Microsoft Windows Server a conquis l'univers des systèmes d'exploitation pour les

environnements cloud.

Vous êtes technicien réseaux & systèmes et souhaitez mettre en place un système
Windows Server pour une entreprise ? Ou administrateur Linux souhaitant découvrir
Windows Server ? Ce cours est fait pour vous.

Dans ce cours, nous verrons tout ce que vous avez besoin de savoir afin d'installer,
configurer et administrer un système Windows Server, et ce de manière
sécurisée.

Objectifs pédagogiques

À la fin de ce cours, vous saurez :

 Installer et administrer la version pertinente, selon votre contexte, de Windows
Server.
 Installer et configurer les rôles Windows Server et leurs fonctionnalités
associées.
 Gérer les services avancés.
 Mettre en place Windows Server dans un contexte professionnel.
Prérequis

Pour suivre ce cours, vous avez besoin de connaître le fonctionnement des réseaux
Internet. Une expérience avec la gestion de serveurs Linux serait un plus.

Outils nécessaires :
 Windows Server(une licence d'évaluation au minimum)
 VirtualBox ou VMware Workstation (ou tout autre logiciel de virtualisation)

Partie 1 - Comprenez le fonctionnement de Windows Server

I-Appréhendez Windows Server

Dans cette première partie, vous allez comprendre ce qu’est Windows Server (ou
Windows Serveur) ! Vous allez dans un premier temps apprendre à différencier les
différentes éditions de ce système d’exploitation et découvrir comment l’installer.
Un peu de contexte

Microsoft Windows Server est le système d’exploitation serveur de Microsoft. En

quelque sorte, il s’agit d’une version améliorée du système Windows que vous
connaissez sûrement, installé par défaut sur une grande majorité des ordinateurs du
commerce !

Pourquoi différencier le système utilisateur d’un système pour les serveurs ?

Eh bien, tout simplement pour permettre de simplifier la gestion de services
applicatifs et réseau. Avec Windows Server, l’objectif est de fournir des services à de
nombreux autres équipements.

Pour cela, Microsoft a choisi de segmenter ses différents systèmes en plusieurs

grandes familles. En 1985, Microsoft sort Windows 1.0 ; ce nom fait référence au
système de fenêtres qui permet de simplifier l’utilisation d’un ordinateur, qui à l’époque
se faisait uniquement au travers d’un shell, une interface en ligne de commande (chez
Microsoft, ce système se nommait DOS – Disk Operating System).

Rapidement, ce système à base de fenêtres s’est trouvé très pratique et a vite évolué.
Durant les années 1990, la nécessité de concurrencer les systèmes serveur de
l’époque pousse Microsoft à concevoir un système orienté services et non plus
bureautique. La naissance de Windows Server est en marche avec les versions NT.

La popularité de cette nouvelle version de Windows (Windows NT) dans le domaine

de l’entreprise pousse Microsoft à continuer d’investir dans ce domaine. En 2003
arrive enfin la première version de Windows Server (Windows Server 2003). Cette
version marque un tournant dans la conquête de l’entreprise par Microsoft. Ce sera
une version massivement adoptée en entreprise. Se suivent alors, régulièrement, de
nouvelles versions de ce système : 2008, 2012, 2016, 2019 et 2022.

Aujourd'hui, nous vous recommandons d'utiliser la version 2019, plus stable, mais
exactement avec la même interface.
Distinguez les différentes éditions de Windows Server

À ce jour, il n’existe pas qu’une seule édition de Windows Server 2019, ce serait bien
trop simple. Microsoft étant une société commerciale, elle se doit de commercialiser
différentes versions d’un même produit ! Pour cette mouture 2019, il existe donc trois
éditions de Windows avec des cibles différentes :

 Windows Server 2019 Essentials

Cette édition se destine aux petites entreprises et organisations jusqu’à
25 utilisateurs et 50 équipements. Cette licence permet de faire fonctionner, à
moindre coût (aux environs de 500 €) tous les services que vous allez maîtriser
d’ici les prochains chapitres. Il suffit de faire l'acquisition du matériel, tel qu’un
serveur et des postes de travail disposant d’une licence Windows
Professionnel, et le tour est joué !
Si jamais vous passez la barre des 25 utilisateurs, vous ne pouvez pas mettre à jour
vers une édition Standard. Il convient donc d’anticiper au mieux vos besoins.
 Windows Server 2019 Standard
Cette édition se destine à toute entité n’ayant pas de forts besoins de
virtualisation, ou à faible densité (peu de serveurs). Sa tarification se base sur
le nombre de cœurs sur le serveur physique (aux environs de 900 €). Il sera
nécessaire de faire l'acquisition de licences d’accès clients en plus de
l’acquisition d’un poste disposant d’une licence Windows Pro.
 Windows Server 2019 Datacenter
Cette dernière édition est haut de gamme. Avec cette édition, vous pouvez
créer autant de machines virtuelles que vous le souhaitez sous Windows
Server. Elle se destine aux entités ayant de forts besoins de virtualisation, pour
la mise en œuvre de centres de données totalement gérés logiciellement. Sa
tarification se base elle aussi sur le nombre de cœurs des serveurs physiques
(aux environs de 6 500 €), et nécessite également une licence d’accès client
pour chaque machine cliente (toujours en supplément d’une licence Windows
Pro).
Comme vous le voyez, il conviendra de bien définir ses besoins pour choisir la bonne
édition de Windows Server 2019.
Ajoutez à cela les différents “packs” que les revendeurs de licences peuvent fournir
(pack Windows Server 2019 Standard + 16 licences d’accès, par exemple), et vous
avez un écosystème complet mais tout de même complexe en termes de tarification
et de licences.
Prenez en main Windows Server Standard

Ce serait trop beau que cela s'arrête à un choix d’édition. Je vous propose de nous
attarder sur l’édition Standard. Prenons le scénario fictif, mais réaliste, suivant :

Vous êtes nouvellement embauché dans une société, Gift S.A. La direction vous
demande de prévoir la mise en œuvre d’un Active Directory, qui permet de gérer les
identités et les droits d’accès au sein d’un réseau d’ordinateurs Microsoft, ainsi qu’un
serveur de fichiers.

Vous avez donc décidé d’opter pour Windows Server Standard, car il y a plus de 25
utilisateurs à gérer au sein de la société Gift, et bien plus de 50 équipements (1
ordinateur sous Windows par personne + des ordinateurs en libre service pour le
service logistique, et des tablettes sous Windows pour la gestion des stocks).

Allez sur le site de Microsoft pour récupérer l’ISO de Windows Server 2019
Standard.

Comme vous êtes un administrateur consciencieux, vous décidez, à raison, de tester

et qualifier votre choix via l’installation de la version d’évaluation, sur une machine
virtuelle sous VirtualBox.( Par exemple)

Vous allez donc suivre les étapes suivantes :

1. Récupérerl’ISO de Windows Server 2019 Standard.

2. Créer une machine virtuelle :
 spécifier une quantité d’espace mémoire (RAM) ;
 créer un disque dur virtuel.
3. Démarrer la machine virtuelle.
4. Lancer l’installation de Windows Server 2019 Standard.
Sur le site de Microsoft, vous avez choisi le format ISO et rempli consciencieusement
le formulaire de contact de Microsoft :
Enregistrement pour l’évaluation de Windows Server 2019 Standard
Une fois validé, le téléchargement démarre :

Téléchargement de l’ISO de Windows Server 2016 Standard

Vous avez téléchargé votre ISO et disposez de VirtualBox.

La première chose à faire est de créer une nouvelle machine virtuelle. Si vous
maîtrisez cette étape, passez directement au paragraphe suivant ; sinon, lancez
VirtualBox :

Interface de VirtualBox
Choisissez “Nouvelle” et entrez le nom de votre système : Windows Server 2019
Standard. Si tout se passe bien, cela aura pour effet de sélectionner le type “Microsoft
Windows” et la version “Windows 2019 (64 bits)".
Nom et système d’exploitation de la machine virtuelle
Ensuite, vous devez affecter une certaine quantité de mémoire vive à votre machine
virtuelle pour qu’elle puisse fonctionner correctement. Plus vous allez en affecter, plus
votre machine virtuelle aura de l’espace en mémoire pour gérer ses services. Pour le
moment, restez sur 2048 Mio :
 Affectation
de la taille de mémoire vive à la machine virtuelle
Maintenant, vous devez spécifier un espace de stockage, qui représente le disque
dur de la machine virtuelle. Attention, cet espace doit être disponible sur votre
ordinateur (celui sur lequel vous exécutez VirtualBox). Pour éviter d’avoir à modifier
ce paramètre plus tard, il est possible d’affecter un espace assez élevé (100 Gio),
mais de ne pas l’affecter directement en totalité !

Ensemble des étapes nécessaires à la création du disque virtuel de 100 Gio avec
allocation de l’espace dynamiquement
Créer un nouveau
disque
Sélectionner le type de format de
stockage
Spécifier le type d'allocation de l'espace
disque

Nommer le disque et déclarer l'emplacement du fichier de stockage

Voilà, une fois cette dernière étape terminée, votre machine est prête à démarrer :
Machine virtuelle créée et prête à démarrer
Cliquez sur “Démarrer”, et la première chose qui vous sera demandée est le fichier
ISO que vous avez téléchargé précédemment :

Premier écran de démarrage de votre machine virtuelle

Si toutefois vous n’arrivez pas à cet écran, vous avez la possibilité
de sélectionner votre ISO via le menu “Périphériques” puis “Lecteurs optiques”, et
d’insérer votre ISO dans le lecteur CD virtuel de votre machine !

Bravo, vous avez préparé votre machine virtuelle ! Maintenant, je vous propose
d’installer votre tout premier Windows Server 2019 Standard !

Maîtrisez l’installation de Windows Server

Si vous avez suivi les différentes étapes précédentes, vous devriez arriver sur l’écran
suivant :

Écran de démarrage de la machine virtuelle chargeant l’ISO Windows Server

Vous connaissez sûrement la réputation de Microsoft : le “cliquodrome”, car, du fait
de son interface graphique, tout se fait en quelques clics ! Eh bien, c’est toujours très
vrai, notamment pour les installations de systèmes d’exploitation. Microsoft aime
simplifier la vie des utilisateurs et administrateurs.
Après ce premier chargement, vous tombez sur un écran vous demandant de cliquer
sur “Suivant”.

Écran de validation de la langue de Windows

En cliquant sur “Suivant”, vous avez enfin la possibilité de lancer l’installation, via le
bouton “Installer maintenant”. Vous arrivez ensuite sur un écran de choix assez
étrange :
Écran de choix du système d’exploitation
Ici, vous avez la possibilité de choisir l’édition Standard ou Datacenter (un média
identique pour les deux éditions, c’est plus simple) ; par contre, il vous est fait mention
d’une expérience utilisateur, qu’est-ce donc que cette histoire d’expérience ?
Si vous sélectionnez le premier choix, “Windows Server 2019 Standard Evaluation”,
vous serez bien étonné de découvrir que cette option ne vous donne pas accès à
des fenêtres (dommage pour un produit qui s‘appelle “Windows” : "Fenêtres", en
anglais). Vous installez la version “Core” de Windows Server 2019 Standard. Cette
version permet de réduire les éléments “superflus” chargés au démarrage du serveur.
Parmi ces éléments, se trouvent :

 L’interface graphique !
 L’explorateur (pour afficher les fichiers).
 Internet Explorer/Edge.
 L’observateur d’événements.
  …
Pourquoi avoir une édition de Windows sans windows (fenêtres) ? Eh bien, pour
réduire les ressources nécessaires pour faire fonctionner le serveur, afin que ce
dernier puisse concentrer ses ressources sur les services, rôles et fonctionnalités qu’il
va fournir aux utilisateurs et clients.

À titre de comparaison, il est nécessaire d’avoir au minimum 2 048 Mio (2 Gio) pour
pouvoir lancer Windows Server 2019 Standard avec son interface graphique (très
similaire à Windows 10, qui plus est), alors que Windows 2019 Core ne nécessite que
512 Mio de RAM. Oui, vous avez bien lu, seulement 512 Mio.
Comment effectuer une administration sans interface graphique ?
Eh bien comme sous Linux, en ligne de commande ! PowerShell permet de lancer
toutes les commandes utiles, et de reproduire tout ce qui peut être fait graphiquement
en ligne de commande.

Si vous le souhaitez, vous avez également la possibilité de mettre en place de

l’administration à distance, via la console d’administration à distance de Windows 10 ;
ainsi vous retrouverez les outils graphiques habituels, mais via un poste
d’administration (dédié).

Je vous propose de rester sur une expérience utilisateur “à la Microsoft” avec

un environnement graphique simple ; sélectionnez donc “Windows Server 2019
Standard Evaluation (Expérience utilisateur…)". Après avoir fait ce choix et validé les
avis et conditions du contrat de licence, vous arrivez sur l’écran de choix du type
d’installation :
Écran de choix du type d’installation
Choisissez l’option “Personnalisé”, afin de maîtriser toutes les configurations de cette
installation :
Sélection du disque d’installation
Vous retrouverez votre disque de 100 Gio. Cliquez sur “Suivant” et… c’est tout ! Vous
avez remarqué ? Hormis quelques clics, rien de spécial pour le moment. Merci
Microsoft !

Une fois cette looongue étape (qui peut ne durer que quelques minutes si votre ISO
et le disque dur de la machine virtuelle se trouvent sur des SSD), Windows Server
vous demandera de personnaliser votre installation. Première personnalisation, le mot
de passe du compte Administrateur local.

Une fois cette personnalisation terminée (c’était long !), vous voici devant l’écran de
connexion de Windows Server. Identifiez-vous sur le serveur avec le mot de
passe Administrateur (il n’y a actuellement que ce compte de disponible).

Le profil local du compte Administrateur local est en cours de création, ce qui rend la
première authentification un peu longue (j’ai eu la “bonne” idée de ne pas utiliser de
disque SSD pour ma machine virtuelle, donc pour moi, c’est trèèès long).
Une fois terminé, vous devriez arriver sur le bureau de votre serveur. Vous remarquez
que le chargement n’est pas totalement terminé, Windows Server va
lancer automatiquement le gestionnaire de serveur :

Gestionnaire de serveur lancé automatiquement à l’ouverture de session

Voilà, vous avez installé votre premier Windows Server Standard avec interface
graphique. Je vous propose d’en rester là pour ce chapitre, car vous allez prendre en
main le gestionnaire de serveur dès le chapitre suivant !

Pourquoi la version 2019 de Windows Server ?

Attendez, avant de passer à la suite, quelques informations annexes qui pourraient

vous intéresser.

Lorsque vous devrez prendre vos marques dans une entreprise déjà existante, vous
trouverez d’autres versions de Windows Server.

Pourquoi ?
Tout simplement parce que l’entreprise dans laquelle vous arrivez dispose d’une
histoire informatique en plus de son histoire propre. La mise à jour d’un serveur
existant vers une nouvelle version est une étape complexe, car elle nécessite l’arrêt
des serveurs. La sécurité des données étant au cœur des préoccupations, il devient
de plus en plus compliqué d’éteindre des services. Cela aurait pour conséquences
de rendre les données indisponibles en rendant les services indisponibles. Quel
rapport avec la sécurité ? Eh bien l’un des critères de sécurité des données est
la disponibilité !

Alors une question se pose :

Pourquoi travailler à changer de version de Windows Server pour une plus récente ?
Eh bien, Windows Server 2019 apporte de nombreuses nouvelles fonctionnalités ;
entre autres :

 Le cryptage des machines virtuelles ;

 L'amélioration de la protection avancée de Windows Defender ;
 Le cloud hybride ;
 Les évolutions de la plateforme d’applications...
Vous l’avez compris, même si la mise à jour d’un système d’exploitation est complexe,
les nouvelles fonctionnalités peuvent apporter un réel avantage et vous permettre
d’augmenter la sécurité de votre système informatique, et donc plus généralement de
votre système d’information !

