systme local ou
l'administrateur.
Les privilges et les droits de connexion sont
deux types de droits utilisateur :
Les privilges dfinissent l'accs aux ressources

de l'ordinateur et du domaine. Les droits de
sauvegarder des fichiers et des rpertoires en
sont un exemple.
Les droits de connexion dfinissent les personnes autorises se connecter un ordinateur

et la manire dont elles peuvent se connecter. Par exemple, les droits de connexion peuvent
dfinir le droit de se connecter localement un systme.
Vous pouvez configurer des droits par le biais d'une stratgie de groupe. Initialement, la stratgie
de domaine par dfaut ne dfinit aucun droit utilisateur.
Vous pouvez configurer des paramtres pour les droits utilisateur en accdant Configuration de
l'ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies locales\Attribution
des droits utilisateurs dans la console de gestion des stratgies de groupe (GPMC).
12-9
Voici quelques exemples de droits utilisateur couramment utiliss (et des stratgies qu'ils configurent) :
Ajouter des stations de travail au domaine. Dtermine quels utilisateurs ou groupes peuvent
ajouter des stations de travail au domaine.
Permettre l'ouverture d'une session locale. Dtermine quels utilisateurs peuvent se connecter
l'ordinateur.
Autoriser l'ouverture de session par les services Bureau distance. Dtermine quels utilisateurs
ou groupes ont l'autorisation de se connecter en tant que client des services Bureau distance.
Sauvegarder les fichiers et les rpertoires. Dtermine quels utilisateurs ont les autorisations
permettant de sauvegarder les fichiers et les dossiers sur un ordinateur.
Modifier l'heure systme. Dtermine quels utilisateurs ou groupes possdent les droits de modifier
la date et l'heure sur l'horloge interne de l'ordinateur.
Forcer l'arrt partir d'un systme distant. Dtermine quels utilisateurs sont autoriss arrter
un ordinateur partir d'un emplacement distant dans le rseau.
Arrter le systme. Dtermine quels utilisateurs parmi ceux connects localement un ordinateur
sont autoriss arrter l'ordinateur.
Configuration des options de scurit

Vous pouvez galement utiliser les stratgies
de groupe pour accder aux options de scurit
et les configurer. Les paramtres de scurit de
l'ordinateur que vous pouvez configurer dans
Options de scurit comprennent les paramtres
suivants :
Noms des comptes Administrateur et Invit
Accs aux lecteurs de CD/DVD
Signatures de donnes numriques.
Comportement d'installation des pilotes
Invites d'ouverture de session
Contrle de compte d'utilisateur
Scurisation des serveurs Windows l'aide d'objets de stratgie de groupe
12-10
Vous pouvez galement configurer les paramtres des options de scurit en accdant l'emplacement
suivant dans la console de gestion des stratgies de groupe : Configuration ordinateur\Stratgies\
Paramtres Windows\Paramtres de scurit\Stratgies locales\Options de scurit.
Voici des exemples d'options de scurit couramment utilises :
Prvenir l'utilisateur qu'il doit changer son mot de passe avant qu'il n'expire. Dtermine
combien de jours avant l'expiration d'un mot de passe de l'utilisateur, le systme d'exploitation
doit fournir un avertissement.
Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur. Dtermine si le

nom du dernier utilisateur s'tre connect l'ordinateur doit s'afficher dans la fentre d'ouverture
de session de Windows.
Comptes : renommer le compte administrateur. Dtermine si un nom de compte diffrent est

associ l'identificateur de scurit (SID) pour le compte Administrateur.
Priphriques : autoriser l'accs au CD-ROM uniquement aux utilisateurs ayant ouvert

une session localement. Dtermine si un CD-ROM est accessible simultanment aux utilisateurs
locaux et distants.
Configuration du contrle de compte d'utilisateur

Les comptes administrateur comportent des
risques de scurit plus levs. Lorsqu'un
compte administrateur est connect, ses
privilges autorisent l'accs au systme
d'exploitation Windows tout entier, y compris
au Registre, aux fichiers systme et aux paramtres
de configuration. Tant qu'un
compte administrateur est connect, le
systme est vulnrable une attaque
et susceptible d'tre compromis.
Le contrle de compte d'utilisateur (UAC) est

une fonctionnalit de scurit qui contribue
empcher toute modification non autorise d'un ordinateur. Pour cela, il demande l'autorisation de
l'utilisateur ou des informations d'identification d'administrateur avant d'excuter des actions susceptibles
d'affecter le fonctionnement de l'ordinateur ou de modifier des paramtres affectant plusieurs utilisateurs.
Par dfaut, les utilisateurs standard et les administrateurs excutent des applications et accdent des
ressources dans le contexte de scurit d'un utilisateur standard. Le contrle de compte d'utilisateur
permet un utilisateur d'lever son statut de compte d'utilisateur standard en compte administrateur
sans avoir se dconnecter, basculer vers un autre utilisateur ni utiliser l'option Excuter en tant
que. Pour cette raison, le contrle de compte d'utilisateur cre un environnement plus scuris pour
l'excution et l'installation d'applications.
Quand une application requiert une autorisation de niveau administrateur, le contrle de compte
d'utilisateur en avertit l'utilisateur, comme suit :
12-11
Si l'utilisateur est un administrateur, l'utilisateur confirme son choix d'lever son niveau d'autorisation
et de continuer. Ce processus de demande d'approbation est appel mode d'approbation
Administrateur.
Remarque : Dans Windows Server 2012, le compte Administrateur intgr ne s'excute pas
en mode d'approbation Administrateur. En consquence, aucune invite de contrle de compte
d'utilisateur ne s'affiche lors de l'utilisation du compte administrateur local.
Si l'utilisateur n'est pas un administrateur, il convient d'entrer un nom d'utilisateur et un mot de

passe pour un compte dot d'autorisations administratives. La saisie d'informations d'identification
d'administration fournit temporairement l'utilisateur des privilges d'administrateur, mais seulement
pour effectuer la tche actuelle. Une fois la tche termine, les autorisations redeviennent celles d'un
utilisateur standard.
Lorsque vous utilisez ce processus de notification et d'lvation vers des privilges de compte
administrateur, aucune modification ne peut tre apporte l'ordinateur sans que l'utilisateur le sache,
car une invite demande l'utilisateur l'autorisation ou des informations d'identification d'administrateur.
Cela peut permettre d'empcher qu'un logiciel malveillant ou un logiciel espion soit install sur un
ordinateur ou y apporte des modifications.
Le contrle de compte d'utilisateur permet d'effectuer les modifications au niveau systme suivantes
sans invite, mme lorsqu'un utilisateur est connect en tant qu'utilisateur local :
installer des mises jour partir de Windows Update ;
installer des pilotes partir de Windows Update ou ceux qui sont fournis avec le systme
d'exploitation ;
afficher les paramtres du systme d'exploitation Windows ;
coupler des priphriques Bluetooth avec l'ordinateur ;
rinitialiser la carte rseau et excuter d'autres tches de diagnostic et de rparation du rseau.
Modification du comportement du contrle de compte d'utilisateur
Vous pouvez modifier l'exprience de notification du contrle de compte d'utilisateur pour rgler la
frquence et le comportement des invites UAC. Pour modifier le comportement du contrle de compte
d'utilisateur sur un ordinateur unique, accdez au Panneau de configuration de Windows Server 2012,
puis Systme et scurit.
Vous pouvez galement configurer les paramtres de contrle de compte d'utilisateur en accdant
l'emplacement suivant dans la console de gestion des stratgies de groupe : Configuration
ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies locales\
Options de scurit.
Vous trouverez ci-aprs des exemples de paramtres d'objet de stratgie de groupe que vous pouvez
configurer pour le contrle de compte d'utilisateur :
Contrle de compte d'utilisateur : excuter les comptes d'administrateurs en mode

d'approbation d'administrateur. Contrle le comportement de tous les paramtres de stratgie
de contrle de compte d'utilisateur pour l'ordinateur. Si ce paramtre est dsactiv, le contrle
de compte d'utilisateur ne s'excutera pas sur cet ordinateur.
Contrle de compte d'utilisateur : mode Approbation administrateur pour le compte

Administrateur intgr. Lorsque vous activez ce paramtre, le compte Administrateur intgr
utilise le mode d'approbation Administrateur.
Contrle de compte d'utilisateur : dtecter les installations d'applications et demander

l'lvation. Ce paramtre contrle le comportement de dtection des installations d'applications
pour l'ordinateur.
Contrle de compte d'utilisateur : lever uniquement les excutables signs et valids.

Quand vous activez ce paramtre, une vrification d'infrastructure cl publique est effectue
sur le fichier excutable pour vrifier qu'il provient d'une source approuve. Si le fichier est
vrifi, il est autoris s'excuter.
Remarque : Par dfaut, le contrle de compte d'utilisateur n'est pas configur ni activ
dans les installations minimales de Windows Server 2012.
Configuration de l'audit de scurit

En gnral, un des composants de la stratgie de
scurit d'une organisation est l'enregistrement du
comportement des activits des utilisateurs. Ce
comportement peut inclure les tentatives russies
ou infructueuses d'accs aux donnes essentielles
de l'entreprise stockes dans diffrents dossiers,
ou les tentatives russies ou infructueuses de
connexion sur les diffrents serveurs.
L'enregistrement de ces vnements lis la
scurit est appel audit de scurit. L'audit de
scurit gnre des journaux d'vnements de
scurit que les administrateurs peuvent consulter
a posteriori dans l'observateur d'vnements, dans le journal des vnements de scurit.
Aprs la configuration de l'audit, les informations prsentes dans les journaux des vnements
de scurit peuvent aider votre organisation analyser sa conformit aux donnes d'entreprise
et de scurit importantes grce au suivi prcis d'activits dfinies, telles que :
un administrateur de groupe qui a modifi des paramtres ou des donnes sur des serveurs
contenant des informations hautement confidentielles ;
un employ appartenant un groupe donn qui a accd un dossier important contenant

des donnes provenant de diffrents services ;
un utilisateur qui essaie de se connecter son compte plusieurs reprises, sans succs, partir
d'un ordinateur interne la socit. Vous pouvez constater que l'employ qui possde ce compte
d'utilisateur tait en congs la semaine en question, ce qui signifie qu'un autre employ essayait
de se connecter avec un compte d'utilisateur diffrent.
12-12
12-13
Vous pouvez configurer les paramtres d'audit de scurit en accdant l'emplacement suivant
dans la console de gestion des stratgies de groupe : Configuration ordinateur\Stratgies\
Paramtres Windows\Paramtres de scurit\Stratgies locales\Stratgie d'audit.
Vous trouverez ci-aprs des exemples de paramtres d'objet de stratgie de groupe que vous pouvez
configurer pour l'audit :
Auditer les vnements de connexion aux comptes. Dtermine si l'audit du systme d'exploitation
se produit chaque fois que l'ordinateur valide les informations d'identification d'un compte.
Auditer la gestion des comptes. Dtermine s'il convient d'auditer chaque vnement de gestion
des comptes, tel que la cration, la modification, le changement de nom ou la suppression d'un
compte d'utilisateur, la modification d'un mot de passe, ou l'activation et la dsactivation d'un
compte d'utilisateur.
Auditer l'accs aux objets. Dtermine si les audits du systme d'exploitation ont accs aux objets
non-Active Directory, tels que les dossiers et les fichiers. Avant de configurer les paramtres d'audit
par le biais d'une stratgie de groupe, vous devez configurer des listes de contrle d'accs systme
(SACL) sur les dossiers ou les fichiers pour autoriser l'audit pour un type spcifique d'action, tel que
l'criture, la lecture ou la modification.
Auditer les vnements systme. Dtermine si le systme d'exploitation effectue l'audit

d'vnements lis au systme, tels que les tentatives de modification de l'heure systme, les
tentatives de dmarrage ou d'arrt du systme, ou la taille du journal de scurit dpassant
un niveau de seuil d'avertissement configurable.
Documentation supplmentaire : Pour plus d'informations sur l'audit de scurit,

consultez l'article sur les nouveauts en matire d'audit de scurit, l'adresse
Configuration des groupes restreints

Dans certains cas, vous pouvez souhaiter contrler
l'appartenance certains groupes dans un
domaine, tels que le groupe des administrateurs
locaux, pour empcher l'ajout d'autres comptes
d'utilisateur ces groupes.
Vous pouvez utiliser la stratgie Groupes
restreints pour contrler l'appartenance
aux groupes en spcifiant les membres qui sont
placs dans un groupe. Si vous dfinissez une
stratgie de groupes restreints puis actualisez
la stratgie de groupe, tout membre actuel
d'un groupe qui ne figure pas dans la liste des
membres de la stratgie de groupes restreints sera supprim, y compris les membres par dfaut tels
que les administrateurs de domaine.
12-14
Bien que vous puissiez contrler les groupes de domaine en attribuant des stratgies de groupes
restreints aux contrleurs de domaine, vous devez principalement utiliser ce paramtre pour
configurer l'appartenance aux groupes essentiels, tels que les groupes Administrateurs de l'entreprise et
Administrateurs du schma. Vous pouvez galement utiliser ce paramtre pour contrler l'appartenance
aux groupes locaux intgrs sur les stations de travail et les serveurs membres. Par exemple, vous pouvez
placer le groupe Support technique dans le groupe Administrateurs local sur toutes les stations de travail.
Vous ne pouvez pas spcifier d'utilisateurs locaux dans un objet de stratgie de groupe de domaine. Les
utilisateurs locaux qui se trouvent actuellement dans le groupe local contrl par la stratgie de groupes
restreints seront supprims. La seule exception cela concerne le compte Administrateurs local qui figure
toujours dans le groupe Administrateurs local.
Vous pouvez configurer les paramtres de groupes restreints en accdant l'emplacement suivant dans
la console de gestion des stratgies de groupe : Configuration ordinateur\Stratgies\
Paramtres Windows\Paramtres de scurit\Groupes restreints.
Configuration des paramtres de stratgie de compte

Les stratgies de comptes protgent les comptes
et les donnes de votre organisation en attnuant
la menace que reprsentent les attaques qui
essaient de deviner le nom d'utilisateur et le
mot de passe d'un compte (elles sont parfois
appeles attaques en force brute). La scurisation
de votre environnement rseau exige que tous
les utilisateurs utilisent des mots de passe forts.
Vous utilisez les paramtres de stratgie de
mot de passe pour contrler la complexit et la
dure de vie des mots de passe utilisateur. Vous
configurez les paramtres de stratgie de mot
de passe par le biais des stratgies de groupe.
Stratgies de comptes
Les composants des stratgies de comptes incluent les stratgies de mot de passe, les stratgies
de verrouillage de compte et la stratgie Kerberos.
Les paramtres de stratgie sous Stratgies de comptes sont implments au niveau du domaine.
Un domaine Windows Server 2012 peut avoir plusieurs stratgies de mot de passe et de verrouillage
de compte, appeles stratgies de mot de passe affines. Vous pouvez appliquer ces diffrentes stratgies
un utilisateur ou un groupe de scurit global dans un domaine, mais pas une unit d'organisation.
Remarque : Si vous devez appliquer une stratgie de mot de passe affine aux utilisateurs
d'une unit d'organisation, vous pouvez utiliser un groupe de clichs instantans, qui est
un groupe de scurit global qui est logiquement mapp une unit d'organisation.
Vous pouvez configurer les paramtres des stratgies de comptes en accdant l'emplacement suivant
dans la console de gestion des stratgies de groupe : Configuration de l'ordinateur\Stratgies\
Paramtres Windows\Paramtres de scurit\Stratgies de comptes
Stratgie de mot de passe
12-15
Les stratgies de mot de passe que vous pouvez configurer sont rpertories dans le tableau ci-dessous.
Stratgie
Le mot de passe
doit respecter
des exigences
de complexit
Fonction
Meilleure pratique
Exige que les mots de passe :
Activez ce paramtre. Ces exigences de

complexit contribuent garantir un
mot de passe fort. Il est plus difficile
de dchiffrer les mots de passe forts
que ceux contenant des lettres et des
chiffres simples.
Indiquez aux utilisateurs d'utiliser
des expressions comme mots de passe
afin de crer de longs mots de passe
faciles mmoriser.
doit tre au moins gal la

longueur minimale du mot de
passe spcifie, avec au moins
3 caractres si la longueur
minimale du mot de passe
est dfinie sur 0.;
contiennent une combinaison

d'au moins trois des types de
caractres suivants : lettres
majuscules, lettres minuscules,
chiffres et symboles (signes
de ponctuation) ;
ne contiennent ni le nom
d'utilisateur ni le nom
d'cran de l'utilisateur.
Appliquer
l'historique des
mots de passe
Empche les utilisateurs de crer un

nouveau mot de passe identique
leur mot de passe actuel ou un
mot de passe utilis rcemment.
Pour spcifier le nombre de mots
de passe mmoriss, fournissez une
valeur. Par exemple, la valeur 1 signifie
que seul le dernier mot de passe sera
mmoris, tandis que la valeur 5
signifie que les cinq mots de passe
prcdents seront mmoriss.
Plus le nombre est lev, plus la

scurit est renforce. La valeur
par dfaut est 24. L'application
de l'historique des mots de passe
garantit que des mots de passe ayant
t compromis ne sont pas rutiliss.
Dure de vie
maximale du
mot de passe
Dfinit le nombre maximal de jours

pendant lesquels un mot de passe
est valide. Aprs ce nombre de jours,
l'utilisateur doit modifier le mot
de passe.
La valeur par dfaut est 42 jours,

mais il est recommand de paramtrer
90 jours. Le paramtrage d'un nombre
de jours trop lev fournit aux pirates
informatiques une plus grande fentre
de temps pour dterminer le mot de
passe. Le paramtrage d'un nombre
de jours trop bas gnre une
frustration chez les utilisateurs qui
doivent modifier leurs mots de passe
trop frquemment, et peut entraner
des appels plus frquents au support
technique.
(suite)
Stratgie
Fonction
Meilleure pratique
12-16
Dure de vie
minimale du
mot de passe
Dfinit le nombre minimal de jours

qui doivent s'couler avant qu'un
mot de passe puisse tre modifi.
Dfinissez la dure de vie minimale

du mot de passe sur au moins 1 jour.
En procdant ainsi, vous permettez
l'utilisateur de changer son mot de
passe une fois par jour seulement.
Ceci permet d'appliquer d'autres
paramtres.
Par exemple, si les cinq derniers mots
de passe sont mmoriss, ceci garantit
qu'au moins cinq jours s'coulent
avant que l'utilisateur puisse rutiliser
le mot de passe d'origine. Si la dure
de vie minimale du mot de passe est
dfinie sur 0, l'utilisateur peut modifier
son mot de passe six fois le mme
jour et commencer rutiliser le mot
de passe d'origine le mme jour.
Longueur
minimale du
mot de passe
Spcifie le nombre minimal de

caractres qu'un mot de passe
peut comporter.
Dfinissez comme longueur une valeur

comprise entre 8 et 12 caractres (
condition qu'ils rpondent galement
aux exigences de complexit). Il est
plus difficile de pirater un mot de
passe plus long qu'un mot de passe
plus court, condition que le mot
de passe ne soit pas un mot ou une
expression courante.
Enregistrer les
mots de passe
en utilisant un
chiffrement
rversible
Fournit une prise en charge pour

les applications qui exigent la
connaissance d'un mot de passe
utilisateur pour l'authentification.
N'utilisez ce paramtre que si vous

utilisez un programme qui le requiert.
L'activation de ce paramtre diminue
la scurit des mots de passe stocks.
12-17
Stratgie de verrouillage du compte
Les stratgies de verrouillage de compte que vous pouvez configurer sont rpertories dans le tableau
ci-dessous.
Stratgie
Fonction
Meilleure pratique
Seuil de
verrouillage
de comptes
Spcifie le nombre d'checs de

connexion autoriss avant que le
compte soit verrouill.
Par exemple, si le seuil a pour valeur 3,
le compte est verrouill lorsqu'un
utilisateur entre trois fois des
informations de connexion incorrectes.
Un paramtre de 5 tient compte d'une

erreur utilisateur raisonnable et limite
les tentatives de connexion rptes
des fins malveillantes.
Dure de
verrouillage
des comptes
Permet de spcifier un dlai, en

minutes, aprs lequel le compte
est dverrouill et reprend
automatiquement un fonctionnement
normal. Si vous spcifiez 0, le compte
sera verrouill indfiniment jusqu' ce
qu'un administrateur le dverrouille
manuellement.
Une fois que le seuil a t atteint et

que le compte est verrouill, le compte
doit rester verrouill assez longtemps
pour bloquer ou dcourager toute
attaque potentielle, mais pas trop
longtemps pour ne pas gner la
productivit des utilisateurs lgitimes.
Une dure de 30 90 minutes est
adapte la plupart des situations.
Rinitialiser le
compteur de
verrouillages du
compte aprs
Dfinit un dlai pour compter les

tentatives de connexion incorrectes.
Si la stratgie est dfinie pour une
heure et que le seuil de verrouillage de
compte est dfini pour trois tentatives,
un utilisateur peut entrer des
informations de connexion incorrectes
trois fois en une heure. Si l'utilisateur
entre deux fois des informations
incorrectes, mais entre les informations
correctes la troisime fois, le compteur
est rinitialis aprs une heure (aprs
la premire entre incorrecte) de
sorte que le compte de tentatives
infructueuses reprendra un.
L'utilisation d'un dlai compris entre

30 et 60 minutes est habituellement
suffisant pour dcourager les
attaques automatises et les
tentatives manuelles d'un intrus
de deviner un mot de passe.
Stratgie Kerberos
Cette stratgie est destine aux comptes d'utilisateur de domaine et dtermine les paramtres lis
Kerberos tels que l'application et la dure de vie des tickets. Les stratgies Kerberos n'existent pas
dans la stratgie de l'ordinateur local.
Atelier pratique A : Renforcement de la scurit

des ressources de serveur
Scnario
est bas Londres, en Angleterre. Un bureau informatique et un centre de donnes sont situs
Londres pour assister le sige social de Londres et d'autres sites. A. Datum a rcemment dploy
une infrastructure Windows Server 2012 avec des clients Windows 8.
12-18
technique des serveurs. En tant que nouveau membre de l'quipe, votre rle consiste aider dployer
et configurer de nouveaux serveurs et services dans l'infrastructure existante, conformment aux
instructions fournies par votre responsable informatique.
Votre responsable vous a donn quelques paramtres relatifs la scurit qui doivent tre implments
sur tous les serveurs membres. Vous devez galement implmenter l'audit du systme de fichiers pour
un partage de fichiers utilis par le service Marketing. Enfin, vous devez implmenter l'audit pour les
connexions au domaine.
Objectifs
utiliser les stratgies de groupe pour scuriser les serveurs membres ;
effectuer l'audit de l'accs au systme de fichiers ;
effectuer l'audit des connexions au domaine.

22410B-LON-DC1
22410B-LON-SVR1
22410B-LON-CL1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
Pour cet atelier pratique, vous utiliserez l'environnement d'ordinateur virtuel disponible. Avant de
commencer cet atelier pratique, vous devez procder aux tapes suivantes :
1.
2.
sur Accueil.
3.
4.
5.

o
Rptez les tapes 2 4 pour 22410B-LON-SVR1 et les tapes 2 et 3 pour 22410B-LON-CL1.

Ne vous connectez pas LON-CL1 tant qu'il ne vous a pas t demand de le faire.
Exercice 1 : Utilisation des stratgies de groupe pour scuriser

les serveurs membres
Scnario
12-19
A. Datum utilise le groupe Administrateurs d'ordinateur pour fournir aux administrateurs les autorisations
permettant d'administrer les serveurs membres. Dans le cadre de la procdure d'installation d'un nouveau
serveur, le groupe Administrateurs d'ordinateur du domaine est ajout au groupe Administrateurs local
sur le nouveau serveur. Rcemment, cette tape importante manquait lors de la configuration de plusieurs
nouveaux serveurs membres.
Pour s'assurer que le groupe Administrateurs d'ordinateur bnficie toujours de l'autorisation permettant
de grer les serveurs membres, votre responsable vous a demand de crer un objet de stratgie de
groupe qui dfinisse l'appartenance au groupe Administrateurs local sur les serveurs membres pour
inclure les administrateurs d'ordinateur serveur. Cet objet de stratgie de groupe doit galement
activer le mode d'approbation Administrateur pour le contrle de compte d'utilisateur.
1.
Crer une unit d'organisation de serveurs membres et y placer les serveurs
2.
Crer un groupe Administrateurs de serveur
3.
Crer un objet de stratgie de groupe des paramtres de scurit des serveurs membres et le lier
l'unit d'organisation Serveurs membres
4.
Configurer l'appartenance aux groupes pour les administrateurs locaux afin d'inclure les groupes
Administrateurs de serveur et Administrateurs de domaine
5.
Vrifier que les administrateurs d'ordinateur ont t ajouts au groupe Administrateurs local
6.
Modifier l'objet GPO Paramtres de scurit des serveurs membres pour supprimer des utilisateurs
de l'autorisation Permettre l'ouverture d'une session locale
7.
Modifier l'objet GPO Paramtres de scurit des serveurs membres pour activer Contrle de compte
d'utilisateur : mode Approbation administrateur pour le compte Administrateur intgr
8.
Vrifier qu'un utilisateur ne disposant pas de droits d'administration ne peut pas se connecter
un serveur membre
Tche 1 : Crer une unit d'organisation de serveurs membres et y placer les serveurs
1.
Sur LON-DC1, ouvrez Utilisateurs et ordinateurs Active Directory.
2.
Crez une nouvelle unit d'organisation appele Unit d'organisation Serveurs membres.
3.
Placez les serveurs LON-SVR1 et LON-SVR2 dans Unit d'organisation Serveurs membres.
Tche 2 : Crer un groupe Administrateurs de serveur
Sur LON-DC1, dans Unit d'organisation Serveurs membres, crez un nouveau groupe de scurit
global appel Administrateurs de serveur.
Tche 3 : Crer un objet de stratgie de groupe des paramtres de scurit

des serveurs membres et le lier l'unit d'organisation Serveurs membres
1.
Sur LON-DC1, ouvrez la console de gestion des stratgies de groupe.
2.
Dans la console de gestion des stratgies de groupe (GPMC), dans le conteneur Objets de stratgie
de groupe, crez un nouvel objet de stratgie de groupe avec un nom Paramtres de scurit
des serveurs membres.
3.
Dans la console de gestion des stratgies de groupe, liez l'objet Paramtres de scurit des
serveurs membres l'unit d'organisation Serveurs membres.
Tche 4 : Configurer l'appartenance aux groupes pour les administrateurs locaux

afin d'inclure les groupes Administrateurs de serveur et Administrateurs de domaine
1.
Sur LON-DC1, ouvrez la console de gestion des stratgies de groupe.
2.
Modifiez Default Domain Policy.
3.
Accdez Configuration ordinateur, cliquez sur Stratgies, sur Paramtres Windows, sur
Paramtres de scurit, puis sur Groupes restreints.
4.
Ajoutez les groupes Administrateurs de serveur et ADATUM\Admins du domaine au groupe

Administrateurs.
5.
Fermez l'diteur de gestion des stratgies de groupe.
Tche 5 : Vrifier que les administrateurs d'ordinateur ont t ajouts au groupe

Administrateurs local
1.
Basculez vers LON-SVR1, puis connectez-vous en tant qu'ADATUM\Administrateur avec le mot

de passe Pa$$w0rd.
2.
Ouvrez une fentre Windows PowerShell, et l'invite de commande Windows PowerShell, tapez
Gpupdate /force
3.
Ouvrez le Gestionnaire de serveur, ouvrez la console Gestion de l'ordinateur, puis dveloppez

Utilisateurs et groupes locaux.
4.
Confirmez que le groupe Administrateurs contient la fois ADATUM\Admins du domaine

et ADATUM\Administrateurs de serveur comme membres.
5.
Fermez la console Gestion de l'ordinateur.
Tche 6 : Modifier l'objet GPO Paramtres de scurit des serveurs membres pour
supprimer des utilisateurs de l'autorisation Permettre l'ouverture d'une session locale
1.
Basculez vers LON-DC1.
2.
Sur LON-DC1, dans GPMC, modifiez l'objet GPO Paramtres de scurit des serveurs membres.
3.
Dans la fentre diteur de gestion des stratgies de groupe, accdez Configuration ordinateur\
Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies locales\Attribution des
droits utilisateur et configurez Permettre l'ouverture d'une session locale pour les groupes
de scurit Admins du domaine et Administrateurs.
12-20
Tche 7 : Modifier l'objet GPO Paramtres de scurit des serveurs membres

pour activer Contrle de compte d'utilisateur : mode Approbation administrateur
pour le compte Administrateur intgr
12-21
1.
Sur LON-DC1, dans la fentre diteur de gestion des stratgies de groupe, accdez Configuration
de l'ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies locales\
Options de scurit.
2.
Activez Contrle de compte d'utilisateur : mode Approbation administrateur pour le compte

Administrateur intgr.
3.
Tche 8 : Vrifier qu'un utilisateur ne disposant pas de droits d'administration

ne peut pas se connecter un serveur membre
1.
2.
Ouvrez une fentre Windows PowerShell et l'invite de commande Windows PowerShell, tapez
Gpupdate /force
3.
Dconnectez-vous de LON-SVR1.
4.
Essayez de vous connecter LON-SVR1 en tant qu'ADATUM\Adam avec le mot de passe

Pa$$w0rd.
5.
Vrifiez que vous ne pouvez pas vous connecter LON-SVR1.
6.
Pour prparer l'exercice suivant, dconnectez-vous de LON-SVR1 et connectez-vous de nouveau

LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
Rsultats : la fin de cet exercice, vous devrez avoir utilis les stratgies de groupe pour scuriser
les serveurs membres.
Exercice 2 : Audit de l'accs au systme de fichiers

Scnario
Le directeur du service Marketing s'intresse une ventuelle possibilit d'effectuer le suivi des personnes
qui accdent aux fichiers situs dans le partage de fichiers du service. Votre responsable lui a rpondu que
seuls les utilisateurs dots d'autorisations sont autoriss accder aux fichiers. Toutefois, le directeur du
service Marketing voudrait essayer de consigner les accs aux fichiers situs dans le partage de fichiers
pour voir quels utilisateurs accdent des fichiers spcifiques.
Votre responsable vous a demand d'activer l'audit pour le systme de fichiers qui se trouve dans le
partage de fichiers du service Marketing et de passer en revue les rsultats avec le directeur du service
Marketing.

1.
Modifier l'objet GPO Paramtres de scurit des serveurs membres pour activer l'audit
de l'accs aux objets
2.
Crer et partager un dossier
3.
Activer l'audit sur le dossier Marketing pour les utilisateurs du domaine
4.
Crer un nouveau fichier dans le partage de fichiers partir de LON-CL1
5.
Visualiser les rsultats dans le journal de scurit sur le contrleur de domaine

pour activer l'audit de l'accs aux objets
12-22
1.
2.
Connectez-vous LON-DC1 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
3.
Dans la console GPMC, modifiez l'objet GPO Paramtres de scurit des serveurs membres.
4.
Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies locales\Stratgie d'audit.
5.
Activez Auditer l'accs aux objets avec les deux paramtres Russite et chec.
6.
Tche 2 : Crer et partager un dossier

1.
2.
3.
Sur LON-SVR1, sur le lecteur C, crez un nouveau dossier avec le nom Marketing.
4.
Configurez le dossier Marketing avec les autorisations de partage Lecture/criture pour l'utilisateur
Adam.
Tche 3 : Activer l'audit sur le dossier Marketing pour les utilisateurs du domaine
1.
2.
Sur LON-SVR1, dans la fentre Disque local (C:), configurez l'audit sur le dossier Marketing,
avec les paramtres suivants :
o
Slectionnez un principal : Utilisateurs du domaine
Type : Tout
Autorisation : Lecture et excution, Affichage du contenu du dossier, Lecture, criture
Conservez les valeurs par dfaut des autres paramtres.
Actualisez la stratgie de groupe en tapant la commande suivante dans une fentre PowerShell :
gpupdate /force
12-23
Tche 4 : Crer un nouveau fichier dans le partage de fichiers partir de LON-CL1

1.
2.
3.
Ouvrez une fentre d'invite de commandes et tapez la commande suivante :

gpupdate /force
4.
Fermez la fentre d'invite de commandes.
5.
Dconnectez-vous de LON-CL1, puis connectez-vous de nouveau en tant qu'ADATUM\Adam

6.
Ouvrez le dossier Marketing sur LON-SVR1 en utilisant le chemin d'accs UNC suivant :
\\LON-SVR1\Marketing.
7.
Crez un document texte nomm Employs.
8.
Tche 5 : Visualiser les rsultats dans le journal de scurit sur le contrleur

de domaine
1.
Basculez vers LON-SVR1, et dmarrez l'observateur d'vnements.
2.
Dans la fentre de l'observateur d'vnements, dveloppez Journaux Windows, puis ouvrez

Scurit.
3.
Vrifiez que l'vnement et les informations suivants s'affichent :

o
Source : Microsoft Windows Security Auditing
ID d'vnement : 4663
Catgorie de la tche : Systme de fichiers
Une tentative d'accs un objet a t effectue.
Rsultats : la fin de cet exercice, vous devrez avoir activ l'audit des accs au systme de fichiers.
Exercice 3 : Audit des connexions au domaine

Scnario
Aprs un examen de la scurit, le comit de stratgie informatique a dcid de commencer effectuer

le suivi de toutes les connexions des utilisateurs au domaine. Votre responsable vous a demand d'activer
l'audit des connexions au domaine et de vrifier qu'elles fonctionnent.
1.
Modifier l'objet GPO Stratgie de domaine par dfaut
2.
Excuter GPUpdate
3.
Se connecter LON-CL1 avec un mot de passe incorrect
4.
Examiner les journaux des vnements sur LON-DC1
5.
Se connecter LON-CL1 avec le mot de passe correct
6.
Examiner les journaux des vnements sur LON-DC1
Tche 1 : Modifier l'objet GPO Stratgie de domaine par dfaut
12-24
1.
2.
3.
Sur LON-DC1, dmarrez le Gestionnaire de serveur, puis, dans le Gestionnaire de serveur, dmarrez
la console GPMC.
4.
Sur LON-DC1, dans la console GPMC, modifiez l'objet GPO Default Domain Policy.
5.
Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies locales\Stratgie d'audit.
6.
Activez Auditer les vnements de connexion aux comptes avec les deux paramtres Russite
et chec.
7.
Mettez jour la stratgie de groupe en utilisant la commande gpupdate /force.
Tche 2 : Excuter GPUpdate

1.
2.
3.

gpupdate /force
4.
Fermez la fentre d'invite de commandes et dconnectez-vous de LON-CL1.
Tche 3 : Se connecter LON-CL1 avec un mot de passe incorrect
Connectez-vous LON-CL1 en tant qu'ADATUM\Adam avec le mot de passe password.
Remarque : Ce mot de passe est intentionnellement incorrect afin de gnrer une entre
de journal de scurit indiquant qu'une tentative de connexion infructueuse a t effectue.
Tche 4 : Examiner les journaux des vnements sur LON-DC1

1.
Sur LON-DC1, dmarrez l'observateur d'vnements.
2.
Dans la fentre de l'observateur d'vnements, dveloppez Journaux Windows, puis cliquez

sur Scurit.
3.
Examinez les journaux des vnements pour rechercher le message suivant : ID d'vnement 4771
La pr-authentification Kerberos a chou. Informations sur le compte : ID de scurit :
ADATUM\Adam.
Tche 5 : Se connecter LON-CL1 avec le mot de passe correct
Connectez-vous LON-CL1 en tant qu'ADATUM\Adam avec le mot de passe Pa$$w0rd.
Remarque : Ce mot de passe est correct et vous devriez pouvoir vous connecter avec
succs en tant qu'Adam.
12-25
1.
Sur LON-DC1, dmarrez l'observateur d'vnements.
2.
Dans la fentre de l'observateur d'vnements, dveloppez Journaux Windows, puis cliquez

sur Scurit.
3.
L'ouverture de session d'un compte s'est correctement droule. Nouvelle connexion :
ID de scurit : ADATUM\Adam.
Rsultats : la fin de cet exercice, vous devrez avoir activ l'audit des connexions au domaine.
Pour prparer l'atelier suivant
Pour prparer l'atelier pratique suivant, laissez les ordinateurs virtuels s'excuter.
Leon 3
Restriction de l'accs aux logiciels
12-26
Les utilisateurs ont besoin d'avoir accs aux applications qui les aident effectuer leur travail. Toutefois,
des applications inutiles ou indsirables sont souvent installes sur les ordinateurs clients, que ce soit
involontairement, dans un but malveillant ou un usage non professionnel. Les logiciels non pris en
charge ou inutiliss ne font pas l'objet d'une maintenance et ne sont pas scuriss par les administrateurs,
si bien qu'ils sont susceptibles de servir de point d'entre des personnes malveillantes en leur procurant
un accs non autoris ou en diffusant des virus informatiques. Par consquent, il est primordial que
vous vous assuriez que seuls les logiciels ncessaires sont installs sur tous les ordinateurs de votre
organisation. Il est galement essentiel que vous empchiez l'excution des logiciels non autoriss
ou qui ne sont plus utiliss ou pris en charge.
expliquer comment utiliser les stratgies de restriction logicielle pour empcher l'excution
des logiciels non autoriss sur les serveurs et les clients ;
dcrire le rle d'AppLocker ;
dcrire les rgles AppLocker et la manire de les utiliser pour empcher l'excution des logiciels
non autoriss sur les serveurs et les clients ;
dcrire comment crer des rgles AppLocker.
Que sont les stratgies de restriction logicielle ?

Introduites dans le systme d'exploitation
Windows XP et le systme d'exploitation
Windows Server 2003, les stratgies de restriction
logicielle (SRP) fournissent aux administrateurs des
outils leur permettant d'identifier et de spcifier
les applications qui sont autorises s'excuter
sur les ordinateurs clients. Vous configurez et
dployez les paramtres de stratgie de restriction
logicielle sur les clients l'aide des stratgies
de groupe.
Les stratgies de restriction logicielle sont utilises
dans Windows Server 2012 pour assurer la
compatibilit avec Windows XP et Windows Vista. Une stratgie de restriction logicielle dfinie
se compose de rgles et de niveaux de scurit.
12-27
Rgles
Les rgles rgissent la manire dont la stratgie de restriction logicielle rpond une application en
cours d'excution ou d'installation. Les rgles sont les lments principaux d'une stratgie de restriction
logicielle, et un groupe de rgles dtermine comment une stratgie de restriction logicielle rpond
aux applications qui sont excutes. Les rgles peuvent s'appuyer sur l'un des critres suivants qui
s'appliquent au fichier excutable principal de l'application en question :
Hachage. Empreinte digitale cryptographique du fichier.
Certificat. Certificat d'diteur de logiciels utilis pour signer numriquement un fichier.
Chemin d'accs. Chemin d'accs local ou UNC de l'emplacement o le fichier est stock.
Zone. Zone Internet.
Niveaux de scurit
Un niveau de scurit est attribu chaque stratgie de restriction logicielle et rgit la manire dont le
systme d'exploitation ragit quand l'application dfinie dans la rgle est excute. Les trois paramtres
disponibles de niveau de scurit sont les suivants :
Rejet. Le logiciel identifi dans la rgle ne s'excutera pas, indpendamment des droits d'accs
de l'utilisateur.
Utilisateur standard. Autorise le logiciel identifi dans la rgle s'excuter en tant qu'utilisateur
standard ne bnficiant pas d'autorisations d'administration.
Non restreint. Autorise le logiciel identifi dans la rgle s'excuter sans tre limit par la stratgie
de restriction logicielle.
Ces trois paramtres permettent d'utiliser les stratgies de restriction logicielle de deux manires
principales :
Si un administrateur dispose de la liste complte de tous les logiciels qui devraient tre autoriss
s'excuter sur les clients, le niveau de scurit par dfaut peut tre dfini sur Rejet. Toutes les
applications qui devraient tre autorises s'excuter peuvent tre identifies dans des rgles
de stratgie de restriction logicielle qui appliqueraient le niveau de scurit Utilisateur standard
ou Non restreint chaque application individuelle, selon les exigences de scurit.
Si un administrateur ne possde pas la liste complte des logiciels qui devraient tre autoriss
s'excuter sur les clients, le niveau de scurit par dfaut peut tre dfini sur Non restreint
ou Utilisateur standard, selon les exigences de scurit. Toutes les applications qui ne doivent
pas tre autorises s'excuter peuvent alors tre identifies l'aide des rgles de stratgie
de restriction logicielle, qui utiliseraient le paramtre de niveau de scurit Rejet.
Les paramtres de stratgie de restriction logicielle se trouvent dans les stratgies de groupe,
l'emplacement suivant : Configuration de l'ordinateur\Stratgies\Paramtres Windows\Paramtres
de scurit\Stratgies de restriction logicielle.
Qu'est-ce qu'AppLocker ?
AppLocker, qui a t introduit dans les
systmes d'exploitation Windows 7 et
Windows Server 2008 R2, est une fonctionnalit
lie aux paramtres de scurit, qui contrle
quelles applications les utilisateurs sont
autoriss excuter.
AppLocker fournit aux administrateurs diverses
mthodes pour dterminer rapidement et
avec concision l'identit des applications qu'ils
souhaitent restreindre ou auxquelles ils souhaitent
autoriser l'accs. Vous appliquez AppLocker par
le biais des stratgies de groupe des objets
ordinateur dans une unit d'organisation. Vous pouvez galement appliquer des rgles AppLocker
individuelles des groupes ou des utilisateurs AD DS individuels.
AppLocker contient galement des options de surveillance et d'audit de l'application des rgles.
AppLocker aide les organisations empcher l'excution de logiciels malveillants ou sans licence,
et peut restreindre slectivement l'installation des contrles ActiveX. Il peut galement rduire le
cot total de possession en vrifiant que les stations de travail sont standardises dans l'ensemble
de l'entreprise et que les utilisateurs excutent uniquement les logiciels et applications approuvs
par l'entreprise.
L'utilisation de la technologie AppLocker permet aux socits de rduire la charge d'administration
et aide les administrateurs contrler la faon dont les utilisateurs peuvent accder aux fichiers,
par exemple aux fichiers .exe, aux scripts, aux fichiers Windows Installer (fichiers .msi et .msp)
et aux fichiers .dll, et peuvent les utiliser.
Vous pouvez utiliser AppLocker pour restreindre les logiciels qui :
12-28
ne sont pas autoriss tre utiliss dans la socit. Par exemple, les logiciels qui peuvent perturber
la productivit des employs, tels que les logiciels de rseaux sociaux, ou les logiciels qui diffusent
en continu des fichiers vido ou des images susceptibles d'utiliser une bande passante rseau et un
espace disque importants ;
ne sont plus utiliss ou qui ont t remplacs par une version plus rcente. Par exemple, les logiciels
qui ne font plus l'objet d'une maintenance ou pour lesquels les licences ont expir ;
ne sont plus pris en charge dans la socit. Les logiciels qui ne sont pas mis jour avec des mises
jour de scurit peuvent gnrer un risque de scurit ;
doivent tre utiliss uniquement par des services spcifiques.
12-29
Vous pouvez configurer les paramtres AppLocker en accdant dans la console GPMC : Configuration
de l'ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies de contrle
de l'application.
Remarque : AppLocker utilise le service Identit de l'application pour vrifier les attributs
d'un fichier. Ce service doit tre configur pour dmarrer automatiquement sur chaque
ordinateur o AppLocker doit tre appliqu. Si le service Identit de l'application ne s'excute
pas, les stratgies AppLocker ne doivent pas tre appliques.
Documentation supplmentaire : Pour plus d'informations sur AppLocker, consultez
la prsentation d'AppLocker l'adresse http://go.microsoft.com/fwlink/?LinkID=266745.
Rgles AppLocker
AppLocker dfinit des rgles bases sur
les attributs de fichier qui sont drivs de la
signature numrique du fichier. Les attributs
de fichier prsents dans la signature numrique
comprennent :
le nom de l'diteur,
le nom du produit,
Nom de fichier
la version du fichier.
Configuration par dfaut
Par dfaut, aucune stratgie Applocker n'est dfinie, ce qui signifie qu'aucune application n'est bloque.
Vous pouvez configurer des rgles par dfaut pour chaque collection de rgles. Les rgles par dfaut
garantissent que les applications figurant dans les rpertoires Program Files et Windows sont autorises
s'excuter et que toutes les applications sont autorises s'excuter pour le groupe Administrateurs.
Les rgles par dfaut doivent tre actives pour implmenter des stratgies Applocker, car ces
applications sont ncessaires pour l'excution et le fonctionnement normal des systmes
d'exploitation Windows.
Actions de rgle Autoriser et Refuser
Autoriser et Refuser sont des actions de rgle qui autorisent ou refusent l'excution des applications en
fonction d'une liste d'applications que vous configurez. L'action Autoriser sur des rgles limite l'excution
des applications une liste d'applications autorises et bloque toutes les autres. L'action Refuser sur des
rgles adopte l'approche oppose et autorise l'excution de n'importe quelle application l'exception
de celles figurant dans la liste des applications refuses. Ces actions fournissent galement un moyen
d'identifier des exceptions ces actions.
Appliquer ou Auditer uniquement

Lorsque la stratgie AppLocker est dfinie sur Appliquer, les rgles sont appliques et tous les
vnements sont audits. Lorsque la stratgie AppLocker est dfinie sur Auditer uniquement,
les rgles sont values et les vnements sont consigns dans le journal d'AppLocker, mais
aucune application n'a lieu.
Dmonstration : Cration de rgles AppLocker

crer un objet de stratgie de groupe pour appliquer les rgles excutables AppLocker par dfaut ;
appliquer l'objet de stratgie de groupe au domaine ;
tester la rgle AppLocker.
Crer un objet de stratgie de groupe pour appliquer les rgles excutables
AppLocker par dfaut
12-30
1.
Connectez-vous en tant que ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2.
3.
Crez un nouvel objet GPO nomm Stratgie de restriction de WordPad.
4.
Modifiez les paramtres de scurit de la stratgie de restriction de WordPad en utilisant

AppLocker pour crer une nouvelle rgle excutable.
5.
Dfinissez l'autorisation de la nouvelle rgle sur Refuser, la condition sur diteur, puis slectionnez
wordpad.exe. Si vous y tes invit, cliquez sur OK pour crer des rgles par dfaut.
6.
Dans l'diteur de gestion des stratgies de groupe, accdez Configuration ordinateur\

Stratgies\Paramtres Windows\Paramtres de scurit\Stratgies de contrle
de l'application\AppLocker.
7.
Dans AppLocker, configurez l'application avec Appliquez les rgles.
8.
Dans l'diteur de gestion des stratgies de groupe, accdez Configuration

ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\Services systme.
9.
Configurez Proprits de Identit de l'application avec Dfinir ce paramtre de stratgie,

et Slectionnez le mode de dmarrage du service avec Automatique.
Appliquer l'objet de stratgie de groupe au domaine

1.
Dans la fentre Gestion des stratgies de groupe, appliquez l'objet GPO Stratgie de restriction
de WordPad au domaine Adatum.com.
2.
Ouvrez une fentre d'invite de commandes, tapez gpupdate /force, puis appuyez sur Entre.
3.
Dmarrez 22410B-LON-CL1 et ouvrez une session en tant qu'ADATUM\Alan, avec le mot de passe
Pa$$w0rd.
4.
Dans la fentre d'invite de commandes, tapez gpupdate /force, puis appuyez sur Entre. Attendez
que la stratgie soit mise jour.
Tester la rgle AppLocker
Sur LON-CL1, connectez-vous en tant qu'ADATUM\Alan, essayez de dmarrer WordPad,

puis vrifiez que WordPad ne dmarre pas.
Leon 4
Configuration du Pare-feu Windows avec fonctions

avances de scurit
12-31
Le Pare-feu Windows avec fonctions avances de scurit est un outil important qui permet d'amliorer
la scurit de Windows Server 2012. Ce composant logiciel enfichable contribue empcher divers
problmes de scurit tels que la numrisation des ports ou les programmes malveillants. Le Pare-feu
Windows avec fonctions avances de scurit possde plusieurs profils de pare-feu et applique
pour chacun d'eux des paramtres uniques diffrents types de rseaux. Vous pouvez configurer
manuellement les rgles du Pare-feu Windows sur chaque serveur, ou les configurer de manire
centralise l'aide des stratgies de groupe.
dcrire les fonctionnalits du Pare-feu Windows avec fonctions avances de scurit ;
expliquer pourquoi un pare-feu bas sur l'hte est important ;
dcrire les profils de pare-feu ;
dcrire les rgles de scurit de connexion ;
expliquer comment dployer les rgles du Pare-feu Windows.
Qu'est-ce que le Pare-feu Windows avec fonctions avances de scurit ?