Découvrez des ressources additionnelles

Si vous êtes à l’aise avec la langue de Shakespeare, voici quelques liens utiles qui
compléteront parfaitement ce chapitre :

 Site Microsoft Windows Server (quelques ressources en français) ;

 Des labs virtuels pour s’exercer sur les services/rôles/versions de Windows
Server.
Vous voulez découvrir en profondeur les possibilités offertes par une installation sans
interface graphique, rendez-vous ici :

 Documentation en ligne sur Windows Server Core.

Si vous voulez en savoir plus sur l’administration à distance d’un Windows Server
Core, rendez-vous ici :

 Outils d'administration à distance de Windows Server.

Pour en savoir plus, rendez-vous à l’adresse suivante pour comparer les versions de
Windows Server :

 Comparaison des éditions de Windows Server.

En résumé

 Windows Server est un système d’exploitation dédié aux services et à la

mise en réseau.
 Il existe de nombreuses éditions et distributions de Windows Server
2019 (tout comme pour les versions 2012 et 2016).
 Il convient de correctement choisir la licence en fonction de ses besoins, et
surtout d’anticiper ses besoins futurs.
 Les différentes versions de Windows Server apportent avec le temps de
nouvelles fonctionnalités, une meilleure prise en charge des rôles critiques,
et souvent une meilleure compatibilité avec les nouvelles technologies.
 Il existe une version sans interface graphique de Windows Server,
fonctionnant sur le principe de Linux/Unix (via des lignes de commande).

II-Préparez votre système à la mise en réseau

Dans ce chapitre, vous allez préparer votre Windows Server à la mise en réseau.
Pourquoi un chapitre dédié? Eh bien, parce que la plupart des erreurs arrivent à ce
moment. Il convient de bien savoir ce que l’on fait et peut faire, car Microsoft a
automatisé de nombreux points.

Si vous ne préparez pas votre système, vous allez créer de belles vulnérabilités
pouvant porter préjudice à la sécurité de votre réseau et, pire, offrant un accès non
désiré à votre serveur et donc aux données qu’il héberge ou gère !
Préparez votre machine virtuelle

Cette première étape sur votre machine virtuelle correspond au raccordement d’un
câble réseau sur un serveur physique. Pour le moment et par défaut, sous VirtualBox
votre machine est à peu près protégée de l’extérieur. Elle n’a accès qu’au réseau
NATgéré par VirtualBox.
Vous avez oublié ce qu’est le NAT ? Rendez-vous sur l’excellent cours Apprenez le
fonctionnement des réseaux TCP/IP à la partie 3, chapitre 3 “La NAT et le port
forwarding” !
En résumé, votre serveur n’est pas accessible d’Internet, mais il peut y avoir accès !

Allez voir la configuration du réseau ; si votre VirtualBox est correctement configurée,

vous devriez avoir une adresse IP, un masque, une passerelle et un serveur
DNS par défaut !

Maintenant que j’ai tout ça, par quoi je commence ? Quelle est la première chose à
faire ?
Tout comme sur une distribution Linux où vous lanceriez un sudo apt update (ou sudo
apt-get update) suivi d’un sudo apt upgrade (ou sudo apt-get upgrade), eh bien vous
allez lancer une vérification des correctifs disponibles pour vos édition, version et
option d’installation de Windows auprès des serveurs de Microsoft !

Vous devriez obtenir un résultat plus ou moins satisfaisant ; je vous laisse effectuer
ces mises à jour tranquillement, et on se retrouve tout de suite après !

Comment faire ?
Eh bien rendez-vous sur le gestionnaire de serveur, dans la partie “Serveur local” :

Gestionnaire de serveur -> Serveur Local

Vous avez ici toutes les informations nécessaires à la mise en réseau :

Le nom de votre serveur, ici WIN-1HOJWCE0IT, le groupe de travail,

ici WORKGROUP, et sur la même ligne les dernières mises à jour installées, le mode
de mise à jour ("Télécharger les mises à jours uniquement à l’aide de…") et la date
de la dernière recherche ! Il vous suffit donc de cliquer sur “Télécharger les mises à
jours uniquement à l’aide de…” :

Fenêtre des mises à jour à installer

Cliquez sur “Installer maintenant” et rendez-vous après ces quelques minutes
d’installation. :)
Le tableau de bord du serveur local après les mises à jour
Très bien, votre Windows Server est maintenant fin prêt ! Occupez-vous maintenant
de lui donner un nom qui soit plus intéressant que le nom généré aléatoirement par
Microsoft !

Nommez un serveur

Si vous avez déjà suivi le cours sur Active Directory, vous savez que la nomenclature
est une activité à ne pas prendre à la légère. En effet, nommer correctement un
équipement, dans le cas présent, votre serveur, permettra de suivre son cycle de vie.

Aussi, il est important de ne pas nommer le serveur en fonction de son rôle ou de son
nom public, mais d’opter pour une nomenclature cohérente, logique et simple. Sachez
que, de toute façon, il sera possible de donner d’autres noms au serveur via le
protocole DNS !
Ainsi, pour nommer vos serveurs, vous pouvez par exemple adopter une codification
telle que SRVADPAR01 pour un serveur (SRV) ayant le rôle ADDS situé à Paris
(PAR) et étant le premier serveur de ce type (01).
Exemple de nommage
Ainsi, il sera simple de retrouver tous les serveurs hébergés à Paris, en effectuant une
recherche sur “*PAR*”, ou de rechercher tous les serveurs Active Directory en
effectuant la recherche “*AD*”. Je vous laisse réfléchir à une convention qui soit
cohérente !

Pour renommer le serveur, cliquez simplement sur son nom dans le tableau de bord :

Renommer un serveur
Il vous faudra redémarrer pour prendre en compte le changement de nom. Ensuite, il
vous faut imaginer l’adresse IP de votre serveur au sein de votre réseau.

Configurez la couche TCP/IP de votre serveur

Cette étape dépendra de votre réseau, des éventuels sous-réseaux et de la stratégie

d'adressage mise en œuvre !
Ici votre serveur se trouve derrière un routeur effectuant de la translation d’adresse ;
il doit donc être (tant qu’il est dans ce mode de fonctionnement) configuré avec une
adresse de ce réseau bien spécifique à VirtualBox.
Toujours sur le tableau de bord, si vous cliquez sur “Adresse IPv4 attribuée par
DHCP, compatible IPv6”, vous arrivez sur la configuration de vos interfaces réseaux.
Si vous connaissez Windows en tant que système bureautique, vous ne serez pas
perdu.

Par défaut, l’IPv6 est actif. Si votre réseau n’en a pas l’utilité, je vous invite à
le désactiver.

Attention toutefois, certains rôles Microsoft utilisent ce protocole. Il peut être plus
judicieux d’étudier le rôle en détail (ce que vous allez faire dans ce cours) pour
comprendre comment il fonctionne, et ensuite décider de la pertinence de conserver
IPv6 ou pas.
Configuration d’une interface réseau sous Windows
Vous remarquerez que Microsoft active de nombreux services par défaut sur une
interface :

 Client pour les réseaux Microsoft ;

 Partage de fichiers et imprimantes réseaux Microsoft ;
 Planificateur de paquets QoS ;
 Protocole Internet version 4 (TCP/IPv4) ;
 Pilote de protocole LLDP Microsoft ;
 Protocole Internet version 6 (TCP/IPv6) ;
 Répondeur de découverte de la topologie de la couche liaison ;
  Pilote E/S de mappage de découvert de topologie de la couche de liaison.
La case “Protocole Internet version 6 (TCP/IPv6)” peut être décochée si l’IPV6 n’est
pas utilisée dans l’infrastructure, pour éviter tout dysfonctionnement !
Ce n’est pas encore terminé ; sélectionnez les propriétés de “Protocole Internet
version 4 (TCP/IPv4)” puis cliquez sur “Avancés” :

Configuration avancée des paramètres TCP/IPv4

Le premier onglet vous permet de configurer toute la partie IP : adresse, masque,
alias, passerelle(s).
Le second onglet, DNS, permet de configurer tout ce qui se rapporte à la gestion
des noms. Une première zone permet de configurer les adresses des serveurs DNS :

Paramètres DNS
Pour les connaisseurs de Linux, il s’agit de l’équivalent au fichier “resolv.conf”. Dans
la partie "Suffixes", vous allez pouvoir spécifier comment les requêtes DNS vont être
faites au serveur, soit en direct, soit en ajoutant un suffixe.

À noter que vous pouvez aussi gérer l’enregistrement du nom de la machine et de son
adresse dans votre DNS interne. Pas d’inquiétude, vous rentrerez en détail dans le
rôle DNS dans les chapitres suivants.
Enfin, un dernier onglet, WINS, est présent. Il s’agit d’un protocole similaire
au DNS mais propre à Microsoft et Windows (Windows Internet Naming Service). Il
était très utilisé, voire obligatoire avant les années 2000 et la démocratisation de
l'Active Directory (qui utilise le DNS). Il permettait de retrouver une adresse IP à partir
d’un nom NetBIOS :

Paramètres WINS
Qu’est ce que NetBIOS ? En plus il est activé par défaut ?!
NetBIOS n’est pas un protocole ! C’est un système de nommage et une interface
logicielle permettant d’établir des sessions entre différents ordinateurs d’un réseau.
Ce programme de communication tend à disparaître au profit du protocole DNS. Il est
cependant utilisé par Microsoft (toujours aujourd’hui) sur TCP/IP, notamment pour une
compatibilité avec les systèmes Windows NT et XP.

Vous avez remarqué la case “Activer la recherche LMHOSTS”. LMHOSTS est à

NetBIOS ce que le fichier HOSTS est à DNS. Il permet de faire une association
manuelle entre nom NetBIOS et adresse IP ! Là encore, c’est intéressant de le
désactiver si vous n’avez plus besoin de NetBIOS.
Une fois que vous avez terminé ces configurations IP et plus généralement TCP/IP,
votre serveur est prêt à être mis en réseau.

À moins qu’il ne reste un paramétrage à faire…

Paramétrez le pare-feu Windows

Windows intègre un pare-feu. À la manière de Linux et Iptables, cela permet

de verrouiller les flux réseaux entrants et sortants de votre serveur ! Une sécurité
supplémentaire indispensable aujourd’hui ! Pourquoi laisser le port 80 ouvert sur un
serveur ne disposant pas du rôle Serveur Web ?

Encore une fois, rendez-vous sur le tableau de bord de votre serveur local :

Tableau de bord
Comme vous le voyez, j’ai choisi de configurer un premier serveur DHCP à Paris
SRVDHCPPAR01. J’ai maintenant uniquement de l’IPv4 avec une adresse,
un masque, une passerelle et un serveur DNS (pas de NetBIOS et pas d’autres
services réseaux Microsoft). Mon serveur est opérationnel.

Cliquez sur la ligne où est inscrit “Pare-feu Windows : Privé Actif” :

Pare-feu Microsoft
Plutôt pas mal comme configuration par défaut : il bloque toutes les connexions aux
applications ne figurant pas dans une liste ! Pour être serein, je vous propose de
cliquer sur “Modifier les paramètres de notification” et de sélectionner les options
“Bloquer toutes les connexions et m’avertir en cas d’accès” :
Pare-feu avec options renforcées
Ainsi, votre serveur pourra sortir sur le réseau (pratique pour configurer les rôles,
fonctionnalités et services), mais ne sera pas accessible sur le réseau !

À noter que cette partie pare-feu peut être faite en premier. Le fait d’être derrière le
mécanisme de NAT de VirtualBox permet de faire cet écart.
Voilà, votre serveur est prêt à être connecté à un réseau.

En résumé

 Un serveur Windows doit être configuré avant d’être connecté à un réseau

(surtout si c’est un réseau de production !).
 Par défaut, un serveur Windows dispose de nombreux paramètres à
changer en priorité (nom, IP, DNS, NetBIOS…).
 Le pare-feu Windows intégré permet de sécuriser les accès en bloquant tous
les ports !
 La mise en réseau doit être une action maîtrisée !

III-Prenez en main les rôles et fonctionnalités

Dans ce troisième chapitre, je vous propose de prendre en main les différents rôles et
fonctionnalités disponibles sous Windows Server. Attention, à ce stade je vous
propose de comprendre le fonctionnement des rôles et fonctionnalités, pas encore de
les mettre en œuvre. Si vous pensez déjà disposer de ces connaissances et
compétences, rendez-vous au chapitre suivant, sinon, accrochez-vous.

Comprenez ce que sont un rôle, une fonctionnalité et un service

Rôle, fonctionnalité, service… Qu’est-ce qui se cache derrière ces termes ?

Eh bien, un serveur Windows va avoir dans une entreprise un (ou plusieurs) rôle(s).
Ce(s) rôle(s) peu(ven)t être de fournir/héberger des fichiers, gérer un annuaire (AD
DS), gérer des certificats (AD CS), la configuration réseau (DHCP)...

Chacun de ces rôles, pour fonctionner, va s’appuyer sur des services (l’équivalent
des démons sous Linux/Unix). Par exemple, le service srvchost.exe avec l’option “ -k
DHCPServer ” est nécessaire au fonctionnement du rôle DHCP.
Enfin, pour être efficace, un rôle peut avoir besoin de fonctionnalités. Le rôle Serveur
Web qui va héberger vos pages web peut avoir besoin d’une fonctionnalité .Net si
vous avez besoin de développer votre application web à l’aide d’un langage
dynamique.

Si l’on remet tout cela en perspective, on a donc :

Organisation d’un serveur Windows en rôles, fonctionnalités et services

N’est-ce pas plus clair maintenant ? Pas totalement, très bien, on continue alors !

Découvrez les rôles d’un serveur sous Windows

Depuis Windows Server 2008, les rôles n’ont pas beaucoup changé, la liste s’est
précisée sans avoir été fondamentalement bouleversée. Voici la liste des rôles que
vous pouvez installer sur un serveur Windows 2019 Standard :

 Accès à distance ;
 Attestation d’intégrité de l’appareil ;
 Hyper-V ;
 Serveur de télécopie ;
 Serveur DHCP ;
 Serveur DNS ;
 Serveur Web (IIS) ;
 Service Guardian hôte ;
 Services AD DS ;
 Services AD LDS ;
 Services AD RMS ;
 Services Bureau à distance ;
 Services d’activation en volume ;
 Services d’impression et de numérisation de documents ;
 Services de certificats Active Directory ;
 Services de déploiement Windows ;
 Services de fédération Active Directory (AD FS) ;
 Service de fichiers et de stockage ;
 Service de stratégie et d’accès réseau ;
 Service WSUS (Windows Server Update Services).
Il y a de quoi faire ! Vous avez remarqué comme la nomenclature des rôles fait appel
aux termes “Services” et “Service”... Du coup, on pourrait croire qu’il s’agit de services,
mais non, il s’agit bien des rôles que vos serveurs peuvent prendre au sein de votre
réseau !
La liste étant longue, dans ce cours nous ne verrons que quelques-uns de ces rôles
en détail.

Dans la partie 2, vous prendrez en main les rôles suivants :

  Serveur DHCP ;
 Serveur DNS ;
 Service de fichiers et de stockage (fonctionnalités de base) ;
 Service de stratégie et d’accès réseau.
Dans la partie 3, vous prendrez en main les rôles :

 Service WDS ;
 Service de fichiers et de stockage (fonctionnalité avancés) ;
 Service WSUS.
Gérez les rôles, fonctionnalités et services

Microsoft a travaillé l’interface graphique de son serveur (sauf pour sa version Core),
afin de donner rapidement accès à la gestion des rôles et fonctionnalités, ainsi qu’aux
différents services.

Pour cela, rien de spécifique à mettre en œuvre, laissez votre serveur démarrer, si
vous n’avez rien modifié ou configuré de particulier, au démarrage, le gestionnaire de
serveur devrait se lancer ! Si tout va bien, c’est à cette étape que vous avez terminé
le premier chapitre de ce cours.