Le Pare-feu Windows est un pare-feu bas sur
l'hte qui est inclus dans Windows Server 2012.
Ce composant logiciel enfichable s'excute sur
l'ordinateur local et restreint l'accs rseau en
direction et en provenance de cet ordinateur.
la diffrence d'un pare-feu de primtre,
qui fournit une protection seulement contre
les menaces provenant d'Internet, un pare-feu
bas sur l'hte assure une protection contre des
menaces d'une origine quelconque. Par exemple,
le Pare-feu Windows protge un hte d'une
menace interne au rseau local (LAN).
Rgles de trafic entrant et sortant

Les rgles de trafic entrant contrlent la communication initialise par un autre priphrique ou
ordinateur sur le rseau, avec l'ordinateur hte. Par dfaut, toute communication entrante est
bloque, l'exception du trafic qui est explicitement autoris par une rgle de trafic entrant.
Les rgles de trafic sortant contrlent la communication initialise par l'ordinateur hte et destine
un priphrique ou un ordinateur sur le rseau. Par dfaut, toute communication sortante est autorise,
l'exception du trafic qui est explicitement bloqu par une rgle de trafic sortant. Si vous choisissez de
bloquer toutes les communications sortantes l'exception du trafic explicitement autoris, vous devez
soigneusement cataloguer les logiciels autoriss s'excuter sur cet ordinateur et la communication
rseau requise par ces logiciels.
Vous pouvez crer des rgles de trafic entrant et sortant en fonction des ports UDP (User Datagram
Protocol) et TCP (Transmission Control Protocol). Vous pouvez galement crer des rgles de trafic
entrant et sortant qui autorisent un accs rseau excutable spcifique, indpendamment du numro
de port utilis.
Rgles de scurit de connexion

Vous utilisez les rgles de scurit de connexion pour configurer IPsec pour Windows Server 2012.
Quand ces rgles sont configures, vous pouvez authentifier la communication entre les ordinateurs,
puis utiliser ces informations pour crer des rgles de pare-feu en fonction de comptes d'utilisateur
et d'ordinateur spcifiques.
Options de configuration supplmentaires

Le Pare-feu Windows avec fonctions avances de scurit est un composant logiciel enfichable MMC
(Microsoft Management Console) qui vous permet d'effectuer la configuration avance du Pare-feu
Windows.
Le Pare-feu Windows dans Windows 8 et Windows Server 2012 comporte les fonctionnalits suivantes :
Il prend en charge le filtrage du trafic entrant et sortant.
Il intgre des paramtres de filtrage de pare-feu et de protection IPsec.
Il vous permet de configurer les rgles de contrle du trafic rseau.
Il fournit des profils prenant en charge l'emplacement rseau.
Il vous permet d'importer ou d'exporter des stratgies.
Vous pouvez configurer les paramtres du Pare-feu Windows sur chaque ordinateur individuellement,
ou l'aide d'une stratgie de groupe dans : Configuration de l'ordinateur\Stratgies\Paramtres
Windows\Paramtres de scurit\Pare-feu Windows avec fonctions avances de scurit.
Remarque : Windows Server 2012 introduit l'option supplmentaire d'administration
du Pare-feu Windows l'aide de l'interface de ligne de commande Windows PowerShell.
Discussion : Pourquoi un pare-feu bas sur l'hte est-il important ?

Examinez la question de discussion et prenez part
une discussion pour identifier les avantages de
l'utilisation d'un pare-feu bas sur l'hte tel que
le Pare-feu Windows avec fonctions avances
de scurit.
Question : Pourquoi est-il important d'utiliser
un pare-feu hte tel que le Pare-feu Windows
avec fonctions avances de scurit ?
12-32
Profils de pare-feu
Le Pare-feu Windows avec fonctions avances de
scurit utilise des profils de pare-feu pour fournir
une configuration cohrente pour les rseaux
d'un type spcifique et vous permet de dfinir
un rseau comme rseau avec domaine, rseau
public ou rseau priv.
Avec le Pare-feu Windows avec fonctions
avances de scurit, vous pouvez dfinir un jeu
de configuration pour chaque type de rseau ;
chaque jeu de configuration est appel profil
de pare-feu. Les rgles de pare-feu sont actives
uniquement pour des profils de pare-feu
spcifiques.
Le Pare-feu Windows avec fonctions avances de scurit inclut les profils rpertoris dans
le tableau ci-dessous.
Profil
Description
12-33
Public
utiliser quand vous tes connect un rseau public non approuv.

l'exception des rseaux avec domaine, tous les rseaux sont classs en tant que
rseaux publics. Par dfaut, le profil Public (qui est le plus restrictif) est utilis dans
Windows Vista, Windows 7 et Windows 8.
Priv
utiliser quand vous tes connect derrire un pare-feu.

Un rseau est class comme priv seulement si un administrateur ou une application
identifie le rseau comme priv. Les rseaux marqus comme Rsidentiel ou
Professionnel dans Windows Vista, Windows 7 et Windows 8 sont ajouts
au profil priv.
Domaine
utiliser quand votre ordinateur fait partie d'un domaine de systme d'exploitation
Windows.
Les systmes d'exploitation Windows identifient automatiquement les rseaux dans
lesquels il est possible d'authentifier l'accs au contrleur de domaine. Le profil de
domaine est attribu ces rseaux et ce paramtre ne peut pas tre modifi Aucun
autre rseau ne peut tre plac dans cette catgorie.
Windows Server 2012 permet plusieurs profils de pare-feu d'tre actifs simultanment sur un serveur.
Cela signifie qu'un serveur multi-rsident qui est connect au rseau interne et au rseau de primtre
peut appliquer le profil de pare-feu de domaine au rseau interne et le profil de pare-feu public ou priv
au rseau de primtre.
Rgles de scurit de connexion

Une rgle de scurit de connexion force
l'authentification entre deux ordinateurs
homologues avant qu'ils ne puissent tablir
une connexion et transmettre des informations
scurises. Elle scurise galement ce trafic
en chiffrant les donnes transmises entre les
ordinateurs. Le Pare-feu Windows avec fonctions
avances de scurit utilise la scurit IPsec
pour mettre en uvre ces rgles.
Les rgles de scurit de connexion configurables
12-34
Isolation. Une rgle d'isolement isole des

ordinateurs en limitant les connexions bases sur des informations d'identification, telles que
l'appartenance un domaine ou l'tat d'intgrit. Les rgles d'isolement vous permettent
d'implmenter une stratgie d'isolement pour des serveurs ou des domaines.
Exemption d'authentification. Vous pouvez utiliser une exemption d'authentification pour dsigner
des connexions qui ne ncessitent pas d'authentification. Vous pouvez dsigner des ordinateurs
en spcifiant une adresse IP spcifique, une plage d'adresses IP, un sous-rseau ou un groupe
prdfini tel qu'une passerelle.
Serveur serveur. Une rgle de serveur serveur protge les connexions entre des ordinateurs
spcifiques. Ce type de rgle protge habituellement les connexions entre serveurs. Lorsque vous
crez la rgle, spcifiez les points de terminaison du rseau entre lesquels les communications
sont protges. Dsignez ensuite les conditions requises et l'authentification utiliser.
Tunnel. Une rgle de tunnel vous permet de protger les connexions entre des ordinateurs de
passerelle. En gnral, vous pouvez utiliser une rgle de tunnel lorsque vous vous connectez
via Internet entre deux passerelles de scurit.
Personnalise. Utilisez une rgle personnalise pour authentifier les connexions entre deux points
de terminaison lorsque vous ne pouvez pas dfinir les rgles d'authentification dont vous avez
besoin l'aide des autres rgles disponibles dans l'Assistant Nouvelle rgle de scurit de connexion.
Interactions entre les rgles de pare-feu et les rgles de scurit de connexion
Les rgles de pare-feu autorisent le trafic traverser le pare-feu, mais ne scurisent pas ce trafic. Pour
scuriser le trafic avec IPsec, vous pouvez crer des rgles de scurit de connexion. Toutefois, les rgles
de scurit de connexion ne permettent pas au trafic de traverser un pare-feu. Pour cela, vous devez
crer une rgle de pare-feu. Les rgles de scurit de connexion ne s'appliquent pas aux programmes
et aux services, mais plutt entre les ordinateurs qui constituent les deux points de terminaison.
Dploiement des rgles de pare-feu

La manire dont vous dployez les rgles de Parefeu Windows est une considration importante. Le
choix de la mthode approprie garantit un
dploiement prcis et moindre effort des rgles.
Vous pouvez dployer les rgles de Pare-feu
Windows selon les mthodes suivantes :
12-35
Manuellement. Vous pouvez configurer

individuellement les rgles de pare-feu sur
chaque serveur. Toutefois, dans un
environnement comportant un nombre
important de serveurs, il s'agit d'une tche
intensive et sujette aux erreurs. Cette
mthode est gnralement utilise uniquement des fins de test et de dpannage.
Utilisation d'une stratgie de groupe. La mthode privilgie pour distribuer les rgles de pare-feu
consiste utiliser une stratgie de groupe. Aprs avoir cr et test un objet de stratgie de groupe
avec les rgles de pare-feu requises, vous pouvez dployer ces rgles de pare-feu avec rapidit et
prcision sur un grand nombre d'ordinateurs.
Exportation et importation des rgles de pare-feu. Le Pare-feu Windows avec fonctions avances
de scurit offre galement l'option d'importer et d'exporter les rgles de pare-feu. Vous pouvez
exporter les rgles de pare-feu pour crer une sauvegarde avant de configurer manuellement les
rgles de pare-feu pendant le dpannage.
Remarque : Lorsque vous importez des rgles de pare-feu, elles sont traites comme un
ensemble complet et remplacent toutes les rgles de pare-feu actuellement configures.
Atelier pratique B : Configuration d'AppLocker

et du Pare-feu Windows
Scnario
12-36
technique des serveurs. En tant que nouveau membre de l'quipe, votre rle consiste aider dployer et
configurer de nouveaux serveurs et services dans l'infrastructure existante, conformment aux instructions
fournies par votre responsable informatique.
Votre responsable vous a charg d'implmenter AppLocker pour empcher l'excution d'applications non
standard. Il vous a galement demand de crer de nouvelles rgles de Pare-feu Windows pour tous les
serveurs membres qui excutent des applications Web.
Objectifs
configurer des stratgies AppLocker ;
configurer le Pare-feu Windows.

22410B-LON-DC1
22410B-LON-SVR1
22410B-LON-CL1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
1.
2.
Dans le Gestionnaire Hyper-V, cliquez sur 22410B-LON-DC1, puis, dans le volet Actions,
cliquez sur Se connecter.

3.
4.
Si ncessaire, connectez-vous en utilisant les informations d'identification suivantes :

o
12-37
Exercice 1 : Configuration des stratgies AppLocker

Scnario
Votre responsable vous a charg de configurer de nouvelles stratgies AppLocker pour contrler
l'utilisation des applications sur les postes de travail des utilisateurs. La nouvelle configuration doit
autoriser l'excution des programmes uniquement partir d'emplacements approuvs. Tous les
utilisateurs doivent tre en mesure d'excuter les applications partir des rpertoires C:\Windows
et C:\Program Files.
Vous devez galement ajouter une exception pour excuter une application personnalise qui rside
dans un emplacement non standard. La premire phase de l'implmentation consignera la conformit
aux rgles. La seconde phase de l'implmentation empchera l'excution des programmes non autoriss.
1.
Crer une unit d'organisation pour les ordinateurs clients
2.
Placer LON-CL1 dans l'unit d'organisation Ordinateurs clients
3.
Crer un objet GPO de contrle de logiciels et le lier l'unit d'organisation Ordinateurs clients
4.
Excuter GPUpdate
5.
Excuter app1.bat dans le dossier C:\CustomApp
6.
Afficher les vnements AppLocker dans un journal des vnements
7.
Crer une rgle qui autorise l'excution des logiciels figurant dans un emplacement spcifique
8.
Modifier l'objet GPO Contrle de logiciels pour appliquer des rgles
9.
Vrifier qu'une application peut encore tre excute
10. Vrifier qu'une application ne peut pas tre excute
Tche 1 : Crer une unit d'organisation pour les ordinateurs clients

1.
2.
3.
Crez une nouvelle unit d'organisation appele Unit d'organisation Ordinateurs clients.
Tche 2 : Placer LON-CL1 dans l'unit d'organisation Ordinateurs clients
Sur LON-DC1, dans la console Utilisateurs et ordinateurs Active Directory, placez LON-CL1
dans Unit d'organisation Ordinateurs clients.
Tche 3 : Crer un objet GPO de contrle de logiciels et le lier l'unit

d'organisation Ordinateurs clients
1.
2.
Dans la console GPMC, dans le conteneur Objets de stratgie de groupe, crez un nouvel objet
de stratgie de groupe nomm Objet GPO Contrle de logiciels.
3.
Modifiez l'objet GPO Contrle de logiciels.
4.
Dans la fentre de l'diteur de gestion des stratgies de groupe, accdez Configuration

ordinateur/Stratgies/Paramtres Windows/Paramtres de scurit/Stratgies de contrle
de l'application/AppLocker.
5.
6.
Crez les rgles par dfaut pour les lments suivants :

o
Rgles de l'excutable
Rgles Windows Installer
Rgles de script
Rgles d'applications empaquetes
Configurez l'application des rgles avec l'option Auditer uniquement pour les lments suivants :
o
Rgles de script
12-38
7.
Dans l'diteur de gestion des stratgies de groupe, accdez Configuration ordinateur\

Paramtres Windows\Paramtres de scurit, cliquez sur Services systme, puis double-cliquez
sur Identit de l'application.
8.
Dans la bote de dialogue Proprits de : Identit de l'application, cliquez sur Dfinir

ce paramtre de stratgie et, sous Slectionnez le mode de dmarrage du service,
cliquez sur Automatique, puis cliquez sur OK.
9.
10. Dans la console GPMC, liez Objet GPO Contrle de logiciels Unit d'organisation Ordinateurs
clients.

1.
2.

gpupdate /force
3.
Fermez la fentre d'invite de commandes et redmarrez LON-CL1.
Tche 5 : Excuter app1.bat dans le dossier C:\CustomApp

1.
2.
l'invite de commandes, tapez la commande suivante et appuyez sur Entre :

gpresult /R
Examinez le rsultat de la commande et vrifiez que Objet GPO Contrle de logiciels est affich
sous Paramtres de l'ordinateur, Objets Stratgie de groupe appliqus. Si Objet GPO Contrle
de logiciels n'est pas affich, redmarrez LON-CL1 et rptez les tapes 1 et 2.
3.

C:\CustomApp\app1.bat
Tche 6 : Afficher les vnements AppLocker dans un journal des vnements

1.
Sur LON-CL1, dmarrez l'observateur d'vnements.
2.
Dans la fentre de l'observateur d'vnements, accdez Journaux des applications

et des services/Microsoft/Windows/AppLocker, puis passez en revue les vnements.
3.
Cliquez sur Script et examinez le journal des vnements 8005 qui contient le texte suivant :
L'excution de %OSDRIVE%\CUSTOMAPP\APP1.BAT a t autorise.
Remarque : Si aucun vnement ne s'affiche, assurez-vous que le service Identit de l'application
a dmarr et ressayez.
Tche 7 : Crer une rgle qui autorise l'excution des logiciels figurant dans
un emplacement spcifique
1.
Sur LON-DC1, modifiez l'objet GPO Contrle de logiciels.
2.
Accdez l'emplacement de paramtrage suivant : Configuration ordinateur/Stratgies/

Paramtres Windows/Paramtres de scurit/Stratgies de contrle de l'application/
AppLocker.
3.
Crez une nouvelle rgle de script avec la configuration suivante :

o
Autorisations : Autoriser
Conditions : Chemin d'accs
Chemin d'accs : %OSDRIVE%\CustomApp\app1.bat
Nom et description : Rgle d'application personnalise
Tche 8 : Modifier l'objet GPO Contrle de logiciels pour appliquer des rgles
1.
2.
12-39
Utilisez l'option Appliquer les rgles pour configurer la mise en application des rgles suivantes :
o
Rgles de script
Tche 9 : Vrifier qu'une application peut encore tre excute

1.
2.

gpupdate /force
3.
Fermez la fentre d'invite de commandes et redmarrez LON-CL1.
4.
Connectez-vous LON-CL1 en tant qu'ADATUM\Tony avec le mot de passe Pa$$w0rd.
5.
Ouvrez une invite de commandes et vrifiez que vous pouvez excuter l'application app1.bat,
qui figure dans le dossier C:\CustomApp.
Tche 10 : Vrifier qu'une application ne peut pas tre excute

1.
Sur LON-CL1, partir du dossier CustomApp, copiez app1.bat dans le dossier Documents.
2.
Vrifiez que l'application ne peut pas tre excute partir du dossier Documents et que
le message suivant apparat : Ce programme est bloqu par une stratgie de groupe.
Pour plus d'informations, contactez votre administrateur systme.
Rsultats : la fin de cet exercice, vous devrez avoir configur des stratgies AppLocker pour tous les
utilisateurs dont les comptes d'ordinateur sont situs dans l'unit d'organisation des ordinateurs clients.
Les stratgies que vous avez configures doivent autoriser ces utilisateurs excuter les applications
figurant dans les dossiers C:\Windows et C:\Program Files, et excuter l'application personnalise
app1.bat dans le dossier C:\CustomApp.
Exercice 2 : Configuration du Pare-feu Windows

Scnario
Votre responsable vous a charg de configurer les rgles du Pare-feu Windows pour un ensemble de
nouveaux serveurs d'applications. Ces serveurs d'applications ont une application Web l'coute sur un
port non standard. Vous devez configurer le Pare-feu Windows pour autoriser la communication rseau
via ce port. Vous utiliserez un filtrage de scurit pour garantir que les nouvelles rgles du Pare-feu
Windows s'appliquent uniquement aux serveurs d'applications.
1.
Crer un groupe nomm Serveurs d'applications
2.
Ajouter LON-SVR1 en tant que membre du groupe
3.
Crer un nouvel objet GPO Serveurs d'applications
4.
Lier l'objet GPO Serveurs d'applications l'unit d'organisation Serveurs membres
5.
Utiliser le filtrage de scurit pour limiter l'objet GPO Serveurs d'applications aux membres
du groupe Serveurs d'applications
6.
Excuter GPUpdate sur LON-SVR1
7.
Afficher les rgles de pare-feu sur LON-SVR1
Tche 1 : Crer un groupe nomm Serveurs d'applications
Sur LON-DC1, dans Utilisateurs et ordinateurs Active Directory, dans l'unit d'organisation
Serveurs membres, crez un nouveau groupe de scurit global nomm Serveurs d'applications.
Tche 2 : Ajouter LON-SVR1 en tant que membre du groupe
12-40
Dans la console Utilisateurs et ordinateurs Active Directory, dans l'unit d'organisation Serveurs
membres, ouvrez Proprits de : Serveurs d'applications, puis ajoutez LON-SVR1 en tant
que membre du groupe.
Tche 3 : Crer un nouvel objet GPO Serveurs d'applications

1.
2.
Dans la console GPMC, dans le conteneur Objets de stratgie de groupe, crez un nouvel
objet GPO nomm Objet GPO Serveurs d'applications.
3.
Dans la fentre de l'diteur de gestion des stratgies de groupe, accdez

Configuration ordinateur/Stratgies/Paramtres Windows/Paramtres de scurit/
Pare-feu Windows avec fonctions avances de scurit/Pare-feu Windows avec fonctions
avances de scurit - LDAP://CN={GUID}.
4.
Configurez une rgle de trafic entrant avec les paramtres suivants :
5.
Type de rgle : Personnalise
Type de protocole : TCP
Ports spcifiques : 8080
tendue : Toute adresse IP
Action : Autoriser la connexion
Profil : Domaine (dsactivez les deux cases cocher Priv et Public)
Nom : Rgle de pare-feu de service de serveur d'applications
12-41
Tche 4 : Lier l'objet GPO Serveurs d'applications l'unit d'organisation Serveurs

membres
Dans la console GPMC, liez l'objet GPO Serveurs d'applications l'unit d'organisation Serveurs
membres.
Tche 5 : Utiliser le filtrage de scurit pour limiter l'objet GPO Serveurs

d'applications aux membres du groupe Serveurs d'applications
1.
2.
Dveloppez Unit d'organisation Serveurs membres, puis cliquez sur Objet GPO Serveurs
d'applications.
3.
Dans le volet de droite, sous Filtrage de scurit, supprimez Utilisateurs authentifis et configurez
l'objet GPO Serveurs d'applications pour qu'il s'applique uniquement au groupe de scurit
Serveurs d'applications.
Tche 6 : Excuter GPUpdate sur LON-SVR1

1.
2.

gpupdate /force
3.
4.
Redmarrez LON-SVR1, puis connectez-vous nouveau en tant qu'ADATUM\Administrateur

Tche 7 : Afficher les rgles de pare-feu sur LON-SVR1

1.
2.
Dmarrez le Pare-feu Windows avec fonctions avances de scurit.
3.
Dans la fentre du Pare-feu Windows avec fonctions avances de scurit, dans Rgles de trafic
entrant, vrifiez que la rgle de pare-feu de service de serveur d'applications que vous avez
cre auparavant l'aide d'une stratgie de groupe est configure.
4.
Vrifiez que vous ne pouvez pas modifier la rgle de pare-feu de service de serveur
d'applications, car elle est configure via une stratgie de groupe.
Rsultats : la fin de cet exercice, vous devrez avoir utilis une stratgie de groupe pour configurer
le Pare-feu Windows avec fonctions avances de scurit afin de crer des rgles pour les serveurs
d'applications.

Une fois l'atelier pratique termin, rtablissez l'tat initial des ordinateurs virtuels en procdant
comme suit :
1.
2.
3.
4.
12-42

Question : Le modle de dfense en profondeur prescrit-il des technologies spcifiques
utiliser pour protger les serveurs dots de systmes d'exploitation Windows Server ?
Question : Quel paramtre devez-vous configurer pour garantir que seules trois tentatives
de connexion non valides sont autorises pour les utilisateurs ?
Question : <Ajoutez une question de discussion ici>
Question : Vous crez un objet de stratgie de groupe avec des rgles standardises de
pare-feu pour les serveurs dans votre organisation. Vous avez test ces rgles sur un serveur
autonome dans votre environnement de test. Les rgles apparaissent sur les serveurs aprs
l'application de l'objet GPO, mais elles ne prennent pas effet. Quelle est la cause la plus
probable de ce problme ?
Question : L'anne dernire, votre organisation a dvelopp une stratgie de scurit
qui incluait tous les aspects d'un modle de dfense en profondeur. S'appuyant sur cette
stratgie, votre organisation a implment des stratgies et des paramtres de scurit sur
l'environnement complet de l'infrastructure informatique. Hier, vous avez lu dans un article
que de nouvelles menaces contre la scurit ont t dtectes sur Internet, mais maintenant
vous vous rendez compte que la stratgie de votre socit n'inclut pas de plan d'analyse
et d'attnuation des risques pour ces nouvelles menaces. Que devez-vous faire ?
Outils
Outil
Utilisation
Emplacement
12-43
Console de gestion des

stratgies de groupe
Outil graphique servant crer,

modifier et appliquer des objets
GPO
Gestionnaire de serveur/Outils
AppLocker
Applique des paramtres de

scurit contrlant quelles
applications les utilisateurs
sont autoriss excuter
diteur d'objets de stratgie de groupe

dans la console GPMC
Pare-feu Windows avec

fonctions avances
de scurit
Pare-feu bas sur l'hte inclus

en tant que fonctionnalit
dans Windows Server 2012
et Windows Server 2008
Gestionnaire de serveur/Outils s'il est

configur individuellement ou diteur
d'objets de stratgie de groupe dans
la console GPMC pour un dploiement
l'aide d'une stratgie de groupe
Responsable de la
conformit de scurit
Dploiement de stratgies de
scurit conformment aux
recommandations du Guide
de la scurit Microsoft et
aux meilleures pratiques
de l'industrie
tlcharger partir du site

Web de Microsoft, l'adresse
http://go.microsoft.com/
fwlink/?LinkID=266746.
Mthode conseille
12-44
Effectuez toujours une valuation dtaille des risques de scurit avant de planifier les
fonctionnalits de scurit que votre organisation doit dployer.
Crez un objet de stratgie de groupe distinct pour les paramtres de scurit qui s'appliquent
un type diffrent d'utilisateurs dans votre organisation, car chaque service peut avoir des besoins
de scurit diffrents.
Assurez-vous que les paramtres de scurit que vous configurez sont raisonnablement faciles
utiliser afin que les employs les acceptent. Frquemment, des stratgies de scurit trs fortes
sont trop complexes ou difficiles pour que les employs les adoptent.
Testez toujours les configurations de scurit que vous envisagez d'implmenter l'aide d'un objet
de stratgie de groupe dans un environnement isol, non destin la production. Une fois seulement
que vous avez russi ces tests, vous pouvez dployer les stratgies dans votre environnement de
production.

Problme courant
L'utilisateur ne peut pas se connecter
localement un serveur.
Aprs la configuration de l'audit, trop
d'vnements sont consigns dans le journal
des vnements de scurit de l'observateur
d'vnements.
Certains utilisateurs se plaignent que leurs
applications mtier ne peuvent plus accder
des ressources sur le serveur.

13-1
Module 13
Implmentation de la virtualisation de serveur avec Hyper-V

Table des matires :
13-1
Leon 1 : Vue d'ensemble des technologies de virtualisation
13-2
Leon 2 : Implmentation d'Hyper-V
13-9
Leon 3 : Gestion du stockage d'ordinateur virtuel
13-17
Leon 4 : Gestion des rseaux virtuels
13-25
Atelier pratique : Implmentation de la virtualisation de serveur

avec Hyper-V
13-30
13-37
La virtualisation de serveur est un lment du systme d'exploitation Windows Server depuis la version
de Windows Server 2008 et l'introduction du rle Hyper-V. Avec la virtualisation de serveur, votre
organisation peut faire des conomies grce la consolidation de serveurs. Cependant, pour utiliser
la virtualisation de serveur de manire plus efficace, les administrateurs de serveurs doivent pouvoir
dterminer les charges de serveur qui s'excuteront effectivement sur les ordinateurs virtuels, et les
charges de travail de serveur qui doivent demeurer dployes dans un environnement de serveur
plus traditionnel.
Ce module dcrit le rle Hyper-V dans Windows Server 2012, les composants du rle, comment
mieux dployer le rle, et les nouvelles fonctionnalits du rle de Hyper-V qui sont prsentes
avec Windows Server 2012.
Objectifs
dcrire les technologies de virtualisation ;
implmenter Hyper-V ;
grer le stockage d'ordinateur virtuel ;
grer les rseaux virtuels.
Leon 1
Vue d'ensemble des technologies de virtualisation
13-2 Implmentation de la virtualisation de serveur avec Hyper-V
Vous pouvez dployer de nombreux types de technologies de virtualisation diffrents au sein de rseaux
o des systmes d'exploitation Windows sont dploys. Les types de technologies de virtualisation
que vous slectionnez sont fonction des objectifs de votre organisation. Bien que ce module soit
principalement ax sur la virtualisation de serveur, dans cette leon vous allez dcouvrir d'autres types
de technologies de virtualisation, ainsi que les situations dans lesquelles il convient de les dployer.
dcrire la virtualisation de serveur avec Hyper-V ;
dcrire Windows Azure ;
expliquer quand vous devez utiliser la virtualisation de bureau ;
dterminer les composants requis pour implmenter la virtualisation de prsentation ;
expliquer les avantages de la virtualisation d'application Microsoft par comparaison au dploiement

d'applications traditionnel.
Virtualisation de serveur avec Hyper-V

Avec la virtualisation de serveur, vous pouvez
crer des ordinateurs virtuels distincts et les
excuter simultanment sur un serveur unique
qui excute Hyper-V. Ces ordinateurs virtuels sont
appels invits. L'ordinateur qui excute Hyper-V
est appel serveur de virtualisation ou systme
d'exploitation de gestion.
Les ordinateurs physiques virtuels fonctionnent
comme des ordinateurs normaux. Lorsque les
utilisateurs se connectent sur un ordinateur virtuel
invit via une connexion de bureau distance ou
une session distance Windows PowerShell, vous
devez soigneusement examiner les proprits de l'ordinateur sur lequel l'utilisateur travaille afin
de dterminer s'il s'agit d'un ordinateur virtuel ou d'une machine physique dploye de manire
traditionnelle. Les ordinateurs virtuels qui sont hbergs sur le mme serveur de virtualisation
sont indpendant les uns des autres. Vous pouvez excuter plusieurs ordinateurs virtuels qui
utilisent diffrents systmes d'exploitation sur un serveur de virtualisation de manire simultane,
condition que le serveur de virtualisation dispose de suffisamment de ressources.
Utilisation des ordinateurs virtuels et du matriel

Implmenter des ordinateurs virtuels vous permet d'utiliser le matriel de manire plus efficace. Dans
la plupart des cas, un service ou une application ne consomme qu'une faible fraction des ressources
d'un serveur de virtualisation. Cela signifie que vous pouvez installer plusieurs services et applications
sur le mme serveur de virtualisation puis les dployer sur plusieurs ordinateurs virtuels. Cela garantit
une utilisation plus efficace des ressources de ce serveur de virtualisation. Par exemple, supposez que
vous disposiez de quatre services et applications distincts, chacun consommant 10 15 pour cent des
ressources matrielles d'un serveur de virtualisation. Vous pouvez installer ces services et applications
sur des ordinateurs virtuels, puis les placer sur le mme matriel o, en moyenne, ils consomment
au total 40 60 pour cent du matriel du serveur de virtualisation.
13-3
Il s'agit l d'un exemple simplifi. Dans les environnements rels, vous devez procder des prparations
adquates avant d'installer des ordinateurs virtuels. Vous devez vous assurer que les besoins en ressources
matrielles de tous les ordinateurs virtuels qui sont hbergs sur le serveur de virtualisation n'excdent
pas les ressources matrielles du serveur.
Isolation des services et des applications sur les ordinateurs virtuels
Maintenir la fiabilit d'un service ou d'une application particuliers peut constituer un rel dfi et cela
devient encore plus compliqu lorsque vous dployez plusieurs services et applications sur le mme
serveur. Par exemple, vous devrez peut-tre dployer deux systmes d'exploitation distincts au sein
d'une filiale, mais ces systmes d'exploitation seront en conflit s'ils s'excutent sur le mme ordinateur.
Si vous ne pouvez disposer que d'un seul serveur, vous pouvez rsoudre ce problme en excutant
ces applications au sein d'ordinateurs virtuels sur le mme serveur.
Consolidation de serveurs
Avec la virtualisation de serveur, vous pouvez consolider des serveurs qui devraient autrement s'excuter
sur du matriel distinct sur un serveur de virtualisation unique. tant donn que chaque ordinateur
virtuel sur un serveur de virtualisation est isol des autres ordinateurs virtuels sur le mme serveur,
il est possible de dployer des services et des applications qui sont incompatibles entre eux sur
le mme ordinateur physique, condition que vous les hbergiez sur des ordinateurs virtuels.
Microsoft Exchange Server 2010, SQL Server 2012 et les services de domaines Active Directory
sont des exemples de ces services et applications. Cela signifie qu'une organisation doit seulement
dployer un serveur physique au lieu des trois serveurs qui auraient t ncessaires par le pass.
Mthode conseille : Nous vous recommandons de ne pas dployer un serveur de bote
aux lettres Microsoft Exchange sur un ordinateur qui contient un rle de contrleur de domaine.
Nous vous recommandons galement de ne pas dployer une instance de moteur de base
de donnes SQL Server 2012 sur un ordinateur qui contient le rle de contrleur de domaine.
Dployez plutt chacune de ces charges de travail sur des ordinateurs virtuels distincts
puis excutez ces derniers en tant qu'invits sur le mme serveur de virtualisation;
cette configuration est prise en charge.
Simplification du dploiement de serveur
Vous pouvez galement utiliser la virtualisation pour simplifier le processus du dploiement de serveur :
Des modles d'ordinateur virtuel pour des configurations de serveur courantes sont fournis avec
des produits tels que Microsoft System Center 2012 - Virtual Machine Manager (VMM). Dans ces
modles, nombre de paramtres sont prconfigurs l'aide de valeurs courantes de sorte que
vous n'avez pas configurer chaque paramtre vous-mme.
Vous pouvez galement crer des portails libre-service d'ordinateurs virtuels qui permettent aux
utilisateurs finaux de configurer automatiquement des serveurs et des applications approuvs.
Cela rduit la charge de travail de l'quipe d'administration de systmes. Pour crer ces portails libreservice d'ordinateurs virtuels, vous utilisez VMM et Microsoft System Center 2012 - Service Manager.
Qu'est-ce que Windows Azure ?

Windows Azure est une plateforme en nuage sur
laquelle vous pouvez acheter de la capacit, pour
des ordinateurs virtuels, pour des applications,
ou encore pour des services tels que des bases
de donnes SQL Server sur SQL Azure. L'un
des avantages que prsente l'utilisation de
Windows Azure est que vous payez seulement
la capacit que vous utilisez au lieu de payer un
taux fixe. Par exemple, au lieu de payer un taux
forfaitaire mensuel pour louer un serveur en
armoire un fournisseur d'hbergement, vous
payez moins lorsque le serveur est moins occup
et vous payez plus lorsque le serveur devient plus occup.
La capacit en cloud est lastique, ce qui signifie qu'elle peut se dvelopper ou se rduire rapidement en
fonction des besoins. Par exemple, dans une solution hberge de manire traditionnelle, vous pouvez
choisir un chssis spcifique de serveur, mais si ensuite vos besoins augmentent en termes de capacit
ou de performances, vous devez basculer vers un matriel de serveur de classe suprieure. Tout cela
demande du temps et de la planification. De mme, si vos besoins en termes de capacit ou de
performances diminuent, vous devez dterminer si la migration vers une classe de matriel infrieure
vaut le cot, ou si votre organisation doit continuer payer une classe de matriel dont vous n'avez
maintenant plus besoin, et dont vous n'aurez peut-tre plus besoin l'avenir. Avec un fournisseur
d'hbergement, la capacit est ajuste automatiquement et vous n'avez pas dpenser du temps
ou de l'argent passer d'un serveur l'autre.
Les ordinateurs virtuels, les applications et les services en cloud peuvent tre utiles lorsque vous devez
fournir des solutions de mise l'preuve pour les projets proposs. Au lieu d'acheter du matriel de
test puis d'y dployer une solution de mise l'preuve, vous pouvez dployer rapidement un ordinateur
virtuel en cloud, puis y dployer la solution de mise l'preuve. Ensuite, une fois la solution de mise
l'preuve valide, vous pouvez ignorer l'ordinateur virtuel (ou le conserver), en fonction des besoins
de votre entreprise. En plus d'tre plus rapide, cette solution est moins onreuse que l'achat de matriel
pour la solution de mise l'preuve, et vous pouvez choisir de l'ignorer si le projet n'est pas approuv.
Hbergement de sites Web ou d'applications de production
13-5
Sur les plateformes en cloud telles que Windows Azure, vous pouvez dployer des applications sans
avoir dployer l'infrastructure de serveur sous-jacente. Par exemple, si vous avez besoin d'une base
de donnes, au lieu de dployer la fois Windows Server 2012 et SQL Server 2012, puis de dployer la
base de donnes spcifique, vous pouvez louer le serveur de base de donnes en cloud et y hberger
la base de donnes.
Pour une stratgie en cloud russie, vous devez dterminer les services et les applications qu'il est
plus conomique de dployer sur une plateforme en cloud et les services et applications qu'il est plus
conomique de dployer dans un environnement de serveur plus traditionnel sur votre site. Beaucoup
de facteurs propres votre organisation entrent en jeu dans cette dcision, et une stratgie qui peut
tre la meilleure pour une organisation peut ne pas tre approprie pour une autre.
Virtualisation de bureau
Hyper-V client
Vous pouvez installer le rle Hyper-V sur
des ordinateurs qui excutent les systmes
d'exploitation Windows 8 Pro et Windows 8
Entreprise. Cela vous permet d'excuter des
ordinateurs virtuels invits sur des ordinateurs
clients. Avec Hyper-V client, fonctionnalit
Hyper-V dans les systmes d'exploitation
Windows 8 Pro et Windows 8 Entreprise,
la configuration processeur requise est lgrement
diffrente de celle de Hyper-V sur Windows
Server 2012. Plus prcisment, avec les systmes d'exploitation clients Windows 8, l'ordinateur doit
disposer d'une plateforme x64 qui prenne en charge la traduction d'adresse de second niveau (SLAT),
et au moins 4 gigaoctets (Go) de mmoire vive (RAM). Ce n'est pas le cas de Hyper-V sur
Windows Server 2012 qui ne requiert pas la traduction d'adresse de second niveau (SLAT).
Hyper-V client sur Windows 8
Le rle Hyper-V client sur Windows 8 prend en charge de nombreuses fonctionnalits qui sont disponibles
avec Hyper-V sur Windows Server 2012, mais il ne prend pas en charge des fonctionnalits Windows
Server 2012 telles que la migration d'ordinateurs virtuels. Hyper-V client ne prend pas non plus en charge
la publication des applications qui sont installes sur l'ordinateur virtuel invit dans le menu Accueil du
systme d'exploitation de gestion. Il s'agissait d'une fonctionnalit du mode XP sur Windows 7, qui utilise
Windows Virtual PC. (Windows Virtual PC est la fonctionnalit de virtualisation de client disponible sur
certains ordinateurs excutant des ditions spcifiques de Windows 7.)
Hyper-V client dans les environnements d'entreprise

Dans les environnements d'entreprise, Hyper-V client est souvent utilis des fins de dveloppement,
ou pour permettre des utilisateurs spcifiques d'excuter des versions prcdentes du systme
d'exploitation Windows, ce qui leur permet d'accder des applications qui sont incompatibles
avec Windows 8.
Infrastructure VDI (Microsoft Virtual Desktop Infrastructure)
Dans l'infrastructure VDI, les systmes exploitation sont hbergs de manire centralise en tant
qu'ordinateurs virtuels et les clients se connectent ces ordinateurs virtuels au moyen de logiciels
clients tel que RDC. Vous pouvez configurer un serveur pour la prise en charge de VDI en slectionnant
une installation des Services Bureau distance (RDS) dans l'Assistant Ajout de rles et de fonctionnalits.
Lorsque vous configurez un serveur de virtualisation pour qu'il fonctionne en tant que serveur VDI,
vous pouvez installer la fonctionnalit Hte de virtualisation des services Bureau distance en plus
du rle Hyper-V.
L'infrastructure VDI peut simplifier la gestion des systmes d'exploitation clients car :
elle garantit que tous les ordinateurs clients qui sont hbergs sur un serveur unique sont
sauvegards rgulirement ;
elle hberge les ordinateurs virtuels clients sur un serveur de virtualisation hautement disponible.
en cas de dfaillance d'un ordinateur client, elle s'assure que les utilisateurs peuvent encore accder
leur ordinateur virtuel l'aide d'autres mthodes RDC.
Vous pouvez galement utiliser l'infrastructure VDI pour implmenter la stratgie Apportez vos propres
terminaux (Bring Your Own Device, BYOD). Dans ce scnario, les employs apportent leur propre
ordinateur au bureau et utilisent le logiciel RDC pour se connecter l'ordinateur virtuel auquel
ils sont attribus.
Virtualisation de prsentation
La virtualisation de prsentation diffre
de la virtualisation de bureau comme suit :
Dans la virtualisation de bureau, chaque

utilisateur se voit affecter un ordinateur virtuel
qui lui est propre et qui excute un systme
d'exploitation client. Dans la virtualisation de
prsentation, les utilisateurs ouvrent et
excutent des sessions distinctes sur un ou
plusieurs serveurs. Par exemple, les utilisateurs
Alex et Brad pourraient tre connects
simultanment au mme serveur de bureau
distance, tout en excutant diffrentes
sessions avec RDC.
Avec la virtualisation de bureau, les applications s'excutent sur des ordinateurs virtuels. Avec la
virtualisation de prsentation, le Bureau et les applications s'excutent sur le serveur de virtualisation.
13-7
Sur les rseaux qui utilisent Windows Server 2012, la virtualisation de prsentation est assure par le rle
de serveur Services Bureau distance. Les clients peuvent accder la virtualisation de prsentation
comme suit :
Bureau complet. Les clients peuvent utiliser un client de bureau distance tel que RDC pour accder
une session de bureau complte et excuter des applications sur le serveur de virtualisation
Applications RemoteApp. Au lieu d'utiliser un client de bureau complet tel que RDC, la
fonctionnalit RemoteApp de Windows Server permet aux applications qui s'excutent sur
le serveur Windows Server 2012 de s'afficher sur l'ordinateur client. Vous pouvez dployer les
applications RemoteApp sous la forme de fichiers Windows Installer (.msi) l'aide de mthodes
traditionnelles de dploiement de logiciels. Cela vous permet d'associer des types de fichier
aux applications RemoteApp.
Accs au Bureau distance par le Web. Avec l'Accs Bureau distance par le Web, les clients
peuvent accder un site Web sur un serveur spcialement configur, puis lancer des
applications RemoteApp et des sessions de bureau distance depuis leur navigateur.
Passerelle des services Bureau distance
La Passerelle des services Bureau distance permet aux clients externes d'accder au Bureau distance
et RemoteApp sans recours au rseau priv virtuel (VPN), ou DirectAccess, fonctionnalit des systmes
d'exploitation Windows 7 et Windows 8. La Passerelle des services Bureau distance est un service de rle
que vous pouvez installer sur un ordinateur excutant Windows Server 2012. Vous dployez les serveurs
de Passerelle des services Bureau distance sur les rseaux de primtre. Vous configurez ensuite le
client RDC avec l'adresse des serveurs Passerelle des services Bureau distance. Lorsque vous faites cela,
le client vrifie si le serveur Bureau distance cible est au sein du rseau organisationnel. Si le serveur
Bureau distance est sur le rseau, le client tablit une connexion directe celui-ci. Si le serveur Bureau
distance n'est pas sur le rseau, le client route la connexion vers ce dernier via le serveur de passerelle
Bureau distance.
Qu'est-ce que Microsoft Application Virtualization ?