Si vous avez éteint votre serveur, vous n’avez qu’à le redémarrer et vous authentifier,
le gestionnaire de serveur apparaîtra tout seul à l’ouverture de la session :
Gestionnaire de serveur
Cet outil permet d’avoir un tableau de bord permettant d’avoir rapidement l’état de
santé général de votre service. Avant de voir en détail ce tableau de bord, remarquez
la zone de démarrage rapide de l’outil :

Zone de démarrage rapide

Avec cette zone vous pouvez directement :
  Ajouter des rôles et des fonctionnalités (comme c’est écrit) ;
 Ajouter d’autres serveurs à gérer (comme des serveurs Core sans interface
graphique) ;
 Regrouper vos serveurs en groupe permettant de simplifier l’administration ;
 Et, nouveauté depuis la version 2016, gérer des services Cloud directement
depuis cet espace !
Sous cette zone de démarrage rapide se trouve le tableau de bord. Ici, et c’est
généralement le cas systématiquement à l’installation “par défaut” d’un serveur
Windows, vous avez le rôle “Services de fichiers et de stockage” installé, et l’état
de santé de votre serveur local affiche des alertes :

Tableau de bord d’un serveur juste installé

Comme vous le voyez sur la capture d’écran précédente, il n’y a pour le moment qu’un
rôle et un groupe de serveurs contenant uniquement un serveur (logique).

Si vous ajoutez un rôle, il sera présent sur cet écran tel que dans le cas ci-après :
Ajout du rôle DHCP
Comment ajouter un rôle ? Rien de plus simple : soit en utilisant le démarrage rapide
et donc en cliquant sur le 2e item “Ajouter des rôles et des fonctionnalités”, soit en
cliquant sur “Gérer” (en haut à droite), puis sur “Ajouter des rôles et
fonctionnalités” :

Ajouter un rôle
Ensuite, sélectionnez le rôle qui vous intéresse parmi la liste des rôles proposés.
Avant de vous afficher la liste, le Gestionnaire de serveur va vous donner de
l’information et vous poser quelques questions, à savoir :

 Quelques informations sur le fonctionnement de l’assistant ;

 Le mode/type d’installation (basée sur un rôle, ou bureau à distance) ;
 Le serveur ou groupe de serveurs de destination.
Bien entendu, pour le moment pas d’histoire de bureau à distance ou d’architecture
de bureaux virtuels (VDI), mais simplement une installation basée sur des rôles sur
votre serveur local ! Vous devriez arriver ici :

Sélection d’un rôle

Si vous avez déjà un rôle installé, il sera déjà coché. L’avantage de cet assistant est
que vous disposez d’une description sur la droite de l’écran et ce, pour chaque rôle !

Si vous sélectionnez un rôle, par exemple Serveur DNS, vous pouvez avoir une liste
de fonctionnalités à choisir obligatoirement, comme c’est le cas avec le rôle “Serveur
DNS” :
Fonctionnalités obligatoires pour le rôle Serveur DNS
Cliquez sur “Ajouter des fonctionnalités” et vous reviendrez à l’écran de sélection
des rôles. Maintenant que vous avez choisi votre rôle, ici "DNS" (oui, je me répète),
cliquez sur ”Suivant”. Vous vous retrouvez alors à nouveau sur l’écran de choix des
fonctionnalités :
Liste des fonctionnalités d’un serveur Windows
Cette fois, ce ne sont pas uniquement les fonctionnalités obligatoires pour la bonne
marche du rôle choisi précédemment, mais réellement toutes les fonctionnalités qu’il
est possible d’ajouter à un serveur !

Par exemple, si, alors que vous installez le rôle DNS, vous vous rendez compte
qu’avoir un client Telnet peut être intéressant, vous pouvez à ce moment cocher la
case de cette fonctionnalité "Client Telnet”. Rappelez-vous : un rôle = une ou
plusieurs fonctionnalités = un ou plusieurs services !
Cliquez ensuite sur “Suivant”, l’assistant vous offre à nouveau des informations sur le
rôle sélectionné :
Information sur le rôle DNS
Dès que vous avez lu et appris par cœur ces informations, cliquez à nouveau sur
“Suivant” pour avoir un récapitulatif complet de ce que vous allez installer :
Liste des rôles et fonctionnalités qui seront installés
Il ne reste qu’à cliquer sur “Installer” pour lancer l’installation !

Voilà, vous devriez, avec ces éléments, maîtriser l’installation des rôles,
fonctionnalités et services d’un serveur Windows !

Rendez-vous dans le prochain chapitre pour identifier comment surveiller votre

serveur avant de vous lancer dans la configuration d’un rôle défini !

En résumé

 Les rôles sont les fonctions premières d’un serveur au sein d’un réseau.
 Les rôles peuvent avoir plus ou moins de fonctionnalités en fonction de leur
complexité.
 La gestion des rôles et fonctionnalités se fait au travers de l’outil Gestionnaire
de serveur qui se lance automatiquement au démarrage d’un session.
 Les rôles ont des fonctionnalités obligatoires.
  L’assistant d’ajout de rôle permet d’ajouter des rôles, leurs fonctionnalités
obligatoires éventuelles mais aussi toutes les fonctionnalités
disponibles sur Windows Server !

IV-Mettez en place la surveillance de votre serveur

Ici, je vous propose de travailler sur un sujet souvent oublié ou effectué à la “va-vite” :
la surveillance. Une bonne surveillance permet d’éviter de nombreux problèmes de
disponibilité, d’inventaire, et de sécurité d’une façon plus générale !

Appréhendez la surveillance automatique de Windows Server

Microsoft a été jusqu’au bout du principe d’interface graphique, avec le gestionnaire

de serveur, notamment. Vous n’avez pas à chercher plus loin pour avoir une
surveillance de votre serveur ! ET voilà, le cours est terminé, merci… Non, allons
jusqu’au bout du sujet.

Je vous propose d’analyser le contenu de cette surveillance automatisée, rendez-vous

sur votre tableau de bord que vous maîtrisez bien, maintenant :

Tableau de bord d’un serveur Windows

Rappelez-vous, sur la gauche le menu d’accès rapide ; au milieu, le tableau de bord
à proprement parler, avec une zone démarrage rapide et les éléments de surveillance,
puis en haut à droite, le menu avec les notifications (matérialisées par un drapeau).

Tout d’abord, le menu à gauche. Il permet d’aller rapidement à un serveur,

un rôle ou vos groupes de serveurs :

Menu du tableau de bord

Je vous propose de rester sur la partie Serveur local !

Tableau de bord du serveur local

Je ne reviens pas sur la première zone qui vous permet de retrouver les configurations
de base de votre serveur (réseau, nom, état des mises à jour...). En-dessous, vous
retrouvez les événements des différents journaux d'événements de votre serveur.
Microsoft a mis en place un système similaire à “journalctl” sous Linux. Tous les
événements seront enregistrés dans ces différents journaux, et le tableau de bord
vous les affichera tous ici. L’affichage est donc centralisé, et il est possible de n’afficher
que des événements critiques (quel que soit le journal en question – pour rappel, il
existe les journaux application, installation, système et sécurité, par défaut sous
Windows).
Surveillez les événements de votre serveur

Par défaut, les événements Critique, Erreur et Avertissement sont affichés à partir
des journaux :

Affichage centralisé des événements des journaux par défaut

Sous cette partie Événements se trouve la partie Services :

Tableau de bord de l’état des services du serveur local

Vous allez retrouver l’état de tous les services de votre serveur ! L’avantage, c’est que
vous pourrez relancer, arrêter ou démarrer un service directement de cette zone en
faisant un clic droit sur le nom du service.

Vérifiez votre conformité aux bonnes pratiques Microsoft

Ensuite se trouve le Best Practice Analyzer :

Best Practice Analyzer
Cet outil est très intéressant en termes de surveillance d’un serveur. Par exemple, j’ai
installé le rôle DHCP sur mon serveur ; est-ce que ma configuration est validée par
les guides et bonnes pratiques de Microsoft ? Je n’ai qu’à lancer le “Best Practice
Analyzer” (BPA) pour le savoir via "Tâches”, “Commencer l’analyse BPA”, et voilà
le résultat :

Résultat du BPA avec le rôle DHCP installé sur un serveur tout frais
En un clin d’œil (ou clic de souris), je sais que mon rôle DHCP n’est pas correctement
configuré et qu’il ne peut pas fonctionner ! Charge à moi (et donc à vous) d’effectuer
les modifications proposées.

Notez que bien souvent, si vous ne validez pas le BPA, le support de Microsoft ne
pourra intervenir sur votre serveur. En effet, si vous ne suivez pas les guides et bonnes
pratiques de Microsoft, ils ne peuvent pas vous aider dans la résolution d’un problème
qui, pour eux, n’en est pas un.
Surveillez les performance de votre serveur
Sous le BPA se trouve la partie Performance :

Espace Performance du tableau de bord

Rarement utilisé, c’est pourtant un outil puissant pour diagnostiquer un problème de
ressources sur son serveur. Pour l’activer, il suffit de cliquer sur “Tâches” puis sur
“Configurer des alertes de performance” :

Seuils d’alerte de performance

Dans cet exemple, au-delà de 85 % d’occupation du processeur et à moins de 100 Mio
de RAM disponible, vous aurez une alerte dans cette zone. Cela vous permettra
d’investiguer plus en profondeur pour résoudre le souci.
Pour activer l’analyse en tant que telle, clic droit sur le nom du serveur puis “Démarrer
les compteurs de performances” ! Il n’y a plus qu’à attendre des données et une
potentielle alerte de performance :

Alerte de performance
Ainsi, vous savez comment identifier des problèmes de performance sur votre serveur.
À vous d’investiguer pour en trouver la source et résoudre le problème !

Gardez le contrôle sur les rôles et fonctionnalités

Enfin, vous avez le récapitulatif des rôles et fonctionnalités installés sur votre serveur :

Surveillance des rôles et fonctionnalités de votre serveur

Ici, vous avez tout simplement un moyen simple et rapide d’identifier les rôles et
fonctionnalités installés sur votre serveur ! Voilà, vous savez comment surveiller votre
serveur grâce aux outils Microsoft !

En résumé

 Windows Server intègre de nombreux outils de surveillance par défaut.

  Vous avez la possibilité d’avoir un tableau de bord pour votre serveur local,
mais également pour un groupe de serveurs.
 Le BPA (Best Practices Analyzer) vous permet de vérifier votre conformité aux
bonnes pratiques de configuration Microsoft.
C’est la fin de cette première partie qui vous a permis de voir comment fonctionne le
système Windows Server. Vous allez donc utiliser tout ceci afin d’installer et configurer
différents services réseaux dans la prochaine partie.

Partie 2 : Maîtrisez les services réseau de base

I- Installez un serveur DHCP

Dans cette seconde partie, je vous propose de prendre en main différents rôles
proposés par Microsoft, et de les installer sur votre serveur ! Vous allez commencer
par le rôle Serveur DHCP qui permet, vous le savez déjà sûrement, d’automatiser la
configuration de vos équipements au sein de votre réseau !

Rappelez-vous les fondamentaux de DHCP

Un petit rappel sur le fonctionnement de DHCP. Dynamic Host Configuration

Protocol est, comme son nom l’indique, un protocole de gestion de la configuration
de vos équipements dynamiques ! Ainsi vous supprimerez le risque de mauvaise
manipulation lors de la configuration réseau de vos équipements, et apporterez donc
une fiabilité dans votre réseau.

Microsoft implémente ici la RFC2131 au sein du rôle DHCP.

Si l’on résume son fonctionnement, le serveur DHCP écoute sur le port UDP 67.
Installez le rôle Serveur DHCP

Pour ajouter ce rôle, vous savez quoi faire. Rendez-vous sur le gestionnaire de
serveur, et dans la partie “Ajouter un rôle ou une fonctionnalité”, cochez la case
"Serveur DHCP" :
Rôle DHCP installé
Vous remarquerez que le tableau de bord vous alerte avec beaucoup de rouge et une
notification. C’est normal, vous n’avez pas terminé la configuration de ce rôle.

Je vous propose de cliquer sur la notification puis sur “Terminer la configuration” ;

vous devriez arriver sur cet écran :
Assistant de configuration du rôle Serveur DHCP
L’assistant vous indique les différentes étapes qui seront à mettre en œuvre pour
configurer ce rôle. La première étape est la création de groupes pour la délégation
d’administration. Cela vous permettra de créer un utilisateur qui n’aura d’autres droits
que ceux d’administration de ce rôle !
Vous pouvez ensuite fermer cet assistant. Je vous propose maintenant d’utiliser la
console de gestion du serveur DHCP qui va vous permettre d’administrer et surtout
de configurer votre DHCP. Pour cela, rendez-vous sur la partie DHCP et avec un clic
droit, sélectionnez le Gestionnaire DHCP :
Lancement du gestionnaire DHCP
Vous trouverez toutes les options pour configurer ce rôle :
Gestionnaire DHCP
La fenêtre est découpée en trois : à gauche vos serveurs DHCP, au milieu les
options de configuration et à droite les actions possibles en fonction du contexte.
C’est notamment à cet emplacement que vous retrouverez, dans les actions, des
raccourcis vers les menus qui s’afficheront, en faisant un clic droit.

Gérez le service DHCP

Comme je vous l’ai dit, un rôle utilise des fonctionnalités qui se basent sur des
services. La première chose que vous pouvez faire avec ce gestionnaire est
de stopper, démarrer ou redémarrer le service associé au rôle DHCP. Vous devrez
notamment redémarrer le service DHCP pour recharger la configuration. Rien de plus
simple, un clic droit sur le nom du serveur hébergeant ce rôle, et dans “Toutes les
tâches” vous pourrez effectuer toutes ces actions :
Action sur le service DHCP
Autre point, si vous lancez (toujours avec le clic droit sur le serveur) les propriétés,
vous aurez connaissance de l’emplacement de la base de données utilisée par le
service DHCP :
Emplacement de la base de données DHCP
Contrairement au monde Unix/Linux, Microsoft n’aime pas trop les fichiers plats au
format texte. Il s’agit d’une base de données, soyez donc vigilant aux sauvegardes et
restaurations en effectuant une copie de ce répertoire, ou en écrasant ce répertoire à
l’aide du répertoire “backup” créé automatiquement.
Par défaut, le rôle DHCP peut fonctionner en IPv4 et IPv6. Dans ce cours, je ne
traiterai que de l’IPv4, l’IPv6 étant encore à la traîne en termes de déploiement… Mais
rassurez-vous, d’ici peu vous aurez sûrement à travailler en IPv6.
Vous avez donc les paramètres suivants disponibles :

 options de serveur ;
 stratégies ;
  filtres.
En sélectionnant IPv4 et avec un clic droit sur ce paramètre, vous pouvez créer
des étendues d’adresses à distribuer avec votre serveur.

Une étendue est une plage d’adresses IP assignées aux ordinateurs demandant une
adresse IP dynamique.
Ensuite vous pouvez définir des options propres à chaque étendue, mais également
des options globales, ce sont les options de serveur qui s’appliqueront à toutes les
étendues ! Les Stratégies vous permettront de définir des conditions de fourniture
d’options ou d’adresses en fonction de critères particuliers. Par exemple, vous pourrez
spécifier une passerelle par défaut différente à vos équipements Windows 2000… ou,
plus plausible, fournir des options spécifiques de configuration aux équipements, avec
des adresses MAC présentes dans une liste !
Mise en œuvre d’une stratégie DHCP
Enfin, vous pourrez mettre en place des exclusions ou des autorisations via les filtres :

Filtres DHCP
Je vous conseille d’utiliser les deux : enregistrer les adresses MAC de tous vos
appareils à cet endroit, et ne fournir une adresse IP que si l’adresse MAC se trouve
dans la liste ! Vous pouvez ainsi coupler cela aux stratégies en spécifiant les
identificateurs de client qui sont connus. Ainsi vous maîtriserez quels équipements
accèdent à votre réseau.
Votre première étendue DHCP

Maintenant que vous connaissez parfaitement le fonctionnement du gestionnaire

DHCP, je vous propose de créer votre première étendue. Pour cela, clic droit IPv4
sous le nom du serveur, puis “Nouvelle étendue” :

L’assistant Nouvelle étendue

Encore une fois, Microsoft vous permet de configurer cela au travers d’un assistant !

Cliquez sur Suivant et entrez un nom et une description pour votre étendue ! Après le
nom et la description arrivent la plage d’adresses que vous allez fournir via le DHCP,
ainsi que le masque de sous-réseaux (je sais que vous maîtrisez ce sujet, vous avez
suivi le cours Apprenez le fonctionnement des réseaux TCP/IP) !