Avec la virtualisation d'application, les applications
ne sont pas installes de manire dfinitive sur
les ordinateurs clients mais elles sont dployes
partir d'un serveur pour les clients lorsque des
utilisateurs finaux souhaitent utiliser l'application.
Microsoft Application Virtualization (App-V) utilise
Microsoft Application Virtualization Desktop Client
(install sur le client). App-V est disponible en tant
que composant de Microsoft Desktop
Optimization Pack, et il ne s'agit pas d'un rle ou
d'une fonctionnalit Windows Server 2012 native.
Fonctionnalits et avantages de App-V
App-V prsente trois avantages : isolation d'application, diffusion en continu d'applications et portabilit
des applications.
Isolation d'application
App-V isole l'application du systme d'exploitation et l'excute dans un environnement virtuel distinct.
App-V isole aussi les applications des autres applications excutes sur le mme ordinateur. Cela signifie
que vous pouvez excuter des applications qui peuvent tre incompatibles lorsqu'elles sont excutes
ensemble sur le mme ordinateur. Par exemple, vous pouvez utiliser App-V pour dployer et excuter
diffrentes versions de Microsoft Office simultanment.
Diffusion en continu d'applications

La diffusion en continu d'applications est une autre fonctionnalit utile d'App-V. Lorsqu'une application
est diffuse en continu, seuls les composants en cours d'utilisation de cette application sont transmis
l'ordinateur client. Ceci acclre le dploiement d'applications car une seule partie de l'application doit
tre transmise via le rseau l'ordinateur client.
Portabilit des applications
Lorsque App-V est dploy avec le Microsoft System Center 2012 Configuration Manager, les utilisateurs
peuvent utiliser les mmes applications sur plusieurs ordinateurs clients, sans qu'une installation
traditionnelle soit ncessaire sur ces ordinateurs clients. Par exemple, un utilisateur peut se connecter
l'ordinateur d'un collgue, puis demander App-V de diffuser une application sur cet ordinateur
afin qu'il puisse l'utiliser sur ce dernier. L'application n'est pas installe en local, et lorsque l'utilisateur
se dconnecte, l'application n'est plus accessible aux autres utilisateurs de cet ordinateur.
Virtualisation de l'exprience utilisateur
Tout comme App-V permet des utilisateurs d'accder leurs applications partir de diffrents
ordinateurs clients, Microsoft User Experience Virtualization (UE-V) permet des utilisateurs d'avoir les
mmes paramtres de systme d'exploitation et d'application sur plusieurs priphriques qui excutent
Windows 7 et Windows 8. Ainsi, lorsqu'un utilisateur configure un paramtre pour une application fournie
via App-V sur un ordinateur (par exemple, la configuration d'un onglet personnalis sur un ruban dans
un produit Microsoft Office), ce paramtre est disponible automatiquement lorsque cette application
est fournie via App-V un autre ordinateur.
Leon 2
Implmentation d'Hyper-V
13-9
Comprendre le fonctionnement d'Hyper-V et des ordinateurs virtuels est essentiel pour le dploiement
efficace d'une virtualisation de serveur dans un environnement rseau de Windows Server 2012. Cette
leon prsente Hyper-V, ainsi que les configurations matrielles requises pour le dploiement d'Hyper-V
sur un ordinateur excutant Windows Server 2012. Elle dcrit galement les composants d'un ordinateur
virtuel (en mettant l'accent sur la mmoire dynamique), ainsi que les avantages des services d'intgration
d'ordinateur virtuel. Elle explique enfin comment mesurer l'utilisation des ressources d'ordinateur virtuel
avec des applets de commande Windows PowerShell.
installer le rle Hyper-V sur un serveur ;
dcrire le matriel appropri pour le dploiement de Hyper-V ;
dcrire les composants matriels d'un ordinateur virtuel ;
configurer la mmoire dynamique ;
configurer les services d'intgration d'un ordinateur virtuel ;
configurer les actions de dmarrage et d'arrt d'un ordinateur virtuel ;
excuter des tches de contrle des ressources Hyper-V.
Qu'est-ce que Hyper-V ?

Hyper-V est le rle de virtualisation matrielle
disponible dans Windows Server 2012.
La virtualisation matrielle fournit une couche
Hyperviseur qui accde directement au matriel
du serveur hte. Le systme d'exploitation hte
et tous les ordinateurs virtuels excuts sur l'hte
accdent au matriel via la couche Hyperviseur.
Ce terme s'oppose aux produits de virtualisation
logicielle tels que Microsoft Virtual Server 2005 R2,
qui utilisent le systme d'exploitation du serveur
de virtualisation pour accorder un accs indirect
au matriel du serveur.
Vous pouvez dployer Hyper-V sur un ordinateur qui excute Windows Server 2012 l'aide de l'Assistant
Ajout de rles et de fonctionnalits. Vous pouvez configurer Windows Server 2012 en tant que serveur de
virtualisation l'aide du rle Hyper-V. Windows Server 2012 peut ensuite hberger des ordinateurs
virtuels invits qui excutent des systmes d'exploitation pris en charge. Vous pouvez grer
l'administration des ordinateurs virtuels en local l'aide de Windows PowerShell, ou vous pouvez grer
cette administration distance via la console du Gestionnaire Hyper-V.
Vous pouvez installer le rle Hyper-V la fois dans l'installation minimale de Windows Server 2012,
et Windows Server 2012 dans la configuration minimale non serveur. Il existe galement une dition
Microsoft Hyper-V Server 2012 qui comprend seulement les composants ncessaires l'hbergement
des ordinateurs virtuels.
Remarque : Dans certaines documentations, le serveur de virtualisation (par exemple,
l'ordinateur Windows Server 2012 qui excute Hyper-V) est appel partition parente,
et un ordinateur virtuel qui s'excute sur le serveur est appel partition enfant.
Configuration matrielle requise pour Hyper-V

Le serveur sur lequel vous prvoyez d'installer le
rle Hyper-V doit prsenter la configuration
matrielle suivante :
Le serveur doit avoir une plateforme x64 qui

prend en charge la virtualisation d'assistance
matrielle et la prvention de l'excution
des donnes (DEP) matrielle.
Le serveur doit avoir une capacit de

processeur suffisante pour rpondre aux
exigences des ordinateurs virtuels invits.
Un ordinateur virtuel hberg sur Hyper-V
dans Windows Server 2012 peut prendre en charge jusqu' 64 processeurs virtuels.
Le serveur doit avoir suffisamment de mmoire pour prendre en charge l'ensemble des ordinateurs
virtuels qui doivent s'excuter simultanment, et pour excuter le systme d'exploitation
Windows Server 2012 hte.
Le serveur doit avoir au moins 4 Go de RAM.
Un ordinateur virtuel hberg sur Hyper-V dans Windows Server 2012 peut prendre en charge
au maximum 2 traoctets (To) de mmoire vive (RAM).
13-10
Les performances du sous-systme de stockage doivent rpondre aux exigences d'entre/sortie (E/S)
des ordinateurs virtuels invits. Qu'il s'agisse d'un dploiement en local ou au sein de rseaux de
stockage (SAN), vous devrez peut-tre placer diffrents ordinateurs virtuels sur des disques physiques
distincts, ou vous devrez peut-tre dployer des disques RAID, des disques SSD, des disques SSD
hybrides, ou une combinaison de ces trois technologies.
Les cartes rseau du serveur de virtualisation doivent pouvoir prendre en charge le dbit de rseau
ncessaire aux ordinateurs virtuels invits. Vous pouvez amliorer les performances rseau en
installant plusieurs cartes rseau et en utilisant plusieurs cartes d'interface rseau.
Matriel des ordinateurs virtuels

Les ordinateurs virtuels utilisent du matriel virtuel
(ou simul). Le systme d'exploitation de gestion,
Windows Server 2012 avec Hyper-V, utilise ce
matriel virtuel pour modrer l'accs au matriel
rel. Par exemple, vous pouvez mapper une carte
rseau virtuelle un rseau virtuel lui-mme
mapp une interface rseau relle.
Les ordinateurs virtuels comportent par dfaut
le matriel simul suivant :
BIOS. Simule le BIOS d'un ordinateur. Sur un

ordinateur autonome, vous pouvez configurer
plusieurs paramtres relatifs au BIOS, et vous
pouvez procder de mme sur un ordinateur virtuel. En voici quelques-uns :
o
ordre de dmarrage du matriel virtuel de l'ordinateur virtuel ;
priphrique partir duquel dmarre l'ordinateur virtuel (par exemple, un lecteur DVD,
un disque IDE, une carte rseau hrite ou un lecteur de disquette) ;
verrouillage numrique activ ou non au dmarrage.
13-11
Mmoire. Vous pouvez allouer jusqu' 1 To de ressources mmoire un ordinateur virtuel individuel.
Processeur. Vous pouvez allouer jusqu' 64 processeurs virtuels un seul ordinateur virtuel.
Contrleur IDE 0. Un ordinateur virtuel peut uniquement prendre en charge deux contrleurs IDE et,
par dfaut, deux de ces contrleurs sont allous chaque ordinateur virtuel. Chaque contrleur IDE
peut prendre en charge deux priphriques.
Vous pouvez connecter des disques durs virtuels (VHD) ou des lecteurs DVD virtuels un contrleur IDE.
Si l'ordinateur virtuel dmarre partir d'un disque VHD ou d'un lecteur DVD virtuel, le priphrique
de dmarrage doit tre connect un contrleur IDE. Vous pouvez utiliser des contrleurs IDE pour
connecter des disques VHD et des lecteurs DVD des ordinateurs virtuels qui utilisent un systme
d'exploitation qui ne prend pas en charge les services d'intgration.
Contrleur IDE 1. Permet de dployer des disques durs virtuels et des lecteurs DVD supplmentaires
sur l'ordinateur virtuel.
Contrleur SCSI. Vous pouvez utiliser un contrleur SCSI uniquement sur des ordinateurs virtuels
dont les systmes d'exploitation prennent en charge les services d'intgration.
Carte rseau synthtique. Les cartes rseau synthtiques reprsentent des cartes rseau d'ordinateur.
Vous pouvez uniquement utiliser les cartes rseau synthtiques avec les systmes d'exploitation
pris en charge par les ordinateurs virtuels invits.
COM 1. Permet de configurer une connexion via un canal nomm.
COM 2. Permet de configurer une connexion supplmentaire via un canal nomm.
Lecteur de disque. Permet de mapper une image de disquette virtuelle un lecteur de disque virtuel.
Vous pouvez ajouter le matriel suivant un ordinateur virtuel en modifiant les proprits de cet
ordinateur virtuel puis en cliquant sur Ajout de matriel :
13-12
Contrleur SCSI. Vous pouvez ajouter jusqu' quatre priphriques SCSI virtuels. Chaque contrleur
prend en charge jusqu' 64 disques.
Carte rseau. Un seul ordinateur virtuel peut avoir huit cartes rseau synthtiques au maximum.
Carte rseau hrite. Vous pouvez utiliser les cartes rseau hrites avec tous les systmes
d'exploitation qui ne prennent pas en charge les services d'intgration. Vous pouvez galement
utiliser des cartes rseau hrites pour dployer des images de systme d'exploitation au sein
du rseau. Un seul ordinateur virtuel peut avoir jusqu' quatre cartes rseau hrites.
Carte Fibre Channel. Si vous ajoutez une carte Fibre Channel un ordinateur virtuel, ce dernier peut
alors se connecter directement un rseau SAN Fibre Channel. Vous pouvez uniquement ajouter
une carte Fibre Channel un ordinateur virtuel si le serveur de virtualisation comporte un adaptateur
de bus hte (HBA) Fibre Channel (HBA) qui comporte galement un pilote Windows Server 2012
prenant en charge Fibre Channel virtuel.
Carte vido RemoteFX 3D. Si vous ajoutez une carte vido RemoteFX 3D un ordinateur virtuel,
ce dernier peut alors afficher des graphiques hautes performances grce Microsoft DirectX
et la puissance de traitement des graphiques sur le serveur Windows Server 2012 hte.
Documentation supplmentaire : Pour plus d'informations sur les cartes Fibre Channel
virtuelles, consultez la Vue d'ensemble d'Hyper-V Fibre Channel virtuel l'adresse
Configuration de la mmoire dynamique

Dans la premire version de Hyper-V avec
Windows Server 2008, vous pouviez attribuer
uniquement une quantit statique de mmoire
aux ordinateurs virtuels. moins que vous n'ayez
pris des prcautions spciales pour mesurer la
quantit prcise de mmoire requise par un
ordinateur virtuel, il est probable que vous
ayez sous-allou ou sur-allou de la mmoire.
La mmoire dynamique a t introduite avec
Windows Server 2008 R2 Service Pack 1 (SP1).
Avec la mmoire dynamique vous pouvez :
allouer une quantit de mmoire minimum

un ordinateur virtuel ;
autoriser l'ordinateur virtuel demander de la mmoire supplmentaire si besoin est ;
configurer une quantit de mmoire maximum pour un ordinateur virtuel.
Ainsi, grce la mmoire dynamique, vous n'avez plus besoin de deviner la quantit de mmoire
ncessaire pour un ordinateur virtuel ; au lieu de cela, vous pouvez configurer Hyper-V de sorte
que l'ordinateur virtuel se voit allouer autant de mmoire que ncessaire.
Avec Windows Server 2012, vous pouvez modifier certaines valeurs minimum et maximum de
mmoire dynamique pendant l'excution de l' l'ordinateur virtuel. Cela n'tait pas possible avec
Windows Server 2008 R2 SP1. Vous pouvez effectuer cette tche partir de la bote de dialogue
Paramtres d'un ordinateur virtuel.
Remarque : Les ordinateurs virtuels doivent prendre en charge les services d'intgration
Hyper-V pour pouvoir utiliser la mmoire dynamique.
Pagination intelligente
13-13
Les ordinateurs virtuels peuvent avoir besoin de plus de mmoire au dmarrage qu'en mode de
fonctionnement normal. La pagination intelligente, nouvelle fonctionnalit de Windows Server 2012,
attribue de la mmoire provisoire supplmentaire un ordinateur virtuel lorsque vous redmarrez ce
dernier. Cela signifie que vous pouvez allouer de la mmoire en fonction des besoins de l'ordinateur
virtuel en mode de fonctionnement normal, et non en fonction de ses besoins en mmoire au dmarrage.
La pagination intelligente utilise la pagination de disque pour attribuer de la mmoire provisoire
supplmentaire un ordinateur virtuel lors de son redmarrage. Toutefois, l'utilisation de la pagination
intelligente peut se traduire par une baisse des performances car cette fonction emploie des ressources
de disque qui seraient autrement utilises par le serveur hte et par d'autres ordinateurs virtuels.
Remarque : Vous pouvez configurer la mmoire d'un ordinateur virtuel l'aide de l'applet
de commande Windows PowerShell Set-VMMemory.
Documentation supplmentaire : Pour plus d'informations sur la mmoire
dynamique Hyper-V, voir Hyper-V Dynamic Memory Overview l'adresse
Configuration des services d'intgration d'un ordinateur virtuel

Vous devez installer les services d'intgration
d'ordinateur virtuel si vous souhaitez utiliser
des fonctionnalits telles que l'arrt du systme
d'exploitation, la synchronisation, et si vous
souhaitez installer des composants matriels
virtuels, tels que des cartes SCSI et des cartes
rseau synthtiques, sur les ordinateurs virtuels.
Les systmes d'exploitation invits d'ordinateur
virtuel qui sont pris en charge par Hyper-V et qui
peuvent utiliser les services d'intgration sont les
suivants :
Windows Server 2012
Windows Server 2008 R2 avec SP1
Windows Server 2008 avec Service Pack 2 (SP2)
Windows Server 2003 R2 avec SP2
Windows Home Server 2011
Windows MultiPoint Server 2012
Windows Small Business Server 2011
Windows Server 2003 avec SP2
CentOS 6.0-6.2
CentOS 5.5-5.7
Red Hat Enterprise Linux 6.0-6.2
Red Hat Enterprise Linux 5.5-5.7
SUSE Linux Enterprise Server 11 avec SP1 ou SP2
SUSE Linux Enterprise Server 10 avec SP4
Windows 7 avec SP1
Windows Vista avec SP2
Windows XP avec SP3
Remarque : La prise en charge du systme d'exploitation Windows XP expirera en

avril 2014. La prise en charge de Windows Server 2003 et Windows Server 2003 R2 expirera
en juillet 2015.
Vous pouvez installer les composants des services d'intgration Hyper-V sur un systme d'exploitation ;
pour cela, affichez la fentre Connexion un ordinateur virtuel, puis dans le menu Action, cliquez sur
l'lment Insrer le disque d'installation des services d'intgration. Vous pouvez ensuite installer
les pilotes appropris au systme d'exploitation manuellement ou automatiquement. Vous pouvez
galement activer les composants d'intgration de l'ordinateur virtuel suivants :
Arrt du systme d'exploitation. Permet au serveur qui excute Hyper-V d'initialiser un arrt
normal de l'ordinateur virtuel invit.
Synchronisation date/heure. Permet l'ordinateur virtuel d'utiliser le processeur du serveur

de virtualisation des fins de synchronisation de la date et de l'heure.
change de donnes. Permet au serveur qui excute Hyper-V d'crire des donnes dans
le Registre de l'ordinateur virtuel.
Pulsation. Permet Hyper-V de dterminer si l'ordinateur virtuel a cess de rpondre.
Sauvegarde (instantan de volume). Permet au fournisseur du service de clich instantan de

volume (VSS) de crer des instantans de l'ordinateur virtuel des fins d'opration de sauvegarde,
sans interruption du fonctionnement normal de l'ordinateur virtuel.
13-14
13-15
Configuration des actions de dmarrage et d'arrt d'un ordinateur virtuel

Vous pouvez utiliser les actions de dmarrage et
d'arrt d'un ordinateur virtuel pour vous assurer
que les principaux ordinateurs virtuels dmarrent
toujours automatiquement chaque redmarrage
de Hyper-V, et qu'ils s'arrtent normalement si
le serveur reoit une commande d'arrt. Lorsque
vous configurez les actions de dmarrage et
d'arrt d'un ordinateur virtuel, vous slectionnez
les tapes qui doivent tre effectues par
le serveur qui excute Hyper-V sur des
ordinateurs virtuels spcifiques lors de l'arrt
ou du dmarrage du serveur physique. Pour
configurer les paramtres de dmarrage et d'arrt de chaque ordinateur virtuel, vous modifiez
les proprits de l'ordinateur virtuel.
Options de dmarrage automatique

Vous pouvez configurer les options suivantes dans la fentre Actions de dmarrage automatique :
Aucune. L'ordinateur virtuel ne dmarre pas automatiquement au dmarrage du serveur qui

excutant Hyper-V, mme si l'ordinateur virtuel tait l'tat d'excution lorsque le serveur
a t arrt.
Dmarrer automatiquement s'il tait en cours d'excution lors de l'arrt du service. L'ordinateur
virtuel redmarre s'il tait en cours d'excution lorsque le serveur excutant Hyper-V a reu la
commande d'arrt, ou si l'ordinateur virtuel tait en cours d'excution lorsque le serveur a t
mis hors tension suite une panne.
Toujours dmarrer cet ordinateur virtuel automatiquement. L'ordinateur virtuel dmarre

systmatiquement au dmarrage du serveur excutant Hyper-V. Vous pouvez configurer
un dlai de dmarrage afin de vous assurer que plusieurs ordinateurs virtuels n'essaient
pas de dmarrer en mme temps.
Options d'arrt automatique

Vous pouvez configurer les options suivantes dans la fentre Actions d'arrt automatique :
Enregistrer l'tat de l'ordinateur virtuel. Cette option enregistre l'tat actif de l'ordinateur
virtuel sur le disque, y compris la mmoire, lorsque le serveur reoit une commande d'arrt. Cela
permet l'ordinateur virtuel de redmarrer au redmarrage du serveur qui excute Hyper-V.
Dsactiver l'ordinateur virtuel. L'ordinateur virtuel est dsactiv lorsque le serveur reoit
une commande d'arrt. Des donnes peuvent tre perdues lorsque cela se produit.
Arrter le systme d'exploitation invit. L'ordinateur virtuel est arrt de faon normale
lorsque le serveur reoit une commande d'arrt. Cette option est disponible uniquement
si les composants des services d'intgration sont installs sur l'ordinateur virtuel.
Remarque : Vous pouvez galement configurer des actions automatiques de dmarrage

et d'arrt d'un ordinateur virtuel l'aide de l'applet de commande Windows PowerShell Set-VM
avec les paramtres AutomaticStartAction et AutomaticStopAction.
Contrle des ressources Hyper-V

Le contrle des ressources vous permet de
suivre l'utilisation des ressources d'ordinateurs
virtuels qui sont hberges sur des serveurs
Windows Server 2012 o le rle Hyper-V
est install.
Grce au contrle des ressources, vous pouvez
mesurer les paramtres suivants sur des
ordinateurs virtuels Hyper-V individuels :
utilisation UC moyenne ;
utilisation moyenne de la mmoire

physique, notamment :
o
utilisation mmoire minimum ;
utilisation mmoire maximum ;
allocation d'espace disque maximum ;
trafic rseau entrant pour une carte rseau ;
trafic rseau sortant pour une carte rseau.
13-16
En mesurant la quantit de ressources utilise par chaque ordinateur virtuel, une organisation peut
facturer des services ou des clients en fonction du volume de ressources utilis par ses ordinateurs virtuels,
au lieu d'appliquer un forfait fixe par ordinateur virtuel. Une organisation comportant uniquement des
clients internes peut galement utiliser ces mesures pour dgager des modles d'utilisation et prvoir
de futures extensions. Pour effectuer des tches de contrle des ressources, partir d'une interface
de ligne de commande PowerShell, utilisez les applets de commande suivantes :
Enable-VMResourceMetering. Dmarre la collecte de donnes pour chaque ordinateur virtuel.
Disable-VMResourceMetering. Dsactive le contrle des ressources sur chaque ordinateur virtuel.
Reset-VMResourceMetering. Rinitialise les compteurs de contrle des ressources sur les

ordinateurs virtuels.
Measure-VM. Affiche des statistiques de contrle des ressources pour un ordinateur virtuel
spcifique.
Remarque : Vous ne pouvez utiliser aucun outil d'interface graphique pour excuter
le contrle des ressources.
Documentation supplmentaire : Pour plus d'informations concernant le contrle
des ressources pour Hyper-V, voir Hyper-V Resource Metering Overview l'adresse
Leon 3
Gestion du stockage d'ordinateur virtuel

Hyper-V fournit de nombreuses et diffrentes options de stockage d'ordinateur virtuel. Si vous
savez quelle option est approprie pour une situation donne, vous pouvez vous assurer du bon
fonctionnement d'un ordinateur virtuel. Toutefois, une mauvaise comprhension des diffrentes
options de stockage de l'ordinateur virtuel peut entraner le dploiement de disques durs virtuels qui
consomment de l'espace ou chargent les performances inutilement sur le serveur de virtualisation.
13-17
Dans cette leon, vous allez dcouvrir les diffrents types de disque dur virtuel, les diffrents formats de
disque dur virtuel et les avantages et inconvnients dans l'utilisation d'instantans d'ordinateurs virtuels.
dcrire la finalit du systme VHD ;
expliquer comment crer un type VHD ;
expliquer comment grer des VHD ;
expliquer comment dployer des disques durs virtuels de diffrenciation pour rduire le stockage ;
expliquer comment utiliser des instantans d'ordinateur virtuel.
Qu'est-ce qu'un disque dur virtuel (VHD) ?
Un disque VHD est un fichier qui reprsente

un lecteur de disque dur traditionnel que vous
pouvez configurer avec des partitions et un
systme d'exploitation. Vous pouvez utiliser
des disques VHD sur des ordinateurs virtuels,
et vous pouvez monter des disques VHD en tant
que volumes locaux l'aide des systmes
d'exploitation Windows Server 2008 R2,
Windows Server 2012, Windows 8 et Windows 7.
Windows Server 2012 prend en charge le
dmarrage partir d'un disque VHD ; cela vous
permet de configurer un ordinateur pour qu'il
dmarre sur un systme d'exploitation Windows Server 2012 dploy sur un disque VHD, ou sur certaines
ditions du systme d'exploitation Windows 8 qui sont dployes sur un disque VHD.. Vous pouvez crer
un disque VHD avec :
la console du Gestionnaire Hyper-V ;
la console de gestion des disques ;
l'outil en ligne de commande (diskpart.exe) de DiskPart ;
l'applet de commande Windows PowerShell New-VHD.
Remarque : Certaines ditions de Windows 7 et Windows Server 2008 R2 prennent

galement en charge le dmarrage partir d'un disque VHD.
Disques VHD au format .vhd et disques au format .vhdx

Les disques VHD utilisent l'extension .vhd. Windows Server 2012 prsente un nouveau type de disque
VHD laquelle utilise l'extension .vhdx. Les disques VHD au nouveau format prsentent les avantages
suivants par rapport aux disques VHD qui taient utiliss dans Hyper-V sur Windows Server 2008
et Windows Server 2008 R2 :
Les disques VHD au format .vhdx peuvent avoir la taille de 64 To, alors que le format VHD
est limit 2 To.
Les disques VHD au format .vhdx sont moins susceptibles d'tre endommags si une panne
de courant se produit sur le serveur de virtualisation.
Le format .vhdx prend en charge un meilleur alignement lorsqu'il est dploy sur un disque secteur
de grande taille.
Les disques VHD au format .vhdx peuvent contenir des VHD de taille dynamique et des VHD de
diffrenciation de plus grande taille, ce qui signifie que les VHD de taille dynamique et les VHD
de diffrenciation fonctionnent mieux.
13-18
Vous pouvez convertir un disque VHD du format .vhd au format .vhdx l'aide de l'Assistant Modification
de disque dur virtuel ; cette opration peut tre ncessaire si vous avez mis niveau un serveur
de virtualisation Windows Server 2008 ou Windows Server 2008 R2 vers Windows Server 2012.
Vous pouvez galement convertir un disque VHD du format .vhdx au format .vhd.
Prise en charge du partage SMB
Windows Server 2012 prend maintenant en charge le stockage de tous les fichiers des ordinateurs
virtuels, notamment des disques VHD sur partages de fichiers SMB 3.0. Il s'agit d'une alternative au
stockage de ces fichiers sur Internet SCSI (iSCSI) ou sur les priphriques SAN Fibre Channel. Lors de
la cration d'un ordinateur virtuel dans Hyper-V sur Windows Server 2012, vous pouvez spcifier un
partage rseau lorsque vous choisissez l'emplacement du disque VHD ou lorsque vous connectez un
disque VHD existant. Le partage de fichiers doit prendre en charge SMB 3.0. Cela signifie que vous devez
placer les disques VHD sur les partages de fichiers qui sont hbergs sur des serveurs de fichiers avec
Windows Server 2012. Les versions antrieures de Windows Server ne prennent pas en charge SMB 3.0.
Documentation supplmentaire : Pour plus d'informations sur les formats
de disque VHD, voir Hyper-V Virtual Hard Disk Format Overview l'adresse
Cration de types de disque virtuel

Lorsque vous configurez un disque VHD, vous
avez le choix entre plusieurs types diffrents
de disque, fixe, dynamique et stockage en
attachement direct.
Cration de disques VHD fixes

Lorsque vous crez des disques VHD fixes,
l'espace disque que vous avez spcifi est
allou au cours du processus de cration.
Cela rduit la fragmentation, ce qui amliore
les performances si le disque dur virtuel se trouve
sur un priphrique de stockage traditionnel
(i.e non SSD). Allouer tout l'espace disque spcifi
au cours du processus de cration prsente nanmoins un inconvnient, trs souvent vous ne saurez
pas prcisment de combien d'espace disque un ordinateur virtuel a besoin. Par consquent, vous
allez peut-tre allouer de l'espace qui n'est pas rellement requis.
Remarque : La fragmentation du disque n'est pas rellement un problme lorsque les
disques VHD sont hbergs sur des volumes RAID ou sur des disques SSD. Les amliorations
de Hyper-V (depuis son introduction avec Windows Server 2008) rduisent galement les
diffrences de performances entre les disques VHD dynamiques et fixes.
Pour crer un disque VHD fixe, procdez comme suit :
13-19
1.
Ouvrez la console du Gestionnaire Hyper-V.
2.
Dans le volet Actions, cliquez sur Nouveau, puis cliquez sur Disque dur.
3.
Sur la page Avant de commencer de l'assistant Nouveau disque dur virtuel, cliquez sur Suivant.
4.
Dans le nouvel Assistant Nouveau disque dur virtuel, sur la page Choisir le format du disque,
cliquez sur VHD ou VHDX, puis sur Suivant.
5.
Dans la page Choisir le type de disque, cliquez sur Taille fixe, puis sur Suivant.
6.
Dans la page Spcifier le nom et l'emplacement, entrez un nom pour le disque VHD, puis indiquez
un dossier dans lequel hberger le fichier VHD.
7.
Dans la page Configurer le disque, choisissez l'une des options suivantes :

o
Crer un nouveau disque dur virtuel vierge de la taille spcifie.
Copier le contenu d'un disque physique spcifi. Avec cette option, vous pouvez rpliquer un
disque physique existant sur le serveur comme disque VHD. Le disque VHD fixe sera de la mme
taille que le disque physique. La rplication d'un disque dur physique existant ne modifie pas
les donnes sur ce disque.
Copier le contenu d'un disque dur virtuel spcifi. Avec cette option, vous pouvez
crer un nouveau disque dur fixe en fonction du contenu d'un disque VHD existant.
Remarque : Vous pouvez crer un nouveau disque dur fixe l'aide de l'applet
de commande Windows PowerShell New-VHD avec le paramtre -Fixed (fixe).
Disques VHD de taille dynamique
13-20
Lorsque vous crez un disque VHD de taille dynamique, vous spcifiez une taille maximale, mais le disque
utilise seulement l'espace dont il a besoin et il augmente de taille si ncessaire. Un disque VHD de taille
dynamique peut tre cr au format .vhd ou .vhdx. Un nouveau disque VHD de taille dynamique au
format .vhd se voit allouer environ 260 kilo-octets (ko). Un nouveau disque VHD de taille dynamique
au format .vhdx se voit allouer environ 4 096 kilo-octets (ko).
Lorsque vous sauvegardez des fichiers sur un disque VHD de taille dynamique, ce dernier augmente
de taille. Il n'est possible de rduire un fichier de disque VHD de taille dynamique qu'en effectuant
une opration de compactage.
Pour crer un disque VHD de taille dynamique, suivez les tapes de cration d'un disque VHD fixe
indiques plus haut, l'exception de celles de la page Choisir le type de disque ( l'tape 5), cliquez
sur Taille dynamique au lieu de Taille fixe.
Remarque : Vous pouvez crer un nouveau disque dur dynamique l'aide de l'applet de
commande Windows PowerShell New-VHD (nouveau disque dur virtuel) avec le paramtre Dynamic.
Stockage en attachement direct
Le stockage en attachement direct permet un ordinateur virtuel d'accder un lecteur de disque

physique. Vous pouvez utiliser le stockage en attachement direct pour relier un ordinateur virtuel
directement un numro d'unit logique iSCSI. Lorsque vous utilisez le stockage en attachement direct,
l'ordinateur virtuel doit avoir un accs exclusif au disque cible ; pour vous en assurer, vous devez mettre
le disque hors connexion.
Vous pouvez lier un stockage en attachement direct en procdant comme suit :
1.
Vrifiez que le disque dur cible est hors connexion. Si ce n'est pas le cas, utilisez la console
de gestion des disques sur le serveur de virtualisation pour le mettre hors connexion.
2.
Utilisez la console du Gestionnaire Hyper-V pour modifier les proprits d'un ordinateur virtuel
existant.
3.
Cliquez sur un contrleurs IDE ou SCSI, cliquez sur Ajouter, puis sur Disque dur.
4.
Dans la bote de dialogue Disque dur, cliquez sur Disque dur physique. Dans le menu droulant,
slectionnez le disque que vous souhaitez utiliser comme stockage en attachement direct.
Remarque : Si vous reliez un stockage en attachement direct au contrleur SCSI d'un

ordinateur virtuel, il n'est pas ncessaire d'arrter l'ordinateur virtuel. Si vous souhaitez le
connecter au contrleur IDE d'un ordinateur virtuel, vous devez d'abord arrter ce dernier.
Question : Pourquoi pourriez-vous envisager d'utiliser des disques VHD au lieu de disques
de taille dynamique ?
Question : Dans quelles situations pourriez-vous rencontrer des difficults si vous utilisez
des disques de taille dynamique ?
Gestion des disques durs virtuels (VHD)

De temps en temps, vous devez excuter des
oprations de maintenance sur des disques VHD.
Par exemple, vous souhaitez peut-tre convertir
un disque VHD dans un autre format car vos
besoins voluent, ou vous voulez condenser un
disque VHD pour librer de l'espace. Vous pouvez
effectuer les oprations de maintenance suivantes
sur les disques VHD :
convertir le disque du format fixe au format

dynamique ;
convertir le disque du format dynamique

au format fixe ;
convertir un disque VHD du format .vhd au format .vhdx
convertir un disque VHD du format .vhdx au format .vhd
compacter un disque VHD de taille dynamique ;
dvelopper un disque VHD de taille dynamique ;
dvelopper un disque VHD fixe.
Conversion d'un disque

Lorsque vous convertissez un disque VHD, le contenu du disque VHD existant est copi sur un
disque VHD nouvellement cr. Par exemple, lorsque vous convertissez un disque VHD fixe en
disque VHD de taille dynamique, un nouveau disque dynamique est cr, le contenu du disque
fixe est copi sur ce nouveau disque dynamique, puis le disque fixe est supprim.
Pour convertir un disque VHD en disque dynamique ou inversement, procdez comme suit :
1.
Dans le volet Actions de la console du Gestionnaire Hyper-V, cliquez sur Modifier le disque.
2.
Dans l'Assistant Modification de disque dur virtuel, sur la page Avant de commencer, cliquez
sur Suivant.
3.
Dans la page Disque dur virtuel local, cliquez sur Parcourir, puis slectionnez le disque VHD
que vous voulez convertir.
4.
Dans la page Choisir une action, cliquez sur Convertir, puis sur Suivant.
5.
Dans la page Convertir un disque dur virtuel, choisissez le format VHD ou VHDX.
6.
Dans la page Convertir un disque dur virtuel, choisissez Taille fixe ou Taille dynamique.
Si vous souhaitez galement convertir le type de disque dur, choisissez le type appropri,
7.
Dans la page Configurer un disque, choisissez l'emplacement du disque.
13-21
Modification de la taille d'un disque

Vous pouvez compacter un disque VHD de taille dynamique qui n'utilise pas tout l'espace qui lui est
allou. Cependant, vous ne pouvez pas compacter un disque VHD fixe ; vous devez d'abord le convertir
en disque VHD de taille dynamique avant de le compacter. Vous pouvez dvelopper des disques VHD
de taille dynamique et des disques VHD fixes.
Pour modifier la taille d'un disque VHD, vous pouvez utiliser l'une des deux mthodes suivantes.
Ces mthodes sont les suivantes :
13-22
1.
Utilisez les applets de commande Windows PowerShell resize-partition et resize-vhd.
2.
Dans l'Assistant Modification de disque dur virtuel, slectionnez l'option Compacter ou Dvelopper.
Rduction des besoins de stockage avec les disques VHD de diffrenciation

Les disques VHD de diffrenciation sont des
disques VHD distincts qui enregistrent les
modifications apportes un disque parent.
Vous pouvez utiliser des disques VHD de
diffrenciation pour rduire la quantit d'espace
disque consomme par les disques VHD ; cela
accrot les performances du disque en rduisant
l'espace utilis. Les disques VHD de diffrenciation
fonctionnent bien avec les disques SSD.
Ils fonctionnent bien galement lorsque l'espace
disponible sur le volume parent est limit et
que les performances du disque compensent les
inconvnients en termes de performances lis l'utilisation d'un disque VHD de diffrenciation.
Vous pouvez lier plusieurs disques VHD de diffrenciation un seul disque parent. Toutefois,
si vous modifiez le disque parent, les liens tous les disques VHD de diffrenciation chouent.
Vous pouvez reconnecter un disque VHD de diffrenciation au disque parent l'aide de l'outil
Inspecter le disque, lequel est disponible dans le volet Actions de la console du Gestionnaire Hyper-V.
Vous pouvez galement utiliser l'outil Inspecter le disque pour localiser le disque parent d'un disque VHD
de diffrenciation.
Vous pouvez crer un disque VHD de diffrenciation l'aide de la console du Gestionnaire Hyper-V
ou l'aide de l'applet de commande Windows PowerShell New-VHD.
Pour crer un disque VHD de diffrenciation l'aide de la console du Gestionnaire Hyper-V,
1.
2.
Dans le volet Actions, cliquez sur Nouveau, puis sur Disque dur.
3.
Dans l'Assistant Nouveau disque dur virtuel, sur la page Avant de commencer, cliquez sur Suivant.
4.
Dans la page Choisir le format du disque, cliquez sur VHD, puis sur Suivant.
5.
Dans la page Choisir le type de disque, cliquez sur Diffrenciation, puis sur Suivant.
6.
Dans la page Spcifier le nom et l'emplacement, indiquez l'emplacement du disque dur parent.
13-23
Pour crer un disque VHD de diffrenciation l'aide de l'applet de commande Windows PowerShell
New-VHD, suivez le modle de l'exemple suivant. Pour crer un nouveau disque VHD de diffrenciation
nomm c:\diff-disk.vhd qui utilise le disque VHD c:\parent.vhd, utilisez la commande Windows PowerShell
suivante :
New-VHD c:\diff-disk.vhd -ParentPath C:\parent.vhd
Utilisation d'instantans
Les instantans sont une image statique des
donnes sur un ordinateur virtuel un moment
donn. Les instantans sont enregistrs au format
.avhd ou .avhdx selon le format du disque VHD.
Vous pouvez prendre un instantan d'un
ordinateur virtuel partir du volet Actions de
la fentre Connexion un ordinateur virtuel, ou
partir de la console du Gestionnaire Hyper-V.
Chaque ordinateur virtuel peut avoir un maximum
de 50 instantans.
Vous pouvez prendre des instantans tout
moment, mme lorsqu'un ordinateur virtuel est
arrt. Lorsque vous prenez un instantan d'un ordinateur virtuel en cours d'excution, cet instantan
inclut le contenu de la mmoire de l'ordinateur virtuel.
Lorsque vous prenez des instantans de plusieurs ordinateurs virtuels qui font partie du mme groupe,
par exemple un contrleur de domaine virtuel et un serveur membre virtuel, vous devez prendre ces
instantans simultanment. Cela garantit que des lments tels que les mots de passe de compte
d'ordinateur sont les mmes sur tous les instantans.
Souvenez-vous que lorsque vous rtablissez un ordinateur sur un instantan, son tat est rtabli une
limite dans le temps. Si vous restaurez un ordinateur un point antrieur l'excution d'une modification
de mot de passe d'ordinateur avec un contrleur de domaine, il sera ncessaire de le reconnecter
au domaine ou d'excuter la commande netdom resetpwd.
Instantans et sauvegardes
Les instantans ne constituent pas une solution de remplacement pour les sauvegardes. Les instantans
sont enregistrs sur le mme volume que les disques VHD. Si ce volume choue, les instantans
et le fichier VHD sont perdus.
Exportation d'instantans
Il est possible d'exporter l'instantan d'un ordinateur virtuel. Dans ce cas, Hyper-V cre des disques VHD
complets qui reprsentent l'tat de l'ordinateur virtuel au moment de la prise de l'instantan. Si vous
choisissez d'exporter l'intgralit d'un ordinateur virtuel, tous les instantans associs cet ordinateur
virtuel sont galement exports.
Fichiers de disque VHD de diffrenciation

Lorsque vous crez un instantan, Hyper-V crit des fichiers VHD de diffrenciation (.avhd, ou .avhdx)
qui enregistrent les donnes qui diffrencient l'instantan de l'instantan prcdent ou du disque VHD
parent. Lorsque vous supprimez des instantans, ces donnes sont ignores ou fusionnes dans
l'instantan prcdent ou le disque VHD parent. Par exemple :
Si vous supprimez l'instantan le plus rcent, les donnes sont ignores. Avec Hyper-V dans
Windows Server 2012, cet espace est rcupr immdiatement et non pas lorsque l'ordinateur
virtuel est arrt.
Si vous supprimez le deuxime instantan le plus rcent, les donnes sont fusionnes de sorte
que les tats des instantans les plus rcents et les plus anciens conservent leur intgrit.
Gestion des instantans
13-24
Lorsque vous appliquez un instantan, l'ordinateur virtuel est rtabli la configuration qui tait la sienne
au moment de la prise de l'instantan. Le rtablissement un instantan ne supprime aucun instantan
existant. Si vous appliquez un instantan aprs avoir fait une modification de configuration dans un
instantan diffrent, vous tes invit prendre un autre instantan. Vous n'aurez besoin de crer
un nouvel instantan que si vous souhaitez retourner cette configuration actuelle.
Il est possible de crer des arborescences d'instantans qui ont diffrents branches. Par exemple,
prenons le scnario suivant :
Vous prenez un instantan d'un ordinateur virtuel le lundi, le mardi et le mercredi. Le jeudi, vous
appliquez l'instantan du mardi. Immdiatement aprs avoir appliqu l'instantan du mardi,
vous apportez des modifications la configuration de l'ordinateur virtuel.
Dans ce scnario, la branche d'origine est la srie d'instantans pris le lundi, le mardi et le mercredi.
Vous crez une nouvelle branche en appliquant l'instantan du mardi et en apportant des modifications
l'ordinateur virtuel. Plusieurs branches peuvent exister, condition de ne pas dpasser la limite
de 50 instantans par ordinateur virtuel.
Leon 4
Gestion des rseaux virtuels
13-25
Hyper-V propose plusieurs options pour la communication rseau entre les ordinateurs virtuels. Vous
pouvez configurer des ordinateurs virtuels qui communiquent avec un rseau externe d'une manire
semblable celle utilise pour le dploiement traditionnel d'htes physiques. Vous pouvez configurer
des ordinateurs virtuels pour qu'ils communiquent seulement avec un nombre limit d'autres ordinateurs
virtuels qui sont hbergs sur le mme serveur. Si vous connaissez les options disponibles pour les rseaux
virtuels Hyper-V, vous pourrez en tirer profit pour rpondre au mieux aux besoins de votre organisation.
dcrire les commutateurs virtuels ;
dcrire la virtualisation de rseau Hyper-V ;
expliquer comment grer le pool d'adresses MAC d'un ordinateur virtuel ;
expliquer comment configurer les cartes rseau virtuelles.
Qu'est-ce qu'un commutateur virtuel ?