Remplissez les différents champs comme bon vous semble, enfin plutôt selon vos
besoins . En général, vous allez configurer la plage d’adresses (adresses de début
et de fin), la passerelle et le serveur DNS. Vous pourriez également ajouter des
options pour les téléphones IP (le serveur de téléphonie, par exemple) :

Plage d’adresses
L’écran suivant vous propose d’entrer des exclusions ou de retarder les réponses du
serveur, pratique lorsque vous avez plusieurs serveurs DHCP sur un même sous-
réseau.

Enfin, l’écran suivant vous propose de définir la durée du bail.

Souvent cette durée est laissée par défaut. Il vaut mieux y réfléchir à deux fois, car
une attaque informatique connue porte justement sur la saturation des serveurs DHCP
via la demande de nombreux baux… Si votre durée de bail est trop longue et que vous
êtes victime de ce type d’attaque, vous pourrez paralyser la configuration automatique
de votre réseau !
Durée du bail
Attention à ne pas tomber dans l’autre extrême : une durée trop courte ! Cela pourrait
congestionner votre réseau en demandant à vos équipements de demander de
renouveler leurs baux trop souvent.
Une fois la durée du bail configurée, vous avez la possibilité de vous arrêter là ou de
poursuivre avec l’assistant pour configurer les options DHCP.

En poursuivant l’assistant, vous êtes guidé dans les options les plus utiles à
paramétrer :

 routeur (passerelle par défaut) ;

 nom de domaine et serveurs DNS ;
 serveurs WINS.
Et enfin, vous avez la possibilité d’activer l’étendue :
Activation de votre étendue
Une fois l'étendue activée, votre rôle DHCP est opérationnel. Après avoir configuré
et/ou activé une étendue, plus d’options apparaissent dans le gestionnaire sous IPv4,
notamment les options liées aux pools d’adresses, baux d’adresses, réservations et
les options d’étendue.
 Étendue DHCP
Cela vous permet de revenir sur des paramètres, de mettre en place des réservations
d’adresses IP, d’observer les baux en cours de validité ou de mettre en œuvre une
stratégie propre à cette étendue.

Paramétrez votre étendue en profondeur

Avant d’aller plus loin, je vous propose de faire un clic droit sur le nom de votre
étendue. Vous aurez accès à des options supplémentaires qui peuvent être
intéressantes :
Propriétés d’une étendue
Ce premier onglet n’est pas forcément très intéressant, car ce sont les paramètres de
votre étendue que vous venez de configurer. Les deux autres onglets en revanche,
eux, sont nouveaux :

 L’onglet DNS permet de gérer la mise à jour des enregistrements DNS à

chaque fourniture de configuration. Cette option est très pratique pour
obtenir une association IP<->nom qualifié de vos clients DHCP. Attention, il est
possible que le serveur DHCP puisse écraser les enregistrement DNS
existants, c’est pourquoi il peut être intéressant de mettre en place la protection
des noms.
À noter l’option “Toujours mettre à jour dynamiquement les enregistrements
DNS” qui n’est pas celle par défaut. Il peut toutefois être intéressant de créer un
enregistrement DNS dès qu’une IP est fournie.
  L’onglet Avancé permet de choisir si seul le protocole DHCP sera utilisé, ou si
le protocole BOOTP sera utilisé (ou les deux) ! Par défaut, seul DHCP est
utilisé. BOOTP permet de fournir toutes les options de démarrage à un client.
Dans certains cas, ce protocole peut être très pratique. Vous retrouvez ici le
retard de réponse que le serveur peut inclure avant de fournir une réponse à
un client demandant une configuration !
Autorisez les flux du serveur DHCP

Afin de fonctionner correctement, il vous reste une dernière étape à mettre en

œuvre : autoriser les flux au niveau du pare-feu Windows. Pour cela, rendez-vous
dans les outils d’administration (dans le menu Démarrer) et ouvrez le “Pare-feu
Windows avec fonctions avancées de sécurité”. Créez une “Règle de trafic
entrant” en spécifiant le protocole UDP sur les ports 67 et 68, puis autorisez ce flux
et nommez la règle (par exemple Serveur DHCP). Vous avez mis en œuvre un serveur
Windows avec un rôle de serveur DHCP. Félicitations !

Si vous souhaitez utiliser du multicast, il vous faudra également ouvrir le port UDP
2535.
Diagnostiquez un problème sur votre DHCP

Ah, le diagnostic… Il peut arriver que votre serveur devienne capricieux et ne fournisse
plus de configuration IP. Pour cela, la première chose à faire est d’aller voir au niveau
deux des baux :

 Est-ce qu’il reste des baux disponibles ?

 Est-ce qu’il n’y a pas eu deux offres de configuration identiques distribuées ?
 Est-ce que mes flux sont vraiment ouverts et mon serveur joignable sur le
réseau ?
Pour cela, il vous suffit de vous rendre dans la partie Baux d’adresses du
gestionnaire DHCP.

Dans certains cas, le problème peut être plus profond ; à ce moment il vous faudra
sortir votre observateur d’événements. Vous verrez qu’un nouveau journal sera
disponible :
 Nouveau journal Serveur DHCP
Redondez votre serveur DHCP

Il est possible de mettre en place deux serveurs DHCP fournissant une étendue
unique. L’intérêt : assurer la haute disponibilité du rôle. Pour cela, créez un nouveau
serveur disposant du rôle Serveur DHCP sans aller plus loin (pas d’étendues), puis
faites un clic droit sur le nom de votre serveur dans le gestionnaire DHCP sur IPv4, et
choisissez “Configurer un basculement” :
Configurez un basculement
Ainsi, les bases de données seront synchronisées et les configurations fournies seront
suivies non plus par un serveur, mais deux.

Les propriétés de votre serveur DHCP

Si vous cliquez sur IPv4 et affichez les propriétés, vous allez voir, comme pour votre
étendue, qu’il est possible d’aller plus loin dans la configuration de votre rôle :
Propriétés IPv4
Vous avez la possibilité de mettre en place des statistiques de façon automatique, ce
qui vous permettra d’observer à intervalles réguliers si votre serveur répond
correctement, si les clients formulent des requêtes cohérentes, et l’occupation de votre
étendue :
Statistiques d’un serveur DHCP
Voilà, vous savez presque tout sur le rôle DHCP ! Je vous laisse expérimenter toutes
les possibilités offertes par Microsoft à ce sujet, car elles pourraient nécessiter un
cours à part entière.

Allez plus loin

 La RFC2131 sur DHCP (US).

 Les nouveautés du rôle.
 Le guide d’installation Microsoft (US).
En résumé

 Le rôle Serveur DHCP permet de simplifier la configuration de clients au sein

d’un réseau.
 Tous les paramètres et options sont accessibles via un assistant
simplifiant la prise en main et la mise en route.
 Microsoft permet d’augmenter la sécurité via la mise en redondance de deux
serveurs disposant du rôle de Serveur DHCP.

II - Installez un serveur DNS

Dans ce nouveau chapitre, je vous propose d’installer le rôle de Serveur DNS sur
un serveur. Ce rôle est primordial pour de nombreux autres rôles (Active Directory,
pour ne citer que le plus utilisé). Il permet d’associer un nom qualifié à une adresse
IP. D’ailleurs, c’est sur ce protocole que se base le Web tel que nous le connaissons
aujourd’hui.

Rappelez-vous les fondamentaux de DNS

DNS est l'abréviation de Domain Name Service/System. Il s’agit d’un protocole qui
permet d'associer un nom à une adresse IP.
Un client (souvent le navigateur web) envoie une demande pour connaître l’adresse
IP du serveur web correspondant à l’adresse que vous avez entrée.

Par exemple, si vous allez sur www.exemple.com, votre navigateur doit demander
quelle est l’adresse IP du serveur nommé www dans la zone DNS exemple.com.

Pour cela, il va envoyer une requête au serveur DNS configuré sur votre poste, et faire
une demande de type A concernant www.exemple.com. Si votre serveur DNS ne
connaît pas la réponse, il va alors se tourner vers un autre serveur DNS (souvent ce
sera l’un des serveurs racines (Root Servers) gérant les enregistrements de la zone
“.”.

Dans cette zone particulière sont référencés les serveurs des zones “.com”, “.fr”, et
d’une manière plus générale, ".extension du nom de domaine”.

Alors votre serveur interrogera en retour le serveur de nom de la zone ".com" à la

recherche du serveur DNS de la zone ".com", et la mécanique recommencera à la
recherche de la zone exemple.com qui renverra, à ce moment-là,
l'enregistrement A correspondant au champ www de sa zone : vous devriez avoir l’IP
107.180.40.145.
Schéma de fonctionnement du DNS
Installez le rôle Serveur DNS

Maintenant, je vous propose d’installer le rôle DNS sur un serveur Windows. Pour
cela, comme vous le savez, rendez-vous sur le gestionnaire de serveur et ajoutez
un rôle. À la sélection du rôle, Microsoft vous propose comme pour le DHCP, des
fonctionnalités obligatoires :
Fonctionnalités obligatoires du rôle Serveur DNS
Ensuite, vous avez des informations sur ce rôle, qui vous présentent le fonctionnement
général (avec le lien au DHCP) et une configuration possible, préconisée par
Microsoft, à savoir l’intégration à l’Active Directory. Cela permet de bénéficier
du mécanisme de réplication de l’AD pour simplifier la réplication des zones sur les
serveurs AD (qui se doivent d’avoir le rôle Serveur DNS pour fonctionner) :
Informations sur le rôle Serveur DNS de l’assistant d’installation
Validez les informations finales et lancez l’installation en cliquant sur “Installer”. Vous
maîtrisez l’assistant maintenant, non ?

Cette fois il n’est pas nécessaire de redémarrer. Cette étape dépend des rôles, et vous
serez averti par les notifications sur le tableau de bord si un redémarrage est
nécessaire.
Tableau de bord après installation du rôle Serveur DNS
Si vous allez sur le tableau de bord de votre serveur, vous pourrez noter à quel point
le nommage est primordial ! J’ai volontairement laissé le nom que j’ai positionné sur
le serveur lors de l’installation du rôle DHCP, voyez la confusion possible pour
l’administrateur :

Rôle DNS installé sur SRVDHCPPAR01

Soyez vigilant : il n'est pas logique d’avoir un nom ne reflétant pas le rôle du serveur.
Attention toutefois, si votre serveur est accessible de l’extérieur de votre réseau, le fait
de connaître, via son nom, son rôle, est une information critique. Entre les mains d’un
pirate informatique, cela permet d’accélérer les recherches de vecteurs d’attaque. Il
conviendra de correctement configurer le DNS pour éviter de faire fuiter de telles
informations.
Maintenant que vous avez installé ce rôle, je vous propose de travailler sur sa gestion !

Gérez le service DNS

Tout comme le gestionnaire DHCP, il existe le gestionnaire DNS. Cette console

dédiée à l’administration du rôle DNS permet de créer les différentes
zones nécessaires au fonctionnement du DNS.

Gestionnaire DNS
La maîtrise des noms est un domaine souvent pris à la légère. Rappelez-vous
que 100 % des requêtes vers Internet passent par le DNS.
Avant de créer votre première zone directe, il faut savoir comment un serveur DNS
fonctionne : à chaque requête d’un client, la réponse va être mise en cache
localement. Ce cache permettra à votre serveur, après avoir récupéré l’adresse IP du
serveur www.exemple.com, de répondre plus rapidement sans avoir à relancer une
requête récursive aux serveurs “root”, ainsi qu'au serveur de la zone “exemple.com”.
Ce cache doit être géré.

Pourquoi ce cache doit-il être géré ?

Eh bien, tout simplement pour éviter de garder en mémoire
l’association www.exemple.com vers l’IP 107.180.40.145.

Eh oui, si l’administrateur de ce serveur décide de changer d’adresse IP, il serait

dommage de ne plus pouvoir accéder à www.exemple.com.

Attention donc à régler le cache à une valeur ni trop faible, ni trop forte.
Par défaut, cette valeur est d’une journée (24 h) pour les réponses positives (une
adresse IP au moins existe pour un nom qualifié) et de 15 minutes pour les réponses
négatives. Pour afficher ces informations, ouvrez PowerShell et tapez la
commande Get-DnsServerCache :

Configuration de
cache du serveur DNS
Nous reviendrons dans la dernière partie de ce cours sur l’utilisation de PowerShell.
Utilisez l’aide en ligne de Microsoft pour modifier ces valeurs.

Enfin, vous allez vous assurer que le rôle DNS est correctement configuré. Dans le
gestionnaire DNS, avec un clic droit sur le nom du serveur, choisissez “propriétés” :
Propriétés du serveur DNS
C’est exactement ce point qu’il faut vérifier.

Sur quelle interface écoute le service DNS ?

Par défaut, il écoutera les requêtes DNS sur toutes les interfaces. Si vous avez un
réseau d’administration, il peut être intéressant de ne pas écouter les requêtes sur ce
réseau. Je vous propose donc de sélectionner uniquement l’IP fixe que vous avez
configurée dans le premier chapitre.

Dirigez-vous sur l’onglet Indication de racine. Allez vérifier que votre serveur connaît
les serveurs racines. Ce seront les serveurs qui seront contactés pour identifier une
réponse à www.exemple.com, par exemple.
Serveurs racines connus de votre serveur DNS
Vous allez me dire, comment faire pour tester votre serveur DNS ? Il devrait être en
mesure de répondre à n’importe quelle demande avec ces serveurs ?
Ouvrez, sur votre serveur, une invite de commande (un Shell). Tapez la
commande nslookup - 10.0.2.15 (où 10.0.2.15 est l’adresse IP de l’interface réseau
de votre serveur). Vous entrez alors dans un client DNS interactif, en lien avec votre
serveur ! Testez www.exemple.com :

nslookup - 10.0.2.15
Serveur par défaut : UnKnown

> www.exemple.com

Serveur : UnKnown

Réponse ne faisant pas autorité :

Nom : www.exemple.com

Addresses : 2606:2800:220:1:248:1893:25c8:1946
107.180.40.145
Comme votre serveur n’est pas le gestionnaire de la zone exemple.com, il interroge
récursivement les serveurs racines, puis le serveur DNS de la zone exemple.com. La
réponse que votre serveur vous fournit ne fait pas autorité, car votre serveur la tient
d’un autre serveur. 😅

Comment avoir des réponses faisant autorité ?

En disposant d’une zone DNS ; ça tombe bien, c’est ce que vous allez mettre en
place !

Mettez en place votre première zone directe

Une zone directe permet d’associer un nom à une adresse IP, c’est bien plus simple
pour nous, humains, de se rappeler d’un nom ; surtout qu’une adresse IP peut changer
avec le temps, comme par exemple, lors d’un changement de fournisseur d’accès.
La première étape consiste à choisir un nom de domaine. Je vous propose de prendre
une zone privée.

Prenez le cas suivant : suite à la configuration du DHCP, la direction de Gift S.A. vous
demande de trouver un moyen de nommer les différents équipements et services sur
le réseau. Le directeur en a marre de devoir taper l’adresse IP 10.0.2.10 pour accéder
à l’intranet. Vous allez donc créer une zone directe pour le domaine “gift.sa” et y
placer un enregistrement A faisant pointer intranet.gift.sa vers 10.0.2.10. Ainsi votre
directeur pourra tranquillement taperhttps://intranet.gift.sa au lieu de l’adresse IP,
mission réussie !
Pour cela, vous disposez (encore) d’un assistant. Cliquez sur Action en haut de votre
écran puis sélectionnez “Nouvelle zone...”.

Après l’écran de bienvenue, vous devriez avoir l’écran suivant :

Assistant de configuration d’un serveur DNS

Le premier choix est parfait, c’est ce que vous voulez faire. Validez ce choix par
“Suivant”, jusqu’à arriver sur la page du nom de la zone : il s’agit de “gift.sa”, dans le
cas présent. Puis la création du fichier de zone (et son emplacement sur votre
serveur). Arrive ensuite la question des mises à jour dynamiques.