Un commutateur virtuel est une version virtuelle
d'un commutateur rseau. (Le terme rseau virtuel,
qui tait utilis dans Windows Server 2008, a t
remplac par le terme commutateur virtuel
dans Windows Server 2012.) Les commutateurs
virtuels contrlent le flux du trafic rseau entre
les ordinateurs virtuels qui sont hbergs sur le
serveur de virtualisation, et entre les ordinateurs
virtuels et le reste du rseau organisationnel.
Vous grez les commutateurs virtuels via le
gestionnaire de commutateur virtuel, lequel est
accessible via le volet Actions de la console du
Gestionnaire Hyper-V. Hyper-V sur Windows Server 2012 prend en charge trois types diffrents
de commutateurs virtuels :
Externe. Ce type de commutateur mappe un rseau une carte rseau spcifique ou une
association de cartes rseau. Windows Server 2012 prend en charge le mappage d'un rseau
externe une carte rseau sans fil si vous avez install le service de rseau local sans fil sur
le serveur de virtualisation et si le serveur de virtualisation a une carte compatible.
Interne. Les commutateurs virtuels internes assurent la communication entre les ordinateurs virtuels
sur le serveur de virtualisation et entre les ordinateurs virtuels et le serveur de virtualisation lui-mme.
Priv. Les commutateurs privs assurent uniquement la communication entre les ordinateurs
virtuels sur le serveur de virtualisation. Vous ne pouvez pas utiliser des commutateurs privs
pour la communication entre les ordinateurs virtuels et le serveur de virtualisation lui-mme.
13-26
Lors de la configuration d'un rseau virtuel, vous pouvez galement configurer un ID de rseau virtuel
(VLAN) associer au rseau. Cela vous permet d'tendre les rseaux VLAN existants sur le rseau externe
aux rseaux VLAN au sein du commutateur rseau du serveur de virtualisation. Les rseaux VLAN vous
permettent de partitionner le trafic rseau et ils fonctionnent en tant que rseaux logiques distincts.
Le trafic peut uniquement passer d'un rseau VLAN un autre s'il traverse un routeur.
Vous pouvez configurer les extensions suivantes pour chaque type de commutateur virtuel :
Capture NDIS Microsoft. Cette extension permet la capture des donnes qui traversent le
commutateur virtuel.
Plateforme de filtrage Microsoft Windows. Cette extension permet le filtrage des donnes qui
traversent le commutateur virtuel.
Documentation supplmentaire : Pour plus d'informations sur les commutateurs virtuels,

voir Hyper-V Virtual Switch Overview l'adresse http://go.microsoft.com/fwlink/?LinkId=269716.
Virtualisation de rseau Hyper-V

La virtualisation de rseau Hyper-V vous permet
d'isoler les ordinateurs virtuels qui partagent le
mme serveur physique. Par exemple, si vous
fournissez une infrastructure en tant que service
(IaaS) diffrentes entreprises, vous devez isoler
leurs ordinateurs virtuels les uns des autres. Avec
la virtualisation de rseau, vous pouvez affecter les
ordinateurs virtuels des rseaux VLAN distincts
afin d'isoler le trafic rseau. Vous dployez la
virtualisation de rseau essentiellement dans les
scnarios o vous utilisez un serveur qui excute
Hyper-V pour hberger les ordinateurs virtuels
d'une autre organisation.
Lorsque vous configurez la virtualisation de rseau, chaque ordinateur virtuel invit a deux adresses IP
qui fonctionnent comme suit :
Adresse IP du client. Cette adresse est attribue par le client l'ordinateur virtuel. Cette adresse IP
est configure de sorte que la communication avec le rseau interne du client soit possible mme
si l'ordinateur virtuel est hberg sur un serveur de virtualisation qui est connect un rseau IP
public distinct. Pour afficher l'adresse IP du client, partir d'une invite de commandes sur l'ordinateur
virtuel, excutez IPCONFIG.
Adresse IP du fournisseur. Cette adresse est attribue par le fournisseur d'hbergement. Cette adresse
est visible pour le fournisseur d'hbergement et pour les autres htes sur le rseau physique, mais
elle n'est pas visible par l'ordinateur virtuel.
13-27
La virtualisation de rseau vous permet d'hberger plusieurs ordinateurs qui utilisent la mme adresse
client (par exemple, 192.168.15.101) sur le mme serveur qui excute Hyper-V, car les ordinateurs
virtuels ont des adresses IP de diffrents fournisseurs.
Documentation supplmentaire : Pour plus d'informations sur la virtualisation
de rseau, voir Hyper-V Network Virtualization Overview l'adresse
Gestion des adresses MAC d'un ordinateur virtuel

moins que vous spcifiiez une adresse MAC
statique, Hyper-V alloue dynamiquement une
adresse chaque carte rseau d'ordinateur
virtuel d'un pool d'adresses MAC. Vous pouvez
configurer la plage d'adresses de ce pool avec le
paramtre Plage d'adresses MAC de la console
du gestionnaire de commutateur virtuel. Par
dfaut, un serveur excutant Hyper-V a un
pool de 255 adresses MAC.
Lorsque les ordinateurs virtuels utilisent des

rseaux privs ou internes, l'adresse MAC qui
est alloue aux cartes rseau n'a pas vraiment
d'importance car le serveur qui excute Hyper-V vrifie qu'aucune adresse MAC en double n'est attribue
aux diffrents ordinateurs virtuels. Toutefois, lorsque plusieurs serveurs excutent Hyper-V et hbergent
des ordinateurs virtuels utilisant des cartes connectes des rseaux externes, vous devez vous assurer
que chaque serveur utilise un pool d'adresses MAC diffrent. Cela garantit que des serveurs distincts qui
se connectent au mme rseau n'attribuent pas les mmes adresses MAC aux ordinateurs virtuels qu'ils
hbergent.
Lorsque les adresses IP sont alloues aux ordinateurs virtuels via une rservation DHCP, vous devez
penser utiliser des adresses MAC statiques. Une rservation DHCP vrifie qu'une adresse IP particulire
est toujours alloue une adresse MAC spcifique.
Vous pouvez configurer la plage d'adresses MAC en procdant comme suit :
1.
2.
Slectionnez l'hte Hyper-V que vous souhaitez configurer.
3.
Dans le volet Actions, cliquez sur Gestionnaire de commutateur virtuel.
4.
Sous Paramtres du rseau global, cliquez sur Plage d'adresses MAC.
5.
Spcifiez une plage minimum et maximum pour l'adresse MAC.
Les adresses MAC sont au format hexadcimal. Lors de la configuration des plages de plusieurs htes
Hyper-V, vous devez penser modifier les valeurs de la deuxime des dernires paires de chiffres.
Le tableau suivant comporte des exemples de plages pour plusieurs hte Hyper-V.
Hte Hyper-V
Plage d'adresses MAC
Hte 1
Minimum : 00-15-5D-0F-AB-00
Maximum : 00-15-5D-0F-AB-FF
Hte 2
Minimum : 00-15-5D-0F-AC-00
Maximum : 00-15-5D-0F-AC-FF
Hte 3
Minimum : 00-15-5D-0F-AD-00
Maximum : 00-15-5D-0F-AD-FF
Configuration des cartes rseau virtuel

Les cartes rseau virtuel permettent l'ordinateur
virtuel de communiquer au moyen de
commutateurs virtuels que vous configurez
dans la console du gestionnaire de commutateur
virtuel. Vous pouvez modifier les proprits d'un
ordinateur virtuel pour modifier les proprits
d'une carte rseau. Dans le volet Carte rseau de
la bote de dialogue Paramtres de l'ordinateur
virtuel, vous pouvez configurer les lment
suivants :
13-28
Commutateur virtuel. Vous configurez le

commutateur virtuel auquel se connecte
la carte rseau.
ID VLAN. Vous spcifiez un ID VLAN que l'ordinateur virtuel utilise pour la communication
qui traverse cette carte.
Gestion de la bande passante. Vous allouez une bande passante minimum et maximum pour la carte.
L'allocation de bande passante minimum est rserve par Hyper-V pour la carte rseau, mme
lorsque les cartes rseau virtuelles sur les autres ordinateurs virtuels fonctionnent plein rendement.
Les cartes rseau synthtiques et les cartes rseau hrites prennent en charge les fonctionnalits
avances suivantes :
Allocation des adresses MAC. Vous pouvez configurer une adresse MAC attribuer depuis le pool
d'adresses MAC, ou vous pouvez configurer la carte rseau pour l'utilisation d'une adresse MAC fixe.
Vous pouvez galement configurer l'usurpation d'adresse MAC. Cela est utile lorsque l'ordinateur
virtuel doit fournir un accs rseau spcifique, notamment lorsque l'ordinateur virtuel excute un
mulateur d'appareil mobile qui a besoin d'un accs rseau.
Protection DHCP. Cette fonctionnalit supprime les messages DHCP des ordinateurs virtuels qui
fonctionnent en tant que serveurs DHCP non autoriss. Cela peut tre utile dans les scnarios
o vous grez un serveur excutant Hyper-V qui hberge des ordinateurs virtuels pour d'autres,
mais qui n'a pas de contrle direct sur la configuration de ces ordinateurs virtuels.
13-29
Protection du routeur. Cette fonctionnalit supprime les messages d'annonce et de redirection des
ordinateurs virtuels qui sont configurs en tant que routeurs non autoriss. Cela peut tre ncessaire
dans les scnarios o vous n'avez pas de contrle direct sur la configuration des ordinateurs virtuels.
Mise en miroir des ports. Cette fonctionnalit vous permet de copier les paquets entrants et sortants
d'une carte rseau vers un autre ordinateur virtuel que vous avez configur pour la surveillance.
Association de cartes rseau. Cette fonctionnalit vous permet d'ajouter la carte rseau virtuel
une quipe existante sur le serveur excutant Hyper-V.
Les cartes rseau synthtiques requirent que le systme d'exploitation invit prenne en charge les
services d'intgration. Outre les fonctionnalits avances rpertories prcdemment, les cartes
synthtiques prennent en charge les fonctionnalits d'acclration matrielle suivantes :
File d'attente d'ordinateurs virtuels. Cette fonctionnalit utilise le filtrage de paquet matriel pour
fournir le trafic rseau directement l'invit. Cela amliore les performances car il n'est pas ncessaire
de copier le paquet du systme d'exploitation de gestion sur l'ordinateur virtuel. La file d'attente
d'ordinateurs virtuels requiert que l'ordinateur hte dispose d'une carte rseau qui prenne en charge
cette fonctionnalit.
Dchargement des tches IPsec. Cette fonctionnalit permet l'excution de tches d'association
de scurit impliquant des calculs intensifs par la carte rseau de l'hte. Au cas o il n'y aurait
pas suffisamment de ressources matrielles disponibles, le systme d'exploitation invit effectue
ces tches. Vous pouvez configurer un nombre maximal d'associations de scurit dcharges
compris entre 1 et 4 096. La tche de scurit IP (IPsec) de dchargement requiert que le systme
d'exploitation invit prenne en charge le support de carte rseau.
SR-IOV. La virtualisation SR-IOV permet plusieurs ordinateurs virtuels de partager les mmes
ressources matrielles physiques Peripheral Component Interconnect (PCI) Express. S'il n'y a
pas suffisamment de ressources disponibles, la connectivit rseau est assure via le commutateur
virtuel. SR-IOV requiert du matriel spcifique et des pilotes particuliers installer sur le systme
d'exploitation invit et peut aussi ncessiter d'tre activ dans le BIOS de l'ordinateur.
Les cartes rseau hrites mulent le matriel de carte rseau courant. Vous utilisez des cartes rseau
hrites dans les situations suivantes :
Vous souhaitez prendre en charge des scnarios d'installation de dmarrage rseau pour des
ordinateurs virtuels. Par exemple, vous souhaitez dployer une image de systme d'exploitation
d'un serveur WDS (Services de dploiement Windows) ou via le gestionnaire de configuration.
Vous devez prendre en charge des systmes d'exploitation qui ne prennent pas en charge les services
d'intgration et qui ne disposent pas de pilotes pour la carte rseau synthtique.
Les cartes rseau hrites ne prennent pas en charge les fonctionnalits d'acclration matrielle prises en
charge par les cartes rseau synthtiques. Vous ne pouvez pas configurer la file d'attente d'ordinateurs
virtuels, le dchargement de tches IPsec ou la virtualisation SR-IOV pour les cartes rseau hrites.
Atelier pratique : Implmentation de la virtualisation

de serveur avec Hyper-V
Scnario
infrastructure Windows Server 2012 avec des clients Windows 8. Votre premire mission consiste
configurer le service d'infrastructure pour une nouvelle succursale.
Pour utiliser de manire plus efficace le matriel serveur qui est actuellement disponible au niveau
des filiales, votre responsable a dcid que tous les serveurs de filiale fonctionneraient en tant
qu'ordinateurs virtuels. Vous devez maintenant configurer un rseau virtuel et un nouvel ordinateur
virtuel pour ces filiales.
Objectifs
installer le rle Hyper-V sur un serveur ;
configurer les rseaux virtuels ;
crer et configurer un ordinateur virtuel ;
utiliser des instantans d'ordinateurs virtuels.

Ordinateur virtuel
22410B-LON-HOST1
Nom d'utilisateur
Mot de passe
Pa$$w0rd
13-30
1.
Redmarrez l'ordinateur de la classe et, partir du Gestionnaire de dmarrage Windows,

slectionnez 22410B-LON-HOST1.
2.
Connectez-vous LON-HOST1 l'aide du compte Administrateur et du mot de passe Pa$$w0rd.
Exercice 1 : Installation du rle Hyper V sur un serveur

Scnario
La premire tape de migration vers un environnement virtualis pour la filiale consiste installer
le rle Hyper-V sur un nouveau serveur Windows Server 2012.
1.
Installer le rle Hyper-V sur un serveur
2.
Terminer l'installation du rle Hyper-V et vrifier les paramtres
13-31
Tche 1 : Installer le rle Hyper-V sur un serveur

1.
2.
3.
Dans le Gestionnaire de serveur, cliquez sur Serveur local, puis configurez les paramtres rseau
suivants :
o
Adresse IP : 172.16.0.31
Utilisez l'Assistant Ajout de rles et de fonctionnalits pour ajouter le rle Hyper-V LON-HOST1
avec les options suivantes :
o
Ne crez pas de commutateur virtuel.
Utilisez les emplacements de stockage par dfaut.
Autorisez le serveur redmarrer automatiquement si ncessaire.
Au bout de quelques minutes, le serveur redmarre automatiquement. Assurez-vous de redmarrer

l'ordinateur partir du menu de dmarrage comme 22410B-LON-HOST1. L'ordinateur redmarrera
plusieurs fois.
Tche 2 : Terminer l'installation du rle Hyper-V et vrifier les paramtres

1.
Connectez-vous LON-HOST1 l'aide du compte Administrateur avec mot de passe Pa$$word.
2.
l'issue de l'installation des outils de Hyper-V, cliquez sur Fermer.
3.
Ouvrez la console du Gestionnaire Hyper-V, puis double-cliquez sur LON-HOST1.
4.
ditez les paramtres Hyper-V de LON-HOST1, puis configurez les paramtres suivants :
o
Clavier Utiliser sur l'ordinateur virtuel
Disques durs virtuels : C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks
Rsultats : la fin de cet exercice, vous aurez install le rle Hyper-V sur un serveur physique.
Exercice 2 : Configuration d'un rseau virtuel

Scnario
Aprs l'installation du rle Hyper-V sur le nouveau serveur, vous devez configurer le rseau virtuel.
Vous devez crer un rseau qui est connect au rseau physique, et un rseau priv qui peut tre utilis
uniquement pour la communication entre les ordinateurs virtuels. Le rseau priv sera utilis une fois que
les ordinateurs virtuels sont configurs pour une haute disponibilit. Vous devez galement configurer
une plage spcifique d'adresses MAC pour les ordinateurs virtuels.
1.
Configurer le rseau externe
2.
Crer un rseau priv
3.
Crer un rseau interne
4.
Configurer la plage d'adresses MAC (Media Access Control)
Tche 1 : Configurer le rseau externe

1.
Ouvrez la console du Gestionnaire Hyper-V, puis double-cliquez sur LON-HOST1.
2.
Utilisez le Gestionnaire de commutateur virtuel pour crer un nouveau commutateur

de rseau virtuel externe avec les proprits suivantes :
o
Nom : Commutateur pour la carte externe
Rseau externe : mapp la carte rseau physique de l'ordinateur hte. (Varie selon
l'ordinateur hte.)
Tche 2 : Crer un rseau priv

1.
Sur LON-HOST1, ouvrez la console du Gestionnaire Hyper-V.
2.
Utilisez le Gestionnaire de commutateur virtuel pour crer un nouveau commutateur de rseau

virtuel externe avec les proprits ci-aprs.
o
Nom : Rseau priv
Type de connexion : Rseau priv
Tche 3 : Crer un rseau interne

1.
2.
Utilisez le Gestionnaire de commutateur virtuel pour crer un nouveau commutateur de rseau

virtuel externe avec les proprits ci-aprs.
o
Nom : Rseau interne
Type de connexion : Rseau interne
Tche 4 : Configurer la plage d'adresses MAC (Media Access Control)

1.
2.
Utilisez le Gestionnaire de commutateur virtuel pour configurer les paramtres de plage d'adresse
MAC suivants :
o
Minimum : 00-15-5D-0F-AB-A0
Maximum : 00-15-5D-0F-AB-EF
Rsultats : la fin de cet exercice, vous aurez configur des options de commutateur virtuel sur un
serveur Windows Server 2012 physiquement dploy qui excute le rle Hyper-V.
Exercice 3 : Cration et configuration d'un ordinateur virtuel

Scnario
13-32
Vous devez dployer deux ordinateurs virtuels sur LON-HOST1. Vous avez copi un fichier VHD prpar
avec sysprepped qui hberge une installation Windows Server 2012.
Pour rduire l'utilisation de l'espace disque au dtriment des performances, vous allez crer deux
fichiers VHD de diffrenciation partir du fichier VHD prpar avec sysprepped. Vous utiliserez
ensuite ces fichiers VHD de diffrenciation comme fichiers VHD pour les nouveaux ordinateurs virtuels.
13-33

1.
Crer des disques VHD de diffrenciation
2.
Crer des ordinateurs virtuels
3.
Activer le contrle des ressources
Tche 1 : Crer des disques VHD de diffrenciation

1.
Utilisez l'Explorateur de fichiers pour crer les deux dossiers suivants :

o
E:\Program Files\Microsoft Learning\Base \LON-GUEST1
E:\Program Files\Microsoft Learning\Base \LON-GUEST2
Remarque : La lettre du lecteur peut tre diffrente selon le nombre de lecteurs sur l'ordinateur
hte physique.
2.
3.
Dans la console du Gestionnaire Hyper-V, crez un disque VHD avec les proprits suivantes :
o
Format du disque : VHD
Type de disque : Diffrenciation
Nom : LON-GUEST1.vhd
Emplacement : E:\Program Files\Microsoft Learning\Base\LON-GUEST1\
Emplacement du parent : E:\Program Files\Microsoft Learning\Base\

Base12A-WS12-TMP_FR.vhd
Ouvrez Windows PowerShell, importez le module de Hyper-V l'aide de la commande suivante :

Import-Module Hyper-V
4.
Dans Windows PowerShell, excutez la commande suivante :

New-VHD "E:\Program Files\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd"
-ParentPath "E:\Program Files\Microsoft Learning\Base\Base12A-WS12-TMP_FR.vhd"
5.
Inspectez le disque E:\Program Files\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd.
6.
Vrifiez que LON-GUEST2.vhd est configur en tant que disque VHD de diffrenciation avec
E:\Program Files\Microsoft Learning\Base\Base12A-WS12-TMP_FR.vhd comme parent.
Tche 2 : Crer des ordinateurs virtuels

1.
Sur LON-HOST1, dans le volet Actions de la console du Gestionnaire Hyper-V, cliquez sur Nouveau,
puis sur Ordinateur virtuel.
2.
Crez un ordinateur virtuel avec les proprits suivantes :

o
Nom : LON-GUEST1
Mmoire : 1024 Mo
Utiliser la mmoire dynamique : Oui
Rseau : Rseau priv
Connecter un disque dur virtuel : E:\Program Files\Microsoft Learning\Base\

LON-GUEST1\LON-GUEST1.vhd
3.
Ouvrez Windows PowerShell, importez le module de Hyper-V l'aide de la commande suivante :

4.
Dans Windows PowerShell, excutez la commande suivante :

New-VM -Name LON-GUEST2 -MemoryStartupBytes 1024MB -VHDPath "E:\Program
Files\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd" -SwitchName "Rseau priv"
5.
Utilisez la console du Gestionnaire Hyper-V pour modifier les paramtres de LON-GUEST2

en configurant ce qui suit :
Action de dmarrage automatique : Rien
Action d'arrt automatique Arrter le systme d'exploitation invit.
Tche 3 : Activer le contrle des ressources

1.
l'invite Windows PowerShell, importez le module Hyper-V.
2.
Entrez les commandes suivantes :

Enable-VMResourceMetering LON-GUEST1
Rsultats : la fin de cet exercice, vous aurez dploy deux ordinateurs virtuels distincts en utilisant un
fichier VHD prpar avec sysprepped comme disque parent pour deux disques VHD de diffrenciation.
Exercice 4 : Utilisation d'instantans d'ordinateur virtuel

Scnario
Vous tes en train de dvelopper une stratgie pour attnuer l'impact de demandes de modification
incorrectement appliques. Dans le cadre du dveloppement de cette stratgie, vous testez la vitesse
et la fonctionnalit des instantans d'ordinateur virtuel pour restaurer une configuration stable
pralablement existante.
Dans cet exercice, vous allez dployer Windows Server 2012 sur un ordinateur virtuel. Vous crerez
ensuite une configuration stable pour cet ordinateur virtuel, et vous prendrez un instantan
d'ordinateur virtuel. Enfin, vous modifierez la configuration et vous restaurerez l'instantan.
1.
Dployer Windows Server 2012 sur un ordinateur virtuel
2.
Crer un instantan d'ordinateur virtuel
3.
Modifier l'ordinateur virtuel
4.
Rtablir l'instantan d'ordinateur virtuel existant
5.
Afficher les donnes de contrle des ressources
6.
Rtablir les ordinateurs virtuels
13-34
Tche 1 : Dployer Windows Server 2012 sur un ordinateur virtuel

1.
Utilisez la console du Gestionnaire Hyper-V pour dmarrer LON-GUEST1.
2.
Ouvrez la fentre Connexion un ordinateur virtuel, puis procdez comme suit pour dployer
Windows Server 2012 sur l'ordinateur virtuel :
13-35
Dans la page Paramtres, cliquez sur Ignorer.
Dans la page Paramtres, activez la case cocher J'accepte les termes du contrat de licence
pour l'utilisation de Windows, puis cliquez sur Accepter.
Dans la page Paramtres, cliquez sur Suivant pour accepter les paramtres Rgion et langue.
Dans la page Paramtres, entrez le mot de passe Pa$$w0rd deux fois, puis cliquez sur
Terminer.
3.
Ouvrez une session sur l'ordinateur virtuel avec le compte Administrateur et le mot de passe
Pa$$w0rd.
4.
Rinitialisez le nom de l'ordinateur virtuel sur LON-GUEST1, puis redmarrez l'ordinateur virtuel.
Tche 2 : Crer un instantan d'ordinateur virtuel

1.
Connectez-vous l'ordinateur virtuel LON-GUEST1, puis vrifiez que le nom de l'ordinateur

est dfini sur LON-GUEST1.
2.
Crez un instantan de LON-GUEST1, puis nommez-le Before Change.
Tche 3 : Modifier l'ordinateur virtuel

1.
Connectez-vous l'ordinateur virtuel LON-GUEST1, puis utilisez la console du Gestionnaire de

serveur pour dfinir le nom d'ordinateur sur LON-Computer1.
2.
Redmarrez l'ordinateur virtuel.
3.
Connectez-vous l'ordinateur virtuel LON-GUEST1, puis vrifiez que le nom de serveur est dfini
sur LON-Computer1.
Tche 4 : Rtablir l'instantan d'ordinateur virtuel existant

1.
Utilisez la fentre Connexion un ordinateur virtuel pour rtablir l'ordinateur virtuel.
2.
Vrifiez que le Nom de l'ordinateur de l'ordinateur virtuel est maintenant dfini sur LON-GUEST1.
Tche 5 : Afficher les donnes de contrle des ressources

1.
Sur LON-HOST1, importez le module Hyper-V Windows PowerShell.
2.
Tapez la commande suivante :

Measure-VM LON-GUEST1
3.
Notez les chiffres relatifs l'UC moyenne, la mmoire vive moyenne et l'utilisation totale
de disque, puis fermez Windows PowerShell.
Tche 6 : Rtablir les ordinateurs virtuels

la fin de cet atelier, redmarrez l'ordinateur dans Windows Server 2008 R2.
1.
Dans la barre des tches, cliquez sur l'icne Windows PowerShell.
2.
Dans la fentre Windows PowerShell, entrez la commande suivante et appuyez sur Entre :
Shutdown /r /t 5
3.
partir du Gestionnaire de dmarrage Windows, cliquez sur Windows Server 2008 R2.
Rsultats : la fin de cet exercice, vous aurez utilis des instantans d'ordinateur virtuel pour effectuer
une rcupration la suite d'une erreur de configuration d'ordinateur virtuel.
Question : Quel type de commutateur rseau virtuel creriez-vous pour autoriser
l'ordinateur virtuel communiquer avec le rseau local qui est connect au serveur
de virtualisation Hyper-V ?
Question : Comment pouvez-vous garantir qu'aucun ordinateur virtuel unique n'utilise
toute la bande passante disponible fournie par le serveur de virtualisation Hyper-V ?
Question : Quelle tche de configuration de mmoire dynamique, qui n'tait pas possible
dans les versions prcdentes de Hyper-V, pouvez-vous maintenant effectuer sur un
ordinateur virtuel hberg sur le rle Hyper-V sur un serveur Windows Server 2012 ?
13-36

Problme courant
Impossible de dployer Hyper-V sur une

plateforme x64.
L'ordinateur virtuel n'utilise pas la mmoire
dynamique.
Mthode conseille
Lors de la mise en uvre de la virtualisation de serveur avec Hyper-V, utilisez les meilleures pratiques
suivantes :
Assurez-vous que le processeur de l'ordinateur qui va excuter Hyper-V prend en charge

la virtualisation assiste par le matriel.
Assurez-vous qu'un serveur de virtualisation est configur avec la mmoire vive (RAM) adquate.
Disposer de plusieurs ordinateurs virtuels pour paginer le lecteur de disque dur en raison d'une
mmoire inadapte rduit les performances de tous les ordinateurs virtuels sur le serveur.
Surveillez avec attention les performances des ordinateurs virtuels. Un ordinateur virtuel qui
utilise une quantit dmesure de ressources serveur peut rduire les performances de tous
les autres ordinateurs virtuels qui sont hbergs sur le mme serveur de virtualisation.

Question : Dans quelles situations utiliseriez-vous une allocation de mmoire fixe au lieu
de mmoire dynamique ?
Question : Dans quelles situations devez-vous utiliser des disques VHD au nouveau
format .vhdx au lieu de disques VHD l'ancien format .vhd ?
Question : Vous souhaitez dployer le disque VHD d'un ordinateur virtuel Hyper-V
Windows Server 2012 sur un partage de fichiers. Quel systme d'exploitation doit tre
excut par le serveur de fichiers pour la prise en charge de cette configuration ?
Outils
Vous pouvez utiliser les outils suivants avec Hyper-V pour dployer et grer des ordinateurs virtuels.
Nom de l'outil
Outil Sysinternals disk2vhd
Utilis pour
Convertir des disques durs
physiques au format VHD.
Emplacement
Site Web Microsoft TechNet.
13-37
valuation du cours
Votre valuation de ce cours aidera Microsoft

comprendre la qualit de votre exprience
de formation.
Consultez votre formateur pour accder
au formulaire d'valuation du cours.
Votre valuation est strictement confidentielle
et vos rponses cette enqute seront utilises
dans le seul but d'amliorer la qualit des
prochains cours Microsoft. Vos commentaires
ouverts et honntes sont trs prcieux.
13-38

L1-1
Module 1 : Dploiement et gestion de Windows Server 2012
Atelier pratique : Dploiement et gestion

Exercice 1 : Dploiement de Windows Server 2012
Tche 1 : Installer le serveur Windows Server 2012
1.
2.
Cliquez sur 22410B-LON-SVR3. Dans le volet Actions, cliquez sur Paramtres.
3.
Sous Matriel, cliquez sur Lecteur de DVD.
4.
Cliquez sur Fichier image, puis sur Parcourir.
5.
Accdez C:\Program Files\Microsoft Learning\22410\Drives, puis cliquez

sur Windows2012_RTM_FR.ISO.
6.
Cliquez sur Ouvrir, puis sur OK.
7.
Dans l'arborescence de la console du Gestionnaire Hyper-V, double-cliquez sur 22410B-LON-SVR3.
8.
Dans la fentre Connexion un ordinateur virtuel, dans le menu Action, cliquez sur Accueil.
9.
Dans l'Assistant Installation de Windows, dans la page Windows Server 2012, vrifiez les paramtres
suivants, puis cliquez sur Suivant.
o
Langue installer : Franais (France)
Format horaire et montaire : Franais (France)
Clavier ou mthode d'entre : Franais
10. Dans la page Windows Server 2012, cliquez sur Installer maintenant.
11. Dans la page Slectionner le systme d'exploitation installer, slectionnez Version d'valuation
de Windows Server 2012 Datacenter (serveur avec une interface graphique utilisateur), puis
cliquez sur Suivant.
12. Dans la page Termes du contrat de licence, examinez les termes de la licence du systme
d'exploitation. Activez la case cocher J'accepte les termes du contrat de licence, puis cliquez
sur Suivant.
13. Dans la page Quel type d'installation voulez-vous effectuer ?, cliquez sur Personnalis : installer
uniquement Windows (avanc).
14. Dans la page O souhaitez-vous installer Windows ?, vrifiez que Lecteur 0 Espace non allou
dispose d'assez d'espace pour le systme d'exploitation Windows Server 2012, puis cliquez
sur Suivant.
Remarque : Selon la vitesse du matriel, l'installation prendra approximativement
20 minutes. L'ordinateur virtuel redmarrera plusieurs fois au cours de ce processus.
15. Dans la page Paramtres, dans les deux zones Mot de passe et Entrer de nouveau le mot
de passe, entrez le mot de passe Pa$$w0rd, puis cliquez sur Terminer.
Tche 2 : Modifier le nom du serveur

1.
Connectez-vous LON-SVR3 en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Dans le Gestionnaire de serveur, cliquez sur Serveur local.
3.
Cliquez sur le nom gnr alatoirement ct de Nom d'ordinateur.
4.
Modifier.
5.

de texte Nom d'ordinateur, entrez le nom LON-SVR3, puis cliquez sur OK.
6.
7.
Fermez la bote de dialogue Proprits systme.
8.
Dans la bote de dialogue Microsoft Windows, cliquez sur Redmarrer maintenant.
Tche 3 : Modifier la date et l'heure
L1-2 Dploiement et gestion de Windows Server 2012
1.
Connectez-vous au serveur LON-SVR3 en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Dans la barre des tches, cliquez sur l'affichage de l'heure. Une fentre contextuelle contenant
un calendrier et une horloge s'affiche.
3.
Dans la fentre contextuelle, cliquez sur Modifier les paramtres de la date et de l'heure.
4.
Dans la bote de dialogue Date et Heure, cliquez sur Changer de fuseau horaire.
5.
Dans la bote de dialogue Paramtres de fuseau horaire, dfinissez le fuseau horaire sur votre
fuseau horaire actuel, puis cliquez sur OK.
6.
Dans la bote de dialogue Date et Heure, cliquez sur Changer la date et l'heure.
7.
Vrifiez que la date et heure qui s'affichent dans la bote de dialogue Rglage de la date
et de l'heure correspondent la date et l'heure dans la classe, puis cliquez sur OK.
8.
Cliquez sur OK pour fermer la bote de dialogue Date et Heure.
Tche 4 : Configurer le rseau et l'association de cartes rseau

1.
Dans la console du Gestionnaire de serveur sur LON-SVR3, cliquez sur Serveur local.
2.
En regard de la fonction Association de cartes rseau, cliquez sur Dsactiv.
3.
Dans la bote de dialogue Association de cartes rseau, maintenez enfonce la touche Ctrl puis,
dans l'espace de travail CARTES ET INTERFACES, cliquez sur Connexion au rseau local et sur
Connexion au rseau local 2.
4.
nouvelle quipe.
5.
Dans la bote de dialogue Nouvelle quipe, dans le champ Nom de l'quipe, tapez LON-SVR3,
puis cliquez sur OK.
6.
Fermez la bote de dialogue Association de cartes rseau. Actualisez la console du Gestionnaire

de serveur.
7.
Dans la console du Gestionnaire de serveur, ct de LON-SVR3, cliquez sur Adresse IPv4

attribue par DHCP, Compatible IPv6.
8.
Dans la bote de dialogue Connexions rseau, cliquez avec le bouton droit sur LON-SVR3,
9.
Dans la bote de dialogue Proprits de LON-SVR3, cliquez sur Protocole Internet version 4
10. Dans la bote de dialogue Proprits de : Protocole Internet version 4 (TCP/IPv4)), entrez les
informations d'adresse IP qui suivent, puis cliquez sur OK :
o
Adresse IP : 172.16.0.101
11. Cliquez sur Fermer pour fermer la bote de dialogue Proprits de LON-SVR3.
12. Fermez la bote de dialogue Connexions rseau.

1.
Sur LON-SVR3, dans la console du Gestionnaire de serveur, cliquez sur Serveur local.
2.
ct de Groupe de travail, cliquez sur WORKGROUP.
3.
Modifier.
4.

Membre d'un, cliquez sur l'option Domaine.
5.
Dans la zone Domaine, tapez adatum.com, puis cliquez sur OK.
6.
Dans la bote de dialogue Scurit de Windows, entrez les dtails suivants, puis cliquez sur OK :
o
L1-3
7.
8.
Lorsqu'il vous est indiqu que vous devez redmarrer l'ordinateur pour appliquer les modifications,
cliquez sur OK.
9.
Dans la bote de dialogue Proprits systme, cliquez sur Fermer.
10. Dans la bote de dialogue Microsoft Windows, cliquez sur Redmarrer maintenant.
11. Aprs le redmarrage de LON-SVR3, connectez-vous en tant qu'ADATUM\Administrateur
Rsultats : la fin de cet exercice, vous devez avoir dploy Windows Server 2012 sur LON-SVR3.
Vous devez galement avoir configur LON-SVR3, notamment le changement de nom, la date et
l'heure, la mise en rseau et l'association de cartes rseau.
Exercice 2 : Configuration de l'installation minimale

Tche 1 : Dfinir le nom de l'ordinateur
1.
Connectez-vous LON-CORE en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
l'invite de commandes, tapez sconfig.cmd et appuyez sur Entre
3.
Pour slectionner Nom d'ordinateur, tapez 2 et appuyez sur Entre.
4.
Entrez le nom d'ordinateur LON-CORE et appuyez sur Entre.
5.
Dans la bote de dialogue Redmarrer, cliquez sur Oui.
6.
Connectez-vous au serveur LON-CORE l'aide du compte Administrateur et du mot de passe

Pa$$w0rd.
7.
l'invite de commandes, tapez hostname et appuyez sur Entre pour vrifier le nom de l'ordinateur.
Tche 2 : Changer la date et l'heure de l'ordinateur

1.
Vrifiez que vous tes connect au serveur LON-CORE en tant qu'Administrateur avec le mot
de passe Pa$$w0rd.
2.
3.
Pour slectionner Date et Heure, tapez 9 et appuyez sur Entre.
4.
Dans la bote de dialogue Date et Heure, cliquez sur Changer de fuseau horaire. Dfinissez
le fuseau horaire sur celui que votre classe utilise, puis cliquez sur OK.
5.
Dans la bote de dialogue Date et Heure, cliquez sur Changer la date et l'heure et vrifiez que
la date et heure correspondent la date et l'heure l o vous vous trouvez. Pour fermer les botes
de dialogue, cliquez sur OK deux fois.
6.
Dans la fentre d'invite de commandes, tapez 15, puis appuyez sur Entre pour quitter
Configuration du serveur.
Tche 3 : Configurer le rseau

1.
2.
3.
Pour configurer les paramtres rseau, tapez 8, puis appuyez sur Entre.
4.
Tapez le numro d'index de la carte rseau que vous souhaitez configurer et appuyez sur Entre.
5.
Dans la page Paramtres de carte rseau, tapez 1, puis appuyez sur Entre. Ceci dfinit l'adresse
de la carte rseau.
6.
Pour slectionner une configuration d'adresse IP statique, tapez S, puis appuyez sur Entre.
7.
l'invite Entrer une adresse IP statique :, tapez 172.16.0.111, puis appuyez sur Entre.
8.
l'invite Entrer un masque de sous-rseau, tapez 255.255.0.0, puis appuyez sur Entre.
9.
l'invite Entrez la passerelle par dfaut, tapez 172.16.0.1, puis appuyez sur Entre.
L1-5
10. Dans la page Paramtres de carte rseau, tapez 2, puis appuyez sur Entre. Cela configure l'adresse
du serveur DNS.
11. l'invite Entrer un nouveau serveur DNS prfr, tapez 172.16.0.10, puis appuyez sur Entre.
12. Dans la bote de dialogue Paramtres rseau, cliquez sur OK.
13. Appuyez sur Entre pour ne pas configurer d'adresse de serveur DNS auxiliaire.
14. Tapez 4 et appuyez sur Entre pour retourner au menu principal.
15. Tapez 15 et appuyez sur Entre pour quitter sconfig.cmd.
16. l'invite de commandes, tapez ping lon-dc1.adatum.com pour vrifier la connectivit au contrleur
de domaine partir de LON-CORE.

1.
2.
l'invite de commandes, tapez sconfig.cmd et appuyez sur Entre.
3.
Pour basculer vers la configuration de Domaine ou groupe de travail, tapez 1, puis appuyez
sur Entre.
4.
Pour joindre un domaine, tapez D et appuyez sur Entre.
5.
l'invite Nom du domaine joindre, tapez adatum.com et appuyez sur Entre.
6.
l'invite Spcifier un domaine\utilisateur autoris, tapez ADATUM\Administrateur et appuyez

sur Entre.
7.
l'invite Tapez le mot de passe associ l'utilisateur du domaine, tapez Pa$$w0rd et appuyez
sur Entre.
8.
l'invite Modifier le nom de l'ordinateur, cliquez sur Non.
9.
Dans la bote de dialogue Redmarrer, cliquez sur Oui.
10. Connectez-vous au serveur LON-CORE l'aide du compte ADATUM\Administrateur

Rsultats : la fin de cet exercice, vous devez avoir configur un dploiement avec installation minimale
de Windows Server 2012 et vrifi le nom du serveur.
Exercice 3 : Gestion des serveurs

Tche 1 : Crer un groupe de serveurs
1.
Connectez-vous LON-DC1 l'aide du compte Administrateur et du mot de passe Pa$$w0rd.
2.
Dans la console du Gestionnaire de serveur, cliquez sur Tableau de bord, puis cliquez sur Crer
un groupe de serveurs.
3.
Dans la bote de dialogue Crer un groupe de serveurs, cliquez sur l'onglet Active Directory,
puis sur Rechercher maintenant.
4.
Dans la zone Nom du groupe de serveurs, tapez LAB-1.
5.
Utilisez la flche pour ajouter LON-CORE et LON-SVR3 au groupe de serveurs. Cliquez sur OK
pour fermer la bote de dialogue Crer un groupe de serveurs.
6.
Dans la console du Gestionnaire de serveur, cliquez sur LAB-1. Maintenez enfonce la touche Ctrl,
puis slectionnez LON-CORE et LON-SVR3.
7.
Faites dfiler la fentre vers le bas et, sous la section PERFORMANCES, slectionnez LON-CORE
et LON-SVR3.
8.
Cliquez avec le bouton droit sur LON-CORE, puis cliquez sur Accueil les compteurs
de performances.
Tche 2 : Dployer des fonctionnalits et des rles sur les deux serveurs
1.
Dans le Gestionnaire de serveur sur LON-DC1, cliquez sur LAB-1.
2.
Faites dfiler le volet vers le haut, cliquez avec le bouton droit sur LON-CORE, puis cliquez
sur Ajouter des rles et des fonctionnalits.
3.
Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez sur Suivant.
4.
Dans la page Slectionner le type d'installation, cliquez sur Installation base sur un rle
ou une fonctionnalit, puis cliquez sur Suivant.
5.
Dans la page Slectionner le serveur de destination, vrifiez que LON-CORE.Adatum.com

6.
Dans la page Slectionner des rles de serveurs, slectionnez Rle Web Server (IIS),
7.
Dans la page Slectionner des fonctionnalits, slectionnez Sauvegarde Windows Server,

8.
Dans la page Rle Web Server (IIS), cliquez sur Suivant.
9.
Dans la page Slectionner des services de rle, ajoutez le service de rle Authentification
Windows, puis cliquez sur Suivant.
10. Dans la page Confirmer les slections d'installation, activez la case cocher Redmarrer
automatiquement le serveur de destination, si ncessaire, puis cliquez sur Installer.
11. Cliquez sur Fermer pour fermer l'Assistant Ajout de rles et de fonctionnalits.
12. Dans le Gestionnaire de serveur, cliquez avec le bouton droit sur LON-SVR3, puis cliquez
sur Ajouter des rles et des fonctionnalits.
13. Dans l'Assistant Ajout de rles et de fonctionnalits, dans la page Avant de commencer,
14. Dans la page Slectionner le type d'installation, cliquez sur Installation base sur un rle
ou sur une fonctionnalit. Cliquez sur Suivant.
15. Dans la page Slectionner le serveur de destination, vrifiez que LON-SVR3.Adatum.com
16. Dans la page Rles de serveurs, cliquez sur Suivant.
17. Dans la page Slectionner des fonctionnalits, cliquez sur Sauvegarde Windows Server,
19. Une fois que l'installation a commenc, cliquez sur Fermer.
L1-7
20. Dans le Gestionnaire de serveur, cliquez sur le nud IIS et vrifiez que LON-CORE est rpertori.
Tche 3 : Examiner les services et modifier un paramtre de service

1.
Connectez-vous LON-CORE l'aide du compte ADATUM\Administrateur et du mot de passe

Pa$$w0rd.
2.
Dans la fentre d'invite de commandes, tapez la commande suivante et appuyez sur Entre :
netsh.exe firewall set service remoteadmin enable ALL
3.