Cette option est à prendre avec des pincettes, car elle permet à un client de mettre à
jour des enregistrements. Mal configurée, cette option permettrait à un utilisateur
malveillant de changer vos enregistrements pour les envoyer vers l’adresse IP d’un
serveur qu’il gère, et pourrait mener à une campagne de fuite d’informations…
Attention donc !

Gestion de la mise à jour dynamique des enregistrements DNS

Votre zone est créée, allez voir maintenant son contenu, en cliquant sur “Terminer”
puis en dépliant “Zones de recherche directes” :

Zone de recherche directe “gift.sa”

Votre zone ne contient que deux enregistrements qui permettent d’identifier le
serveur faisant autorité (SOA), et le serveur de noms (NS). Il serait intéressant de
créer votre enregistrement intranet demandé par la direction. Pour cela, un clic droit
dans la fenêtre de droite (ou sur le nom de la zone) et sélectionnez “nouvel hôte A
ou AAAA”. Les enregistrements A sont pour les IPv4 et les AAAA pour les IPv6.
Entrez le nom de l’hôte au sein de la zone (“intranet” donc) et l’adresse IP associée :

Créer un
enregistrement A
Vous avez ici la possibilité de créer un PTR, vous verrez cela dans la section suivante,
d’ici quelques minutes ; ne cochez pas cette case et validez via “Ajouter un hôte”.
Vous remarquerez le champ (non modifiable) du nom de domaine pleinement qualifié
(fully qualified domain name – FQDN), il comporte un “point” à la fin qui représente la
zone racine (root), suivi de l’extension “sa” puis du domaine “gift”. Le nom qualifié de
l’intranet est donc “intranet.gift.sa.”

Pour vérifier que votre enregistrement est correctement créé, relancez une invite de
commande et tapez la commande nslookup intranet.gift.sa 10.0.2.15 pour demander
de quelle adresse IP dispose l’hôte “intranet.gift.sa” au serveur 10.0.2.15 :
>nslookup intranet.gift.sa 10.0.2.15
Server : UnKnown
Address: 10.0.2.15

Nom : intranet.gift.sa
Address : 10.0.2.10
Voilà, vous savez créer des enregistrements A sur une zone directe ! Vous allez
pouvoir nommer tous vos équipements ou serveurs avec des noms et arrêter d’utiliser
les adresses IP.

Découvrez les autres types d’enregistrements

Avant de passer à la zone inversée, je vous propose de voir quelques éléments

supplémentaires. Le DNS permet de répondre à une requête d’un client, le type A
permet de demander une adresse IP à partir d’un nom, mais de nombreux autres
types sont disponible, comme NS qui permet de connaître le serveur de noms. Sous
Windows, vous pouvez effectuer des requêtes sur différents types avec l’option set
type=XXX , où XXX est le type demandé.
Un autre type est le SOA (Start Of Autority), permettant de savoir quel serveur fait
autorité sur une zone.

>nslookup - 10.0.2.15
Serveur par défaut : UnKnown
Address: 10.0.2.15

>set type=SOA
>gift.sa
Serveur : UnKnown
Address: 10.0.2.15

gift.sa
primary name server = srvdhcppar01
responsible mail addr = hostmaster
serial = 2
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
 default TTL = 3600 (1 hour)

>set type=NS
>gift.sa
Serveur : UnKnown
Address: 10.0.2.15

gift.sa nameserver = srvdhcppar01

Un autre type est le CNAME qui permet d’associer un nom à un nom.

Cela peut être pratique pour donner un nom à un serveur en pointant sur le nom du
service. Par exemple, cela peut être intéressant d’avoir un nom différent pour
administrer l’intranet, mais il peut être long de taper “intranet.gift.sa” lorsque l’on
administre ce service. Alors un CNAME “int.gift.sa” pointant sur intranet.gift.sa permet
de résoudre ce problème :

>set type=CNAME
>int.gift.sa
Serveur : UnKnown
Address: 10.0.2.15

int.gift.sa canonical name = intranet

Il existe de nombreux types, les plus connus
étant NS, SOA, A, AAAA, CNAME, TXT, MX (Mail eXchange pour les serveurs de
messagerie). La méthode à mettre en œuvre est la même, quel que soit le type.

Mettez en œuvre votre première zone inversée

Maintenant que vous disposez d’une zone directe, ne serait-ce pas intéressant de
créer une zone inversée ? C’est une association d’une adresse IP à un nom, en
somme l’inverse de la zone directe. Cela permet de confirmer que le nom choisi dans
une zone directe est bien associé à l’adresse IP, et donc d’interroger un DNS sur une
adresse IP, si vous changez l’adresse du serveur DNS configuré sur votre serveur
DNS, ici, dans la zone Serveur DNS préféré :
Configuration de votre serveur DNS comme serveur DNS de votre serveur
Toutes les requêtes de nom seront alors envoyées à votre serveur. Ouvrez alors une
invite de commande et tapez ping intranet.gift.sa :
C:\Users\Administrateur>ping intranet.gift.sa

Envoi d'une requête 'ping' sur intranet.gift.sa [10.0.2.10] avec 32 octets de données :
Ctrl+C
^C
C:\Users\Administrateur>ping 10.0.2.10
Envoi d'une requête 'ping' 10.0.2.10 avec 32 octets de données :
Ctrl+C
^C
Le nom intranet.gift.sa est bien résolu (par la zone directe) en 10.0.2.10, mais
l’inverse ne se fait pas ! Il vous faut créer une zone inversée.

Pour cela, rendez-vous sur le Gestionnaire DNS et avec un clic droit sur la partie “zone
inversée”, sélectionnez “Nouvelle zone” ; après l’écran d’accueil, vous devriez arriver
sur l’écran suivant :

Création d’une zone inversée

Là encore, vous disposez de différents types de zones en fonction du niveau de
maîtrise que vous souhaitez. Nous n’aborderons ici que le type principal. L’écran
suivant vous propose de choisir entre IPv4 et v6.

Idem, ici restez sur IPv4. Ensuite, vous n’avez plus qu’à entrer l’ID de votre réseau.
Il s’agit des octets de l’adresse IP représentant votre réseau et enfin, le nom du fichier
de zone vous sera proposé et à nouveau la mise à jour dynamique (idem, on refusera
les mises à jour dynamiques) :

Id de
réseau
Finalisation de la création de la zone inversée
De la même façon que pour une zone directe, vous n’avez que deux enregistrements
par défaut :

Zone inversée
Ajoutez un enregistrement de type PTR pour intranet.gift.sa (vous pouvez parcourir
votre zone directe avec l’assistant de création d’enregistrement PTR pour être certain
de pointer vers le bon nom !). Entrez l'adresse IP (enfin, juste le dernier octet), et
vous obtenez votre premier enregistrement :
Enregistrement PTR
Pour tester la résolution de ce type avec un ping , ajoutez -a à votre ligne de
commande.
C:\Users\Administrateur>ping -a 10.0.2.10

Envoi d'une requête 'ping' sur intranet.gift.sa [10.0.2.10] avec 32 octets de données :
Ctrl+C
^C
Voilà, vous avez maintenant un serveur DNS configuré pour simplifier la gestion du
réseau de votre entreprise Gift S.A. Si vous souhaitez diagnostiquer le fonctionnement
de votre serveur DNS, reprenez les méthodes et outils énoncés dans le chapitre
précédent, ils restent valables pour tous les rôles et fonctionnalités !

Une dernière chose

Avant de vous laisser configurer d’autres rôles, il reste quelques configurations à

mettre en œuvre. La première est le transfert de zone. Cette fonctionnalité est
intéressante dans le cas où vous avez plusieurs serveurs pour une même zone (ce
qui est une bonne chose), mais peut se montrer dangereuse si vous exposez votre
serveur DNS publiquement.

Un transfert de zone contient tous les enregistrements d’une zone et permet donc de
retrouver facilement toutes les adresses IP de vos équipements ; un attaquant pourrait
s’en servir contre vous.
Pour cela, faites un clic droit sur le nom de votre zone, allez dans l’onglet “Transfert
de zone” et refusez les transferts, ou listez les serveurs de confiance que vous
allez autoriser à récupérer vos enregistrements ! Une bonne pratique consiste
également à journaliser toutes les transactions DNS, mais cela vous le verrez en détail
dans les cours concernant la surveillance d’un système :
Paramétrage des transferts de zone
Enfin, vous pouvez lancer le BPA de Microsoft sur ce rôle, pour vous assurer que
votre configuration respecte les bonnes pratiques de Microsoft.

N’oubliez pas d’autoriser le port UDP 53 sur votre pare-feu, sinon votre serveur DNS
ne sera pas accessible sur le réseau ; rappelez-vous, vous avez activé le pare-feu
pour bloquer tous les flux n’étant pas couverts par une règle de flux entrant !

Allez plus loin

 RFC régissant le fonctionnement du DNS.

 Cours sur TCP/IP abordant le DNS.
 Liste des différents types d’enregistrements DNS.
  Gestion du cache DNS Microsoft.
En résumé

 Le rôle DNS de Windows Server permet de créer des zones directes et

inversées.
 Le serveur DNS permet de résoudre des noms en adresses IP et des
adresses IP en noms.
 Le transfert de zone doit être restreint aux serveurs de
confiance uniquement.
 Un serveur DNS s’interroge à l’aide de la commande nslookup ou via les
navigateurs web (entre autres).

III- Installez un serveur de fichiers

Un des rôles les plus courants pour un serveur Windows est le serveur de fichiers.
Grâce à ce rôle, vous allez pouvoir mettre à disposition en toute sécurité des fichiers
sur votre réseau. Vous pourrez gérer des droits d’accès (lecture, écriture,
modification…). Fournir ce type de rôle dans un réseau permet de centraliser le point
de stockage des fichiers, facilitant ainsi la sauvegarde, la restauration, et permettant
à plusieurs personnes de travailler ensemble sur un même fichier.

Rappelez-vous les fondamentaux du partage de fichiers

Pour qu’un fichier soit accessible sur votre réseau, un protocole doit être utilisé. Sous
Linux, il s’agit majoritairement du NFS (Network File System). Sous Windows, il est
possible d’utiliser ce protocole, mais il n’est pas aussi intégré au système que l’est le
protocole SMB, aussi appelé CIFS. SMB pour Server Message
Block et CIFS pour Common Internet File System.
Ce protocole se caractérise par un client natif intégré à Microsoft Windows et un
serveur que vous allez installer et configurer. Il se base sur NTFS pour la gestion des
droits d’accès et les partages sont accessibles via un chemin universel (UNC –
Universal Naming Convention) du type \\serveur\partage .
Si SMB peut vous faire penser à SAMBA (souvent rencontré sous Linux), c’est
totalement normal, SAMBA est une implémentation open source du protocole
propriétaire SMB de Microsoft. Vous pourrez donc partager vos fichiers via SMB et y
avoir accès sur vos clients Linux.

Ceci étant dit, je vous propose d’entrer dans le vif du sujet !

Installez le rôle Serveur de fichiers

Sur votre gestionnaire de serveurs, vous avez sûrement observé la présence d’un
rôle dont nous n’avions pas parlé, alors qu’il était déjà installé : le rôle Serveur de
fichiers et de stockage :

Rôle Serveur de fichiers et de stockage installé par défaut

En effet, pour stocker des fichiers, il convient de gérer le stockage. Le mieux étant
de mettre en œuvre un disque dédié à cet effet (ou plusieurs). Je vous propose donc
de créer deux disques de 10 Gio sur votre machine virtuelle.

Pour cela, éteignez votre machine virtuelle et rendez-vous sur le menu de VirtualBox
dans l’option “Machine”, puis sélectionnez “Paramètres”. Au passage, vous avez vu
que Windows vous demande un motif pour l’arrêt de votre serveur :
 Motif d’arrêt et
redémarrage d’un serveur
Cela permet d’identifier la raison de l’arrêt. En effet, si vous arrêtez votre serveur, ses
rôles, fonctionnalités et services deviennent indisponibles. Il convient alors de
s’assurer que cela est dû à une maintenance programmée ou à un événement non
planifié. Cela permettra d’identifier clairement cet arrêt comme
étant programmé et légitime, et donc de basculer ce temps d'indisponibilité dans les
temps de maintenance.

Vous en saurez plus dans le cours Supervision. Je vous propose donc de choisir le
motif “Système d’exploitation : reconfiguration (planifiée)”.

Rendez-vous dans la section “Stockage”, et sur votre contrôleur ajoutez deux

nouveaux disques :
Ajout de deux disques virtuels à votre serveur
Redémarrez votre serveur et rendez-vous à nouveau dans l’espace Serveur de
fichiers et de stockage ; vous devriez voir les deux disques nouvellement installés :

Deux nouveaux disques

La direction de Gift S.A. vous demande de mettre en place un partage réseau, afin de
travailler à plusieurs sur le nouveau prototype d’un objet révolutionnaire. Il convient
donc de sécuriser ces données. Pour cela, je vous propose de mettre en œuvre
un RAID logiciel.

Je vous invite, si vous ne l’avez pas déjà fait, à suivre le cours Montez un serveur de
fichiers sous Linux, pour comprendre comment fonctionne le RAID sous Linux, dont
la logique est presque la même que sous Windows Server :

 Vous devez dans un premier temps initialiser vos disques physiques en

faisant un clic droit sur les disques dans la fenêtre actuelle ;
 Puis créez un pool de stockage dans la partie correspondante. Ce pool va
permettre de regrouper les disques et de créer des disques virtuels qui pourront
avoir des capacités de redondance (miroir) ou de parité (intégrité des données),
afin d’augmenter la sécurité ;
 Puis créez un disque virtuel.
Hormis la première étape, toutes les étapes se font dans la partie “Pool de
stockage” :

Création d’un pool de stockage et d’un disque

virtuel.
Le pool est fin prêt
Sélectionnez ensuite votre pool de stockage et créez un disque virtuel. Pour le cas de
Gift S.A., je vous propose de partir sur un miroir simple qui utilisera les deux disques
pour stocker les données (les fichiers seront écrits en simultané sur les deux disques,
la perte d’un disque est transparente !).
Création d’un disque virtuel
Ensuite, vous devrez choisir le mode d’approvisionnement de l’espace. Pour cela,
deux options existent, fin ("thin" en anglais) et fixe. Dans ce dernier cas, fixe, l’espace
total du volume est proposé ; dans le cas de l’approvisionnement fin, vous fixez la
taille.

L’avantage est qu’il est possible de fournir un espace réduit puis de pouvoir
l’augmenter par la suite. Il est également possible d’afficher plus d’espace que
réellement disponible physiquement.
Approvisionnement de l’espace disque
Finalisez la création de ce disque, et créez le volume qui accueillera vos données et
se présentera avec une lettre de lecteur, ainsi qu’un système de fichiers (NTFS par
défaut).

Pour ma part, j’ai mis en œuvre un disque virtuel en miroir en approvisionnement fin
de 1 To (oui, à partir de mes deux disques de 10 Gio).

Nouveau disque de données de 1 To en miroir sur les deux disques physiques de 10

Gio.
 Volume associé au disque virtuel de
1 Tio
L'approvisionnement fin est pratique pour anticiper les besoins. Il autorise une certaine
souplesse dans l’approvisionnement d’espace.

Sachez que vous aurez de toute façon une alerte dès que vous aurez atteint 70 % de
l’espace physique réel. Il vous faudra à ce moment-là ajouter de nouveaux disques
physiques afin de fournir le stockage nécessaire.
Je vous propose donc de rester raisonnable, avec 10 Gio de disque virtuel en miroir :

Volume de données avec 10 Gio en

miroir sur les deux disques physiques
Je vous propose d’en rester là pour la gestion du stockage, le fonctionnement étant
globalement le même que sous Linux.

Créez votre premier partage

Maintenant que vous avez votre support pour vos données, il vous faut un dossier
pour stocker les différents fichiers. Rendez-vous dans la partie “Partages”, puis dans
l’encart “Ressources partagées” :
Ressources partagées
En cliquant sur le lien, vous aurez la possibilité de créer un nouveau partage.

Vous avez le choix entre 5 propositions via l’assistant de création de partages :

Choix du mode de partage

  SMB rapide : le plus simple, vous fournissez un partage sur votre réseau via
SMB ;
 SMB avancé : permet d’aller plus loin que le précédent en gérant des quotas
et des droits avancés ;
 SMB Applications : utilisé pour Hyper-V et les bases de données ou autres
serveurs ;
 NFS rapide : identique à SMB simple mais via NFS (avec donc une meilleure
compatibilité avec Linux) ;
 NFS avancé : idem SMB avancé.
Je vous propose de rester sur SMB rapide. Il vous est ensuite demandé le chemin
d’accès et le nom du partage (ce qui se trouvera après serveur\ dans le chemin UNC
suivant : \\serveur\partage ). Je vous propose de l'appeler “Sensible”.

Vous remarquerez alors que Windows créera ce répertoire dans un répertoire

“Shares” qui accueillera tous les partages de ce volume. De même, l’accès via un
chemin UNC est affiché \\SRVDHCPPAR01\Sensible .
Je vous le redis, pour être sûr que vous vous en rappeliez dans votre pratique pro, le
nommage du serveur est vraiment important.
Enfin, il vous sera proposé de configurer les paramètres de votre partage avec une
option cochée par défaut : Autoriser la mise en cache du partage.

Il s’agit là d’une nouvelle fonctionnalité depuis Windows Server 2012, qui permet de
synchroniser le partage sur un poste et de vous fournir un accès à vos données, même
si le serveur n’est plus accessible.
L’activation de l’énumération basée sur l’accès permet de n’afficher dans
l’explorer Windows que les partages auxquels l’utilisateur a accès. C’est une option
intéressante qui permet de masquer un partage sensible aux utilisateurs ne disposant
d’aucun droit sur les données en question ; je vous propose d’activer cette option.
Paramètres de partage
Enfin, la dernière et peut-être la plus importante, la possibilité de chiffrer l’accès aux
données.

Il ne s’agit que du chiffrement de l’accès au données et non du chiffrement des

données elles-mêmes.
Ensuite, vous devez choisir des utilisateurs (ou mieux, des groupes) qui pourront
disposer d’accès spécifiques en fonction de leurs besoins, par exemple pour le
“Principal” utilisateur authentifié, les droits peuvent être "Lecture seule" :
Autorisations pour Sensible
Une fois que vous avez terminé avec l’affectation des droits (qui est beaucoup plus
simple, couplée à un Active Directory), vous pouvez valider. Vous avez alors un
récapitulatif des paramètres choisis :
Paramètres du partage
Et voilà, votre partage est disponible via \\SRVDHCPPAR01\Sensible (à modifier
avec le nom de votre serveur).
Accédez à votre partage

Pour cela, rien de plus simple sous Windows, un client SMB est intégré à l’explorer, il
suffit d’entrer le chemin UNC du partage dans la barre d’adresse, et Windows vous en
affiche le contenu :
Accès au partage Sensible
Par défaut, l’administrateur n’est pas obligatoirement libre de gérer les fichiers, il peut
ne pas avoir accès aux données de “Sensible” s’il n’en a pas le besoin. Il pourra tout
de même effectuer ses tâches d’administration sans pouvoir voir le contenu des
données !

Accès refusé pour l’administrateur local sur le dossier “Sensible”

Il ne vous reste plus qu’à autoriser les flux sur votre pare-feu pour fournir l’accès à
votre serveur de fichiers. Vous utilisez le protocole SMB, il faut donc ouvrir le port
445/TCP à destination de votre serveur sur votre réseau.
Allez plus loin

Je vous invite à regarder de près les possibilités de mise en cluster. Cela vous
permettra d’avoir plusieurs serveurs pour héberger votre partage, ainsi vous
augmenterez la disponibilité de vos données.

Vous trouverez également des informations utiles dans le cours Installez et déployez
Windows 10 sur les espaces de stockage, qui fonctionnent globalement de la même
façon sous Windows 10.

En résumé

 Le serveur de fichiers est un rôle par défaut qui n’est pas complètement
installé ; il faut terminer l’ajout de certaines fonctionnalités afin de pouvoir
mettre en place un partage.
 Il existe deux grands types de protocoles disponibles, SMB et NFS, l’un
propriétaire Microsoft, l’autre plutôt orienté vers le monde Unix, avec
notamment une implémentation sous Linux et MacOS.
 Il est possible de chiffrer l’accès aux données via SMB.
 Windows Server met en œuvre une virtualisation des disques afin de faciliter
la sécurisation en miroir ou la parité, pour garantir la fiabilité d’un partage.

IV- Installez un serveur d’accès au réseau

Dans ce dernier chapitre, je vous propose de mettre en œuvre un rôle trop souvent
oublié : le contrôle d’accès au réseau. Microsoft propose ce rôle, afin de vous
permettre de maîtriser quels équipements peuvent accéder à vos ressources en
réseau.

Imaginez que votre direction vous demande de sécuriser l’accès au partage, mais
avec un accès Wi-Fi (vulnérable de conception). Eh bien, grâce à ce rôle, vous allez
pouvoir maîtriser votre Wi-Fi afin de le fournir de façon maîtrisée à votre direction !
Installez les services de stratégie et d’accès réseau

Le rôle de serveur d’accès au réseau s’installe via les services de stratégie et

d’accès au réseau.
Assistant des services de stratégie et d’accès réseau
Dénommés NPS (Network Policy Server), ces services assurent le contrôle
d’accès à votre réseau comme il vous est dit ; ce serveur agit comme un
serveur RADIUS (Remote Authentication Dial-in User Service) qui est un protocole
permettant justement de vérifier l’identité d’un client, ses droits, et de lui fournir un
service (tel que l’accès à un réseau), s’il dispose de tels droits.

NPS peut aussi servir de proxy RADIUS, mais je vous propose de rester sur sa
fonction première : le serveur RADIUS.
Services de stratégie et d’accès au réseau installé
Installez ce rôle (en toute logique, vous ne devriez pas avoir besoin de redémarrer
votre serveur). Sélectionnez votre serveur. Ici j’ai nommé mon serveur
SRVNACPOI01 : c’est un serveur SRV, pour le contrôle d’accès au réseau NAC
(Network Access Control ), et il est le premier (01) serveur situé à Poitiers (POI). Faites
un clic droit sur la ligne correspondant à votre serveur et sélectionnez “Serveur NPS” :

Console de gestion du serveur NPS

Petite information supplémentaire sur les éditions de Windows Server concernant
RADIUS. La version Standard de Windows Server permet de gérer
“seulement” 50 clients RADIUS, alors que la version Datacenter ne restreint pas le
nombre de clients ; cela permet de préciser vos critères de choix d’une édition de
Windows Server, et donc de dimensionner votre réseau avec précision.
Avant de vous lancer dans l’implémentation de votre contrôle d’accès au réseau, il
vous faut maîtriser la terminologie et le fonctionnement de RADIUS (commun à
tous les protocoles d’accès).

Rappelez-vous les fondamentaux du contrôle d’accès

Avant tout, il faut identifier les clients. Il faudra donc avoir un client prenant en charge
le protocole RADIUS ; l’avantage ici, c'est l’utilisation des technologies
Microsoft : vous retrouverez des clients natifs pour chaque rôle de serveur.

C’est donc le cas ici, un poste Windows 10 Professionnel sera donc en mesure
d’interroger un serveur RADIUS. À ceci près que le poste client ne sera pas le client
RADIUS. En effet, il ne va pas directement demander au serveur d'accès s’il peut
accéder au réseau. Pour cela, il devra s’appuyer sur un tiers qui, lui, consultera le
serveur RADIUS.

Voici un schéma de fonctionnement du rôle d’accès au réseau de Microsoft.

Illustration (issue du site de Microsoft) concernant le fonctionnement de RADIUS au
travers du serveur NPS de Windows Server
Le poste client sera donc un suppléant (dans la terminologie RADIUS). Le client
RADIUS est alors l’équipement qui fournira l’accès au réseau. Cela peut être un
commutateur, un point d’accès Wi-Fi ou un serveur d’accès distant ou VPN.

Comme je ne souhaite pas que vous soyez obligé d’investir dans du matériel, je vous
propose de comprendre le fonctionnement au travers, non pas de la mise en œuvre
sous Windows, mais via Packet Tracer. Packet Tracer est un outil Cisco, gratuit, qui
permet de comprendre rapidement le fonctionnement de RADIUS.

Initiez-vous à Packet Tracer !

Maquettez le contrôle d’accès au réseau

Lancez Packet Tracer et placez 4 équipements :

 Un serveur générique ;
 Un commutateur 2960 ;
 Un PC portable ;
 Un point d’accès Wi-Fi WRT300N.
Connectez votre serveur (FastEthernet0) au commutateur (n’importe quel port), puis
le port “Internet” du point d’accès à ce même commutateur.

Il reste maintenant quelques étapes à mettre en œuvre :

 Configurer la couche IP sur l’AP (point d’accès Wi-Fi) et sur le serveur ;

 Configurer la partie Serveur RADIUS sur le serveur ;
 Configurer le client RADIUS sur le point d’accès ;
 Mettre une carte Wi-Fi sur le PC portable.
Commençons par le serveur, qui est le plus simple :

Architecture RADIUS simulée

Puis par le point d’accès Wi-Fi en y insérant les configurations réseau ci-dessous :
Configuration IP du serveur
Maintenant que les configurations IP sont opérationnelles sur ces deux équipements,
passez à la configuration du serveur et du client RADIUS :

La configuration du client RADIUS est très simple, il suffit de spécifier l’adresse IP du

serveur RADIUS et de définir un secret (comme vous voulez sécuriser l’accès Wi-Fi,
cela se passe dans la partie “Wireless”) :
Configuration du client RADIUS
Maintenant, passez à la configuration (très simplifiée dans ce simulateur) du serveur
RADIUS, rendez-vous dans la partie “Services”, puis AAA.

Au passage, AAA signifie Authentication, Authorization, Accounting/Auditing. Ce

protocole est la base du protocole RADIUS !
Entrez tout d’abord les informations sur le client RADIUS : un nom, son IP et
le secret que vous avez entré sur le client :
Configuration du serveur RADIUS
Maintenant, il ne vous reste plus qu’à définir des utilisateurs dans la partie “User
Setup”. Passez ensuite à la configuration du supplicant (à savoir le PC portable).

Ajoutez-lui une carte Wi-Fi.

Attention, il faut éteindre le PC, retirer la carte réseau filaire et ajouter la carte réseau
Wi-Fi, sans oublier de rallumer le PC !
Il ne vous reste qu’à configurer les identifiants définis précédemment et à attendre
que l’authentification se mette en œuvre ; au bout de quelques secondes vous
devriez avoir le résultat suivant :
Client Wi-Fi autorisé à se connecter au réseau grâce au protocole RADIUS
Grâce à cette simulation rapide, vous avez compris comment fonctionne le protocole
RADIUS. Vous pouvez alors passer en mode Simulation sous Packet Tracer, et
redémarrer le serveur et le client Wi-Fi pour observer les “enveloppes” de données et
les différents échanges liés au contrôle d’accès :

Échanges RADIUS précédant l’autorisation de l’accès au réseau pour le client Wi-Fi

Maintenant que votre maquette fonctionne, transposez cela à votre Windows Server.

Si vous disposez de matériel compatible RADIUS, essayez de monter une maquette

similaire. Les options étant propres à chaque matériel, je ne peux pas vous montrer
où se trouvent les menus, mais comme vous le voyez, la partie Configuration d’un
client RADIUS est extrêmement simple.

Transposez votre maquette sous Windows Server

La page de configuration d’un client RADIUS sous Windows est relativement la même
que celle de Packet Tracer. Pour la trouver, rendez-vous sur le Gestionnaire
NPS (Serveur NPS dans les outils d’administration), et ajoutez un client RADIUS en
faisant un clic droit sur “Clients RADIUS” puis “Nouveau” :

Configuration d’un client RADIUS

Comme vous le voyez, rien de plus que dans Packet Tracer et sa simulation simpliste !
NPS permet, sous Windows Server, d’aller plus loin avec ce mécanisme, et
notamment concernant les options sur la vérification de l’identité du client souhaitant
accéder au réseau. Cela se trouve sous Windows, à l’emplacement “Stratégies” :

Stratégie de demande de connexion au réseau

Grâce à ces stratégies, il est possible de spécifier quels types de supplicants peuvent
faire des demandes légitimes d’accès au réseau.

Une bonne pratique est d’utiliser les clients Windows étant inscrits au niveau de
l’Active Directory ou mieux encore, de vérifier la présence d’un certificat sur le poste
demandant l’accès au réseau.
Toutes ces possibilités se trouvent dans l’onglet “Paramètres” des propriétés de la
stratégie :
Paramètres de la stratégie de demande d’accès au réseau
Ensuite, les stratégies réseau vous permettent de spécifier les accès effectifs à
accorder aux demandeurs. Ici, j’ai autorisé les accès aux membres du groupe
“Utilisateurs” du serveur NPS. Dans un cas réel, ce serait aux utilisateurs membres
d’un groupe AD.

Voilà, vous savez tout (ou presque) sur le rôle d’accès au réseau. Libre à vous
d’adapter cela en vous basant sur les ressources que je vous propose ci-après.

Allez plus loin

 Guide Microsoft sur RADIUS.

 RFC décrivant le protocole RADIUS.
 Guide de l’ANSSI sur la mise en place du contrôle d’accès au réseau.
En résumé

 Windows Server permet de créer un Serveur RADIUS à travers le rôle d’accès

au réseau dit “Serveur NPS”.
  RADIUS est un protocole faisant partie de la famille des protocoles
AAA permettant l’authentification, l’autorisation et l’audit des accès.
 Avec le Serveur NPS de Windows, vous pouvez utiliser de nombreuses
options de vérification de l’identité d’un équipement demandant un accès
réseau, permettant d’authentifier avec précision les demandes d’accès.
 Les types d’accès au réseau peuvent être conditionnés à d’autres options
spécifiées dans des stratégies réseaux permettant de limiter la bande
passante, les horaires ou même les services accessibles.

Partie 3 : Installez des services réseau avancés

I- Implémentez un service de déploiement

Dans cette nouvelle partie, vous allez aller plus loin dans la configuration de rôles que
vous avez vue précédemment.

Sur ce nouveau chapitre, vous allez mettre en œuvre un service de déploiement. Je

vous propose de préparer l’architecture de ce rôle particulier. Grâce à lui, vous allez
pouvoir maîtriser votre parc informatique d’une nouvelle façon, en déployant une
image Windows 10 Pro.

Appréhendez le service de déploiement de Windows

Ce service permet, comme je vous le disais en introduction, de reprendre la main sur

vos systèmes d’exploitation clients et serveurs. Dans ce chapitre, je vous propose de
rester focalisé sur la partie client !
Le service de déploiement porte le nom de “Windows Deployment Services”. Il
intègre toutes les fonctionnalités qui vont vous permettre de démarrer un poste client
par le réseau, et de lui envoyer un système d’exploitation personnalisé. Je vous
propose de vous focaliser sur la partie configuration du service de déploiement en tant
que telle.
Rapidement, un peu d’histoire

Très rapidement, un peu d’histoire sur le service WDS. À l’origine, il se nommait RIS
(Remote Installation Service) et permettait d'utiliser le protocole BOOTP (comprenant
le DHCP) afin de fournir une image de démarrage via le réseau. Pour cela, il fallait
que les clients disposent d’options PXE (Preboot eXecution Environment) afin de
pouvoir utiliser l’intégralité du protocole BOOTP. Depuis le Service Pack 2 de
Windows 2003, le RIS a été remplacé par WDS et prend dorénavant en charge les
systèmes Vista, 2003, 2008 ainsi que Windows XP.