Pa$$w0rd.
4.
Dans le Gestionnaire de serveur, cliquez sur LAB-1.
5.
Cliquez avec le bouton droit sur LON-CORE, puis cliquez sur Gestion de l'ordinateur.
6.
Dans la console Gestion de l'ordinateur, dveloppez Services et applications, puis cliquez

sur Services.
7.
Cliquez avec le bouton droit sur le Service de publication World Wide Web, puis cliquez
sur Proprits. Vrifiez que le paramtre Type de dmarrage a pour valeur Automatique.
8.
Dans la bote de dialogue Proprits de Service de publication World Wide Web, dans l'onglet
Connexion, vrifiez que le service est configur pour utiliser le compte systme local.
9.
Dans l'onglet Rcupration, configurez les paramtres suivants, puis cliquez sur le bouton
Options de redmarrage de l'ordinateur :
o
Premire dfaillance : Redmarrer le service
Deuxime dfaillance : Redmarrer le service
Dfaillances suivantes : Redmarrer l'ordinateur
Rinitialiser le compteur de dfaillances aprs : 1 jours
Redmarrer le service aprs : 1 minute
10. Dans la bote de dialogue Options de redmarrage de l'ordinateur, dans la zone Redmarrer
l'ordinateur aprs, tapez 2, puis cliquez sur OK.
11. Cliquez sur OK pour fermer la bote de dialogue Proprits de Service de publication
World Wide Web.
12. Fermez la console Gestion de l'ordinateur.
Rsultats : la fin de cet exercice, vous devez avoir cr un groupe de serveurs, dploy des rles
et des fonctionnalits, et configur les proprits d'un service.
Exercice 4 : Utilisation de Windows PowerShell pour grer les serveurs

Tche 1 : Utiliser Windows PowerShell pour se connecter distance aux serveurs
et afficher les informations
1.

Pa$$w0rd.
2.
Dans la console du Gestionnaire de serveur, cliquez sur LAB-1.
3.
Cliquez avec le bouton droit sur LON-CORE, puis cliquez sur Windows PowerShell.
4.
l'invite de commandes, tapez Import-Module ServerManager et appuyez sur Entre.
5.
Tapez Get-WindowsFeature et appuyez sur Entre pour passer en revue les rles et les
fonctionnalits installs sur LON-CORE.
6.
Tapez la commande suivante pour passer en revue les services en cours d'excution sur LON-CORE,
Get-service | where-object {$_.status -eq Running}
7.
Tapez get-process, puis appuyez sur Entre pour afficher la liste des processus sur LON-CORE.
8.
Tapez la commande suivante pour passer en revue les adresses IP attribues au serveur, et appuyez
sur Entre :
Get-NetIPAddress | Format-table
9.
Tapez la commande suivante pour passer en revue les 10 lments les plus rcents dans le journal
de scurit, et appuyez sur Entre :
Get-EventLog Security -Newest 10
Tche 2 : Utiliser Windows PowerShell pour installer distance de nouvelles

fonctionnalits
1.
2.
l'invite de commandes Windows PowerShell, tapez import-module ServerManager et appuyez

sur Entre.
3.
Pour vrifier que la fonctionnalit Visionneuse XPS n'a pas t installe sur LON-SVR3, tapez
la commande suivante et appuyez sur Entre :
4.
Pour dployer la fonctionnalit Visionneuse XPS sur LON-SVR3, tapez la commande suivante
Install-WindowsFeature XPS-Viewer -ComputerName LON-SVR3
5.
Pour vrifier que la fonctionnalit Visionneuse XPS est prsent dploye sur LON-SVR3, tapez
la commande suivante et appuyez sur Entre :
6.
Dans la console du Gestionnaire de serveur, dans le menu droulant Outils, cliquez sur
Windows PowerShell ISE.
7.
Dans la fentre Windows PowerShell ISE, dans le volet de script Untitled1.ps1, tapez ce qui suit
en appuyant sur Entre aprs chaque ligne :
Import-Module ServerManager
Install-WindowsFeature WINS -ComputerName LON-SVR3
Install-WindowsFeature WINS -ComputerName LON-CORE
L1-9
8.
Cliquez sur l'icne Enregistrer. Slectionnez la racine de Disque local (C:). Crez un nouveau dossier
nomm Scripts, puis enregistrez le script dans ce dossier sous le nom InstallWins.ps1.
9.
Appuyez sur la touche F5 pour excuter ce script.
Rsultats : la fin de cet exercice, vous devez avoir utilis Windows PowerShell pour effectuer
une installation distance des fonctionnalits sur plusieurs serveurs.
comme suit :
1.
Sur l'ordinateur hte, basculez vers la console du Gestionnaire Hyper-V.
2.
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-CORE et 22410B-LON-SVR3.
L2-11
Module 2 : Prsentation des services de domaine

Active Directory
Atelier pratique : Installation de contrleurs

de domaine
Exercice 1 : Installation d'un contrleur de domaine
Tche 1 : Ajouter un rle Services de domaine Active Directory (AD DS)
sur un serveur membre
1.
Sur LON-DC1, dans le Gestionnaire de serveur, dans la colonne de gauche, cliquez sur Tous
les serveurs.
2.
Cliquez avec le bouton droit sur Tous les serveurs, puis cliquez sur Ajouter des serveurs.
3.
Dans la bote de dialogue Ajouter des serveurs, dans la zone Nom (CN), tapez LON-SVR1,
puis cliquez sur Rechercher maintenant.
4.
Sous Nom, cliquez sur LON-SVR1, puis cliquez sur la flche pour ajouter le serveur dans la colonne
Slectionn.
5.
Cliquez sur OK pour fermer la bote de dialogue Ajouter des serveurs.
6.
Dans le Gestionnaire de serveur, dans la fentre Serveurs, cliquez avec le bouton droit sur LON-SVR1,
puis slectionnez Ajouter des rles et des fonctionnalits.
7.
8.
Dans la fentre Slectionner le type d'installation, assurez-vous que l'option Installation base
sur un rle ou une fonctionnalit est slectionne, puis cliquez sur Suivant.
9.
Dans la page Slectionner le serveur de destination, assurez-vous que l'option Slectionner

un serveur du pool de serveurs est slectionne. Dans la fentre Pool de serveurs, vrifiez que
LON-SVR1.Adatum.com est en surbrillance, puis cliquez sur Suivant.
10. Dans la page Slectionner des rles de serveurs, activez la case cocher Services AD DS,
cliquez sur Ajouter des fonctionnalits, puis cliquez sur Suivant.
11. Sur la page Slectionner des fonctionnalits, cliquez sur Suivant.
12. Sur la page Services de domaine Active Directory, cliquez sur Suivant.
14. L'installation dure quelques minutes. Une fois l'installation termine, cliquez sur Fermer pour fermer
l'Assistant Ajout de rles et de fonctionnalits.
Tche 2 : Configurer un serveur en tant que contrleur de domaine

1.
Sur LON-DC1, dans le Gestionnaire de serveur, dans la barre de menus, cliquez sur le bouton
Notifications.
2.
Dans la fentre Configuration post-dploiement, cliquez sur Promouvoir ce serveur en contrleur

de domaine.
3.
Dans l'Assistant Configuration des services de domaine Active Directory, dans la page Configuration
de dploiement, assurez-vous que la case d'option Ajouter un contrleur de domaine un
domaine existant est slectionne, puis, ct de la ligne Domaine, cliquez sur Slectionner.
L2-12 Prsentation des services de domaine Active Directory
4.
Dans la bote de dialogue Scurit de Windows, dans la zone Nom d'utilisateur, tapez
ADATUM\Administrateur, puis dans la zone Mot de passe, tapez Pa$$w0rd et cliquez sur OK.
5.
Dans la fentre Slectionner un domaine dans la fort, cliquez sur Adatum.com, puis cliquez sur OK.
6.
Dans la fentre Configuration de dploiement, cliquez sur Suivant.
7.
Dans la page Options du contrleur de domaine, assurez-vous que l'option Serveur DNS
(Domain Name System) est slectionne, puis dsactivez la case cocher ct de
Catalogue global (GC).
Remarque : Vous voudrez gnralement galement activer le catalogue global, mais dans
le cadre de cet atelier pratique, cette opration s'effectue dans la tche suivante.
8.
Dans la section Taper le mot de passe du mode de restauration des services d'annuaire (DSRM),
tapez Pa$$w0rd dans les deux zones de texte, puis cliquez sur Suivant.
9.
Sur la page Options DNS, cliquez sur Suivant.
10. Sur la page Options supplmentaires, cliquez sur Suivant.

11. Dans la page Chemins d'accs, acceptez les dossiers par dfaut, puis cliquez sur Suivant.
12. Dans la page Examiner les options, cliquez sur Afficher le script et examinez le script
Windows PowerShell que l'Assistant gnre. Fermez le Bloc-notes.
13. Sur la page Examiner les options, cliquez sur Suivant.
14. Dans la page Vrification de la configuration requise, lisez tous les messages d'avertissement,
puis cliquez sur Installer.
15. Lorsque la tche se termine correctement, cliquez sur Fermer.
16. Attendez que le serveur redmarre.
Tche 3 : Configurer un serveur en tant que serveur de catalogue global

1.

Pa$$w0rd.
2.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Sites et services Active Directory.
3.
Quand la fentre Sites et services Active Directory s'ouvre, dveloppez Sites, dveloppez
Default-First-Site-Name, dveloppez Servers, puis dveloppez LON-SVR1.
4.
Dans la colonne gauche, cliquez avec le bouton droit sur NTDS Settings, puis cliquez sur Proprits.
5.
Dans la bote de dialogue Proprits de : NTDS Settings, activez la case cocher Catalogue global,
6.
Fermez la console Sites et services Active Directory.
Rsultats : la fin de cet exercice, vous devez avoir explor le Gestionnaire de serveur et promu
un serveur membre en tant que contrleur de domaine.
L2-13
Exercice 2 : Installation d'un contrleur de domaine selon la mthode IFM

Tche 1 : Utiliser l'outil Ntdsutil pour gnrer IFM
1.
Sur LON-DC1, pointez dans le coin infrieur droit de l'cran d'accueil, puis cliquez sur l'icne Accueil
lorsqu'elle apparat.
2.
Dans l'cran d'accueil, tapez CMD, puis appuyez sur Entre.
3.
une invite de commandes, tapez les commandes ci-dessous en appuyant sur Entre aprs chaque
ligne :
Ntdsutil
Activate instance ntds
Ifm
Create sysvol full c:\ifm
Tche 2 : Ajouter le rle AD DS sur le serveur membre

1.
Basculez vers LON-SVR2 et, si ncessaire, connectez-vous avec le nom d'utilisateur

ADATUM\Administrateur et le mot de passe Pa$$w0rd.
2.
Pointez dans le coin infrieur droit du Bureau et cliquez sur l'icne Accueil lorsqu'elle apparat.
3.
Dans l'cran d'accueil, tapez CMD, puis appuyez sur Entre.
4.
Tapez la commande suivante, puis appuyez sur Entre :

Net use k: \\LON-DC1\c$\IFM
5.
Basculez vers le Gestionnaire de serveur.
6.
Dans la liste gauche, cliquez sur Serveur local.
7.
Dans la barre d'outils, cliquez sur Grer, puis cliquez sur Ajouter des rles et des fonctionnalits.
8.
Sur la page Avant de commencer, cliquez sur Suivant.
9.
Dans la page Slectionner le type d'installation, assurez-vous que l'option Installation base
sur un rle ou une fonctionnalit est slectionne, puis cliquez sur Suivant.
10. Dans la page Slectionner le serveur de destination, vrifiez que LON-SVR2.Adatum.com

est en surbrillance, puis cliquez sur Suivant.
11. Sur la page Slectionner des rles de serveurs, cliquez sur Services de domaine Active Directory.
12. Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez sur Ajouter des fonctionnalits,
13. Sur la page Slectionner des fonctionnalits, cliquez sur Suivant.
14. Sur la page Services de domaine Active Directory, cliquez sur Suivant.
15. Dans la page Confirmer les slections d'installation, cliquez sur Redmarrer automatiquement
le serveur de destination, si ncessaire. Cliquez sur Oui dans le message qui s'affiche.
16. Cliquez sur Installer.
17. Une fois l'installation termine, cliquez sur Fermer.
Remarque : Si un message s'affiche stipulant qu'il est impossible de crer une dlgation
pour le serveur DNS, cliquez sur OK.
L2-14 Prsentation des services de domaine Active Directory
Tche 3 : Utilisez l'option IFM pour configurer un serveur membre comme nouveau
contrleur de domaine
1.
Sur LON-SVR2, ouvrez une fentre d'invite de commandes.
2.
l'invite de commandes, tapez les commandes suivantes et appuyez sur Entre :

Robocopy k: c:\ifm /copyall /s
3.
4.
Dans la barre d'outils du Gestionnaire de serveur, cliquez sur le bouton Notifications.
5.
Dans la fentre Configuration post-dploiement, cliquez sur Promouvoir ce serveur en contrleur

de domaine.
6.
Dans la page Configuration de dploiement, assurez-vous que l'option Ajouter un contrleur

de domaine un domaine existant est slectionne et confirmez que Adatum.com est le domaine
cible. Cliquez sur Suivant.
7.
Dans la page Options du contrleur de domaine, assurez-vous que les options Serveur DNS
(Domain Name System) et Catalogue global sont slectionnes. Pour le mot de passe DSRM,
entrez Pa$$w0rd dans les deux zones, puis cliquez sur Suivant.
8.
Sur la page Options DNS, cliquez sur Suivant.
9.
Dans la page Options supplmentaires, activez la case cocher Installation partir du support,
dans la zone de texte, tapez C:\ifm, puis cliquez sur Vrifier.
10. Une fois le chemin d'accs vrifi, cliquez sur Suivant.

11. Sur la page Chemins d'accs, cliquez sur Suivant.
12. Dans la page Examiner les options, cliquez sur Suivant, puis observez l'Assistant Configuration
des services de domaine Active Directory lorsqu'il effectue la vrification des conditions pralables.
13. Cliquez sur Installer et patientez pendant qu'AD DS est configur. Pendant que cette tche s'excute,
lisez les messages d'information qui s'affichent l'cran.
14. Attendez que le serveur redmarre.
Rsultats : la fin de cet exercice, vous devez avoir install un contrleur de domaine supplmentaire
pour la succursale en utilisant l'option IFM.
comme suit :
1.
2.
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-SVR1, 22410B-LON-RTR et 22410B-LON-SVR2.
L3-15
Module 3 : Gestion des objets de services

Atelier pratique : Gestion des objets

de services de domaine Active Directory
Exercice 1 : Dlgation de l'administration pour une succursale
Tche 1 : Dlguer l'administration pour les administrateurs d'une filiale
1.
2.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs

et ordinateurs Active Directory.
3.
Dans la console Utilisateurs et ordinateurs Active Directory, cliquez sur Adatum.com.
4.
Cliquez avec le bouton droit sur Adatum.com, pointez la souris sur Nouveau, puis cliquez
sur Unit d'organisation.
5.
Dans la bote de dialogue Nouvel objet Unit d'organisation, dans la zone Nom, saisissez
Filiale 1, puis cliquez sur OK.
6.
Cliquez avec le bouton droit sur Filiale 1, pointez sur Nouveau, puis cliquez sur Groupe.
7.
Dans la bote de dialogue Nouvel objet Groupe, dans la zone Nom du groupe, tapez
Assistance technique Filiale 1, puis cliquez sur OK.
8.
Cliquez avec le bouton droit sur Filiale 1, pointez sur Nouveau, puis cliquez sur Groupe.
9.
Dans la bote de dialogue Nouvel objet Groupe, dans la zone Nom du groupe, tapez
Administrateurs Filiale 1, puis cliquez sur OK.
10. Cliquez avec le bouton droit sur Filiale 1, pointez sur Nouveau, puis cliquez sur Groupe.
11. Dans la bote de dialogue Nouvel objet Groupe, dans la zone Nom du groupe, tapez
Utilisateurs Filiale 1, puis cliquez sur OK.
12. Dans le volet de navigation, cliquez sur IT.
13. Dans le volet d'informations, cliquez avec le bouton droit sur Holly Dickson, puis cliquez
sur Dplacer.
14. Dans la bote de dialogue Dplacer, cliquez sur Filiale 1, puis cliquez sur OK.
15. Dans le volet de navigation, cliquez sur l'unit d'organisation Development.
16. Dans le volet d'informations, cliquez avec le bouton droit sur Bart Duncan, puis cliquez sur Dplacer.
18. Dans le volet de navigation, cliquez sur l'unit d'organisation Managers.
19. Dans le volet d'informations, cliquez avec le bouton droit sur Ed Meadows, puis cliquez
sur Dplacer.
21. Dans le volet de navigation, cliquez sur l'unit d'organisation Marketing.
22. Dans le volet d'informations, cliquez avec le bouton droit sur Connie Vrettos, puis cliquez
sur Dplacer.
24. Dans le volet de navigation, cliquez sur l'unit d'organisation Research.
25. Dans le volet d'informations, cliquez avec le bouton droit sur Barbara Zighetti, puis cliquez
sur Dplacer.
27. Dans le volet de navigation, cliquez sur l'unit d'organisation Sales.
L3-16 Gestion des objets de services de domaine Active Directory
28. Dans le volet d'informations, cliquez avec le bouton droit sur Arlene Huff, puis cliquez sur Dplacer.
30. Dans le volet de navigation, cliquez sur Filiale 1.
31. Dans le volet de navigation, cliquez sur Computers.
32. Dans le volet d'informations, cliquez avec le bouton droit sur LON-CL1, puis cliquez sur Dplacer.
34. Basculez vers LON-CL1.
35. Suspendez votre pointeur de la souris dans le coin infrieur droit de l'cran, puis cliquez
sur Paramtres.
36. Cliquez sur Marche/Arrt, puis sur Redmarrer.
37. Lorsque l'ordinateur est redmarr, ouvrez une session en tant que ADATUM\Administrateur
38. Basculez vers LON-DC1.
39. Si ncessaire, basculez vers Utilisateurs et ordinateurs Active Directory.
40. Dans le volet de dtails, cliquez avec le bouton droit sur Filiale 1, cliquez sur Dlgation
de contrle, puis sur Suivant.
41. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.
42. Dans la bote de dialogue Slectionnez des utilisateurs, des ordinateurs ou des groupes, dans
la zone Entrez les noms des objets slectionner (exemples), tapez Administrateurs Filiale 1,
43. Dans la page Utilisateurs ou groupes, cliquez sur Suivant.
44. Dans la page Tches dlguer, dans la liste Dlguer les tches courantes suivantes, activez
les cases cocher, puis cliquez sur Suivant.
o
Crer, supprimer et grer les comptes d'utilisateurs

Crer, supprimer et grer les groupes
Modifier l'appartenance un groupe
Grer les liens de stratgie de groupe
45. Dans la page Fin de l'Assistant Dlgation de contrle, cliquez sur Terminer.
46. Dans le volet de dtails, cliquez avec le bouton droit sur Filiale 1, cliquez sur Dlgation
de contrle, puis sur Suivant.
47. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.
L3-17
48. Dans la bote de dialogue Slectionnez des utilisateurs, des ordinateurs ou des groupes, dans
la zone Entrez les noms des objets slectionner (exemples), tapez Administrateurs Filiale 1,
49. Dans la page Utilisateurs ou groupes, cliquez sur Suivant.
50. Dans la page Tches dlguer, cliquez sur Crer une tche personnalise dlguer,
puis sur Suivant.
51. Dans la page Type d'objet Active Directory, slectionnez Seulement des objets suivants
dans le dossier, activez les cases cocher suivantes, puis cliquez Suivant :
o
Objets Ordinateur
Crer les objets slectionns dans ce dossier
Supprimer les objets slectionns dans ce dossier
52. Dans la page Autorisations, activez les cases cocher Gnrales et Contrle total, puis cliquez
sur Suivant.
53. Dans la page Fin de l'Assistant Dlgation de contrle, cliquez sur Terminer.
Tche 2 : Dlguer un administrateur pour l'assistance technique de la filiale

1.
Sur LON-DC1, dans le volet de dtails, cliquez avec le bouton droit sur Filiale 1, cliquez sur
Dlgation de contrle, puis sur Suivant.
2.
Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.
3.
Dans la bote de dialogue Slectionnez des utilisateurs, des ordinateurs ou des groupes, dans la
zone Entrez les noms des objets slectionner (exemples), tapez Assistance technique Filiale 1,
4.
Dans la page Utilisateurs ou groupes, cliquez sur Suivant.
5.
Dans la page Tches dlguer, dans la liste Dlguer les tches courantes suivantes,
activez les cases cocher, puis cliquez sur Suivant.
6.

la prochaine ouverture de session ;
Lire toutes les informations sur l'utilisateur ;
Modifier l'appartenance un groupe ;
Dans la page Fin de l'Assistant Dlgation de contrle, cliquez sur Terminer.
Tche 3 : Ajouter un membre aux Administrateurs de la filiale

1.
Sur LON-DC1, dans le volet de navigation, cliquez sur Filiale 1.
2.
Dans le volet d'informations, cliquez avec le bouton droit sur Holly Dickson, puis cliquez sur
Ajouter un groupe.
3.
Dans la bote de dialogue Slectionnez des groupes, dans la zone Entrez les noms des objets
slectionner (exemples), tapez Administrateurs Filiale 1, puis cliquez sur OK.
4.
Dans la bote de dialogue Services de domaine Active Directory, cliquez sur OK.
5.
Dans le volet d'informations, cliquez avec le bouton droit sur Administrateurs Filiale 1, puis cliquez
sur Ajouter un groupe.
6.
slectionner (exemples), tapez Oprateurs de serveur, puis cliquez sur OK.
7.
8.
Sur votre ordinateur hte, dans la fentre 22410B-LON-DC1, dans le menu Action, cliquez
sur Ctrl+Alt+Suppr.
9.
Sur LON-DC1, cliquez sur Se dconnecter.
10. Connectez-vous LON-DC1 en tant que ADATUM\Holly avec le mot de passe Pa$$w0rd.
Vous pouvez ouvrir une session localement sur un contrleur de domaine car Holly appartient
indirectement au groupe local de domaine Oprateurs de serveur.
11. Sur le bureau, dans la barre des tches, cliquez sur Gestionnaire de serveur.
12. Dans la bote de dialogue Contrle de compte d'utilisateur, dans la zone Nom d'utilisateur,
tapez Holly. Dans la zone Mot de passe, tapez Pa$$w0rd, puis cliquez sur Oui.
13. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs
Active Directory.
14. Dans Utilisateurs et ordinateurs Active Directory, dveloppez Adatum.com.
15. Dans le volet de navigation, cliquez sur Sales.
16. Dans le volet d'informations, cliquez avec le bouton droit sur Aaren Ekelund, puis cliquez
sur Supprimer.
17. Cliquez sur Oui pour confirmer.
18. Cliquez sur OK pour reconnatre que vous n'avez pas les autorisations ncessaires pour effectuer
cette tche.
20. Dans le volet d'informations, cliquez avec le bouton droit sur Ed Meadows, puis cliquez
sur Supprimer.
21. Cliquez sur Oui pour confirmer. L'opration russit car vous disposez des autorisations requises.
Tche 4 : Ajouter un membre au groupe d'assistance technique de la filiale
1.
Sur LON-DC1, dans le volet d'informations, cliquez avec le bouton droit sur Bart Duncan,
puis cliquez sur Ajouter un groupe.
2.
slectionner (exemples), tapez Assistance technique Filiale 1, puis cliquez sur OK.
3.
4.
Fermez la fentre Utilisateurs et ordinateurs Active Directory.
5.
6.
Sur le Bureau, cliquez sur Gestionnaire de serveur.
7.
Dans la bote de dialogue Contrle de compte d'utilisateur, dans la zone Nom d'utilisateur,
tapez ADATUM\Administrateur. Dans la zone Mot de passe, tapez Pa$$w0rd, puis cliquez sur Oui.
Remarque : Pour modifier la liste des membres du groupe Oprateurs de serveur, vous
devez disposer des autorisations suprieures celles du groupe Administrateurs Filiale 1.
8.
Dans le Gestionnaire de serveur, cliquez sur Outils.
9.
Dans la liste Outils, cliquez sur Utilisateurs et ordinateurs Active Directory.
10. Dans Utilisateurs et ordinateurs Active Directory, Adatum.com est dj dvelopp.

12. Dans le volet d'informations, cliquez avec le bouton droit sur Assistance technique Filiale 1,
puis cliquez sur Ajouter un groupe.
13. Dans la bote de dialogue Slectionnez des groupes, dans la zone Entrez les noms des objets
slectionner (exemples), tapez Oprateurs de serveur, puis cliquez sur OK.
14. Dans la bote de dialogue Services de domaine Active Directory, cliquez sur OK.
15. Sur votre ordinateur hte, dans la fentre 22410B-LON-DC1, dans le menu Action, cliquez sur
Ctrl+Alt+Suppr.
16. Sur LON-DC1, cliquez sur Se dconnecter.
L3-19
17. Connectez-vous en tant que ADATUM\Bart avec le mot de passe Pa$$w0rd. Vous pouvez ouvrir
une session localement sur un contrleur de domaine car Bart appartient, indirectement, au groupe
18. Sur le Bureau, cliquez sur Gestionnaire de serveur.
19. Dans la bote de dialogue Contrle de compte d'utilisateur, dans la zone Nom d'utilisateur,
tapez Bart. Dans la zone Mot de passe, tapez Pa$$w0rd, puis cliquez sur Oui.
20. Dans le Gestionnaire de serveur, cliquez sur Outils.
21. Cliquez sur Utilisateurs et ordinateurs Active Directory.
22. Dans Utilisateurs et ordinateurs Active Directory, Adatum.com est dj dvelopp.
24. Dans le volet d'informations, cliquez avec le bouton droit sur Connie Vrettos, puis cliquez sur
Supprimer.
25. Cliquez sur Oui pour confirmer. L'opration choue car Bart ne dispose pas des autorisations requises.
Cliquez sur OK.
26. Cliquez avec le bouton droit sur Connie Vrettos, puis cliquez sur Rinitialiser le mot de passe.
27. Dans la bote de dialogue Rinitialiser le mot de passe, tapez Pa$$w0rd dans les zones Nouveau
mot de passe et Confirmer le mot de passe, puis cliquez sur OK.
28. Cliquez sur OK pour confirmer la rinitialisation du mot de passe.
29. Sur votre ordinateur hte, dans la fentre 22410B-LON-DC1, dans le menu Action, cliquez sur
Ctrl+Alt+Suppr.
31. Ouvrez une session sur LON-DC1 en tant que ADATUM\Administrateur avec le mot de passe
Pa$$w0rd.
Rsultats : la fin de cet exercice, vous devez avoir cr une unit d'organisation et dlgu
son administration au groupe comptent.
Exercice 2 : Cration et configuration de comptes d'utilisateurs dans AD DS

Tche 1 : Crer un modle utilisateur pour la filiale
1.
Sur LON-DC1, dans la barre des tches, cliquez sur l'icne de l' Explorateur de fichiers.
2.
Cliquez sur Bureau, puis double-cliquez sur Ordinateur.
3.
Double-cliquez sur Disque local (C:).
4.
Dans le menu, cliquez sur Nouveau dossier.
5.
Tapez branch1-userdata, puis appuyez sur Entre.
6.
Cliquez avec le bouton droit sur branch1-userdata, puis cliquez sur Proprits.
7.
Dans la bote de dialogue Proprits de : branch1-userdata, dans l'onglet Partage, cliquez

sur Partage avanc.
8.
Activez la case cocher Partager ce dossier, puis cliquez sur Autorisations.
9.
Dans la bote de dialogue Autorisations pour branch1-userdata, activez la case cocher Autoriser
Contrle total, puis cliquez sur OK.
10. Dans la bote de dialogue Partage avanc, cliquez sur OK, puis dans la bote de dialogue Proprits
de branch1-userdata, cliquez sur Fermer.
11. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs
Active Directory. Adatum.com est dj dvelopp.
12. Cliquez avec le bouton droit sur Filiale 1, pointez sur Nouveau, puis cliquez sur Utilisateur.
13. Dans la bote de dialogue Nouvel objet Utilisateur, dans la zone Nom complet,
tapez_Branch_template.
14. Dans la zone Nom d'ouverture de session de l'utilisateur, tapez Branch_template, puis cliquez
sur Suivant.
15. Dans les zones Mot de passe et Confirmer le mot de passe, tapez Pa$$w0rd.
16. Activez la case cocher Le compte est dsactiv, puis cliquez sur Suivant.
17. Cliquez sur Terminer.
Tche 2 : Configurer les paramtres du modle

1.
Sur LON-DC1, partir de l'unit d'organisation Filiale 1, cliquez avec le bouton droit sur
_Branch_template, puis cliquez sur Proprits.
2.
Dans la bote de dialogue Proprits de _Branch_template, sur l'onglet Adresse, dans la zone
Ville, tapez Slough.
3.
Cliquez sur l'onglet Membre de, puis cliquez sur Ajouter.
4.
slectionner (exemples), tapez Utilisateurs Filiale 1, puis cliquez sur OK.
5.
Cliquez sur l'onglet Profil.
6.
Sous le Dossier de base, cliquez sur Connecter, et dans la zone , saisissez

\\lon-dc1\branch1-userdata\%username%.
7.
Cliquez sur Appliquer, puis sur OK.
Tche 3 : Crer un utilisateur pour la filiale d'aprs le modle
L3-21
1.
Sur LON-DC1, Cliquez avec le bouton droit sur _Branch_template, puis cliquez sur Copier.
2.
Dans la bote de dialogue Copier l'objet Utilisateur, dans la zone Prnom, tapez Ed.
3.
Dans la zone Nom, tapez Meadows.
4.
Dans la zone Nom d'ouverture de session de l'utilisateur, tapez Ed, puis cliquez sur Suivant.
5.
Dans les zones Mot de passe et Confirmer le mot de passe, tapez Pa$$w0rd.
6.
Dsactivez la case cocher L'utilisateur doit changer le mot de passe la prochaine ouverture
de session.
7.
Dsactivez la case cocher Le compte est dsactiv, puis cliquez sur Suivant.
8.
Cliquez sur Terminer.
9.
Cliquez avec le bouton droit sur Ed Meadows, puis cliquez sur Proprits.
10. Dans la bote de dialogue Proprits de Ed Meadows, cliquez sur l'onglet Adresse. Notez que
la ville est dj configure.
11. Cliquez sur l'onglet Profil. Remarquez que l'emplacement du dossier de base est dj configur
12. Slectionnez l'onglet Membre de. Remarquez qu'Ed appartient au groupe Utilisateurs Filiale 1.
Cliquez sur OK.
13. Sur votre ordinateur hte, dans la fentre 22410B-LON-DC1, dans le menu Action, cliquez
sur Ctrl+Alt+Suppr.
Tche 4 : Se connecter en tant qu'utilisateur pour tester les paramtres de compte

1.
2.
Sur votre ordinateur hte, dans la fentre 22410B-LON-CL1, dans le menu, cliquez
sur Ctrl+Alt+Suppr.
3.
Sur LON-CL1, cliquez sur Se dconnecter.
4.
Ouvrez une session sur LON-CL1 en tant que ADATUM\Ed avec le mot de passe Pa$$w0rd.
5.
Sur l'cran Accueil, cliquez sur Bureau.
6.
Dans la barre des tches, cliquez sur l'icne Explorateur de fichiers.
7.
Dans le volet de navigation, cliquez sur Bureau, puis, dans le volet d'informations, double-cliquez
sur Ordinateur.
8.
Vrifiez que le lecteur Z est mapp Ed (\\lon-dc1\branch1-userdata) (Z:).
9.
Double-cliquez sur Ed (\\lon-dc1\branch1-userdata) (Z:).
10. Si vous ne recevez aucune erreur, l'opration a russi.

11. Sur votre ordinateur hte, dans la fentre 22410B-LON-CL1, dans le menu Action, cliquez sur
Ctrl+Alt+Suppr.
12. Sur LON-CL1, cliquez sur Se dconnecter.
Rsultats : la fin de cet exercice, vous devez avoir cr et test un compte d'utilisateur cr partir
d'un modle.
Exercice 3 : Gestion des objets ordinateur dans AD DS

Tche 1 : Rinitialiser un compte d'ordinateur
1.
Sur LON-DC1, ouvrez une session en tant que ADATUM\Holly avec le mot de passe Pa$$w0rd.
2.
Dans la barre des tches, cliquez sur Gestionnaire de serveur.
3.
Dans la bote de dialogue Contrle de compte d'utilisateur, dans la zone Nom d'utilisateur,
tapez Holly. Dans la zone Mot de passe, tapez Pa$$w0rd, puis cliquez sur Oui.
4.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs

5.
Dans Utilisateurs et ordinateurs Active Directory, Adatum.com est dj dvelopp.
6.
Dans le volet de navigation, cliquez sur Filiale 1.
7.
Dans le volet d'informations, cliquez avec le bouton droit sur LON-CL1, puis cliquez sur Rinitialiser
le compte.
8.
Dans la bote de dialogue Services de domaine Active Directory, cliquez sur Oui, puis sur OK.
Tche 2 : Observer le comportement quand un client ouvre une session

1.
2.
Connectez-vous en tant que ADATUM\Ed avec le mot de passe Pa$$w0rd.
3.
Un message s'affiche indiquant La relation d'approbation entre cette station de travail

et le domaine principal a chou.
4.
Cliquez sur OK.
Tche 3 : Joindre nouveau le domaine pour reconnecter le compte d'ordinateur

1.
Pa$$w0rd.
2.
Sur lcran Accueil, cliquez avec le bouton droit, cliquez sur Toutes les applications, puis dans la liste
Applications, cliquez sur Panneau de configuration.
3.
Dans le Panneau de configuration, dans la liste Afficher par, cliquez sur Grandes icnes,
puis sur Systme.
4.
Dans la liste de navigation, cliquez sur Paramtres systme avancs.
5.
Dans la bote de dialogue Proprits systme, cliquez sur l'onglet Nom de l'ordinateur,
puis sur Identit sur le rseau.
6.
Dans la page Slectionnez l'option qui dcrit votre rseau, cliquez sur Suivant.
7.
Dans la page Le rseau de votre entreprise appartient-il un domaine, cliquez sur Suivant.
8.
Dans la page Vous aurez besoin des informations suivantes, cliquez sur Suivant.
9.
Dans la page Entrez vos nom d'utilisateur, mot de passe et nom de domaine pour votre compte
de domaine, dans la zone Mot de passe, tapez Pa$$w0rd. Ne modifiez pas les autres champs, puis
10. Dans la bote de dialogue Informations sur le domaine et le compte d'utilisateur, cliquez sur Oui.
11. Dans la page Voulez-vous activer un compte d'utilisateur de domaine sur cet ordinateur, cliquez
sur Ne pas ajouter de compte d'utilisateur de domaine, puis sur Suivant.
12. Cliquez sur Terminer, puis sur OK.

L3-23
14. Ouvrez une session en tant que ADATUM\Ed avec le mot de passe Pa$$w0rd. L'opration russit
car la jonction de l'ordinateur a t rtablie correctement.
Rsultats : la fin de cet exercice, vous devez avoir rinitialis avec succs une relation d'approbation.
comme suit :
1.
2.
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-DC1.
L4-25
Module 4 : Automatisation de l'administration des domaines

de services Active Directory
Atelier pratique : Automatisation

de l'administration d'AD DS l'aide
Exercice 1 : Cration de comptes d'utilisateurs et de groupes l'aide
Tche 1 : Crer un compte d'utilisateur l'aide de Windows PowerShell
1.
2.
l'invite Windows PowerShell, tapez la commande suivante, puis appuyez sur Entre :
New-ADOrganizationalUnit LondonBranch
3.

New-ADUser -Name Ty -DisplayName "Ty Carlson" -GivenName Ty -Surname Carlson -Path
"ou=LondonBranch,dc=adatum,dc=com"
4.

Set-ADAccountPassword Ty
5.
Lorsque vous tes invit entrer le mot de passe actuel, appuyez sur Entre.
6.
Lorsque vous tes invit entrer le mot de passe souhait, tapez Pa$$w0rd, puis appuyez sur Entre.
7.
Lorsque vous tes invit entrer nouveau le mot de passe, tapez Pa$$w0rd, puis appuyez
sur Entre.
8.
l'invite Windows PowerShell, tapez Enable-ADAccount Ty, puis appuyez sur Entre.
9.
Sur LON-CL1, connectez-vous en tant que Ty l'aide du mot de passe Pa$$w0rd.
10. Vrifiez que la connexion est russie, puis dconnectez-vous de LON-CL1.
Tche 2 : Crer un groupe l'aide de Windows PowerShell

1.
Sur LON-DC1, l'invite Windows PowerShell, tapez la commande suivante et appuyez sur Entre :
New-ADGroup LondonBranchUsers -Path "ou=LondonBranch,dc=adatum,dc=com" -GroupScope
2.

Add-ADGroupMember LondonBranchUsers -Members Ty
3.

Get-ADGroupMember LondonBranchUsers
L4-26 Automatisation de l'administration des domaines de services Active Directory
Rsultats : la fin de cet exercice, vous devez avoir cr des comptes d'utilisateurs et des groupes l'aide
de Windows PowerShell.
Exercice 2 : Utilisation de Windows PowerShell pour crer des comptes

Tche 1 : Prparer le fichier .csv
1.
Sur LON-DC1, dans la barre des tches, cliquez sur l'icne de l'Explorateur de fichiers.
2.
Dans la fentre de l'Explorateur de fichiers, dveloppez E:, dveloppez Labfiles, puis cliquez
sur Mod04.
3.
Cliquez avec le bouton droit sur LabUsers.ps1, puis cliquez sur Modifier.
4.
Dans l'environnement d'criture de scripts intgr (ISE) de Windows PowerShell, lisez les
commentaires en haut du script, puis identifiez les conditions requises pour l'en-tte du fichier .csv.
5.
Fermez Windows PowerShell ISE.
6.
Dans l'Explorateur de fichiers, double-cliquez sur LabUsers.csv.
7.
Dans la fentre Comment souhaitez-vous ouvrir ce type de fichier (.csv), cliquez sur Bloc-notes.
8.
Dans le Bloc-notes, tapez la ligne suivante en haut du fichier :

FirstName,LastName,Department,DefaultPassword
9.
Cliquez sur Fichier, puis sur Enregistrer.
10. Fermez le Bloc-notes.
Tche 2 : Prparer le script

1.
Sur LON-DC1, dans l'Explorateur de fichiers, cliquez avec le bouton droit sur LabUsers.ps1,
puis cliquez sur Modifier.
2.
Dans Windows PowerShell ISE, sous Variables, remplacez C:\chemin d'accs\file.csv

par E:\Labfiles\Mod04\LabUsers.csv.
3.
Sous Variables, remplacez "ou=orgunit,dc=domain,dc=com" par

"ou=LondonBranch,dc=adatum,dc=com".
4.
Cliquez sur Fichier, puis sur Enregistrer.
5.
Faites dfiler vers le bas et examinez le contenu du script.
6.
Fermez Windows PowerShell ISE.
Tche 3 : Excuter le script

1.
2.
l'invite Windows PowerShell, tapez cd E:\Labfiles\Mod04, puis appuyez sur Entre.
3.
Tapez .\LabUsers.ps1, puis appuyez sur Entre.
4.

Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com"
5.
Fermez l'invite Windows PowerShell.
6.
Sur LON-CL1, connectez-vous en tant que Luka l'aide du mot de passe Pa$$w0rd.
L4-27
Rsultats : la fin de cet exercice, vous devez avoir utilis Windows PowerShell pour crer des comptes
d'utilisateurs en bloc.
Exercice 3 : Utilisation de Windows PowerShell pour modifier des comptes

Tche 1 : Forcer tous les comptes d'utilisateurs de LondonBranch changer leur mot
de passe la prochaine connexion
1.
2.
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Format-Wide
DistinguishedName
3.
Vrifiez que seuls les utilisateurs de l'unit d'organisation LondonBranch sont rpertoris.
4.
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Set-ADUser ChangePasswordAtLogon $true
5.
Fermez Windows PowerShell.
Tche 2 : Configurer l'adresse pour les comptes d'utilisateurs de LondonBranch

1.
Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Centre d'administration
Active Directory.
2.
Dans le Centre d'administration Active Directory, dans le volet de navigation, dveloppez

Adatum (local) et double-cliquez sur LondonBranch.
3.
Cliquez sur l'en-tte de colonne Type pour effectuer un tri selon le type d'objet.
4.
Slectionnez tous les comptes d'utilisateurs, cliquez avec le bouton droit sur ces comptes, puis cliquez
sur Proprits.
5.
Dans la fentre Plusieurs utilisateurs, sous Organisation, activez la case cocher Adresse.
6.
Dans la zone Rue, tapez Filiale.
7.
Dans la zone Ville, tapez Londres.
8.
Dans la zone Pays/rgion, cliquez sur Royaume-Uni, puis sur OK.
9.
Fermez le Centre d'administration Active Directory.
Rsultats : la fin de cet exercice, vous devez avoir modifi des comptes d'utilisateurs en bloc.