Configurez le rôle WDS

Maintenant qu’un tout petit peu de contexte est placé, je vous propose de mettre les
mains dans le moteur. Pour cela, ajoutez le rôle Services de déploiement Windows
(WDS), vous savez comment faire cela maintenant, et rendez-vous sur la console de
gestion de ces services :

Console WDS
Vous allez pouvoir mettre en œuvre la partie serveur relativement simplement grâce,
encore une fois, à l’assistant. Vous remarquerez que dans le conteneur “Serveurs”
se trouvent tous les serveurs disposant de ce rôle ; ici, il n’y que le premier serveur
WDS de Nantes (SRVWDSNAN01) :

Liste des serveurs WDS connus

Comme c’est proposé, configurez votre serveur en faisant un clic droit sur son nom.

Assistant WDS
L’assistant va vous guider tout au long du processus, en vous spécifiant les prérequis
à mettre en œuvre pour obtenir un service fonctionnel. Je vous invite à suivre ces
conseils scrupuleusement, afin d’obtenir un service de déploiement parfaitement
fonctionnel.
Ici vous voyez les prérequis :

 Le serveur est membre d’un domaine AD DS ou est contrôleur de domaine (ce

n’est pas recommandé, il faut essayer de rester sur 1 serveur = 1 rôle); il est
tout à fait possible de configurer WDS sans AD dans son infrastructure ; dans
ce cas, il faudra cocher la case “Serveur autonome".
 Un DHCP existe sur le réseau.
 Un DNS existe sur le réseau.
 Une partition NTFS (ce format est obligatoire) est disponible pour stocker les
images.
Une fois que vous remplissez ces prérequis, vous pouvez valider cette étape. Vous
devrez ensuite choisir entre une installation au sein d’un AD (pratique pour gérer un
parc de A à Z) ou un serveur autonome, pratique pour déployer pour de nombreux
clients si vous travaillez en ESN.

Une fois ce premier choix d’architecture fait, il vous faut définir l’emplacement des
images (j’ai choisi E:\Reminst pour ne pas polluer ma partition système). Enfin, vous
arrivez dans le cœur du paramétrage :
Choix du mode de réponse
Vous allez devoir sélectionner un mode de réponse. Il peut être intéressant de ne
répondre qu’à des ordinateurs connus. Cela vous permet de maîtriser les PC qui
seront installés. Vous pouvez activer l’option d’approbation qui vous permet d’avoir un
entre-deux : vous laissez WDS répondre à tous les clients, mais vous devrez les
approuver. Ceci termine la première partie de la configuration de ce service.

Votre rôle est configuré. Il ne vous reste plus qu’à intégrer des images d’installation et
des images de démarrage.

 L’image d’installation peut être une image d’un média existant. L’assistant
vous demandera un média pour intégrer directement une image cliente.
 L’image de démarrage, quant à elle, permet à votre serveur, après avoir
répondu aux requêtes BOOTP, de faire démarrer un poste client.
Dans ce tutoriel, nous utiliserons le média d’installation de Windows Server 2019 où
les images se trouvent dans le répertoire “Sources”. Il s’agit de fichiers “.wim” (si tout
va bien, l’image de démarrage sera nommée boot.wim).
Évidemment, vous pouvez très bien utiliser un média d’installation de Windows 10 (ce
sera plus logique selon votre besoin), la méthode restera la même.
Un clic droit sur “Images de démarrage” va intégrer les images de démarrage en
prenant soin d’en vérifier l’intégrité. Cela peut prendre un certain temps en fonction
des ressources disponibles sur le serveur. L’assistant va ainsi s’assurer que l’image
de démarrage correspond bien à une image valide.

Vous aurez le résultat suivant :

Images d'installation à partir d'un média Windows Server

2019

Image de démarrage à partir d’un média Windows Server 2019

Vous aurez remarqué que maintenant vos services de déploiement se sont
agrémentés de nombreuses options :
 Options des services de
déploiement
L’avantage ici est que vous allez pouvoir intégrer des pilotes à vos images, gérer
différents groupes d’images et optimiser l’utilisation de votre bande passante réseau
en utilisant la multidiffusion (aussi appelée multicast).
Fonctionnalités avancées de WDS
Vous le voyez sur les options disponibles sur une image de démarrage, vous avez la
possibilité de créer une image de capture et une image de découverte !

À quoi ces types d’images peuvent-ils servir ?

Mettez-vous en situation : vous êtes fraîchement arrivé en tant qu’administrateur
Système et Réseau ou bien technicien informatique chez Gift SA. La direction vous
annonce un plan d’augmentation des effectifs très conséquent. Vous avez été
consciencieux et disposez de plusieurs postes clients, de validation et de tests de
votre parc actuel. Pourquoi alors ne pas reprendre une de ces images pour préparer
très rapidement les centaines de postes qui vont vous être demandés pour les
nouveaux embauchés ?

C’est à cela que sert une image de capture. Vous allez pouvoir démarrer sur votre
image et capturer le système, les pilotes et la configuration d’un poste existant afin de
pouvoir ensuite rediffuser cette image via les services WDS !

Ainsi, vous avez la possibilité de tester une image sur un poste “témoin” avant de
“l’aspirer” sur le WDS pour la diffuser via le réseau.
Une image de découverte, quant à elle, permet de gérer les cas des clients qui ne
peuvent pas utiliser pleinement PXE ! Vous pourrez ainsi créer une image
CD/DVD/USB afin de démarrer sur les postes non PXE, et les “raccrocher” à votre
WDS !

Démarrez un client en “mode” WDS

Maintenant que vous avez un DHCP, un DNS, potentiellement un AD, que le WDS est
configuré et surtout que votre DHCP dispose des options BOOTP activées (option
dhcp 60 PXEClient), vous allez pouvoir démarrer un client en “mode” WDS. Pour
cela, sélectionnez l’interface réseau dans votre gestionnaire BIOS, au démarrage des
postes clients. Vous aurez alors les informations suivantes :

Démarrage via le PXE

Première étape, une configuration IP vous sera fournie (logique, il y a du DHCP), et
l’image de démarrage sera récupérée sur le serveur WDS.

Seconde étape, si vous avez plusieurs images, vous arriverez sur un menu vous
proposant différentes options (un serveur WDS peut héberger différentes images
d’installation ou de capture). Ensuite, vous retrouverez une interface standard
d’installation de Windows. Si vous avez choisi une installation “zero-touch”, le
déploiement pourra se faire en quelques minutes !

Ça y est, vous avez un système capable de répondre à des requêtes de clients

souhaitant un nouveau système d’exploitation.

Allez plus loin

 Tutoriel d’installation d’un serveur de déploiement WDS sans Active

Directory par Neptunet.
  Vue d’ensemble des services de déploiement par Microsoft.
En résumé

 Windows Server offre la possibilité de gérer le déploiement d’images de

systèmes d’exploitation au travers du rôle WDS.
 Il est possible de démarrer un ordinateur client via le réseau, et d’installer
un système sans avoir besoin d’un CD ni d’une clé USB.
 Il est possible de mettre en œuvre un poste “master” qui pourra ensuite
être aspiré sur le WDS afin que l’image de son système d’exploitation, validée
et configurée, soit redéployée sur un parc entier de machines.
 WDS gère également les systèmes ne prenant pas en charge le PXE
(démarrage via le réseau) en utilisant des images de découverte
pour “raccrocher” un poste sur un serveur WDS après un démarrage via un
média amovible (CD/DVD/USB).

II : Partagez un bureau avec vos utilisateurs

Dans ce chapitre, je vous propose de débuter dans l’aventure des bureaux virtuels.
Vous allez pouvoir configurer Windows Server de sorte que vos utilisateurs puissent
utiliser le serveur en tant que poste de travail. Ainsi, au lieu d’avoir un nombre
conséquent de postes à administrer, vous n’aurez plus que votre serveur à gérer,
depuis lequel vous pourrez organiser la gestion des différents postes de travail.

Activez le bureau à distance

Sous Windows Server, il est très simple d’activer le bureau à distance. Tous les clients
Windows (7, 8, 8.1, 10…) disposent du client des services de bureau à distance. Ainsi,
vous n’aurez pas de déploiement particulier à effectuer sur vos postes de travail. Il
vous suffira de configurer une adresse et de fournir cette dernière à tous vos
utilisateurs.
Dans le gestionnaire de serveur, rendez-vous sur le tableau de bord de votre
serveur. Sélectionnez “Bureau à distance” et cliquez sur la mention “Désactivé”
(c’est un service désactivé par défaut pour des raisons de sécurité) afin d’activer le
service.
Une fois que vous avez activé le service, voici les quelques opérations à effectuer :

1. Rendez-vous dans les propriétés système de votre serveur, sur l’onglet

“Utilisation à distance”.
2. Cochez la case “Autoriser les connexions à distance à cet ordinateur”.
3. Décochez “N’autoriser que la connexion des ordinateurs avec authentification
NLA”.
4. Ouvrez le port 3389/tcp à destination de votre serveur.
Maintenant, vous pouvez ouvrir le client sur un poste Windows. Pour cela, exécutez
la commande MSTSC :

Client
permettant l’accès à un bureau à distance
Entrez l’adresse IP de votre serveur et cliquez sur “Connexion”. Une fenêtre vous
invite à vous authentifier, entrez les identifiants de votre administrateur local et vous
devriez avoir un avertissement de sécurité.

En effet, cette connexion est chiffrée mais avec un certificat autosigné par Microsoft,
il est préférable d’utiliser un certificat de confiance qui ne soit pas autosigné. Validez
et vous arrivez sur le bureau de votre serveur !
Bureau du serveur à distance
Ainsi, vous pouvez fournir ce type d’accès à vos utilisateurs. Ils disposeront d’un
bureau, sur le serveur, qui leur sera propre (avec une session personnelle).

Vous devez vous assurer au préalable que les utilisateurs soient membres du groupe
local “Utilisateur du bureau à distance”.
Personnalisez le bureau à distance

Avec le temps, Microsoft a verrouillé ce type d’accès afin d’empêcher les utilisateurs
non administrateurs d’effectuer certaines actions. Ainsi vos utilisateurs auront une
vue plus restreinte de votre serveur ; ils ne pourront pas, par exemple, arrêter le
serveur. De même, le gestionnaire de serveur ne se lancera pas à l’ouverture de
session et, même s’il est possible pour l’utilisateur de le lancer, aucune action ne sera
disponible.

Il convient tout de même de personnaliser le bureau d’un utilisateur en réduisant la

présence de certains raccourcis, notamment dans le menu Démarrer, se trouvant à
l’emplacement suivant : C:\Users\nom-d-
utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
En supprimant dans ce répertoire des entrées, vous réduirez le nombre de raccourcis
accessibles à votre utilisateur.
Pour effectuer cela de manière générale, avant qu’un utilisateur ne se connecte,
rendez-vous à l’emplacement
suivant : C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs .
Pour personnaliser encore plus la session, hors environnement, Active Directory ou
les GPO vous seront d’une grande aide ; rendez-vous dans l’éditeur de stratégie de
groupe locale. Il s’agit des mêmes paramètres que les GPO, sauf que l’impact ne
sera visible que sur le serveur ou le poste local.

Sachez que cette méthode restreint également les utilisateurs du groupe

administrateurs locaux.

Bureau restreint sur le serveur à tous les utilisateurs

Gérez une ferme de serveurs bureaux à distance

Depuis Windows 2008, le bureau à distance s’est vu considérablement amélioré,

notamment avec des services dédiés à la gestion de bureaux à distance
complètement intégrés, permettant d’augmenter l’expérience utilisateur.

À quoi cela peut-il bien servir ?

Reprenez les différentes contraintes que vous avez précédemment observées, ainsi
que d’autres contraintes propres au partage de bureau :

 Vous avez l’obligation de configurer des restrictions sur les serveurs.

  Vos utilisateurs ne pourront pas conserver leurs sessions s’il y a plusieurs
serveurs disponibles.
 La gestion des ressources se fera uniquement sur la disponibilité réseau du
serveur et non sur l’état de ses ressources réellement disponibles.
 Vous ne pourrez pas ajouter un serveur sans impacter la fourniture du service.
La liste peut être assez longue. La réponse à toutes ces contraintes : des services
proposés par Microsoft afin de mettre en œuvre du VDI (pour Virtual Desktop
Infrastructure), une infrastructure de bureau virtuel.
Avec une infrastructure de ce type, vous allez pouvoir aller plus loin dans l’expérience
utilisateur, avec notamment :

 une gestion avancée des sessions (stockées à un emplacement unique, quel

que soit le nombre de sessions) ;
 la possibilité de déployer un bureau ou simplement des applications (sans
avoir besoin de les installer sur les postes clients) ;
 l’ajout simplifié de serveurs grâce à la création d’une sorte de ferme de
serveurs où les machines virtuelles dédiées au partage de bureau peuvent être
plus simplement ajoutées.
Trois options s’offrent alors à vous :

1. Plusieurs serveurs, chacun ayant un rôle spécifique dans le système VDI.

2. Un unique serveur regroupant tous les rôles VDI.
3. Des services MultiPoint qui permettent de créer des stations pour des
utilisateurs, et de leur donner accès avec des concentrateurs USB.
Voici un tableau comparatif des options de partage de bureau :

Option Plusieurs Un unique serveur Services

serveurs MultiPoint

Type Infrastructure de Infrastructure de Partage de serveur

bureaux virtuels bureaux virtuels
(VDI) (VDI)
 Avantages Simplifie la montée Simplifie le Réduit le coût de la
en charge et déploiement jusqu’à solution
permet de gérer de quelques utilisateurs
nombreux (idéalement moins
utilisateurs de 25)

Inconvénients Lourd à installer Nombre Nombre

puis à administrer d’utilisateurs réduit, d’utilisateurs réduit,
rend difficile l’ajout rend difficile l’ajout
de serveurs pour de serveurs pour
gérer d’autres gérer d’autres
utilisateurs utilisateurs

Les options 1 et 2 vous obligent à mettre en œuvre un Active Directory, car le(s)
serveur(s) hébergeant l’infrastructure doi(ven)t être membre(s) d’un domaine.
Les services MultiPoint

Commençons par le plus simple : grâce à ces services, vous allez pouvoir configurer
un serveur qui sera utilisé par plusieurs claviers, souris et écrans. Simple, non ? Ainsi,
vous configurez ce serveur, paramétrez ces services, et posez l’unité centrale au
milieu d’un îlot de plusieurs bureaux. Chaque utilisateur dispose de son
propre clavier, sa souris et son écran.

Chaque utilisateur disposera également de sa propre session qu’il pourra utiliser

comme s’il était sur son propre ordinateur. Cela permet de considérablement réduire
les frais matériels, mais également de n’avoir qu’une seule unité centrale à gérer.
Par contre, vous vous retrouverez dans les mêmes contraintes que la dernière fois, à
savoir :

 un nombre limité de sessions possible ;

 une administration, certes moindre qu’avec le nombre d’ordinateurs qu’il
aurait fallu mettre en place, mais tout de même autant de serveurs MultiPoint
que de groupes d’utilisateurs.
Cette solution, de par son coût d’implémentation réduit (1 seule licence) permet de
répondre à certains cas d’usage, tels que les environnements scolaires où il est plus
pratique de n’avoir qu’un seul poste pour une seule classe.
Vous allez vous focaliser sur la mise en œuvre avec un serveur unique. Bien qu’une
mise en œuvre avec plusieurs serveurs nécessite plus de temps, la démarche restera
la même. Vous pourrez donc appliquer ce que vous avez appris sur serveur unique,
à la mise en œuvre de plusieurs serveurs.

Mettez en place un serveur unique regroupant tous les rôles VDI

La première étape dans le VDI Microsoft consiste à mettre en œuvre l’intégralité des
rôles et services sur un unique serveur.

Pour cette option de déploiement, vous avez deux scénarios :

1. Utiliser des ordinateurs virtuels.

2. Utiliser des sessions sur le serveur actuel.
Pour ce cours, je vous propose de mettre en œuvre non pas des ordinateurs virtuels
qui nécessitent Hyper-V et donc la prise en charge de la virtualisation au sein de votre
machine virtuelle, mais d’utiliser des sessions sur le serveur actuel !
À l’aide de l’assistant “Ajout de rôles et fonctionnalités”, ajoutez des services de
bureaux à distance, sélectionnez le scénario avec un unique serveur et déployez
uniquement des sessions.

L’installation se lance, et vous devrez obligatoirement redémarrer le serveur pour

finaliser la configuration.