Lorsque vous terminez l'atelier pratique, rtablissez tous les ordinateurs virtuels leur tat initial
en procdant comme suit :
1.
2.
sur Rtablir.
3.
4.
Rptez les tapes 2 3 pour 22410B-LON-DC1.
L4-28 Automatisation de l'administration des domaines de services Active Directory
L5-29
Module 5 : Implmentation du protocole IPv4
Atelier pratique : Implmentation

du protocole IPv4
Exercice 1 : Identification des sous-rseaux appropris
Tche 1 : Calculer les bits requis pour prendre en charge les htes sur chaque
sous-rseau
1.
Combien de bits sont requis pour prendre en charge 100 htes sur le sous-rseau client ?
Sept bits sont requis pour prendre en charge 100 htes sur le sous-rseau client (27-2=126, 26-2=62).
2.
Combien de bits sont requis pour prendre en charge 10 htes sur le sous-rseau serveur ?
Quatre bits sont requis pour prendre en charge 10 htes sur le sous-rseau serveur (24-2=14,23-2=6).
3.
Combien de bits sont requis pour prendre en charge 40 htes sur le sous-rseau de l'extension
future ?
Six bits sont requis pour prendre en charge 40 htes sur le sous-rseau de l'extension future
(26-2=62, 25-2=30).
4.
Si tous les sous-rseaux sont de la mme taille, peuvent-ils tre adapts ?
Non, si tous les sous-rseaux sont de la mme taille, ils doivent tous utiliser 7 bits pour prendre en
charge 126 htes. Seule une adresse de classe C comprenant 254 htes a t alloue. Trois sousrseaux de 126 htes ne conviennent pas.
5.
Quelle fonctionnalit permet un rseau unique d'tre divis en sous-rseaux de diffrentes tailles ?
La cration d'un masque de sous-rseau de longueur variable vous permet de dfinir des masques
de sous-rseau distincts lors de la cration de sous-rseaux. Par consquent, la cration d'un masque
de sous-rseau de longueur variable vous permet d'avoir des sous-rseaux de diffrentes tailles.
6.
Combien de bits htes utiliserez-vous pour chaque sous-rseau ? Utilisez l'allocation la plus simple
possible, c'est--dire un sous-rseau de grande taille et deux sous-rseaux plus petits de mme taille.
Le sous-rseau client est de 7 bits htes. Cela permet d'avoir jusqu' 126 htes et d'utiliser la moiti
du pool d'adresses alloues.
Les sous-rseaux serveur et de l'extension future ont 6 bits htes. Cela permet d'avoir jusqu'
62 htes sur chaque sous-rseau et d'utiliser l'autre moiti du pool d'adresses.
Tche 2 : Calculer les masques de sous-rseau et les ID rseau

1.
utiliser pour le sous-rseau client ? Calculez le masque de sous-rseau au format binaire et dcimal.
Le sous-rseau client utilise 7 bits pour l'ID hte. Par consquent, vous allez utiliser 25 bits pour
Binaire
Dcimal
11111111.11111111.11111111.10000000
255.255.255.128
2.
utiliser pour le sous-rseau serveur ? Calculez le masque de sous-rseau au format binaire et dcimal.
3.
Le sous-rseau serveur utilise 6 bits pour l'ID hte. Par consquent, vous allez utiliser 26 bits pour
Binaire
Dcimal
11111111.11111111.11111111.11000000
255.255.255.192
utiliser pour le sous-rseau de l'extension future ? Calculez le masque de sous-rseau au format
binaire et dcimal.
4.
Le sous-rseau de l'extension future utilise 6 bits pour l'ID hte. Par consquent, vous allez utiliser
26 bits pour le masque de sous-rseau.
Binaire
Dcimal
11111111.11111111.11111111.11000000
255.255.255.192
Pour le sous-rseau client, dfinissez l'ID rseau, le premier hte disponible, le dernier hte disponible
et l'adresse de diffusion. Supposons que le sous-rseau client soit le premier sous-rseau allou
partir du pool d'adresses disponibles. Calculez les versions binaires et dcimales de chaque adresse.
Dans ce tableau, les bits en gras font partie de l'ID rseau.
5.
L5-30
Description
Binaire
Dcimal
ID rseau
11000000.10101000.1100010.00000000
192.168.98.0
Premier hte
11000000.10101000.1100010.00000001
192.168.98.1
Dernier hte
11000000.10101000.1100010.01111110
192.168.98.126
Diffusion
11000000.10101000.1100010.01111111
192.168.98.127
Pour le sous-rseau serveur, dfinissez l'ID rseau, le premier hte disponible, le dernier hte
disponible et l'adresse de diffusion. Supposons que le sous-rseau serveur soit le deuxime
sous-rseau allou partir du pool d'adresses disponibles. Calculez les versions binaires et
dcimales de chaque adresse.
Description
Binaire
Dcimal
ID rseau
11000000.10101000.1100010.10000000
192.168.98.128
Premier hte
11000000.10101000.1100010.10000001
192.168.98.129
(suite)
6.
Description
Binaire
Dcimal
Dernier hte
11000000.10101000.1100010.10111110
192.168.98.190
Diffusion
11000000.10101000.1100010.10111111
192.168.98.191
Pour le sous-rseau allouer ultrieurement, dfinissez l'ID rseau, le premier hte disponible,
le dernier hte disponible et l'adresse de diffusion. Supposons que le sous-rseau allouer
ultrieurement soit le troisime sous-rseau allou partir du pool d'adresses disponibles.
Calculez les versions binaires et dcimales de chaque adresse.
Description
Binaire
Dcimal
ID rseau
11000000.10101000.1100010.11000000
192.168.98.192
Premier hte
11000000.10101000.1100010.11000001
192.168.98.193
Dernier hte
11000000.10101000.1100010.11111110
192.168.98.254
Diffusion
11000000.10101000.1100010.11111111
192.168.98.255
Rsultats : la fin de cet exercice, vous aurez identifi les sous-rseaux requis pour rpondre aux
exigences du scnario de l'atelier pratique.
Exercice 2 : Rsolution des problmes lis IPv4

Tche 1 : Prparer la rsolution des problmes
L5-31
1.
Sur LON-SVR2, dans la barre des tches, cliquez sur l'icne Windows PowerShell.
2.
l'invite Windows PowerShell, tapez ping LON-DC1, puis appuyez sur Entre.
3.
Ouvrez une fentre de l'Explorateur de fichiers, puis accdez \\LON-DC1\E$\Labfiles\Mod05.
4.
Cliquez avec le bouton droit sur Break.ps1, cliquez sur Ouvrir, puis cliquez sur Excuter
avec PowerShell.
5.
Fermez l'Explorateur de fichiers.
Tche 2 : Rsoudre les problmes de connectivit IPv4 entre LON-SVR2 et LON-DC1

1.
Sur LON-SVR2, l'invite Windows PowerShell, tapez ping LON-DC1, puis appuyez sur Entre.
Notez que l'hte de destination est injoignable.
2.
Tapez tracert LON-DC1, puis appuyez sur Entre. Notez que l'hte est incapable de trouver
la passerelle par dfaut, et que ce n'est pas la passerelle par dfaut qui rpond.
L5-32
3.
Tapez ipconfig, puis appuyez sur Entre. Notez que la passerelle par dfaut est correctement
configure.
4.
Tapez ping 10.10.0.1, puis appuyez sur Entre. Notez que la passerelle par dfaut rpond mais
que les paquets ne sont pas achemins vers cette dernire.
5.
Tapez Get-NetRoute, puis appuyez sur Entre. Notez que l'entre de la passerelle par dfaut (0.0.0.0)
est correcte mais qu'il existe une entre inutile pour le rseau 172.16.0.0.
6.
Tapez Remove-NetRoute DestinationPrefix 172.16.0.0/16, puis appuyez sur Entre. Cela permet
de supprimer l'itinraire inutile vers le rseau 172.16.0.0. la place, la passerelle par dfaut sera
utilise pour le routage.
7.
Appuyez sur O, puis sur Entre pour confirmer la suppression de l'itinraire des itinraires actifs.
8.
Tapez ping LON-DC1, puis appuyez sur Entre. Notez que le test ping s'effectue maintenant
avec succs.
Rsultats : la fin de cet atelier pratique, vous aurez rsolu un problme de connectivit IPv4.
comme suit :
1.
2.
sur Rtablir.
3.
4.
L6-33
Module 6 : Implmentation du protocole DHCP

(Dynamic Host Configuration Protocol)

Exercice 1 : Implmentation de DHCP
Tche 1 : Installer le rle Serveur DHCP (Dynamic Host Configuration Protocol)
1.
2.
Dans le Gestionnaire de serveur, cliquez sur Ajouter des rles et des fonctionnalits.
3.
4.
Sur la page Slectionner le type d'installation, cliquez sur Suivant.
5.
Sur la page Slectionner le serveur de destination, cliquez sur Suivant.
6.
Sur la page Slectionner des rles de serveurs, activez la case cocher Serveur DHCP.
7.
Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez sur Ajouter des fonctionnalits,
8.
Sur la page Slectionner des fonctionnalits, cliquez sur Suivant.
9.
Sur la page Serveur DHCP, cliquez sur Suivant.
10. Sur la page Confirmer les slections dinstallation, cliquez sur Installer.
11. Sur la page Progression de l'installation, attendez que le message Installation russie
sur LON-SVR1.Adatum.com s'affiche, puis cliquez sur Fermer.
Tche 2 : Configurer les tendues et les options DHCP

1.
Dans Gestionnaire de serveur -Rableau de bord, cliquez sur Outils, puis sur DHCP.
2.
Dans la console DHCP, dveloppez et cliquez avec le bouton droit sur lon-svr1.adatum.com,
puis cliquez sur Autoriser.
3.
Dans la console DHCP, cliquez avec le bouton droit sur lon-svr1.adatum.com, puis cliquez sur
Actualiser. Remarquez que les icnes en regard d'IPv4 et IPv6 passent du rouge au vert pour
indiquer que le serveur DHCP a t autoris dans Active Directory Domain Services (AD DS).
4.
Dans la console DHCP, dans le volet de navigation, cliquez sur lon-svr1.adatum.com, dveloppez
et cliquez avec le bouton droit sur IPv4, puis cliquez sur Nouvelle tendue.
5.
Dans l'Assistant Nouvelle tendue, cliquez sur Suivant.
6.
Sur la page Nom de l'tendue, dans la zone Nom, tapez Succursale, puis cliquez sur Suivant.
7.
Sur la page Plage d'adresses IP, renseignez les informations suivantes, puis cliquez sur Suivant :
o
Adresse IP de dbut : 172.16.0.100
Adresse IP de fin : 172.16.0.200
Longueur : 16
8.
9.
Sur la page Ajout dexclusions et de retard, renseignez les informations suivantes :

o
Cliquez sur Ajouter, puis sur Suivant.
10. Sur la page Dure du bail, cliquez sur Suivant.

11. Sur la page Configuration des paramtres DHCP, cliquez sur Suivant.
12. Sur la page Routeur (passerelle par dfaut), dans la zone Adresse IP, tapez 172.16.0.1,
cliquez sur Ajouter, puis cliquez sur Suivant.
13. Sur la page Nom de domaine et serveurs DNS, cliquez sur Suivant.
14. Sur la page Serveurs WINS, cliquez sur Suivant.
15. Sur la page Activer l'tendue, cliquez sur Suivant.
16. Sur la page Fin de l'Assistant Nouvelle tendue, cliquez sur Terminer.
Tche 3 : Configurer le client pour utiliser DHCP, puis tester la configuration
L6-34
1.
Basculez vers l'ordinateur LON-CL1.
2.
Dplacez la souris sur l'angle infrieur droit de l'cran, puis cliquez sur l'icne Rechercher.
3.
Dans la zone Rechercher, tapez Panneau de configuration, puis appuyez sur Entre.
4.
Dans le Panneau de configuration, sous Rseau et Internet, cliquez sur Afficher l'tat et la gestion
du rseau.
5.
Dans la fentre Centre Rseau et partage, cliquez sur Modifier les paramtres de la carte.
6.
Dans la fentre Connexions rseau, cliquez avec le bouton droit sur Connexion au rseau local,
7.
Dans la fentre Proprits de Connexion au rseau local, cliquez sur Protocole Internet version 4
8.
Dans la bote de dialogue Proprits de : Protocole Internet version 4 (TCP/IPv4), slectionnez

la case d'option Obtenir une adresse IP automatiquement, slectionnez la case d'option Obtenir
les adresses des serveurs DNS automatiquement, cliquez sur OK, puis cliquez sur Fermer.
9.
Dplacez la souris sur l'angle infrieur droit de l'cran, puis cliquez sur l'icne Rechercher.
10. Dans la zone Rechercher, tapez Invite de commandes, puis appuyez sur Entre.
11. Dans la fentre d'invite de commandes, l'invite de commandes, tapez ipconfig /renew,
puis appuyez sur Entre.
12. Pour tester la configuration, vrifiez que LON-CL1 a reu une adresse IP de l'tendue DHCP
en saisissant ipconfig /all l'invite de commandes.
Cette commande renverra les informations telles que l'adresse IP, le masque de sous-rseau et l'tat
d'activation de DHCP, qui devrait tre Oui.
Tche 4 : Configurer un bail en tant que rservation
L6-35
1.
Dans la fentre d'invite de commandes, l'invite de commandes, tapez ipconfig /all, puis appuyez
sur Entre.
2.
Notez l'adresse physique de la carte rseau LON-CL1.
3.
4.
Dans le tableau de bord du Gestionnaire de serveur, cliquez sur Outils, puis sur DHCP.
5.
Dans la console DHCP, dveloppez lon-svr1.adatum.com, IPv4 et Succursale, dveloppez

Rservations, puis cliquez sur Nouvelle rservation.
6.
Dans la fentre Nouvelle rservation :

o
Dans le champ Nom de rservation, tapez LON-CL1.
Dans le champ Adresse IP, tapez 172.16.0.155.
Dans le champ Adresse MAC, tapez l'adresse physique que vous avez note l'tape 2.
Cliquez sur Ajouter, puis sur Fermer.
7.
8.
Dans la fentre d'invite de commandes, l'invite de commandes, tapez ipconfig /release, puis
appuyez sur Entre. Cette opration oblige LON-CL1 librer toutes les adresses IP actuellement
loues.
9.
l'invite de commandes, tapez ipconfig /renew, puis appuyez sur Entre. Cette opration oblige
LON-CL1 louer toutes les adresses IP rserves.
10. Vrifiez que l'adresse IP de LON-CL1 est maintenant 172.16.0.155.
Rsultats : la fin de cet exercice, vous aurez implment DHCP, configur les tendues
et options DHCP, et configur une rservation DHCP.
Pour prparer l'exercice facultatif

Si vous voulez effectuer l'atelier pratique facultatif, rtablissez l'ordinateur virtuel 22410B-LON-CL1.
Pour ce faire, procdez comme suit :
1.
2.
sur Rtablir.
3.
Exercice 2 : Implmenter un agent de relais DHCP (exercice facultatif)

Tche 1 : Installer un agent de relais DHCP
1.
Basculez vers LON-RTR.
2.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Routage et accs distant.
3.
Dans le volet de navigation, dveloppez LON-RTR (local), dveloppez IPv4, cliquez avec le bouton
droit sur Gnral, puis cliquez sur Nouveau protocole de routage.
4.
Dans la liste Protocoles de routage, cliquez sur Agent de relais DHCP, puis sur OK.
Tche 2 : Configurer un agent de relais DHCP
L6-36
1.
Dans le volet de navigation, cliquez avec le bouton droit sur Agent de relais DHCP, puis cliquez
sur Nouvelle interface.
2.
Dans la bote de dialogue Nouvelle interface pour Agent de relais DHCP, cliquez sur Connexion
au rseau local 2, puis sur OK.
3.
Dans la bote de dialogue Proprits de : Proprits de relais DHCP Con, cliquez sur OK.
4.
Cliquez avec le bouton droit sur Agent de relais DHCP, puis cliquez sur Proprits.
5.
Dans la bote de dialogue Proprits de : Agent de relais DHCP, dans la zone Adresse du serveur,
tapez 172.16.0.21, puis cliquez sur Ajouter et OK.
6.
Fermez la bote de dialogue Routage et accs distant.
Tche 3 : Tester l'agent de relais DHCP avec un client

Remarque : Pour tester la manire dont un client reoit une adresse IP de l'agent de
relais DHCP sur un autre sous-rseau, vous devez crer une autre tendue DHCP.
1.
2.
Dans le tableau de bord du Gestionnaire de serveur, cliquez sur Outils, puis sur DHCP.
3.
Dans la console DHCP , dveloppez lon-svr1.adatum.com.
4.
Dans la console DHCP, dans le volet de navigation, cliquez sur lon-svr1.adatum.com,

dveloppez IPv4, cliquez avec le bouton droit sur IPv4, puis cliquez sur Nouvelle tendue.
5.
Dans l'Assistant Nouvelle tendue, cliquez sur Suivant.
6.
Sur la page Nom de l'tendue, dans la zone Nom, tapez Succursale 2, puis cliquez sur Suivant.
7.
Sur la page Plage d'adresses IP, renseignez les informations suivantes, puis cliquez sur Suivant :
8.
9.
Longueur : 16
Sur la page Ajout dexclusions et de retard, renseignez les informations suivantes,

cliquez sur Ajouter, puis cliquez sur Suivant :
o
Sur la page Dure du bail, cliquez sur Suivant.
10. Sur la page Configuration des paramtres DHCP, cliquez sur Suivant.
11. Sur la page Routeur (passerelle par dfaut), dans la zone Adresse IP, tapez 10.10.0.1,
cliquez sur Ajouter, puis cliquez sur Suivant.
12. Sur la page Nom de domaine et serveurs DNS, cliquez sur Suivant.
13. Sur la page Serveurs WINS, cliquez sur Suivant.
14. Sur la page Activer l'tendue, cliquez sur Suivant.

15. Sur la page Fin de l'Assistant Nouvelle tendue, cliquez sur Terminer.
16. Pour tester le client, basculez vers LON-CL2.
17. Sur l'cran Dmarrer, dans la zone Accueil, saisissez Panneau de configuration, puis appuyez
sur Entre.
18. Sous Rseau et Internet, cliquez sur Afficher l'tat et la gestion du rseau.
19. Dans la fentre Centre Rseau et partage, cliquez sur Modifier les paramtres de la carte,
cliquez avec le bouton droit sur Connexion au rseau local, puis cliquez sur Proprits.
L6-37
20. Dans la fentre Proprits de Connexion au rseau local, cliquez sur Protocole Internet version 4
21. Dans la bote de dialogue Proprits de Protocole Internet version 4 (TCP/IPv4), cliquez sur
Obtenir une adresse IP automatiquement, puis sur Obtenir les adresses des serveurs DNS
automatiquement, sur OK, puis sur Fermer.
22. Naviguez jusqu' l'angle infrieur droit, puis dans le menu contextuel, cliquez sur Rechercher,
tapez cmd, et appuyez sur Entre.
23. Dans la fentre d'invite de commandes, l'invite de commandes, tapez ipconfig /renew,
24. Vrifiez que les paramtres d'adresse IP et de serveur DNS sur LON-CL2 sont obtenus partir
de l'tendue de serveur DHCP Succursale 2, installe sur LON-SVR1.
Remarque : L'adresse IP doit tre comprise dans la plage suivante : 10.10.0.100/16
10.10.0.200/16
Rsultats : la fin de cet exercice, vous aurez implment un agent de relais DHCP.
comme suit :
1.
2.
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-SVR1, 22410B-LON-RTR, et 22410B-LON-CL2.
L7-39
Module 7 : Implmentation du systme DNS

(Domain Name System)

de la rplication DNS
Exercice 1 : Installation et configuration du systme DNS
Tche 1 : Configurer LON-SVR1 en tant que contrleur de domaine sans installer
le rle serveur DNS (Domain Name System)
1.
Dans la console du Gestionnaire de serveur, cliquez sur Ajouter des rles et des fonctionnalits.
2.
3.
4.
Sur la page Slectionner le serveur de destination, vrifiez que LON-SVR1.Adatum.com

5.
Sur la page Slectionner des rles de serveurs, slectionnez Services AD DS.
6.
Lorsque l'Assistant Ajouter des rles et des fonctionnalits s'affiche, cliquez sur Ajouter
des fonctionnalits, puis sur Suivant.
7.
8.
Sur la page Services de domaine Active Directory, cliquez sur Suivant.
9.
Sur la page Confirmer les slections d'installation, cliquez sur Installer.
10. Sur la page Progression de l'installation, quand vous voyez s'afficher le message Installation
russie, cliquez sur Fermer.
11. Dans la console du Gestionnaire de serveurs, dans la page de navigation, cliquez sur AD DS.
12. Dans la barre de titre, o Configuration requise pour : Services AD DS LON-SVR1 s'affiche,
cliquez sur Autres.
13. Sur la page Dtails et notifications de la tche Tous les serveurs, cliquez sur Promouvoir
ce serveur en contrleur de domaine.
14. Dans l' Assistant Configuration des services de domaine Active Directory, dans la page Configuration
de dploiement, assurez-vous que l'option Ajouter un contrleur de domaine un domaine
existant est slectionne, puis cliquez sur Suivant.
15. Dans la page Options du contrleur de domaine, dsactivez la case cocher Serveur DNS
(Domain Name System) et laissez la case cocher Catalogue global (GC) active. Tapez Pa$$w0rd
dans les deux champs de texte, puis cliquez sur Suivant.
16. Sur la page Options DNS, cliquez sur Suivant. Sur la page Options supplmentaires, cliquez
sur Suivant.
17. Sur la page Chemins d'accs, cliquez sur Suivant.
18. Sur la page Examiner les options, cliquez sur Suivant.

19. Sur la page Vrification de la configuration requise, cliquez sur Installer.
Remarque : Le serveur LON-SVR1 redmarre automatiquement dans le cadre
de la procdure.
20. Une fois que LON-SVR1 a redmarr, connectez-vous en tant que ADATUM\Administrateur.
Tche 2 : Crer et configurer la zone nwtraders.msft sur LON-DC1

1.
Sur l'ordinateur LON-DC1, dans la console du Gestionnaire de serveur, cliquez sur Outils,
puis sur DNS.
2.
Dveloppez LON-DC1, Zones de recherche directes, et slectionnez Nouvelle zone.
3.
Dans la page Bienvenue ! de l'Assistant Nouvelle zone, cliquez sur Suivant.
4.
Sur la page Type de zone, supprimez la coche de l'option Enregistrer la zone dans
Active Directory, puis cliquez sur Suivant.
5.
Dans la page Nom de la zone, entrez nwtraders.msft, puis cliquez sur Suivant.
6.
Dans la page Fichier de zone, cliquez sur Suivant.
7.
Dans la page Mise niveau dynamique, cliquez sur Suivant.
8.
Dans la page Fin de l'Assistant Nouvelle zone, cliquez sur Terminer.
9.
Dveloppez nwtraders.msft, puis cliquez sur Nouvel hte (A ou AAAA).
10. Dans la fentre Nouvel hte, dans la zone de texte Nom, tapez www.
11. Dans la zone Adresse IP, tapez 172.16.0.100.
12. Cliquez sur Ajouter un hte.
13. Cliquez sur OK, puis sur Termin.
14. Laissez la console du Gestionnaire DNS ouverte.
Tche 3 : Vrifier les paramtres de configuration sur le serveur DNS existant

pour confirmer les indications de racine
1.
Sur LON-DC1, cliquez dans la console du Gestionnaire DNS, cliquez avec le bouton droit
sur LON-DC1, puis cliquez sur Proprits.
2.
Dans la bote de dialogue Proprits de : LON-DC1, cliquez sur l'onglet Indications de racine.
Assurez-vous que les serveurs d'indications de racine s'affichent.
3.
Cliquez sur l'onglet Redirecteurs. Assurez-vous que la liste n'affiche aucune entre et que l'option
Utiliser les indications de racine si aucun redirecteur n'est disponible est slectionne.
4.
Cliquez sur Annuler.
5.
Fermez la console du Gestionnaire DNS.
L7-40
L7-41
Tche 4 : Ajouter le rle serveur DNS de la filiale au contrleur de domaine

1.
Sur LON-SVR1, dans la console du Gestionnaire de serveur, cliquez sur Ajouter des rles
et des fonctionnalits.
2.
3.
4.
Sur la page Slectionner le serveur de destination, vrifiez que LON-SVR1.Adatum.com

5.
Sur la page Slectionnez des rles de serveurs, slectionnez Serveur DNS.
6.
Lorsque l'Assistant Ajouter des rles et des fonctionnalits s'affiche, cliquez sur Ajouter
des fonctionnalits, puis sur Suivant.
7.
8.
Sur la page Serveur DNS, cliquez sur Suivant.
9.
Sur la page Confirmer les slections d'installation, cliquez sur Installer.
10. Sur la page Progression de l'installation, quand vous voyez s'afficher le message Installation
russie, cliquez sur Fermer.
Tche 5 : Vrifier la rplication de la zone intgre Active Directory Adatum.com

1.
Sur LON-SVR1, dans la console du Gestionnaire de serveur, cliquez sur Outils.
2.
Dans la liste des outils, cliquez sur DNS.
3.
Dans la console du Gestionnaire DNS, dveloppez LON-SVR1, puis Zones de recherche directes.
Ce conteneur est probablement vide.
4.
Revenez au Gestionnaire de serveur, cliquez sur Outils, puis sur Sites et services Active Directory.
5.
Dans la console Sites et services Active Directory, dveloppez Sites, dveloppez Default-FirstSite-Name, dveloppez Servers, dveloppez LON-DC1, puis cliquez sur NTDS Settings.
6.
Dans le volet droit, cliquez avec le bouton droit sur la connexion de rplication LON-SVR1,
puis slectionnez Rpliquer maintenant.
Remarque : Si vous recevez un message d'erreur, passez l'tape suivante,

puis recommencez cette tape aprs 3 4 minutes.
7.
Dans le volet de navigation, dveloppez LON-SVR1, puis cliquez sur NTDS Settings.
8.
Dans le volet droit, cliquez avec le bouton droit sur la connexion de rplication LON-DC1,
cliquez sur Rpliquer maintenant, puis sur OK.
9.
Revenez la console du Gestionnaire DNS, cliquez avec le bouton droit sur Zones de recherche
directes, puis cliquez sur Actualiser.
10. Assurez-vous que les deux conteneurs _msdcs.Adatum.com et Adatum.com s'affichent.

11. Fermez le Gestionnaire DNS.
Tche 6 : Utiliser Nslookup pour tester une rsolution non locale
L7-42
1.
Sur LON-SVR1, passez l'cran d'accueil, puis tapez Panneau de configuration. Appuyez sur Entre.
2.
Dans le Panneau de configuration, cliquez sur Afficher l'tat et la gestion du rseau.
3.
Cliquez sur Modifier les paramtres de la carte.
4.
Cliquez avec le bouton droit sur Connexion au rseau local, puis cliquez sur Proprits.
5.
Cliquez sur Protocole Internet version 4 (TCP/IPv4), puis cliquez sur Proprits.
6.
Dans le champ Serveur DNS prfr, supprimez l'adresse IP, tapez 127.0.0.1, cliquez sur OK,
puis sur Fermer.
7.
8.
Dans la fentre Windows PowerShell, l'invite de commandes, tapez Resolve-DNSName

www.nwtraders.msft, puis appuyez sur Entre. Vous devez normalement recevoir un message
d'erreur.
9.
Laissez la fentre Windows PowerShell ouverte.
Tche 7 : Configurer la rsolution de noms Internet pour effectuer une redirection

vers le sige
1.
2.
Dans la console du Gestionnaire DNS, cliquez avec le bouton droit sur LON-SVR1, puis cliquez
sur Proprits.
3.
Dans la bote de dialogue Proprits de LON-SVR1, cliquez sur l'onglet Redirecteurs, puis cliquez
sur Modifier.
4.
Dans la fentre Modifier les redirecteurs, tapez 172.16.0.10, puis cliquez sur OK deux reprises.
5.
Dans la console du Gestionnaire DNS, cliquez avec le bouton droit sur LON-SVR1, slectionnez
Toutes les tches, puis cliquez sur Redmarrer.
Tche 8 : Utiliser Nslookup pour confirmer la rsolution de noms

1.
Sur LON-SVR1, basculez vers une fentre Windows PowerShell.
2.
Dans la fentre d'invite de commandes, tapez nslookup, puis appuyez sur Entre.
3.
l'invite de nslookup, tapez www.nwtraders.msft, puis appuyez sur Entre.
4.
Assurez-vous que vous recevez une adresse IP pour cet hte sous forme de rponse ne faisant
pas autorit.
5.
Tapez quit, puis appuyez sur Entre.
Rsultats : Aprs avoir termin cet exercice, vous aurez install et configur DNS sur LON-SVR1.
Exercice 2 : Cration d'enregistrements d'htes dans DNS

Tche 1 : Configurer un client pour utiliser LON-SVR1 en tant que serveur DNS
1.
Sur LON-CL1, connectez-vous en tant que ADATUM\Administrateur avec le mot de passe

Pa$$w0rd.
2.
Sur l'cran d'accueil, tapez Panneau de configuration, puis appuyez sur Entre.
3.
Dans le Panneau de configuration, cliquez sur Afficher l'tat et la gestion du rseau.
4.
Cliquez sur Modifier les paramtres de la carte.
5.
Cliquez avec le bouton droit sur Connexion au rseau local, puis cliquez sur Proprits.
6.
Dans la bote de dialogue Proprits de : Connexion au rseau local, cliquez sur Protocole
Internet version 4 (TCP/IPv4), puis sur Proprits.
7.
Supprimez l'adresse IP du serveur DNS prfr. Dans la zone Serveur DNS prfr,
tapez 172.16.0.21, cliquez sur OK, puis sur Fermer.
Tche 2 : Crer plusieurs enregistrements d'htes dans le domaine Adatum.com

pour des applications Web
1.
Sur LON-DC1, dans la console du Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.
2.
Dans la console du Gestionnaire DNS, dveloppez LON-DC1, dveloppez Zones de recherche

directes, puis cliquez sur Adatum.com.
3.
Cliquez avec le bouton droit sur Adatum.com, puis cliquez sur Nouvel hte (A ou AAAA).
4.
Dans la fentre Nouvel hte, configurez les paramtres suivants :

o
Nom : www
Adresse IP : 172.16.0.200
5.
Cliquez sur Ajouter un hte, puis sur OK.
6.
Dans la fentre Nouvel hte, configurez les paramtres suivants :
7.
Nom : ftp
Adresse IP : 172.16.0.201
Cliquez sur Ajouter un hte, sur OK, puis sur Termin.
Tche 3 : Vrifier la rplication des nouveaux enregistrements sur LON-SVR1

1.
Sur LON-SVR1, dans la console du Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.
2.
Dans la console du Gestionnaire DNS, dveloppez LON-SVR1, dveloppez Zones de recherche

directes, puis cliquez sur Adatum.com.
3.
Assurez-vous que les enregistrements de ressources www et ftp s'affichent. (S'ils ne s'affichent
pas, cliquez avec le bouton droit sur Adatum.com, puis cliquez sur Actualiser). L'affichage des
enregistrements peut prendre quelques minutes.
L7-43
Tche 4 : Utilisez la commande ping pour localiser de nouveaux enregistrements

de LON-CL1
1.
Sur LON-CL1, cliquez avec le bouton droit sur la barre des tches, puis cliquez sur Gestionnaire
des tches.
2.
Dans la fentre du Gestionnaire des tches, cliquez sur Plus de dtails.
3.
Ouvrez le menu Fichier, puis cliquez sur Excuter une nouvelle tche.
4.
Dans la fentre Crer une tche, tapez cmd, puis appuyez sur Entre.
5.
Dans la fentre d'invite de commandes, l'invite de commandes, tapez ping www.adatum.com,

6.
Assurez-vous que le nom est rsolu en 172.16.0.200. (Vous ne recevrez pas de rponses.)
7.
l'invite de commandes, tapez ping ftp.adatum.com, puis appuyez sur Entre.
8.
Assurez-vous que ce nom est rsolu en 172.16.0.201. (Vous ne recevrez pas de rponses.)
9.
Laissez la fentre d'invite de commandes ouverte.
Rsultats : Aprs avoir termin cet exercice, vous aurez configur les enregistrements DNS.
Exercice 3 : Gestion du cache d'un serveur DNS

Tche 1 : Utiliser la commande ping pour localiser un enregistrement Internet
de LON-CL1
L7-44
1.
Sur LON-CL1, dans la fentre d'invite de commandes, l'invite de commandes, tapez ping
www.nwtraders.msft, puis appuyez sur Entre.
2.
Le test ping ne fonctionnera pas, mais assurez-vous que le nom est rsolu en adresse IP 172.16.0.100.
3.
Laissez la fentre d'invite de commandes ouverte.
Tche 2 : Mettre jour un enregistrement Internet pour pointer vers l'adresse IP

de LON-DC1
1.
Sur LON-DC1, ouvrez le Gestionnaire DNS.
2.
Dans la console du Gestionnaire DNS, dveloppez LON-DC1, dveloppez Zones de recherche

directes, puis cliquez sur nwtraders.msft.
3.
Dans le volet droit, cliquez avec le bouton droit sur www, puis cliquez sur Proprits.
4.
Remplacez l'adresse IP par 172.16.0.10, puis cliquez sur OK.
5.
Rebasculez vers LON-CL1.
6.
Dans la fentre d'invite de commandes, l'invite de commandes, tapez ping www.nwtraders.msft,

puis appuyez sur Entre. Notez que la commande ping ne fonctionnera pas et que l'ancienne
adresse IP (172.16.0.100) continuera s'afficher.
Tche 3 : Examiner le contenu du cache DNS

1.
2.
Dans la console du Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.
3.
Cliquez sur LON-SVR1, sur le menu Affichage, puis sur Affichage dtaill.
4.
Dveloppez LON-SVR1, dveloppez le nud Recherches mises en cache, dveloppez .(racine),

dveloppez msft, puis cliquez sur nwtraders.
5.
Dans le volet droit, examinez le contenu mis en cache. Vous verrez que l'enregistrement www
a l'adresse IP suivante : 172.16.0.100.
6.
7.
Dans la fentre d'invite de commandes, l'invite de commandes, tapez ipconfig/displaydns,

8.
Recherchez les entres mises en cache. Vous remarquerez que www.nwtraders.msft est rsolu
en 172.16.0.100.
Tche 4 : Vider le cache et ressayer la commande ping
L7-45
1.
2.
l'invite Windows PowerShell, tapez Clear-DNSServerCache, puis appuyez sur Entre. Tapez o,
3.
4.
Dans une fentre d'invite de commandes, l'invite de commandes, tapez ping

www.nwtraders.msft, puis appuyez sur Entre. L'ancienne adresse IP continue d'tre retourne.
5.
Dans une fentre d'invite de commandes, tapez ipconfig /flushdns, puis appuyez sur Entre.
6.
Dans la fentre d'invite de commandes, tapez ping www.nwtraders.msft, puis appuyez sur Entre.
7.
Le test ping doit maintenant fonctionner sur l'adresse 172.16.0.10.
Rsultats : la fin de cet exercice, vous aurez examin le cache du serveur DNS.
comme suit :
1.
2.
sur Rtablir.
3.
4.
L8-47
Module 8 : Implmentation d'IPv6

Exercice 1 : Configuration d'un rseau IPv6
Tche 1 : Vrifier le routage IPv4
1.
2.
l'invite Windows PowerShell, tapez ping lon-dc1, puis appuyez sur Entre. Remarquez qu'il
y a quatre rponses reues de 172.16.0.10.
3.
Tapez ipconfig, puis appuyez sur Entre.
4.
Vrifiez que la seule adresse IPv6 rpertorie est une adresse de liaison locale qui ne peut
pas tre route.
Tche 2 : Dsactiver le protocole IPv6 sur LON-DC1

1.
Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Serveur local.
2.
Dans la fentre Proprits, en regard Connexion au rseau local, cliquez sur 172.16.0.10,
Compatible IPv6.
3.
4.
Dans la bote de dialogue Proprits de Connexion au rseau local, dsactivez la case cocher
Protocole Internet version 6 (TCP/IPv6), puis cliquez sur OK.
5.
Fermez la fentre Connexions rseau.
6.
Dans le Gestionnaire de serveur, vrifiez que Connexion au rseau local rpertorie seulement
172.16.0.10. Il se peut que vous deviez actualiser l'affichage. prsent, LON-DC1 est un hte
IPv4-uniquement.
Tche 3 : Dsactiver le protocole IPv4 sur LON-SVR2

1.
Sur LON-SVR2, dans le Gestionnaire de serveur, cliquez sur Serveur local.
2.
Dans la bote de dialogue PROPRITS du serveur local, en regard de Connexion au rseau local,
cliquez sur 10.10.0.24, Compatible IPv6.
3.
4.
Dans la bote de dialogue Proprits de Connexion au rseau local, dsactivez la case cocher
Protocole Internet version 4 (TCP/IPv4), puis cliquez sur OK.
5.
6.
Dans le Gestionnaire de serveur, vrifiez qu' prsent Connexion au rseau local mentionne
seulement Compatible IPv6. Il se peut que vous deviez actualiser l'affichage. prsent, LON-SVR2
est un hte IPv6-uniquement.
Tche 4 : Configurer un rseau IPv6 sur LON-RTR

1.
Sur LON-RTR, dans la barre des tches, cliquez sur l'icne Windows PowerShell.
2.
Configurez une adresse rseau qui sera utilise sur le rseau IPv6. l'invite Windows PowerShell,
tapez l'applet de commande suivante, puis appuyez sur Entre :
New-NetRoute -InterfaceAlias "Connexion au rseau local 2" -DestinationPrefix
2001:db8:0:1::/64 -Publish Yes
3.
Autorisez les clients obtenir l'adresse de rseau IPv6 automatiquement partir de LON-RTR.
l'invite Windows PowerShell, tapez l'applet de commande suivante, puis appuyez sur Entre :
Set-NetIPInterface -InterfaceAlias "Connexion au rseau local 2" -AddressFamily IPv6
-Advertising Enabled
4.
Tapez ipconfig, puis appuyez sur Entre. Notez que la connexion au rseau local 2 a dsormais
une adresse IPv6 sur le rseau 2001:db8:0:1::/64. Cette adresse est utilise pour la communication
sur le rseau IPv6-uniquement.
Tche 5 : Vrifier IPv6 sur LON-SVR2
L8-48
1.
2.
l'invite Windows PowerShell, saisissez ipconfig, puis appuyez sur Entre. Notez que la connexion
au rseau local a maintenant une adresse IPv6 sur le rseau 2001:db8:0:1::/64. L'adresse rseau a t
obtenue partir du routeur via la configuration sans tat.
Rsultats : la fin de cet exercice, les stagiaires auront configur un rseau IPv6-uniquement.
Exercice 2 : Configuration d'un routeur ISATAP

Tche 1 : Ajouter un enregistrement d'hte ISATAP au DNS
1.
Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DNS.
2.
Dans le Gestionnaire DNS, dveloppez successivement LON-DC1 et Zones de recherche directes,

puis cliquez sur Adatum.com.
3.
Cliquez avec le bouton droit sur Adatum.com, puis cliquez sur Nouvel hte (A ou AAAA).
4.
Dans la fentre Nouvel hte, dans la zone Nom, tapez ISATAP.
5.
Dans la zone Adresse IP, tapez 172.16.0.1, puis cliquez sur Ajouter un hte. Les clients ISATAP
rsolvent ce nom d'hte pour rechercher le routeur ISATAP.
6.
Cliquez sur OK pour effacer le message de russite.
7.
Cliquez sur Termin pour fermer la fentre Nouvel hte.
8.
Fermez le Gestionnaire DNS.
L8-49
Tche 2 : Activer le routeur ISATAP sur LON-RTR

1.
Sur LON-RTR, configurez l'adresse IP de la connexion au rseau local en tant que routeur ISATAP.
Set-NetIsatapConfiguration -Router 172.16.0.1
2.

Get-NetIPAddress | Format-Table InterfaceAlias,InterfaceIndex,IPv6Address
3.
Enregistrez l'InterfaceIndex de l'interface ISATAP qui a une adresse IPv6 comprenant 172.16.0.1.
Index d'interface :
4.

Get-NetIPInterface -InterfaceIndex IndexYouRecorded -PolicyStore ActiveStore |
Format-List
5.
Vrifiez que la fonctionnalit de transfert est active pour l'interface et que la fonctionnalit
d'annonce est dsactive.
6.
L'interface ISATAP d'un routeur ISATAP doit avoir la fonctionnalit de transfert active et la
fonctionnalit d'annonce dsactive. Tapez la commande suivante, puis appuyez sur Entre :
Set-NetIPInterface -InterfaceIndex IndexYouRecorded -Advertising Enabled
7.
Crez un nouveau rseau IPv6 qui sera utilis pour le rseau ISATAP. Tapez la commande suivante,
puis appuyez sur Entre :
New-NetRoute -InterfaceIndex IndexYouRecorded -DestinationPrefix 2001:db8:0:2::/64 Publish Yes
8.
Affichez la configuration des adresses IP pour l'interface ISATAP. Tapez la commande suivante, puis
appuyez sur Entre :
Get-NetIPAddress -InterfaceIndex IndexYouRecorded
9.
Vrifiez qu'une adresse IPv6 est liste sur le rseau 2001:db8:0:2::/64.
Tche 3 : Supprimer ISATAP de la liste rouge de requtes globales

1.
Sur LON-DC1, l'invite Windows PowerShell, tapez regedit, puis appuyez sur Entre.
2.
Dans la fentre diteur du Registre, dveloppez HKEY_LOCAL_MACHINE, dveloppez SYSTEM,

dveloppez CurrentControlSet, dveloppez Services, dveloppez DNS, cliquez sur Parameters,
et double-cliquer sur GlobalQueryBlockList.
3.
Dans la fentre Modifier les chanes multiples, supprimez isatap, puis cliquez sur OK.
4.
Si une erreur indiquant qu'il y avait une chane vide s'affiche, cliquez sur OK pour continuer.
5.
Fermez l'diteur du Registre.
6.
l'invite Windows PowerShell, tapez Restart-Service DNS -Verbose et appuyez sur Entre.
7.
Tapez ping isatap, puis appuyez sur Entre. Le nom devrait se rsoudre et vous devriez recevoir
quatre rponses de 172.16.0.1.
Tche 4 : Activer LON-DC1 en tant que client ISATAP

1.
Sur LON-DC1, l'invite Windows PowerShell, tapez la commande suivante et appuyez sur Entre :
Set-NetIsatapConfiguration -State Enabled
2.
Tapez ipconfig, puis appuyez sur Entre.
3.
Vrifiez que la carte tunnel pour ISATAP a une adresse IPv6 sur le rseau 2001:db8:0:2/64. Notez
que cette adresse comprend l'adresse IPv4 de LON-DC1.
Tche 5 : Tester la connectivit

1.
Sur LON-SVR2, l'invite Windows PowerShell, tapez la commande suivante et appuyez sur Entre :
ping 2001:db8:0:2:0:5efe:172.16.0.10
L8-50
2.
Dans le Gestionnaire de serveur, si ncessaire, cliquez sur Serveur local.
3.
Dans la bote de dialogue PROPRITS du serveur local, en regard de Connexion au rseau local,
cliquez sur Compatible IPv6.
4.
5.
Dans la bote de dialogue Proprits de Connexion au rseau local, cliquez sur Protocole Internet
version 6 (TCP/IPv6),, puis sur Proprits.
6.
Dans la bote de dialogue Proprits de : Protocole Internet version 6 (TCP/IPv6), cliquez sur
Utiliser l'adresse de serveur DNS suivante.
7.
Dans la zone Serveur DNS prfr, tapez 2001:db8:0:2:0:5efe:172.16.0.10, puis cliquez sur OK.
8.
Dans la bote de dialogue Proprits de connexion au rseau local, cliquez sur Fermer.
9.
10. l'invite Windows PowerShell, tapez ping LON-DC1, puis appuyez sur Entre. Remarquez
que quatre rponses sont reues de LON-DC1.
Remarque : Une commande ping de LON-DC1 LON-SVR2 ne rpond pas, parce que la
configuration du pare-feu sur LON-SVR2 bloque les demandes ping.
Rsultats : la fin de cet exercice, les stagiaires auront configur un routeur ISATAP sur LON-RTR
pour permettre la communication entre un rseau IPv6-uniquement et un rseau IPv4-uniquement.
comme suit :
1.
2.
3.
4.
L9-51
Module 9 : Implmentation d'un systme de stockage local

d'un systme de stockage local
Exercice 1 : Installation et configuration d'un nouveau disque
Tche 1 : Initialiser un nouveau disque
1.
Connectez-vous LON-SVR1 avec le nom d'utilisateur ADATUM\Administrateur et le mot

de passe Pa$$w0rd.
2.
Dans le Gestionnaire de serveur, cliquez sur le menu Outils, puis sur Gestion de l'ordinateur.
3.
Dans la console Gestion de l'ordinateur, sous le nud Stockage, cliquez sur Gestion des disques.
4.
Dans le volet Disques, cliquez avec le bouton droit sur Disque 2, puis cliquez sur En ligne.
5.
Cliquez avec le bouton droit sur Disque 2, puis cliquez sur Initialiser le disque.
6.
Dans la bote de dialogue Initialiser le disque, vrifiez que la case cocher Disque 2 est
slectionn, assurez-vous que les cases cocher de tous les autres disques sont dsactives,
cliquez sur Partition GPT (GUID Partition Table), puis sur OK.
Tche 2 : Crer et formater deux volumes simples sur le disque

1.
Dans la console Gestion de l'ordinateur, dans Gestion des disques, cliquez avec le bouton droit
sur la zone noire droite de Disque2, puis cliquez sur Nouveau volume simple.
2.
Dans l'Assistant Cration d'un volume simple, sur la page Assistant Cration d'un volume simple,
3.
Sur la page Spcifier la taille du volume, dans le champ Taille du volume simple en Mo,
tapez 4000, puis cliquez sur Suivant.
4.
Sur la page Attribuer une lettre de lecteur ou de chemin d'accs, assurez-vous que la case
cocher Attribuer la lettre de lecteur suivante est active et que la lettre F est slectionne
dans le menu droulant, puis cliquez sur Suivant.
5.
Sur la page Formater une partition, dans le menu droulant Systme de fichiers, cliquez sur NTFS,
dans la zone de texte Nom de volume, tapez Volume1, puis cliquez sur Suivant.
6.
Sur la page Fin de l'Assistant Cration d'un volume simple, cliquez sur Terminer.
7.
Dans la fentre Gestion de l'ordinateur, cliquez avec le bouton droit sur la zone noire droite
de Disque2, puis cliquez sur Nouveau volume simple.
8.
Dans l'Assistant Cration d'un volume simple, sur la page Assistant Cration d'un volume simple,
9.
Sur la page Spcifier la taille du volume, dans le champ Taille du volume simple en Mo,
tapez 5000, puis cliquez sur Suivant.
10. Sur la page Attribuer une lettre de lecteur ou de chemin d'accs, assurez-vous que la case
cocher Attribuer la lettre de lecteur suivante est active et que la lettre G est slectionne
dans la liste droulante, puis cliquez sur Suivant.
11. Sur la page Formater une partition, dans le menu droulant Systme de fichiers, cliquez sur ReFS,
dans la zone de texte Nom de volume, tapez Volume2, puis cliquez sur Suivant.
12. Sur la page Fin de l'Assistant Cration d'un volume simple, cliquez sur Terminer.
Tche 3 : Vrifier la lettre de lecteur dans une fentre de l'Explorateur de fichiers

1.
Sur la barre des tches, ouvrez une fentre de l'Explorateur de fichiers, dveloppez Ordinateur,
puis cliquez sur Volume1 (F:).
2.
Dans l'Explorateur de fichiers, cliquez sur Volume2 (G:), cliquez avec le bouton droit sur
Volume2 (G:), pointez sur Nouveau, puis cliquez sur Dossier.
3.
Dans le champ Nouveau dossier, tapez Dossier1, puis appuyez sur Entre.
L9-52
Rsultats : la fin de cet exercice, vous devez avoir initialis un nouveau disque, cr deux volumes
simples et les avoir formats. Vous devez galement avoir vrifi que les lettres de lecteur sont disponibles
dans l'Explorateur de fichiers.
Exercice 2 : Redimensionnement des volumes

Tche 1 : Rduire Volume1
1.
Sur LON-SVR1, passez la console Gestion de l'ordinateur.
2.
Dans la console Gestion de l'ordinateur, dans Gestion des disques, dans le volet central,
cliquez avec le bouton droit sur Volume1 (F:), puis cliquez sur Rduire le volume.
3.
Dans la fentre Rduire F:, dans le champ Quantit d'espace rduire (en Mo) :, tapez 1 000,
puis cliquez sur Rduire.
Tche 2 : tendre Volume2

1.
Sur LON-SVR1, dans Gestion des disques, dans le volet central, cliquez avec le bouton droit
sur Volume2 (G:), puis cliquez sur tendre le volume.
2.
Dans l'Assistant Extension du volume, sur la page Bienvenue !, cliquez sur Suivant.
3.
Sur la page Slectionner les disques, dans le champ Slectionnez l'espace en Mo, tapez 1 000,
4.
Sur la page Fin de l'Assistant Extension du volume, cliquez sur Terminer.
5.
Dans une fentre de l'Explorateur de fichiers, cliquez sur Volume2 (G:), et vrifiez que Dossier1
est disponible sur le volume.
Rsultats : la fin de cet exercice, vous devez avoir rduit un volume et tendu un autre.
Exercice 3 : Configuration d'un espace de stockage redondant

Tche 1 : Crer un pool de stockage partir de cinq disques connects au serveur
1.
Sur LON-SVR1, cliquez sur l'icne du Gestionnaire de serveur dans la barre des tches.
2.
Dans le Gestionnaire de serveur, dans le volet gauche, cliquez sur Service de fichiers et de stockage,
puis dans le volet Serveurs, cliquez sur Pools de stockage.
3.
Dans le volet POOLS DE STOCKAGE, cliquez sur TCHES, puis dans le menu droulant TCHES,
cliquez sur Nouveau pool de stockage.
L9-53
4.
Dans la fentre de l'Assistant Nouveau pool de stockage, sur la page Avant de commencer,
5.
Sur la page Indiquer un pool de stockage et son sous-systme, dans la zone Nom,
tapez StoragePool1, puis cliquez sur Suivant.
6.
Sur la page Slectionner les disques physiques pour le pool de stockage, cliquez sur les disques
physiques suivants, puis cliquez sur Suivant.
o
7.
Sur la page Confirmer les slections, cliquez sur Crer.
8.
Sur la page Afficher les rsultats, attendez que la tche soit termine, puis cliquez sur Fermer.
Tche 2 : Crer un disque virtuel en miroir triple

1.
Sur LON-SVR1, dans le Gestionnaire de serveur, dans le volet Espaces de stockage, cliquez
sur StoragePool1.
2.
Dans le volet DISQUES VIRTUELS, cliquez sur TCHES, puis dans le menu droulant TCHES,
cliquez sur Nouveau disque virtuel.
3.
Dans la fentre de l'Assistant Nouveau disque dur virtuel, sur la page Avant de commencer,
4.
Sur la page Slectionner le pool de stockage, cliquez sur StoragePool1, puis sur Suivant.
5.
Sur la page Spcifier le nom du disque virtuel, dans la zone Nom, tapez Disque en miroir,
6.
Sur la page Slectionner la disposition de stockage, dans la liste Disposition, cliquez sur Mirror,
puis sur Suivant.
7.
Sur la page Configurer les paramtres de rsilience, cliquez sur Miroir triple, puis cliquez
sur Suivant.
8.
Sur la page Spcifer le type d'approvisionnement, cliquez sur Fin, puis sur Suivant.
9.
Sur la page Spcifier la taille du disque virtuel, dans la zone Taille du disque virtuel, tapez 10,
10. Sur la page Confirmer les slections, cliquez sur Crer.

11. Sur la page Afficher les rsultats, attendez que la tche soit termine. Assurez-vous que la case
cocher Crer un volume lorsque l'Assistant se ferme est active, puis cliquez sur Fermer.
12. Dans la fentre de l'Assistant Nouveau volume, sur la page Avant de commencer, cliquez sur
Suivant.
13. Sur la page Slectionner le serveur et le disque, dans le volet Disque, cliquez sur le disque virtuel
Disque en miroir, puis cliquez sur Suivant.
14. Sur la page Spcifier la taille du volume, cliquez sur Suivant pour confirmer la slection par dfaut.
15. Sur la page Affecter la lettre d'un lecteur ou un dossier, dans le menu droulant Lettre
de lecteur, assurez-vous que la lettre H est slectionne, puis cliquez sur Suivant.
L9-54
16. Sur la page Slectionner les paramtres du systme de fichiers, dans le menu droulant Systme
de fichiers, cliquez sur ReFS, et dans la zone Nom de volume, tapez Volume en miroir,
17. Sur la page Confirmer les slections, cliquez sur Crer.
18. Sur la page Dernire tape, attendez que la cration soit termine, puis cliquez sur Fermer.
Tche 3 : Copier un fichier sur le volume et vrifier qu'il est visible

dans l'Explorateur de fichiers
1.
Cliquez sur l'cran d'accueil, tapez invite de commandes, puis appuyez sur Entre.
2.
Dans la fentre d'invite de commandes, l'invite de commandes, tapez la commande suivante,

puis appuyez sur Entre :
Copy C:\windows\system32\write.exe H:\
3.
4.
Dans la barre des tches, cliquez sur l'icne de l'Explorateur de fichiers.
5.
Dans la fentre de l'Explorateur de fichiers, cliquez sur Volume en miroir (H:).
6.
Vrifiez que write.exe figure dans la liste des fichiers.
7.
Tche 4 : Supprimer un disque physique

1.
Sur l'ordinateur hte, dans le Gestionnaire Hyper-V, dans le volet Ordinateurs virtuels, cliquez avec
le bouton droit sur 22410B-LON-SVR1, puis sur Paramtres.
2.
Dans les paramtres de 22410B-LON-SVR1, dans le volet de matriel, cliquez sur le disque dur
qui commence par 22410B-LON-SVR1-Disk5.
3.
Dans le volet de disque dur, cliquez sur Retrier et sur Appliquer. Dans la bote de dialogue
des paramtres, cliquez sur Appliquer, sur Continuer, puis sur OK.
Tche 5 : Vrifier que le fichier write.exe est toujours accessible

1.
2.
3.
Dans la fentre de l'Explorateur de fichiers, cliquez sur Volume en miroir (H:).
4.
Dans le volet de liste de fichiers, vrifiez que write.exe est toujours accessible.
5.
6.
sur le bouton Actualiser Pools de stockage . Notez l'avertissement qui s'affiche en regard
de Disque en miroir.
7.
Dans le volet DISQUE VIRTUEL, cliquez avec le bouton droit sur Disque en miroir, puis cliquez
sur Proprits.
8.
Dans la bote de dialogue Proprits de Disque en miroir, dans le volet gauche, cliquez sur
Intgrit. Notez que l'tat d'intgrit signale un avertissement. L'tat oprationnel doit indiquer
Incomplet, Inconnu ou Dtrior.
9.
Cliquez sur OK pour fermer la bote de dialogue Proprits de Disque en miroir.
Tche 6 : Ajouter un disque au pool de stockage et supprimer un disque

endommag
L9-55
1.
2.
sur le bouton Actualiser Pools de stockage .
3.
Dans le volet POOLS DE STOCKAGE, cliquez avec le bouton droit sur StoragePool1, puis cliquez
sur Ajouter un disque physique.
4.
Dans la fentre Ajouter un disque physique, cliquez sur PhysicalDisk8 (LON-SVR1), puis cliquez
sur OK.
5.
Dans le volet DISQUES PHYSIQUES, cliquez avec le bouton droit sur le disque en regard duquel
s'affiche un avertissement, puis cliquez sur Supprimer le disque.
6.
Aprs avoir cliqu sur Oui, dans la fentre contextuelle Supprimer un disque physique, cliquez sur Oui
deux reprises.
7.
Dans le volet POOLS DE STOCKAGE, sur la barre de menus, cliquez sur le bouton Actualiser Pools
de stockage pour faire disparatre les avertissements.
Rsultats : la fin de cet exercice, vous devez avoir cr un pool de stockage et lui avoir ajout cinq
disques. Vous devez ensuite avoir cr un disque virtuel en miroir triple allou dynamiquement partir
du pool de stockage. Vous devez galement avoir copi un fichier sur le nouveau volume et vrifi qu'il
est accessible. Ensuite, aprs avoir supprim un disque physique, vous devez avoir vrifi que le disque
virtuel tait toujours disponible et accessible. Enfin, vous devez avoir ajout un autre disque physique
au pool de stockage.
comme suit :
1.
2.
Dans la liste des ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-DC1, puis cliquez
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-SVR1.
L10-57
Module 10 : Implmentation des services de fichier

et d'impression

des services de fichier et d'impression
Exercice 1 : Cration et configuration d'un partage de fichiers
Tche 1 : Crer l'arborescence du nouveau partage
1.
Sur LON-SVR1, dans la barre des tches, cliquez sur l'icne de l'Explorateur de fichiers.
2.
Dans une fentre de l'Explorateur de fichiers, dans le volet de navigation, dveloppez Ordinateur,
puis cliquez sur Allfiles (E:).
3.
Dans la barre d'outils Menu, cliquez sur Accueil, cliquez sur Nouveau dossier, tapez Donnes
et appuyez sur Entre.
4.
Double-cliquez sur le dossier Donnes.
5.
Dans la barre d'outils Menu, cliquez sur Accueil, cliquez sur Nouveau dossier, tapez Development
et appuyez sur Entre.
6.
Rptez l'tape 5 pour les nouveaux noms de dossiers suivants :
Marketing
Research
Sales
Tche 2 : Configurer des autorisations NTFS sur l'arborescence

1.
Dans l'Explorateur de fichiers, accdez au lecteur E, cliquez avec le bouton droit sur le dossier
Donnes, puis cliquez sur Proprits.
2.
Dans la bote de dialogue Proprits de : Donnes, cliquez sur Scurit, puis sur Avanc.
3.
Dans la fentre Paramtres de scurit avancs pour Donnes, cliquez sur Dsactiver l'hritage.
4.
Dans la fentre Bloquer l'hritage, cliquez sur Convertir les autorisations hrites en autorisations
explicites sur cet objet.
5.
Cliquez sur OK pour fermer la fentre Paramtres de scurit avancs pour Donnes.
6.
Cliquez sur OK pour fermer la bote de dialogue Proprits de : Donnes.
7.
Dans l'Explorateur de fichiers, double-cliquez sur le dossier Donnes.
8.
Cliquez avec le bouton droit sur le dossier Development, puis cliquez sur Proprits.
9.
Dans la fentre Proprits de Development, cliquez sur Scurit, puis sur Avanc.
10. Dans la fentre Paramtres de scurit avancs pour Development, cliquez sur Dsactiver l'hritage.
L10-58
11. Dans la fentre Bloquer l'hritage, cliquez sur Convertir les autorisations hrites en autorisations
explicites sur cet objet.
12. Supprimez les deux entres d'autorisations pour les utilisateurs (LON-SVR1\Utilisateur), puis cliquez
sur OK.
13. Dans l'onglet Scurit, cliquez sur Modifier.
14. Dans la fentre Autorisations pour Development, cliquez sur Ajouter.
15. Tapez Development, cliquez sur Vrifier les noms, puis cliquez sur OK.
16. Activez la case cocher pour Autoriser Modification dans la section Autorisations
pour Development.
17. Cliquez sur OK pour fermer la fentre Autorisations pour Development.
18. Cliquez sur OK pour fermer la fentre Proprits de Development.
19. Rptez les tapes 8 18 pour les dossiers Marketing, Research et Sales, en attribuant
les autorisations Modification aux groupes Marketing, Research et Sales pour leurs dossiers
respectifs.
Tche 3 : Crer le dossier partag

1.
Dans l'Explorateur de fichiers, accdez au lecteur E, cliquez avec le bouton droit sur le dossier
Donnes, puis cliquez sur Proprits.
2.
Dans la bote de dialogue Proprits de : Donnes, cliquez sur l'onglet Partage, puis cliquez
sur Partage avanc.
3.
Dans la fentre Partage avanc, activez la case cocher Partager ce dossier, puis cliquez
sur Autorisations.
4.
Dans la fentre Autorisations pour Donnes, cliquez sur Ajouter.
5.
Tapez Utilisateurs authentifis, cliquez sur Vrifier les noms, puis cliquez sur OK.
6.
Dans la fentre Autorisations pour Donnes, cliquez sur Utilisateurs authentifis, puis activez
la case cocher Autoriser pour l'autorisation Modification.
7.
Cliquez sur OK pour fermer la fentre Autorisations pour Donnes.
8.
Cliquez sur OK pour fermer la fentre Partage avanc.
9.
Cliquez sur Fermer pour fermer la bote de dialogue Proprits de : Donnes.
Tche 4 : Tester l'accs au dossier partag

1.

Remarque : Bernard est membre du groupe Development.
2.
Dans l'cran d'accueil, cliquez sur la vignette Bureau.
3.
4.
Dans l'Explorateur de fichiers, dans la barre d'adresses, tapez \\LON-SVR1\Donnes et appuyez

sur Entre.
5.
L10-59
Double-cliquez sur le dossier Development.

Remarque : Bernard doit avoir accs au dossier Development.
6.
Essayez d'accder aux dossiers Marketing, Research et Sales. Les autorisations NTFS sur ces dossiers
vous en empcheront.
Remarque : Bernard peut encore voir les autres dossiers, mme s'il n'a pas accs leur
contenu.
7.
Tche 5 : Activer l'numration base sur l'accs

1.
2.
Dans la barre des tches, cliquez sur l'icne du Gestionnaire de serveur.
3.
Dans le Gestionnaire de serveur, dans le volet de navigation, cliquez sur Services de fichiers
et de stockage.
4.
Dans la page Services de fichiers et de stockage, dans le volet de navigation, cliquez sur Partages.
5.
Dans le volet Partages, cliquez avec le bouton droit sur Donnes, puis cliquez sur Proprits.
6.
Cliquez sur Paramtres, puis activez la case cocher Activer l'numration base sur l'accs.
7.
Cliquez sur OK pour fermer la bote de dialogue Proprits de Donnes.
8.
Tche 6 : Tester l'accs au partage

1.
2.
Cliquez sur la vignette Bureau.
3.
4.
Dans l'Explorateur de fichiers, dans la barre d'adresses, tapez \\LON-SVR1\Donnes et appuyez

sur Entre.
Remarque : Bernard peut prsent visualiser uniquement le dossier Development,

le dossier pour lequel des autorisations lui ont t attribues.
5.
Double-cliquez sur le dossier Development.

Remarque : Bernard doit avoir accs au dossier Development.
6.
Tche 7 : Dsactiver les fichiers hors connexion pour le partage

1.
2.
L10-60
3.
Dans l'Explorateur de fichiers, accdez au lecteur Allfiles (E:), cliquez avec le bouton droit
sur le dossier Donnes, puis cliquez sur Proprits.
4.
Dans la bote de dialogue Proprits de Donnes, cliquez sur l'onglet Partage, sur Partage avanc,
puis sur Mise en cache.
5.
Dans la fentre Paramtres hors connexion, cliquez sur Aucun fichier ou programme du dossier
partag n'est disponible hors connexion, puis cliquez sur OK.
6.
Cliquez sur OK pour fermer la fentre Partage avanc.
7.
Cliquez sur Fermer pour fermer la bote de dialogue Proprits de Donnes.
Rsultats : la fin de cet exercice, vous aurez cr un nouveau dossier partag l'usage de plusieurs
services.
Exercice 2 : Configuration de clichs instantans

Tche 1 : Configurer des clichs instantans pour le partage de fichiers
1.
2.
3.
Accdez au lecteur E, cliquez avec le bouton droit sur Allfiles (E:), puis cliquez sur Configurer
les clichs instantans.
4.
Dans la bote de dialogue Proprits de Allfiles (E:), dans l'onglet Clichs instantans,
cliquez sur le lecteur E, puis cliquez sur Activer.
5.
Dans la bote de dialogue Activer les clichs instantans, cliquez sur Oui.
6.
Dans la bote de dialogue Proprits de Allfiles (E:), dans l'onglet Clichs instantans,
cliquez sur Paramtres.
7.
Dans la bote de dialogueParamtres, cliquez sur Planifier. La bote de dialogue du lecteur E

s'affiche.
8.
Dans la bote de dialogue du lecteur Allfiles (E:), modifiez le paramtre Tche planifie en spcifiant
Tous les jours, spcifiez l'heure de dbut 12:00, puis cliquez sur Avanc.
9.
Dans la bote de dialogue Options de planification avances, slectionnez Rpter la tche,

puis dfinissez la frquence sur Toutes les 1 heures.
10. Slectionnez Heure et spcifiez la valeur horaire 23:59.

11. Cliquez sur OK deux reprises.
12. Cliquez sur OK pour fermer la bote de dialogue Paramtres.
13. Laissez ouverte la bote de dialogue Proprits de Allfiles (E:) ; elle sera ouverte dans l'onglet
Clichs instantans.
Tche 2 : Crer plusieurs clichs instantans d'un fichier

1.
2.
3.
Accdez au dossier E:\Donnes\Development.
L10-61
4.
Dans la barre d'outils Menu, cliquez sur Accueil, sur Nouvel lment, puis sur Document texte.
5.
Tapez Report et appuyez sur Entre.
6.
Revenez la bote de dialogue Proprits de Allfiles (E:) ; elle devrait tre encore ouverte dans
l'onglet Clichs instantans. Cliquez sur Crer.
Tche 3 : Rcuprer un fichier supprim partir d'un clich instantan

1.
Sur LON-SVR1, revenez la fentre de l'Explorateur de fichiers.
2.
Cliquez avec le bouton droit sur Report.txt, puis cliquez sur Supprimer.
3.
Dans l'Explorateur de fichiers, cliquez avec le bouton droit sur le dossier Development,
4.
Dans la bote de dialogue Proprits de Development, cliquez sur l'onglet Versions prcdentes.
5.
Cliquez sur la version la plus rcente du dossier pour Development, puis cliquez sur Ouvrir.
6.
Confirmez que le fichier Report.txt se trouve dans le dossier, cliquez avec le bouton droit
sur Report.txt, puis cliquez sur Copier.
7.
Fermez la fentre de l'Explorateur de fichiers qui vient de s'ouvrir.
8.
Dans la fentre de l'Explorateur de fichiers, cliquez avec le bouton droit sur le dossier Development,
puis cliquez sur Coller.
9.
10. Cliquez sur OK et fermez toutes les fentres ouvertes.
Rsultats : la fin de cet exercice, vous aurez activ des clichs instantans sur le serveur de fichiers.
Exercice 3 : Cration et configuration d'un pool d'imprimantes

Tche 1 : Installer le rle serveur Services d'impression et de numrisation
de document
1.
Sur LON-SVR1, dans la barre des tches, cliquez sur le raccourci Gestionnaire de serveur.
2.
Dans le Gestionnaire de serveur, dans la barre d'outils Menu, cliquez sur Grer.
3.
Cliquez sur Ajouter des rles et fonctionnalits, puis sur Suivant.
4.
Cliquez sur Installation base sur un rle ou une fonctionnalit, puis sur Suivant.
5.
Dans la page Slectionner le serveur de destination, cliquez sur le serveur o vous souhaitez
installer les services d'impression et de numrisation de document. Le serveur par dfaut est
le serveur local. Cliquez sur Suivant.
6.
Dans la page Slectionner des rles de serveurs, activez la case cocher Services de documente
et d'impression. Dans la fentre Assistant Ajout de rles et de fonctionnalits, cliquez sur Ajouter
des fonctionnalits, puis cliquez sur Suivant dans la fentre Slectionner des rles de serveurs
7.
Dans la page Slectionner des fonctionnalits, cliquez sur Suivant.
8.
Dans la page Services de documente et d'impression, examinez les remarques destines

l'administrateur, puis cliquez sur Suivant.
9.
Dans la page Slectionner des services de rle, cliquez sur Suivant jusqu' ce que la page
Confirmer les slections d'installation s'affiche. Cliquez sur Installer pour installer les services
de rle requis.
10. Cliquez sur Fermer.
Tche 2 : Installer une imprimante
L10-62
1.
Sur LON-SVR1, dans le Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Gestion
de l'impression.
2.
Dans Dveloppez Serveurs d'impression, dveloppez LON-SVR1, cliquez avec le bouton droit sur
Imprimantes, puis cliquez sur Ajouter une imprimante. L'Assistant Installation d'imprimante rseau
dmarre.
3.
Dans la page Assistant Installation d'imprimante rseau, cliquez sur Ajouter une imprimante TCP/IP
ou de services Web par adresse IP ou nom d'hte, puis cliquez sur Suivant.
4.
Modifiez le type de priphrique en spcifiant Priphrique TCP/IP.
5.
Dans la zone Nom de l'hte ou adresse IP, tapez 172.16.0.200, dsactivez la case cocher
Dtecter automatiquement le pilote d'imprimante utiliser, puis cliquez sur Suivant.
6.
Sous Type de priphrique, cliquez sur Generic Network Card, puis cliquez sur Suivant.
7.
Cliquez sur Installer un nouveau pilote, puis sur Suivant.
8.
Cliquez sur Microsoft comme fabricant ; sous Imprimantes, cliquez sur Microsoft XPS Class Driver,
9.
Modifiez le nom de l'imprimante en spcifiant Imprimante de filiale, puis cliquez sur Suivant.
10. Cliquez sur Suivant deux fois pour accepter le nom d'imprimante et le nom de partage par dfaut,
et pour installer l'imprimante.
11. Cliquez sur Terminer pour fermer l'Assistant Installation d'imprimante rseau.
12. Dans le volet de navigation, cliquez sur Imprimantes si ncessaire, et dans la console de gestion
de l'impression, cliquez avec le bouton droit sur Imprimante de filiale, puis cliquez sur Activer
l'impression directe pour les filiales.
13. Dans la console de gestion de l'impression, cliquez avec le bouton droit sur Imprimante de filiale,
puis slectionnez Proprits.
14. Cliquez sur l'onglet Partage, activez la case cocher Lister dans l'annuaire, puis cliquez sur OK.
Tche 3 : Configurer le pool d'imprimantes

1.
Dans la console de gestion de l'impression, sous LON-SVR1, cliquez avec le bouton droit sur Ports,
puis cliquez sur Ajouter un port.
2.
Dans la fentre Ports d'imprimante, cliquez sur Standard TCP/IP Port, puis cliquez sur Ajouter
un port.
3.
Dans l'Assistant Ajout de port imprimante TCP/IP standard, cliquez sur Suivant.
4.
Dans le champ Nom ou adresse IP de l'imprimante, tapez 172.16.0.201, puis cliquez sur Suivant.
5.
Dans la fentre Informations supplmentaires requises concernant le port, cliquez sur Suivant.
L10-63
6.
Cliquez sur Terminer pour fermer l'Assistant Ajout de port imprimante TCP/IP standard.
7.
Cliquez sur Fermer pour fermer la fentre Ports d'imprimante.
8.
Dans la console de gestion de l'impression, cliquez sur Imprimantes, cliquez avec le bouton droit
sur Imprimante de filiale, puis cliquez sur Proprits.
9.
Dans la page Proprits de Imprimante de filiale, cliquez sur l'onglet Ports, activez la case cocher
Activer le pool d'imprimante, puis cliquez sur le port 172.16.0.201 pour le slectionner comme
deuxime port.
10. Cliquez sur OK pour fermer la page Proprits de Imprimante de filiale.

11. Fermez la console de gestion de l'impression.
Tche 4 : Installer une imprimante sur un ordinateur client

1.
2.
Sur LON-CL1, pointez dans l'angle infrieur gauche de l'cran et cliquez sur l'icne Accueil.
3.
Dans la zone Accueil, tapez Panneau de configuration et appuyez sur Entre.
4.
Dans le Panneau de configuration, sous Matriel et audio, cliquez sur Ajouter un priphrique.
5.
Dans la fentre Ajouter un priphrique, cliquez sur Imprimante de filiale sur LON-SVR1,
puis cliquez sur Suivant. Le priphrique s'installe automatiquement.
comme suit :
1.
2.
Dans la liste Ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-SVR1, puis cliquez
sur Rtablir.
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-CL1 et 22410B-LON-DC1.
Rsultats : la fin de cet exercice, vous aurez install le rle serveur Services de documents
et d'impression et install une imprimante avec le pool d'imprimantes.
L11-65
Module 11 : Implmentation d'une stratgie de groupe

d'une stratgie de groupe
Exercice 1 : Configuration d'un magasin central
Tche 1 : Afficher l'emplacement des modles d'administration dans un objet
1.
Connectez-vous LON-DC1 en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion des stratgies de groupe.
3.
Dans la Console de gestion des stratgies de groupe (GPMC), dveloppez Fort : Adatum.com,
Domaines, Adatum.com, puis le dossier Objets de stratgie de groupe.
4.
Cliquez avec le bouton droit sur Default Domain Policy, puis cliquez sur Modifier.
5.
Dans l'diteur de gestion des stratgies de groupe, dveloppez Default Domain Policy,
Configuration utilisateur, puis Stratgies et cliquez sur Modles d'administration.
6.
Pointez la souris sur le dossier Modles d'administration et notez que l'emplacement est Modles
d'administration : dfinitions de stratgies (fichiers ADMX) rcupres partir de l'ordinateur
local.
7.
Tche 2 : Crer un magasin central

1.
2.
Dans la fentre de l'Explorateur de fichiers, dveloppez Disque local (C :), Windows, SYSVOL,
sysvol, puis Adatum.com et double-cliquez sur Policies.
3.
Dans le volet d'informations, cliquez avec le bouton droit sur une zone vide, cliquez sur Nouveau,
puis sur Dossier.
4.
Nommez le dossier PolicyDefinitions.
Tche 3 : Copier les modles d'administration dans le magasin central

1.
Dans l'Explorateur de fichiers, accdez nouveau C:\Windows et ouvrez le dossier

PolicyDefinitions.
2.
Slectionnez tout le contenu du dossier PolicyDefinitions.
Conseil : cliquez sur le volet d'informations, puis utilisez les touches Ctrl+A pour
slectionner tout le contenu.
3.
Cliquez avec le bouton droit sur la slection, puis cliquez sur Copier.
4.
Dveloppez Disque local (C :), Windows, SYSVOL, sysvol, puis Adatum.com et ouvrez le dossier
PolicyDefinitions.
5.
Cliquez avec le bouton droit sur la zone du dossier vide, puis cliquez sur Coller.
L11-66
Tche 4 : Vrifier l'emplacement des modles d'administration dans la console GPMC

1.
Dans la console GPMC, cliquez avec le bouton droit sur Default Domain Policy, puis cliquez
sur Modifier.
2.
Dans l'diteur de gestion des stratgies de groupe, dveloppez Stratgies, pointez la souris sur
le dossier Modles d'administration et affichez le texte d'information local. Notez qu'il indique
maintenant Modles d'administration : dfinitions de stratgies (fichiers ADMX) rcupres
partir du magasin central.
3.
Rsultats : la fin de cet exercice, vous devez avoir configur un magasin central.
Exercice 2 : Cration d'objets de stratgie de groupe

Tche 1 : Crer un objet de stratgie de groupe Starter par dfaut Restrictions
de Windows Internet Explorer
1.
Dans la console GPMC, cliquez avec le bouton droit sur le dossier Objets GPO Starter,
puis cliquez sur Nouveau.
2.
Dans la bote de dialogue Nouvel objet GPO Starter, dans le champ Nom, tapez Restrictions
d'Internet Explorer et, dans le champ Commentaire, tapez Cet objet de stratgie de groupe
dsactive l'onglet Gnral des Options Internet, puis cliquez sur OK.
Tche 2 : Configurer l'objet de stratgie de groupe Starter Restrictions

d'Internet Explorer
1.
Dans la console GPMC, dveloppez le dossier Objets GPO Starter, cliquez avec le bouton droit
sur l'objet de stratgie de groupe Restrictions d'Internet Explorer, puis cliquez sur Modifier.
2.
Dans l'diteur de gestion des stratgies de groupe, dveloppez Configuration utilisateur,

Modles d'administration, puis cliquez sur Tous les paramtres.
3.
Cliquez avec le bouton droit sur Tous les paramtres, puis cliquez sur Options de filtres.
4.
Dans la bote de dialogue Options de filtres, activez la case cocher Activer les filtres
par mots cls.
5.
Dans le champ Filtrer par le ou les mots : tapez onglet Gnral.
6.
Dans la liste droulante, cliquez sur Exacte, puis cliquez sur OK.
7.
Double-cliquez sur le paramtre Dsactiver l'onglet Gnral, cliquez sur Activ, puis cliquez sur OK.
8.
Tche 3 : Crer un objet de stratgie de groupe Restrictions d'Internet Explorer

partir de l'objet de stratgie de groupe Starter Restrictions d'Internet Explorer
1.
Dans la console GPMC, cliquez avec le bouton droit sur le domaine, Adatum.com, puis cliquez
sur Crer un objet GPO dans ce domaine, et le lier ici.
2.
Dans la bote de dialogue Nouvel objet GPO, dans le champ Nom, tapez Restrictions d'IE.
3.
Sous Objets Starter GPO source, cliquez sur la zone droulante, slectionnez Restrictions
d'Internet Explorer, puis cliquez sur OK.
L11-67
Tche 4 : Tester l'objet de stratgie de groupe pour les utilisateurs du domaine

1.
Connectez-vous LON-CL1 en tant qu'ADATUM\Brad avec le mot de passe Pa$$w0rd.
2.
Pointez la souris sur le coin infrieur droit de l'cran, puis, lorsque la barre latrale s'affiche,
cliquez sur l'icne Rechercher.
3.
Dans la zone de recherche Applications, tapez Panneau de configuration.
4.
Dans les rsultats Applications, cliquez sur Panneau de configuration.
5.
Dans le Panneau de configuration, cliquez sur Rseau et Internet.
6.
Dans la bote de dialogue Rseau et Internet, cliquez sur Modifier la page d'accueil. Une bote
de message s'affiche et vous informe que cette fonctionnalit a t dsactive.
7.
8.
Dans le Panneau de configuration, cliquez sur Options Internet. Vous pouvez remarquer
que dans la bote de dialogue Proprits Internet, l'onglet Gnral ne s'affiche pas.
9.
Fermez toutes les fentres, puis dconnectez-vous.
Tche 5 : Utiliser le filtrage de scurit pour exempter le service informatique

de la stratgie Restrictions d'Internet Explorer
1.
2.
Dans la console GPMC, dveloppez le dossier Objets de stratgie de groupe, puis, dans le volet
gauche, cliquez sur la stratgie Restrictions d'IE.
3.
Dans le volet d'informations, cliquez sur l'onglet Dlgation.
4.
Sous l'onglet Dlgation, cliquez sur le bouton Avanc.
5.
Dans la bote de dialogue Paramtres de scurit pour Restrictions d'IE, cliquez sur Ajouter.
6.
Dans le champ Slectionnez des utilisateurs, des ordinateurs, des comptes de service
ou des groupes, tapez IT, puis cliquez sur OK.
7.
Dans la bote de dialogue Paramtres de scurit pour Restrictions d'IE, cliquez sur le groupe
IT (ADATUM\IT), en regard de l'autorisation Appliquer la stratgie de groupe, activez la case
cocher Refuser, puis cliquez sur OK.
8.
Cliquez sur Oui pour valider la bote de dialogue Scurit de Windows.
Tche 6 : Tester l'application de l'objet de stratgie de groupe pour les utilisateurs

du service informatique
1.
Connectez-vous LON-CL1 en tant que Brad avec le mot de passe Pa$$w0rd.
2.
3.
4.
Dans la fentre de rsultats Applications, cliquez sur Panneau de configuration.
5.
6.
Dans la bote de dialogue Rseau et Internet, cliquez sur Modifier la page d'accueil. La bote
de dialogue Proprits Internet affiche l'onglet Gnral et tous les paramtres sont disponibles.
7.
Tche 7 : Tester l'application de l'objet de stratgie de groupe pour les autres

utilisateurs du domaine
1.
Connectez-vous LON-CL1 en tant que Boris avec le mot de passe Pa$$w0rd.
2.
3.
4.
Dans la fentre de rsultats Applications, cliquez sur Panneau de configuration.
5.
6.
Dans la bote de dialogue Rseau et Internet, cliquez sur Modifier la page d'accueil. Une bote
de message s'affiche et vous informe que cette fonctionnalit a t dsactive.
7.
8.
Cliquez sur Options Internet. Dans la bote de dialogue Proprits Internet, vous pouvez
remarquer que l'onglet Gnral ne s'affiche pas.
9.
Rsultats : la fin de cet atelier pratique, vous devez avoir cr un objet de stratgie de groupe.
L11-68
comme suit :
1.
2.
Dans la liste des ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-DC1,
3.
4.
Rptez les tapes 2 et 3 pour 22410B-LON-CL1.
L12-69
Module 12 : Scurisation des serveurs Windows

l'aide d'objets de stratgie de groupe
Atelier pratique A : Renforcement

de la scurit des ressources de serveur
Exercice 1 : Utilisation des stratgies de groupe pour scuriser les serveurs

membres
Tche 1 : Crer une unit d'organisation de serveurs membres et y placer les serveurs
1.
Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs
2.
Dans la console Utilisateurs et ordinateurs Active Directory, dans le volet de navigation, cliquez avec
le bouton droit sur Adatum.com, cliquez sur Nouveau, puis cliquez sur Unit d'organisation.
3.
Dans la fentre Nouvel objet - Unit d'organisation, dans la zone Nom, tapez Unit d'organisation
Serveurs membres, puis cliquez sur OK.
4.
Dans la console Utilisateurs et ordinateurs Active Directory, dans le volet de navigation, cliquez
sur le conteneur Computers.
5.
Maintenez enfonce la touche Ctrl. Dans le volet d'informations, cliquez sur LON-SVR1
et LON-SVR2, cliquez avec le bouton droit sur la slection, puis cliquez sur Dplacer.
6.
Dans la fentre Dplacer, cliquez sur Unit d'organisation Serveurs membres, puis cliquez sur OK.
Tche 2 : Crer un groupe Administrateurs de serveur

1.
Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs
2.
avec le bouton droit sur Unit d'organisation Serveurs membres, cliquez sur Nouveau, puis
cliquez sur Groupe.
3.
Dans la fentre Nouvel objet - Groupe, dans le champ Nom du groupe, tapez Administrateurs
de serveur, puis cliquez sur OK.
Tche 3 : Crer un objet de stratgie de groupe des paramtres de scurit

des serveurs membres et le lier l'unit d'organisation Serveurs membres
1.
Sur LON-DC1, dans la fentre Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion
des stratgies de groupe.
2.
Dans la console de gestion des stratgies de groupe (GPMC), dveloppez successivement Fort :
Adatum.com, Domaines et Adatum.com, puis cliquez avec le bouton droit sur Objets de stratgie
de groupe et cliquez sur Nouveau.
3.
Dans la fentre Nouvel objet GPO, dans le champ Nom, tapez Paramtres de scurit
des serveurs membres, puis cliquez sur OK.
4.
Dans la fentre Console de gestion des stratgies de groupe, cliquez avec le bouton droit sur Unit
d'organisation Serveurs membres, puis cliquez sur Lier un objet de stratgie de groupe existant.
5.
Dans la fentre Slectionner un objet GPO, dans la fentre Objets de stratgie de groupe, cliquez
sur Paramtres de scurit des serveurs membres, puis cliquez sur OK.
L12-70
Tche 4 : Configurer l'appartenance aux groupes pour les administrateurs locaux afin
d'inclure les groupes Administrateurs de serveur et Administrateurs de domaine
1.
Sur LON-DC1, dans la console de gestion des stratgies de groupe (GPMC), dveloppez Fort :
Adatum.com, Domaines, Adatum.com, cliquez avec le bouton droit sur Default Domain Policy,
2.
Dans la fentre diteur de gestion des stratgies de groupe, sous Configuration ordinateur,
dveloppez Stratgies, Paramtres Windows et Paramtres de scurit, puis cliquez sur Groupes
restreints.
3.
Cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur Ajouter un groupe.
4.
Dans la bote de dialogue Ajouter un groupe, dans le champ Groupe, tapez Administrateurs,
5.
Dans la bote de dialogue Administrateurs Proprits, en regard de Membres de ce groupe,

cliquez sur Ajouter.
6.
Dans la bote de dialogue Ajouter un membre, tapez ADATUM\Administrateurs de serveur,

7.
En regard de Membres de ce groupe, cliquez sur Ajouter.
8.
Dans la bote de dialogue Ajouter un membre, tapez ADATUM\Admins du domaine, puis cliquez
sur OK deux reprises.
9.
Tche 5 : Vrifier que les administrateurs d'ordinateur ont t ajouts au groupe

Administrateurs local
1.
2.
3.
4.
l'invite de commandes Windows PowerShell, tapez la commande suivante, puis appuyez sur Entre :
Gpupdate /force
5.
Dans la fentre du Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Gestion
de l'ordinateur.
6.
Dans la console Gestion de l'ordinateur, dveloppez Utilisateurs et groupes locaux,

cliquez sur Groupes, puis, dans le volet de droite, double-cliquez sur Administrateurs.
7.
Confirmez que le groupe Administrateurs contient la fois ADATUM\Admins du domaine

et ADATUM\Administrateurs de serveur comme membres. Cliquez sur Annuler.
8.
Fermez la console Gestion de l'ordinateur.
Tche 6 : Modifier l'objet GPO Paramtres de scurit des serveurs membres pour
supprimer des utilisateurs de l'autorisation Permettre l'ouverture d'une session locale
1.
2.
Sur LON-DC1, dans la console GPMC, dveloppez Fort : Adatum.com, Domaines et Adatum.com,
puis cliquez sur Objets de stratgie de groupe.
3.
Dans le volet de droite, cliquez avec le bouton droit sur Paramtres de scurit des serveurs
membres, puis cliquez sur Modifier.
L12-71
4.
dveloppez Stratgies, Paramtres Windows, Paramtres de scurit et Stratgies locales,
puis cliquez sur Attribution des droits utilisateur.
5.
Dans le volet de droite, cliquez avec le bouton droit sur Permettre l'ouverture d'une session locale,
6.
Dans la bote de dialogue Proprits de : Permettre l'ouverture d'une session locale, activez
la case cocher Dfinir ces paramtres de stratgie, puis cliquez sur Ajouter un utilisateur
ou un groupe.
7.
Dans la fentre Ajouter un utilisateur ou un groupe, tapez Admins du domaine, puis cliquez
sur OK.
8.
Cliquez sur Ajouter un utilisateur ou un groupe.
9.
Dans la fentre Ajouter un utilisateur ou un groupe, tapez Administrateurs, puis cliquez sur OK
deux reprises.

pour activer Contrle de compte d'utilisateur : mode Approbation administrateur
pour le compte Administrateur intgr
1.
Sur LON-DC1, dans la fentre diteur de gestion des stratgies de groupe, sous Configuration de
l'ordinateur, dveloppez Stratgies, Paramtres Windows, Paramtres de scurit et Stratgies
locales, puis cliquez sur Options de scurit.
2.
Dans le volet de droite, cliquez avec le bouton droit sur Contrle de compte d'utilisateur : mode
Approbation administrateur pour le compte Administrateur intgr, puis cliquez sur Proprits.
3.
Dans la bote de dialogue Proprits de Contrle de compte d'utilisateur : mode Approbation

administrateur pour le compte Administrateur intgr, activez la case cocher Dfinir ces
paramtres de stratgie, assurez-vous que la case d'option Activ est slectionne, puis cliquez
sur OK.
4.
Tche 8 : Vrifier qu'un utilisateur ne disposant pas de droits d'administration

ne peut pas se connecter un serveur membre
1.
2.
3.
Gpupdate /force
4.
Dconnectez-vous de LON-SVR1.
5.
Essayez de vous connecter LON-SVR1 en tant qu'ADATUM\Adam avec le mot de passe

Pa$$w0rd.
6.
Vrifiez que vous ne pouvez pas vous connecter LON-SVR1 et qu'un message d'erreur
de connexion s'affiche.
7.
Pour prparer l'exercice suivant, dconnectez-vous de LON-SVR1 et connectez-vous de

nouveau LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
Rsultats : la fin de cet exercice, vous devrez avoir utilis les stratgies de groupe pour scuriser
les serveurs membres.
Exercice 2 : Audit de l'accs au systme de fichiers

pour activer l'audit de l'accs aux objets
L12-72
1.
2.
3.
Dans la console GPMC, dveloppez Fort : Adatum.com, Domaines et Adatum.com, puis cliquez
sur Objets de stratgie de groupe.
4.
Dans le volet de droite, cliquez avec le bouton droit sur Paramtres de scurit des serveurs
membres, puis cliquez sur Modifier.
5.
cliquez sur Stratgie d'audit, puis, dans le volet de droite, cliquez avec le bouton droit sur Auditer
l'accs aux objets, puis cliquez sur Proprits.
6.
Dans la bote de dialogue Proprits de : Auditer l'accs aux objets, activez la case cocher
Dfinir ces paramtres de stratgie, activez les deux cases cocher Russite et chec, puis
cliquez sur OK.
7.
Tche 2 : Crer et partager un dossier

1.
2.
3.
Sur LON-SVR1, dans la barre des tches, cliquez sur l'icne de l'Explorateur de fichiers.
4.
Dans la fentre de l'Explorateur de fichiers, dans le volet de navigation, cliquez sur Ordinateur.
5.
Dans la fentre Ordinateur, double-cliquez sur Disque local (C:), cliquez sur Accueil,
cliquez sur Nouveau dossier, puis tapez Marketing.
6.
Dans la fentre Ordinateur, cliquez avec le bouton droit sur le dossier Marketing,
cliquez sur Partager avec, puis cliquez sur Des personnes spcifiques.
7.
Dans la fentre Partage de fichiers, tapez Adam, puis cliquez sur Ajouter.
8.
Passez le niveau d'autorisation Lecture/criture, cliquez sur Partager, puis cliquez sur Termin.
L12-73
Tche 3 : Activer l'audit sur le dossier Marketing pour les utilisateurs du domaine
1.
Sur LON-SVR1, dans la fentre Disque local (C:), cliquez avec le bouton droit sur le dossier
Marketing, puis cliquez sur Proprits.
2.
Dans la fentre Proprits de Marketing, cliquez sur l'onglet Scurit, puis sur Avanc.
3.
Dans la fentre Paramtres de scurit avancs pour Marketing, cliquez sur l'onglet Audit,
cliquez sur Continuer, puis cliquez sur Ajouter.
4.
Dans la fentre Audits pour Marketing, cliquez sur Slectionnez un principal.
5.
Dans la fentre Slectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes,
dans le champ Entrez le nom de l'objet slectionner, tapez Utilisateurs du domaine, puis
cliquez sur OK.
6.
Dans la fentre Audits pour Marketing, dans le menu droulant Type, slectionnez Tout.
7.
Dans la fentre Audits pour Marketing, sous la liste Autorisations de base, activez la case cocher
criture, puis cliquez sur OK trois fois.
8.
9.
gpupdate /force
10. Fermez la fentre Windows PowerShell.
Tche 4 : Crer un nouveau fichier dans le partage de fichiers partir de LON-CL1

1.
2.
3.
Pointez dans l'angle infrieur droit de l'cran, cliquez sur l'icne Rechercher, puis, dans la zone
Rechercher, tapez cmd.
4.
Ouvrez une fentre d'invite de commandes et, l'invite de commandes, tapez la commande suivante
gpupdate /force
5.
6.
Dconnectez-vous de LON-CL1, puis connectez-vous de nouveau en tant qu'ADATUM\Adam avec

le mot de passe Pa$$w0rd.
7.
Pointez dans l'angle infrieur droit de l'cran, cliquez sur l'icne Rechercher, puis, dans la zone
Rechercher, tapez \\LON-SVR1\Marketing, puis appuyez sur Entre.
8.
Dans la fentre Marketing, cliquez sur Accueil, sur Nouvel lment et sur Document texte,
puis, dans le champ nom de fichier, tapez Employs, puis appuyez sur Entre.
9.
Tche 5 : Visualiser les rsultats dans le journal de scurit sur le contrleur

de domaine
1.
2.
Dans la fentre Gestionnaire de serveur, cliquez sur Outils, puis sur Observateur d'vnements.
3.
Dans la fentre de l'observateur d'vnements, dveloppez Journaux Windows,

puis cliquez sur Scurit.
4.
Vrifiez que l'vnement et les informations suivants s'affichent :

o
Source : Microsoft Windows Security Auditing
ID d'vnement : 4663
Catgorie de la tche : Systme de fichiers
Une tentative d'accs un objet a t effectue.
Rsultats : la fin de cet exercice, vous devrez avoir activ l'audit des accs au systme de fichiers.
Exercice 3 : Audit des connexions au domaine

Tche 1 : Modifier l'objet GPO Stratgie de domaine par dfaut
L12-74
1.
2.
3.
Sur LON-DC1, dans la barre des tches, cliquez sur l'icne du Gestionnaire de serveur.
4.
Dans la fentre Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion des stratgies
de groupe.
5.
Sur LON-DC1, dans la console GPMC, dveloppez Fort : Adatum.com, Domaines et Adatum.com,
puis cliquez sur Objets de stratgie de groupe.
6.
Dans le volet de droite, cliquez avec le bouton droit sur Default Domain Policy,
7.
puis cliquez sur Stratgie d'audit. Dans le volet de droite, cliquez avec le bouton droit sur Auditer
les vnements de connexion aux comptes, puis cliquez sur Proprits.
8.
Dans la bote de dialogue Proprits de : Auditer les vnements de connexion aux comptes,
activez la case cocher Dfinir ces paramtres de stratgie, activez les deux cases cocher
Russite et chec, puis cliquez sur OK.
9.
Pointez dans l'angle infrieur droit de l'cran, puis cliquez sur l'icne Rechercher.
L12-75
10. Dans la zone Rechercher, tapez cmd, puis appuyez sur Entre.
11. l'invite de commandes, tapez la commande suivante et appuyez sur Entre :
gpupdate /force

1.
2.
3.
4.
Dans la zone Rechercher, tapez cmd, puis appuyez sur Entre.
5.

gpupdate /force
6.
Fermez la fentre d'invite de commandes et dconnectez-vous de LON-CL1.
Tche 3 : Se connecter LON-CL1 avec un mot de passe incorrect
Connectez-vous LON-CL1 en tant qu'ADATUM\Adam avec le mot de passe password.
Remarque : Ce mot de passe est intentionnellement incorrect afin de gnrer une entre
de journal de scurit indiquant qu'une tentative de connexion infructueuse a t effectue.

1.
Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Observateur
d'vnements.
2.

3.
La pr-authentification Kerberos a chou. Informations sur le compte : ID de scurit :
ADATUM\Adam.
Tche 5 : Se connecter LON-CL1 avec le mot de passe correct
Connectez-vous LON-CL1 en tant qu'ADATUM\Adam avec le mot de passe Pa$$w0rd.
Remarque : Ce mot de passe est correct et vous devriez pouvoir vous connecter avec
succs en tant qu'Adam.

1.
Connectez-vous LON-DC1.
2.
Dans la fentre Gestionnaire de serveur, cliquez sur Outils, puis sur Observateur d'vnements.
L12-76
3.

4.
L'ouverture de session d'un compte s'est correctement droule. Nouvelle connexion :
ID de scurit : ADATUM\Adam.
Rsultats : la fin de cet exercice, vous devrez avoir activ l'audit des connexions au domaine.
Pour prparer l'atelier suivant
Pour prparer l'atelier pratique suivant, laissez les ordinateurs virtuels s'excuter.
L12-77
Atelier pratique B : Configuration

d'AppLocker et du Pare-feu Windows
Exercice 1 : Configuration des stratgies AppLocker
Tche 1 : Crer une unit d'organisation pour les ordinateurs clients
1.
2.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs Active
Directory.
3.
avec le bouton droit sur Adatum.com, cliquez sur Nouveau, puis cliquez sur Unit d'organisation.
4.
Dans la fentre Nouvel objet - Unit d'organisation, tapez Unit d'organisation Ordinateurs
clients, puis cliquez sur OK.
Tche 2 : Placer LON-CL1 dans l'unit d'organisation Ordinateurs clients

1.
Sur LON-DC1, dans la console Utilisateurs et ordinateurs Active Directory, dans le volet de navigation,
cliquez sur le conteneur Computers.
2.
Dans le volet d'informations, cliquez avec le bouton droit sur LON-CL1, puis cliquez sur Dplacer.
3.
Dans la fentre Dplacer, cliquez sur Unit d'organisation Ordinateurs clients, puis cliquez sur OK.
Tche 3 : Crer un objet GPO de contrle de logiciels et le lier l'unit

d'organisation Ordinateurs clients
1.
Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion des stratgies
de groupe.
2.
Dans la console GPMC, dveloppez Fort : Adatum.com, Domaines et Adatum.com,

puis cliquez avec le bouton droit sur Objets de stratgie de groupe et cliquez sur Nouveau.
3.
Dans la fentre Nouvel objet GPO, dans la zone de texte Nom, tapez Objet GPO Contrle
de logiciels, puis cliquez sur OK.
4.
Dans le volet de droite, cliquez avec le bouton droit sur Objet GPO Contrle de logiciels,
5.
dveloppez Stratgies, Paramtres Windows, Paramtres de scurit, Stratgies de contrle
de l'application, puis AppLocker.
6.
Sous AppLocker, cliquez avec le bouton droit sur Rgles de l'excutable, puis cliquez sur Crer
des rgles par dfaut.
7.
Rptez l'tape prcdente pour les Rgles Windows Installer, les Rgles de script et les Rgles
d'applications empaquetes.
8.
Dans le volet de navigation, cliquez sur AppLocker, puis, dans le volet de droite, cliquez sur
Configurer la mise en application des rgles.
9.
Dans la bote de dialogue Proprits de AppLocker, sous Rgles de l'excutable, activez la case
cocher Configur, puis, dans le menu droulant, slectionnez Auditer uniquement.
10. Rptez l'tape prcdente pour les Rgles Windows Installer, les Rgles de script et les Rgles
d'applications empaquetes, puis cliquez sur OK.
11. Dans l'diteur de gestion des stratgies de groupe, dveloppez Configuration ordinateur,
Stratgies, Paramtres Windows et Paramtres de scurit, cliquez sur Services systme,
puis double-cliquez sur Identit de l'application.
12. Dans la bote de dialogue Proprits de : Identit de l'application, cliquez sur Dfinir ce
paramtre de stratgie, sous Slectionnez le mode de dmarrage du service, cliquez sur
Automatique, puis cliquez sur OK.
13. Fermez l'diteur de gestion des stratgies de groupe.
L12-78
14. Dans la console GPMC, cliquez avec le bouton droit sur Unit d'organisation Ordinateurs clients,
puis cliquez sur Lier un objet de stratgie de groupe existant.
15. Dans la fentre Slectionner un objet GPO, dans la liste Objets de stratgie de groupe,
cliquez sur Objet GPO Contrle de logiciels, puis cliquez sur OK.

1.
2.
3.
4.
gpupdate /force
5.
6.
Pointez dans l'angle infrieur droit de l'cran, cliquez sur l'icne Paramtres, sur Marche/Arrt,
puis sur Redmarrer.
Tche 5 : Excuter app1.bat dans le dossier C:\CustomApp

1.
2.
3.
4.

gpresult /R
Examinez le rsultat de la commande et vrifiez que Objet GPO Contrle de logiciels est affich
sous Paramtres de l'ordinateur, Objets Stratgie de groupe appliqus. Si Objet GPO Contrle de
logiciels n'est pas affich, redmarrez LON-CL1 et rptez les tapes 1 4.
5.
6.
7.

C:\CustomApp\app1.bat
L12-79
Tche 6 : Afficher les vnements AppLocker dans un journal des vnements

1.
Sur LON-CL1, pointez dans l'angle infrieur droit de l'cran, cliquez sur l'icne Rechercher,
puis, dans la zone Rechercher, tapez eventvwr.msc, puis appuyez sur Entre.
2.
Dans la fentre de l'observateur d'vnements, dveloppez Journaux des applications

et des services, Microsoft, Windows, puis AppLocker.
3.
Cliquez sur Script et examinez le journal des vnements 8005 qui contient le texte suivant :
L'excution de %OSDRIVE%\CUSTOMAPP\APP1.BAT a t autorise.
Remarque : Si aucun vnement ne s'affiche, assurez-vous que le service Identit

de l'application a dmarr et ressayez.
Tche 7 : Crer une rgle qui autorise l'excution des logiciels figurant
dans un emplacement spcifique
1.
de groupe.
2.
Dans la fentre Gestion des stratgies de groupe, dveloppez le nud Objets de stratgie
de groupe, cliquez avec le bouton droit sur Objet GPO Contrle de logiciels, puis cliquez
sur Modifier.
3.
Accdez l'emplacement de paramtrage suivant : Configuration

ordinateur/Stratgies/Paramtres Windows/Paramtres de scurit/Stratgies de contrle
de l'application/AppLocker.
4.
Cliquez avec le bouton droit sur Rgles de script et cliquez sur Crer une rgle.
5.
Dans la page Avant de commencer, cliquez sur Suivant.
6.
Dans la page Autorisations, activez la case d'option Autoriser, puis cliquez sur Suivant.
7.
Dans la page Conditions, activez la case d'option Chemin d'accs, puis cliquez sur Suivant.
8.
Dans la page Chemin d'accs, dans le champ Chemin d'accs, tapez le chemin d'accs
%OSDRIVE%\CustomApp\app1.bat, puis cliquez sur Suivant.
9.
Dans la page Exceptions, cliquez sur Suivant.
10. Dans la page Nom et description, dans le champ Nom, tapez Rgle d'application personnalise,
puis cliquez sur Crer.
Tche 8 : Modifier l'objet GPO Contrle de logiciels pour appliquer des rgles
1.
Dans la fentre Objet GPO Contrle de logiciels, dans le volet de navigation, cliquez sur AppLocker,
puis, dans le volet de droite, cliquez sur Configurer la mise en application des rgles.
2.
Dans la bote de dialogue Proprits de AppLocker, sous Rgles de l'excutable, activez la case
cocher Configur, puis, dans le menu droulant, cliquez sur Appliquer les rgles.
3.
Rptez l'tape prcdente pour les Rgles Windows Installer, les Rgles de script et les Rgles
d'applications empaquetes, puis cliquez sur OK.
4.
Tche 9 : Vrifier qu'une application peut encore tre excute

1.
2.
3.
4.
gpupdate /force
5.
6.
Pointez dans l'angle infrieur droit de l'cran, cliquez sur l'icne Paramtres, sur Marche/Arrt,
puis sur Redmarrer.
7.
Connectez-vous LON-CL1 en tant qu'ADATUM\Tony avec le mot de passe Pa$$w0rd.
8.
9.
10. Dans la fentre d'invite de commandes, tapez la commande suivante et appuyez sur Entre :
C:\customapp\app1.bat
Tche 10 : Vrifier qu'une application ne peut pas tre excute
L12-80
1.
Sur LON-CL1, dans la barre des tches, cliquez sur l'icne de l'Explorateur des Fichiers.
2.
Dans la fentre de l'Explorateur de fichiers, dans le volet de navigation, cliquez sur Ordinateur.
3.
Dans la fentre Ordinateur, double-cliquez sur Disque local (C:), double-cliquez sur le dossier
CustomApp, cliquez avec le bouton droit sur app1.bat, puis cliquez sur Copier.
4.
Dans la fentre CustomApp, dans le volet de navigation, cliquez avec le bouton droit sur le dossier
Documents, puis cliquez sur Coller.
5.
Dans une fentre d'invite de commandes, tapez C:\Users\Tony\Documents\app1.bat et appuyez

sur Entre.
6.
Vrifiez que les applications ne peuvent pas tre excutes partir du dossier Documents et que
le message suivant s'affiche : Ce programme est bloqu par une stratgie de groupe. Pour plus
d'informations, contactez votre administrateur systme.
7.
Fermez toutes les fentres, puis dconnectez-vous de LON-CL1.
Rsultats : la fin de cet exercice, vous devrez avoir configur des stratgies AppLocker pour tous les
utilisateurs dont les comptes d'ordinateur sont situs dans l'unit d'organisation des ordinateurs clients.
Les stratgies que vous avez configures doivent autoriser ces utilisateurs excuter les applications
figurant dans les dossiers C:\Windows et C:\Program Files, et excuter l'application personnalise
app1.bat dans le dossier C:\CustomApp.
L12-81
Exercice 2 : Configuration du Pare-feu Windows

Tche 1 : Crer un groupe nomm Serveurs d'applications
1.
2.
Dans la fentre Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs
Active Directory.
3.
avec le bouton droit sur Unit d'organisation Serveurs membres, cliquez sur Nouveau, puis
cliquez sur Groupe.
4.
Dans la fentre Nouvel objet - Groupe, dans le champ Nom du groupe, tapez Serveurs
d'applications, puis cliquez sur OK.
Tche 2 : Ajouter LON-SVR1 en tant que membre du groupe

1.
sur l'unit d'organisation Serveurs membres, dans le volet d'informations, cliquez avec le bouton
droit sur le groupe Serveurs d'applications, puis cliquez sur Proprits.
2.
Dans la bote de dialogue Proprits de : Serveurs d'applications, cliquez sur l'onglet Membres,
puis cliquez sur Ajouter.
3.
Dans Slectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes,
cliquez sur Types d'objets, sur des ordinateurs, puis sur OK.
4.
Dans la zone Entrez les noms des objets slectionner, tapez LON-SVR1, puis cliquez sur OK.
5.
Dans la fentre Proprits de : Serveurs d'applications, cliquez sur OK.
Tche 3 : Crer un nouvel objet GPO Serveurs d'applications

1.
de groupe.
2.
Dans la console GPMC, dveloppez Fort : Adatum.com, Domaines et Adatum.com, puis cliquez
avec le bouton droit sur Objets de stratgie de groupe et cliquez sur Nouveau.
3.
Dans la fentre Nouvel objet GPO, dans le champ Nom, tapez Objet GPO Serveurs d'applications,
4.
Dans la console GPMC, cliquez avec le bouton droit sur Objet GPO Serveurs d'applications,
5.
Dans l'diteur de gestion des stratgies de groupe, sous Configuration de l'ordinateur, dveloppez
successivement Stratgies, Paramtres Windows, Paramtres de scurit et Pare-feu Windows
avec fonctions avances de scurit, puis cliquez sur Pare-feu Windows avec fonctions avances
de scurit - LDAP://CN={GUID}.
6.
Dans l'diteur de gestion des stratgies de groupe, cliquez sur Rgles de trafic entrant.
7.
Cliquez avec le bouton droit sur Rgles de trafic entrant, puis cliquez sur Nouvelle rgle.
8.
Dans l'Assistant Nouvelle rgle de trafic entrant, dans la page Type de rgle, cliquez sur
Personnalise, puis sur Suivant.
9.
Dans la page Programme, cliquez sur Suivant.
10. Dans la page Protocole et ports, dans la liste Type de protocole, cliquez sur TCP.
11. Dans la liste Port local, cliquez sur Ports spcifiques, puis, dans la zone de texte, tapez 8080
et cliquez sur Suivant.
12. Dans la page tendue, cliquez sur Suivant.
13. Dans la page Action, cliquez sur Autoriser la connexion, puis cliquez sur Suivant.
14. Dans la page Profil, dsactivez les deux cases cocher Priv et Public, puis cliquez sur Suivant.
15. Dans la page Nom, dans la zone Nom, tapez Rgle de pare-feu de service de serveur
d'applications, puis cliquez sur Terminer.
16. Fermez l'diteur de gestion des stratgies de groupe.
Tche 4 : Lier l'objet GPO Serveurs d'applications l'unit d'organisation Serveurs

membres
1.
Sur LON-DC1, dans la console GPMC, cliquez avec le bouton droit sur Unit d'organisation
Serveurs membres, puis cliquez sur Lier un objet de stratgie de groupe existant.
2.
Dans la fentre Slectionner un objet GPO, dans la liste Objets de stratgie de groupe,
cliquez sur Objet GPO Serveurs d'applications, puis cliquez sur OK.
Tche 5 : Utiliser le filtrage de scurit pour limiter l'objet GPO Serveurs

d'applications aux membres du groupe Serveurs d'applications
L12-82
1.
Sur LON-DC1, dans la console GPMC, cliquez sur Unit d'organisation Serveurs membres.
2.
Dveloppez Unit d'organisation Serveurs membres, puis cliquez sur le lien Objet GPO Serveurs
d'applications.
3.
Dans la zone de message Console de gestion des stratgies de groupe, cliquez sur OK.
4.
Dans le volet de droite, sous Filtrage de scurit, cliquez sur Utilisateurs authentifis,
puis sur Supprimer.
5.
Dans la bote de dialogue de confirmation, cliquez sur OK.
6.
Dans le volet d'informations, sous Filtrage de scurit, cliquez sur Ajouter.
7.
Dans la bote de dialogue Slectionner des utilisateurs, des ordinateurs ou des groupes,
tapez Serveurs d'applications, puis cliquez sur OK.
Tche 6 : Excuter GPUpdate sur LON-SVR1

1.
Basculez vers LON-SVR1 et connectez-vous en tant qu'ADATUM\Administrateur.
2.
3.
4.
gpupdate /force
5.
6.
Redmarrez LON-SVR1, puis connectez-vous nouveau en tant qu'Adatum\Administrateur

Tche 7 : Afficher les rgles de pare-feu sur LON-SVR1

1.
2.
Dans le Gestionnaire de serveur, cliquez sur Outils, puis cliquez sur Pare-feu Windows avec
fonctions avances de scurit.
3.
Dans la fentre Pare-feu Windows avec fonctions avances de scurit, cliquez sur Rgles
de trafic entrant.
4.
Dans le volet de droite, vrifiez que la rgle de pare-feu de service de serveur d'applications
que vous avez cre auparavant l'aide d'une stratgie de groupe est configure.
5.
Vrifiez que vous ne pouvez pas modifier la rgle de pare-feu de service de serveur
d'applications, car elle est configure via une stratgie de groupe.
Rsultats : la fin de cet exercice, vous devrez avoir utilis une stratgie de groupe pour configurer
le Pare-feu Windows avec fonctions avances de scurit afin de crer des rgles pour les serveurs
d'applications.

Une fois l'atelier pratique termin, rtablissez l'tat initial des ordinateurs virtuels en procdant
comme suit :
1.
2.
Dans la liste des ordinateurs virtuels, cliquez avec le bouton droit sur 22410B-LON-DC1,
3.
4.
L12-83
L13-85
Module 13 : Implmentation de la virtualisation de serveur

avec Hyper-V
Atelier pratique : Implmentation de la

virtualisation de serveur avec Hyper-V
Exercice 1 : Installation du rle Hyper V sur un serveur
Tche 1 : Installer le rle Hyper-V sur un serveur
1.
Sur LON-HOST1, dans le Gestionnaire de serveur, cliquez sur Serveur local.
2.
Dans le volet Proprits, cliquez sur le lien Adresse IPv4 attribue par DHCP, compatible IPv6.
3.
Dans la bote de dialogue Connexions rseau, cliquez avec le bouton droit sur l'objet rseau,
4.
Dans la bote de dialogue Proprits, cliquez sur Protocole Internet version 4 (TCP/IPv4),
puis sur Proprits.
5.
Dans la bote de dialogue Proprits de : Protocole Internet version 4 (TCP/IPv4), sous l'onglet
Gnral, cliquez sur Utiliser l'adresse IP suivante, puis configurez ce qui suit :
6.
Adresse IP : 172.16.0.31
Sous l'onglet Gnral, cliquez sur Utiliser l'adresse de serveur DNS suivante, puis configurez
comme suit :
o
7.
Cliquez sur OK pour fermer la bote de dialogue Proprits.
8.
Dans la bote de dialogue Proprits de Ethernet, cliquez sur Fermer.
9.
Fermez la bote de dialogue Connexions rseau.
10. Dans la console du Gestionnaire de serveur, partir du menu Grer, cliquez sur Ajouter des rles
et fonctionnalits.
11. Dans l'Assistant Ajout de rles et de fonctionnalits, sur la page Avant de commencer, cliquez
sur Suivant.
12. Dans la page Slectionner le type d'installation, cliquez sur Installation base sur un rle ou une
fonctionnalit, puis cliquez sur Suivant.
13. Dans la page Slectionner le serveur de destination, vrifiez que LON-HOST1 est slectionn,
14. Dans la page Slectionner des rles de serveurs, slectionnez Hyper-V.
15. Dans la fentre Assistant Ajout de rles et de fonctionnalits, cliquez sur Ajouter
des fonctionnalits.
16. Dans la page Slectionner des rles de serveurs, cliquez sur Suivant.
17. Dans la page Slectionner des fonctionnalits, cliquez sur Suivant.
18. Dans la page Hyper-V, cliquez sur Suivant.
19. Dans la page Crer des commutateurs virtuels, vrifiez qu'aucune slection n'a t faite,
20. Dans la page Migration d'ordinateur virtuel, cliquez sur Suivant.
21. Dans la page Emplacements par dfaut, vrifiez l'emplacement des Emplacements par dfaut,
22. Dans la page Confirmer les slections d'installation, cliquez sur Redmarrer automatiquement
le serveur de destination, si ncessaire.
23. Dans la bote de dialogue Assistant Ajout de rles et de fonctionnalits, consultez le message relatif
aux redmarrages automatiques, puis cliquez sur Oui.
24. Dans la page Confirmer les slections d'installation, cliquez sur Installer.
L13-86
25. Au bout de quelques minutes, le serveur redmarre automatiquement. Assurez-vous de redmarrer

l'ordinateur partir du menu de dmarrage comme 22410B-LON-HOST1. L'ordinateur redmarrera
plusieurs fois.
Tche 2 : Terminer l'installation du rle Hyper-V et vrifier les paramtres

1.
Connectez-vous LON-HOST1 l'aide du compte Administrateur avec mot de passe Pa$$word.
2.
Une fois l'installation de Hyper-V termine, cliquez sur Fermer pour fermer l'Assistant Ajout de rles
et de fonctionnalits.
3.
Sur le bureau, cliquez sur l'icne du Gestionnaire de serveur dans la barre des tches.
4.
Dans la console Gestionnaire de serveur, cliquez sur le menu Outils, puis sur Gestionnaire Hyper-V.
5.
Dans la console du Gestionnaire Hyper-V, cliquez sur LON-HOST1.
6.
Dans la console du Gestionnaire Hyper-V, dans le volet Actions, avec LON-HOST1 slectionn,
cliquez sur Paramtres Hyper-V.
7.
Dans la bote de dialogue Paramtres Hyper-V de LON-HOST1, cliquez sur l'lment Clavier.
Vrifiez que le Clavier est dfini sur l'option Utiliser sur l'ordinateur virtuel.
8.
Dans la bote de dialogue Paramtres Hyper-V pour LON-HOST1, cliquez sur l'lment Disques
durs virtuels. Vrifiez que l'emplacement du dossier par dfaut pour le stockage des fichiers-de
disque dur virtuel est C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks, puis cliquez
sur OK.
Rsultats : la fin de cet exercice, vous aurez install le rle Hyper-V sur un serveur physique.
Exercice 2 : Configuration d'un rseau virtuel

Tche 1 : Configurer le rseau externe
1.
Dans la console du Gestionnaire Hyper-V, cliquez sur LON-HOST1.
2.
Dans le menu Actions, cliquez sur Gestionnaire de commutateur virtuel.
3.
Dans la bote de dialogue Gestionnaire de commutateur virtuel pour LON-HOST1, cliquez

sur Nouveau commutateur rseau virtuel. Vrifiez que l'option Externe est slectionne, puis
cliquez sur Crer le commutateur virtuel.
4.
5.
L13-87
Dans la zone Proprits du commutateur virtuel, entrez les informations suivantes, puis cliquez
sur OK :
o
Nom : Commutateur pour la carte externe
Rseau externe : mapp la carte rseau physique de l'ordinateur hte. (Varie selon l'ordinateur
hte)
Dans la bote de dialogue Appliquer les modifications rseau, lisez l'avertissement, puis cliquez
sur Oui.
Tche 2 : Crer un rseau priv

1.
Dans le Gestionnaire de serveur, dans le menu Outils, ouvrez le Gestionnaire Hyper-V,

puis cliquez sur LON-HOST1.
2.
3.
Sous Commutateurs virtuels, cliquez sur Nouveau commutateur rseau virtuel.
4.
Sous Crer le commutateur virtuel, cliquez sur Priv, puis sur Crer le commutateur virtuel.
5.
Dans la section Proprits du commutateur virtuel de la bote de dialogue Gestionnaire de

commutateur virtuel, configurez les paramtres suivants, puis cliquez sur OK :
o
Nom : Rseau priv
Type de connexion : Rseau priv
Tche 3 : Crer un rseau interne

1.

2.
3.
Sous Commutateurs virtuels, cliquez sur Nouveau commutateur rseau virtuel.
4.
Sous Crer un commutateur virtuel, cliquez sur Interne, puis sur Crer le commutateur virtuel.
5.
Dans la section Proprits du commutateur virtuel de la bote de dialogue Gestionnaire

de commutateur virtuel, configurez les paramtres suivants, puis cliquez sur OK :
o
Nom : Rseau interne
Type de connexion : Rseau interne
Tche 4 : Configurer la plage d'adresses MAC (Media Access Control)

1.

2.
3.
Sous Paramtres du rseau global, cliquez sur Plage d'adresses MAC.
4.
Dans les paramtres de la plage d'adresse MAC, configurez les valeurs suivantes, puis cliquez sur OK :
o
Minimum : 00-15-5D-0F-AB-A0
Maximum : 00-15-5D-0F-AB-EF
5.
Fermez la console du Gestionnaire Hyper-V.
Rsultats : la fin de cet exercice, vous aurez configur des options de commutateur virtuel
sur un serveur Windows Server 2012 physiquement dploy qui excute le rle Hyper-V.
Exercice 3 : Cration et configuration d'un ordinateur virtuel

Tche 1 : Crer des disques VHD de diffrenciation
1.
2.
Cliquez sur Ordinateur, dveloppez le lecteur E, dveloppez Program Files, dveloppez

Microsoft Learning, puis Base.
Remarque : La lettre du lecteur peut tre diffrente selon le nombre de lecteurs sur
l'ordinateur hte physique.
L13-88
3.
Dans le dossier Base, vrifiez que le fichier image Base12A-WS12-TMP_FR.vhd du disque dur
est prsent.
4.
Cliquez sur l'onglet Accueil, puis cliquez deux fois sur l'icne Nouveau dossier pour crer deux
nouveaux dossiers. Cliquez avec le bouton droit sur chaque dossier, et renommez les dossiers comme
suit :
o
LON-GUEST1
LON-GUEST2
5.
6.
Dans la console Gestionnaire de serveur, cliquez sur le menu Outils, puis sur Gestionnaire Hyper-V.
7.
Dans le volet Actions de la console du Gestionnaire Hyper-V, cliquez sur Nouveau, puis sur
Disque dur.
8.
Dans l'Assistant Nouveau disque dur virtuel, sur la page Avant de commencer, cliquez sur Suivant.
9.
Dans la page Choisir le format de disque, cliquez sur VHD, puis sur Suivant.
10. Dans la page Choisir le type de disque, cliquez sur Diffrenciation, puis sur Suivant.
11. Dans la page Spcifier le nom et l'emplacement, indiquez les informations suivantes, puis cliquez
sur Suivant :
o
Nom : LON-GUEST1.vhd
12. Dans la page Configurer un disque, tapez l'emplacement : E:\Program Files\Microsoft Learning\
Base\Base12A-WS12-TMP_FR.vhd, puis cliquez sur Terminer.
13. Sur le bureau, dans la barre des tches, cliquez sur l'icne Windows PowerShell.
L13-89
14. l'invite de commande Windows PowerShell, tapez la commande suivante pour importer le module
Hyper-V, puis appuyez sur Entre :
15. l'invite de Windows PowerShell, saisissez la commande suivante pour crer un nouveau disque VHD
de diffrenciation utiliser avec LON-GUEST2, puis appuyez sur Entre :
New-VHD "E:\Program Files\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd"
-ParentPath "E:\Program Files\Microsoft Learning\Base\Base12A-WS12-TMP_FR.vhd"

17. Dans le volet Actions de la console du Gestionnaire Hyper-V, cliquez sur Inspecter le disque.
18. Dans la bote de dialogue Ouvrir, accdez E:\Program Files\Microsoft Learning\Base\
LON-GUEST2\, cliquez sur LON-GUEST2.vhd, puis sur Ouvrir.
19. Dans la bote de dialogue Proprits du disque dur virtuel, vrifiez que LON-GUEST2.vhd
est configur comme disque VHD de diffrenciation avec E:\Program Files\Microsoft
Learning\Base\Base12A-WS12TMP_FR.vhd comme parent, puis cliquez sur Fermer.
Tche 2 : Crer des ordinateurs virtuels

1.

2.
Dans le volet Actions de la console du Gestionnaire Hyper-V, cliquez sur Nouveau,

puis sur Ordinateur virtuel.
3.
Dans l'Assistant Nouvel ordinateur virtuel, sur la page Avant de commencer, cliquez sur Suivant.
4.
Dans la page Spcifier le nom et l'emplacement, cliquez sur Stocker l'ordinateur virtuel
un autre emplacement, entrez les valeurs suivantes, puis cliquez sur Suivant :
o
Nom : LON-GUEST1
5.
Dans la page Affecter la mmoire, entrez la valeur 1024 Mo, slectionnez l'option Utiliser
la mmoire dynamique pour cet ordinateur virtuel, puis cliquez sur Suivant.
6.
Dans la page Configurer la mise en rseau, pour la connexion, cliquez sur Rseau priv,
puis sur Suivant.
7.
Dans la page Connecter un disque dur virtuel, cliquez sur Utiliser un disque dur virtuel existant.
Cliquez sur Parcourir, accdez E:\Program Files\Microsoft Learning\Base\LON-GUEST1\
LON-GUEST1.vhd, cliquez sur Ouvrir, puis sur Terminer.
8.
Sur le bureau, dans la barre des tches, cliquez sur l'icne Windows PowerShell.
9.
l'invite de commande Windows PowerShell, tapez la commande suivante et appuyez sur Entre
pour importer le module Hyper-V :
10. l'invite de commande Windows PowerShell, tapez la commande suivante pour crer un nouvel
ordinateur virtuel nomm LON-GUEST2 :
New-VM -Name LON-GUEST2 -MemoryStartupBytes 1024MB -VHDPath "E:\Program
Files\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd" -SwitchName "Rseau priv"

12. Dans la console Gestionnaire Hyper-V, cliquez sur LON-GUEST2.
13. Dans le volet Actions, sous LON-GUEST2, cliquez sur Paramtres.
14. Dans la bote de dialogue Paramtres pour LON-GUEST2 sur LON-HOST1, cliquez sur Action
de dmarrage automatique, et dfinissez l'action de dmarrage automatique sur Rien.
15. Dans la bote de dialogue Paramtres pour LON-GUEST2 sur LON-HOST1, cliquez sur Action
d'arrt automatique, et dfinissez l'action d'arrt automatique sur Arrter le systme
d'exploitation invit.
L13-90
16. Cliquez sur OK pour fermer la bote de dialogue Paramtres pour LON-GUEST2 sur LON-HOST1.
Tche 3 : Activer le contrle des ressources

1.
2.
l'invite de commande Windows PowerShell, entrez la commande suivante pour importer le module
Hyper-V et appuyez sur Entre :
3.
l'invite Windows PowerShell, entrez les commandes suivantes pour activer le contrle des ressource
sur les ordinateurs virtuels, en appuyant sur Entre la fin de chaque ligne :
Rsultats : la fin de cet exercice, vous aurez dploy deux ordinateurs virtuels distincts en utilisant
un fichier VHD prpar avec sysprepped comme disque parent pour deux disques VHD de diffrenciation.
Exercice 4 : Utilisation d'instantans d'ordinateur virtuel

Tche 1 : Dployer Windows Server 2012 sur un ordinateur virtuel
1.
Dans la console Gestionnaire Hyper-V, cliquez sur LON-GUEST1.
2.
Dans le volet Actions, cliquez sur Accueil.
3.
Double-cliquez sur LON-GUEST1 pour ouvrir la fentre Connexion un ordinateur virtuel.
4.
Dans LON-GUEST1 sur LON-HOST1, fentre Connexion un ordinateur virtuel, procdez

comme suit :
o
Dans la page Paramtres, activez la case cocher J'accepte les termes du contrat de licence
pour l'utilisation de Windows, puis cliquez sur Accepter.
Dans la page Paramtres, cliquez sur Suivant pour accepter les paramtres Rgion et langue.
Dans la page Paramtres, tapez le mot de passe Pa$$w0rd deux fois, puis cliquez sur Terminer.
5.
Dans LON-GUEST1 sur LON-HOST1, fentre Connexion un ordinateur virtuel, menu Actions,
cliquez sur Ctrl+Alt+Suppr.
6.
Ouvrez une session sur l'ordinateur virtuel avec le compte Administrateur et le mot de passe
Pa$$w0rd.
7.
Sur l'ordinateur virtuel, dans la console du Gestionnaire de serveur, cliquez sur Serveur local,
puis cliquez sur le nom attribu de manire alatoire en regard du nom de l'ordinateur.
8.
Dans la bote de dialogue Proprits systme, dans l'onglet Nom de l'ordinateur, cliquez sur
Modifier.
9.
Dans le champ Nom de l'ordinateur, saisissez LON-GUEST1, puis cliquez sur OK.
L13-91
10. Dans la bote de dialogue Modification du nom ou du domaine de l'ordinateur, cliquez sur OK.
11. Cliquez sur Fermer pour fermer la bote de dialogue Proprits systme.
Tche 2 : Crer un instantan d'ordinateur virtuel

1.
Ouvrez une session sur l'ordinateur virtuel LON-GUEST1 avec le compte Administrateur et le mot
de passe Pa$$w0rd.
2.
Dans la console Gestionnaire de serveur, cliquez sur le nud Serveur local, puis vrifiez que le nom
de l'ordinateur est dfini sur LON-GUEST1.
3.
Dans la fentre Connexion un ordinateur virtuel, dans le menu Action, cliquez sur Capture
instantane.
4.
Dans la bote de dialogue Nom de la capture instantane, tapez le nom Before Change, puis
cliquez sur Oui.
Tche 3 : Modifier l'ordinateur virtuel

1.
Dans la console du Gestionnaire de serveur, cliquez sur Serveur local, puis en regard de Nom
de l'ordinateur, cliquez sur LON-GUEST1.
2.
Dans la bote de dialogue Proprits systme, dans l'onglet Nom de l'ordinateur,

cliquez sur Modifier.
3.
Dans le champ Nom de l'ordinateur, tapez LON-Computer1, puis cliquez sur OK.
4.
5.
Fermez la bote de dialogue Proprits systme.
6.
Dans la bote de dialogue Microsoft Windows, cliquez sur Redmarrer maintenant.
7.
Reconnectez-vous l'ordinateur virtuel LON-GUEST1 avec le compte Administrateur et le mot de

passe Pa$$w0rd.
8.
Dans la console Gestionnaire de serveur, cliquez sur le nud Serveur local, puis vrifiez que le nom
de serveur est dfini sur LON-Computer1.
Tche 4 : Rtablir l'instantan d'ordinateur virtuel existant

1.
Dans la fentre Connexion un ordinateur virtuel, dans le menu Action, cliquez sur Rtablir.
2.
3.
Dans la console Gestionnaire de serveur, dans le nud Serveur local, dans la liste Ordinateurs
virtuels, vrifiez que le Nom de l'ordinateur est maintenant dfini sur LON-GUEST1.
Tche 5 : Afficher les donnes de contrle des ressources

1.
Sur LON-HOST1, dans la barre des tches, cliquez sur l'icne Windows PowerShell.
2.
l'invite de commande Windows PowerShell, entrez la commande suivante et appuyez sur Entre
pour importer le module Hyper-V :
3.
l'invite de commande Windows PowerShell, entrez la commande suivante et appuyez sur Entre
pour extraire les informations de contrle des ressources :
Measure-VM LON-GUEST1
4.
Notez les chiffres relatifs l'UC moyenne, la mmoire vive moyenne et l'utilisation totale
de disque.
5.
Fermez la fentre Windows PowerShell.
Tche 6 : Rtablir les ordinateurs virtuels

la fin de cet atelier, redmarrez l'ordinateur dans Windows Server 2008 R2.
1.
2.
Dans la fentre Windows PowerShell, entrez la commande suivante et appuyez sur Entre :
Shutdown /r /t 5
3.
partir du Gestionnaire de dmarrage Windows, cliquez sur Windows Server 2008 R2.
Rsultats : la fin de cet exercice, vous aurez utilis des instantans d'ordinateur virtuel pour effectuer
une rcupration la suite d'une erreur de configuration d'ordinateur virtuel.
L13-92

22410B-FRA-Installation Et Configuration WINDOWS SERVER 2012

Transféré par

Droits d'auteur :

Formats disponibles

22410B-FRA-Installation Et Configuration WINDOWS SERVER 2012

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

22410B-FRA-Installation Et Configuration WINDOWS SERVER 2012

Transféré par

Droits d'auteur :

Formats disponibles

P R O D U I T

Installation et configuration de Windows Server 2012

Numro de produit : 22410B

Installation et configuration de Windows Server 2012

TERMES DU CONTRAT DE LICENCE MICROSOFT

Dispositif de la Classe dsigne un (1) ordinateur ddi et scuris quun Centre de

Membre Microsoft Learning Competency dsigne un membre actif du programme

Installation et configuration de Windows Server 2012

Installation et configuration de Windows Server 2012

pour autant que vous vous conformiez ce qui suit :

b. Si vous tes un Membre du Microsoft Learning Competency :

Installation et configuration de Windows Server 2012

Si vous tes un Membre MPN :

Installation et configuration de Windows Server 2012

d. Si vous tes un Utilisateur Final :

Installation et configuration de Windows Server 2012

Dure de la Version Prcommerciale. Si vous tes un Membre du Programme Microsoft IT

Installation et configuration de Windows Server 2012

Installation et configuration de Windows Server 2012

Installation et configuration de Windows Server 2012

Formateurs et instructeurs Microsoft CertifiedVotre instructeur possde des

Avantages des examens de certification l'issue d'une formation, pensez aux

Garantie de satisfaction du clientNos Certified Partners for Learning Solutions offrent

Value of Certication: Team Certication and Organizational Performance, novembre 2006

Installation et configuration de Windows Server 2012

Stan Reimer Dveloppeur de contenu et expert technique

Damir Dizdarevic Dveloppeur de contenu et expert technique

Gary Dunlop Expert technique

Siegfried Jagott Dveloppeur de contenu

Installation et configuration de Windows Server 2012

Jason Kellington Expert technique

Vladimir Meloski Dveloppeur de contenu

Nick Portlock Expert technique

Brian Svidergol Rviseur technique

Orin Thomas Expert technique

Byron Wright Dveloppeur de contenu et expert technique

Installation et configuration de Windows Server 2012

Module 2 : Prsentation des services de domaine Active Directory

Module 3 : Gestion des objets de services de domaine Active Directory

Module 4 : Automatisation de l'administration des domaines de services Active Directory

Module 5 : Implmentation du protocole IPv4

Installation et configuration de Windows Server 2012

Module 6 : Implmentation du protocole DHCP (Dynamic Host Configuration Protocol)

Module 7 : Implmentation du systme DNS (Domain Name System)

Module 8 : Implmentation d'IPv6

Module 9 : Implmentation d'un systme de stockage local

Module 10 : Implmentation des services de fichier et d'impression

Module 11 : Implmentation d'une stratgie de groupe

Installation et configuration de Windows Server 2012

Module 12 : Scurisation des serveurs Windows l'aide d'objets de stratgie de groupe

Module 13 : Implmentation de la virtualisation de serveur avec Hyper-V

Corrigs des ateliers pratiques

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Cette section dcrit brivement le cours22410B : Installation et configuration de

Connaissances pralables des stagiaires

avoir une bonne comprhension des principes fondamentaux de la mise en rseau ;

comprendre la configuration de la scurit et des tches administratives dans un environnement

installer et configurer Windows Server 2012 ;

grer des objets Active Directory ;

automatiser l'administration d'Active Directory ;