Les rôles et services de rôle suivants seront installés sur votre serveur :

 Service Broker pour les connexions Bureau à distance.

 Accès web des services Bureau à distance.
 Hôte de session Bureau à distance.
Le Service Broker pour les connexions Bureau à distance permet de diriger les
utilisateurs vers le serveur le moins sollicité de la ferme (pour le coup, ici il n’y en a
qu’un) afin de répartir la charge. Il permet également aux utilisateurs de se
reconnecter à leur session existante.
L’accès web des services Bureau à distance permet de fournir une interface web pour
accéder aux services de bureau à distance et aux applications disponibles directement
sans bureau.
L’hôte de session Bureau à distance est le serveur qui héberge le bureau et les
applications (via RemoteApp) disponibles aux utilisateurs.

Maintenant que ces services sont installés, il vous est possible de vérifier l’installation
en vous rendant sur https://localhost/rdWeb (là encore le certificat est autosigné).
Vous retrouvez alors, après authentification, une page web vous proposant par défaut
la calculatrice, Paint et WordPad :

Accès à la calculatrice via les services Bureau à distance (il s’agit de RemoteApp)
Vous pouvez accéder à ce service sur votre réseau après avoir ouvert le port 443 en
plus du port 3389.

Cela est particulièrement pratique pour fournir des applications à des utilisateurs sans
avoir à installer quoi que ce soit sur le poste client.
Si vous souhaitez faire apparaître le bureau dans cette liste, aucun souci, rendez-vous
sur le gestionnaire de serveur dans la partie “Services Bureau à distance”, puis dans
la partie “QuickSessionCollection” qui a été créée par défaut (vous pouvez
renommer cette collection de service via ses propriétés).

Ensuite, accédez à la partie “Programmes RemoteApp”, ajoutez les programmes

dont vous avez besoin via les tâches disponibles sur le coin supérieur droit de cet
encart. Pour le bureau, vous retrouverez le programme “Connexion bureau à
distance”.
C’est un moyen idéal pour fournir un accès à des outils d’administration (tels que le
gestionnaire IIS) à vos collègues.

Attention, ces services nécessitent l’acquisition de licences d’accès client (CAL) en

plus de toutes les autres licences déjà en votre possession (Windows Server, Accès
à Windows Server, Windows Client).
En résumé

 Les services Bureau à distance permettent, en plus de partager un bureau,

de publier des applications que vos utilisateurs pourront utiliser, sans avoir à
les installer.
 Windows Server simplifie le déploiement d’infrastructure de bureaux
partagés via les services Bureau à distance.
 Un accès web permet de centraliser tous les accès aux services de bureau
à distance.
 Ces services permettent, via l’AD, de continuer la centralisation de
l’administration et des accès, permettant ainsi de garantir la sécurité en
maîtrisant les accès aux applications validées uniquement.

IV : Distribuez des mises à jour avec WSUS

Ah, les mises à jour, un vaste sujet propice à la polémique. Faut-il les installer
automatiquement ? Faut-il suivre le rythme de Microsoft (tous les premiers mardis du
mois) ? Faut-il les installer systématiquement sur tout le parc ? Les interrogations sur
le sujet sont nombreuses, et l’interprétation de chacun peut porter à confusion. Je
vous propose de couper court aux polémiques et d’assumer une politique de
déploiement que vous maîtriserez au travers de WSUS !

Qu’est-ce que WSUS ?

Si vous êtes utilisateur Windows sur votre poste personnel, vous connaissez le service
de mise à jour de Microsoft. Windows Updates, Microsoft Updates, ce service, pour
l’utilisateur lambda d’un ordinateur, est assez… capricieux. Il décide seul de quand
redémarrer votre ordinateur, et l’actualité du mois d’octobre 2018 permet de
comprendre à quel point cela peut être dangereux (la mise à jour de Windows 10 du
mois d’octobre était capable de supprimer vos données personnelles... ce qui a
heureusement été corrigé depuis).

Windows Update sous

Windows 10
WSUS est un équivalent de ce service (grand public, géré par Microsoft) à destination
des administrateurs. Vous allez ainsi pouvoir télécharger les mises à jour de votre
parc 1 seule fois via votre serveur WSUS (qui se connectera aux serveurs de
Microsoft), puis décider de comment déployer et distribuer ces mises à jours !

Vous reprendrez alors le contrôle sur le cycle de mises à jour de votre parc
informatique. C'est donc la solution idéale pour éviter les problèmes avec les
utilisateurs.

La gestion des mises à jour est un sujet complexe, d’autant qu’il est difficile de
demander au grand public d’effectuer des mises à jour. Il est difficile pour lui de savoir
ce qu’il se cache derrière cela. Rassurez-vous, il en va de même pour les utilisateurs
en entreprise.

Imaginez votre directeur s'arrêter d’analyser le tableau des ventes internationales de

l’entreprise Gift SA pour lancer une mise à jour de son système d’exploitation :

 Il n’en a pas le temps (certaines mises à jour majeures pouvant prendre

plusieurs heures).
 Il ne connaît pas l’impact de la mise à jour (certaines mises à jour corrigent
des vulnérabilités mais impactent la compatibilité avec d’autres logiciels).
  Si tous les utilisateurs devaient s’occuper de leurs mises à jour (dan le
cas de Gift SA, plus de 150 utilisateurs), cela ferait inévitablement 150 x la taille
des correctifs, dans de nombreux cas ils atteignent plus de 200 Mio, soit un
total de 30 Gio de correctifs à récupérer.
Alors, à la vue de ces arguments, il est important de prendre en main ce travail.

Démystifions immédiatement un mythe, OUI, il faut mettre à jour son système

d'exploitation même s’il est sous MacOS, Linux ou Unix. Ne serait-ce que pour corriger
les (trop) nombreuses vulnérabilités qui sont découvertes quotidiennement sur TOUS
les systèmes d’exploitation. OUI, il faut également mettre à jour ses appareils mobiles
(et même sa TV connectée).
Installez le rôle WSUS

Vous allez dire que je radote, mais rendez-vous sur le gestionnaire de serveur et
installez le rôle WSUS. Il s’agit d’un point d’entrée plutôt simple et efficace pour gérer
son serveur sous Windows. 😅

Très exactement, il s’agit des Services WSUS. Et vous verrez que de nombreuses
fonctionnalités sont nécessaires. En effet, WSUS utilise de nombreuses options
de déploiement pour minimiser la bande passante sur le réseau, ainsi que des
fonctionnalités en lien avec le Web, car la récupération des mises à jour et leur
déploiement va se baser sur ces services.

D’ailleurs, je vous inviterai à bien réfléchir à comment architecturer ce service en

production, car il est consommateur d'espace disque pour les mises à jour, et très
gourmand en base de données pour stocker les différentes données additionnelles
(métadonnées) concernant les mises à jour. En effet, WSUS va récupérer les
différents correctifs mais également une description, des informations concernant
l’impact (surtout le redémarrage – nécessaire ou pas), ainsi que les informations de
catégorisation et de cible.

Si tout va bien, vous devriez obtenir l’écran suivant au niveau de l’outil Services
WSUS nouvellement installé :
Outil de gestion de WSUS
Sur la gauche, vous disposez d’un menu de gestion :

 des mises à jour récupérées par votre serveur ;

 des ordinateurs correctement configurés comme clients ;
 d’éventuels serveurs que vous pouvez configurer pour augmenter le niveau de
sécurité (vous pouvez mettre un WSUS en DMZ pour récupérer les MAJ depuis
les serveurs de Microsoft et avoir votre serveur WSUS connecté aux clients
qui, lui, se trouvera sur votre LAN. Il récupérera les MAJ depuis le serveur en
DMZ, par exemple) ;
 les informations et configuration sur les synchronisations ;
 des rapports ;
 et les options.
Je vous propose d’aller jeter un œil sur les options avant toute opération.

Options de WSUS
Ici, vous allez pouvoir gérer les options de votre serveur, avec notamment certaines à
configurer avec soin :

 Source de mises à jour et serveur proxy : c’est ici que vous allez configurer
la manière de récupérer les mises à jour. Si vous avez protégé votre accès
Internet avec un proxy, si vous avez configuré un serveur WSUS en DMZ, vous
allez pouvoir déclarer ces différents modes de fonctionnement à cet
emplacement.
 Produits et classifications : c’est l’option la plus intéressante de WSUS. Elle
va vous permettre de choisir, parmi les nombreux produits Microsoft, ceux pour
lesquels vous allez récupérer les mises à jour !
Produits couverts par Microsoft Update
Vous allez pouvoir récupérer uniquement les mises à jour concernant les produits
Microsoft installés (et la liste est longue). De plus, les classifications vont vous
permettre, sur les produits choisis, de cibler avec précision quels types de mises à
jour récupérer : correctifs, sécurité, pilotes :
Classification des mises à jour
Avec la combinaison de ces deux onglets d’options, vous reprenez réellement le
contrôle sur le déploiement (prochain) des mises à jour sur votre parc. Vous pouvez
cibler les mises à jour critiques des serveurs Windows 2016 par exemple (c’est le
choix que j’ai fait ici) :

 Fichiers et langues des mises à jour : dans ces options, vous allez pouvoir
limiter la bande passante en gérant la méthode de téléchargement des fichiers
des mises à jour et le nombre de versions des mises à jour, à travers la
 sélection des langues de vos systèmes à mettre à jour (par défaut, toutes les
langues seront téléchargées).
 Planification de la synchronisation : ici, vous allez planifier la
synchronisation de votre serveur (c.-à-d. la récupération des fichiers Microsoft
Update) en choisissant l’heure et le nombre de synchronisations par jour.
Attention à correctement planifier cette tâche qui sera très gourmande en
bande passante !
 Approbations automatiques : encore une option qui confirme que le WSUS
est un incontournable en environnement Microsoft. Vous allez pouvoir valider
automatiquement certaines mises à jour. Par exemple, vous considérez que
tous les correctifs de sécurité doivent être appliqués, vous allez les approuver
automatiquement ! De même, vous avez besoin de tester la mise à jour des
pilotes, vous pourrez refuser l’approbation dans un premier temps, effectuer
vos tests sur un groupe de postes clients “pilotes”, et si tout se passe bien,
approuver après cette validation pour lancer un déploiement sur votre parc !

Approbation automatique de certaines mises à jour

 Ordinateurs : cette option permet de choisir la méthode de regroupement des
ordinateurs. Il est préférable de gérer cela via des GPO, mais WSUS peut vous
laisser le faire manuellement via la console Services WSUS.
 Assistant de nettoyage du serveur : comme son nom l’indique, cette option
vous permet de faire un peu de ménage en supprimant les mises à jour
inutilisées, les ordinateurs ne s’étant pas connectés depuis 30 jours ou plus,
 les fichiers inutiles… Grâce à cette option vous allez maîtriser l’occupation
disque et la taille de la base de données.
 Cumul des rapports : option servant à grouper les rapports d’état des
ordinateurs.
 Notification par courrier électronique : comme son nom l’indique, permet de
recevoir des mails en fonction de critères particuliers.
 Programme d’amélioration de Microsoft Update : vous permet d’autoriser
ou non l’envoi de données anonymisées à Microsoft sur votre utilisation de
WSUS.
 Personnalisation : ces options permettent de personnaliser l’affichage de
certaines tâches sur votre console WSUS.
 Assistant de configuration du serveur WSUS : vous permet de relancer la
configuration initiale des services WSUS sur votre serveur, avec notamment la
synchronisation initiale des mises à jour.
Utilisez le rôle WSUS

Maintenant que vous maîtrisez l’ensemble des options et le principe de

fonctionnement de WSUS, je vous propose de passer à la mise en œuvre d’une
politique. Par défaut, vous ne disposerez d’aucun client sur votre serveur. Je vous
propose d’ajouter un client, à savoir le serveur WSUS lui-même.

Pour cela, deux options s’offrent à vous :

1. Vous disposez d’un Active Directory : utilisez les GPO, elles sont faites pour
cela.
2. Vous ne disposez pas d’Active Directory (cela peut arriver) : vous allez devoir
utiliser la base de registre.
Ajouter des clients WSUS via GPO

Cette méthode est recommandée surtout si vous avez un parc de clients important.
Pour cela, vous disposez des paramètres suivants dans Configuration ordinateur >
Stratégies > Modèle d’administration > Composants Windows > Windows
Update, ensuite vous disposez des options suivantes :
  "Ne pas afficher l'option 'Installer les mises à jour et éteindre' dans la boîte de
dialogue 'Arrêt de Windows'".
 "Ne pas modifier l'option par défaut 'Installer les mises à jour et éteindre' dans
la boîte de dialogue 'Arrêt de Windows'".
 "Configuration du service de mises à jour automatiques".
 "Spécifier l'emplacement intranet du service de mises à jour automatiques".
 "Fréquence de détection des mises à jour automatiques".
 "Autoriser les non-administrateurs à recevoir les notifications de mises à jour
automatiques".
 "Autoriser l'installation des mises à jour automatiques".
 "Activer les mises à jour automatiques recommandées via le service de mises
à jour automatiques".
 "Pas de redémarrage automatique avec des utilisateurs connectés pour les
installations planifiées des mises à jour automatiques".
 "Autoriser les mises à jour signées provenant d'un emplacement intranet du
service de mises à jour Microsoft".
Une fois que vous avez spécifié les options (en activant ou désactivant les paramètres
que vous souhaitez), il ne vous reste plus qu’à déployer votre GPO et laisser la
synchronisation automatique se faire.
Ajouter des clients WSUS via le registre

Si vous souhaitez modifier le registre pour effectuer ces mêmes configurations, suivez
les étapes suivantes :

Tous les paramètres se trouvent dans :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdat
e
 "WUServer"=http://nomduserveur/ (où nomduserveur est le nom DNS de
votre serveur WSUS) ;
 "WUStatusServer"=http://nomduserveur/ (idem précédent) ;
 "TargetGroupEnabled"=dword:00000001 (ici il s’agit de l’activation du ciblage
par groupe du client) ;
  "TargetGroup"=CLIENTS-W10-Test (il s’agit du nom du groupe dans lequel les
clients seront affichés sur la console WSUS) ;
 "ElevateNonAdmins"=dword:00000000 (permet de spécifier s’il faut demander
une élévation de privilège pour les utilisateurs non administrateurs).
Ensuite, d’autres options se trouvent à cet emplacement
: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpd
ate\AU
Ces options vont permettre d’aller plus loin dans la configuration du client WSUS :
 "NoAutoRebootWithLoggedOnUsers"=dword:00000000 (autorisez-vous le
redémarrage si des utilisateurs sont connectés sur le poste ?) ;
 "NoAutoUpdate"=dword:00000000 (autorisez-vous les mises à jour
automatiques ?) ;
 "AUOptions"=dword:00000004 (ici il s’agit des options que vous pouvez
mettre en œuvre sur le client : installation des MAJ, téléchargement des mises
à jour sans installation…) ;
 "ScheduledInstallDay"=dword:00000000 (la date d’installation des MAJ) ;
 "ScheduledInstallTime"=dword:0000000f (et l’heure) ;
 "AutoInstallMinorUpdates"=dword:00000001 (souhaitez-vous installer
automatiquement les mises à jour mineures ?) ;
 “DetectionFrequencyEnabled"=dword:00000001 (souhaitez-vous automatiser
la détection des mises à jour ?) ;
 "DetectionFrequency"=dword:00000001 (à quelle fréquence, entre toutes les
16 et toutes les 20 h ?) ;
 "RebootWarningTimeout"=dword:00000004 (voulez-vous avertir d’un
redémarrage imminent ?) ;
 "RebootWarningTimeoutEnabled"=dword:00000001 (et activer l’option
précédente) ;
 "RebootRelaunchTimeout"=dword:00000006 (voulez-vous autoriser le fait de
repousser un redémarrage ?) ;
 "RebootRelaunchTimeoutEnabled"=dword:00000001 (et activer l’option
précédente) ;
 "RescheduleWaitTimeEnabled"=dword:00000001 (voulez-vous permettre de
repousser un redémarrage ?) ;
  "RescheduleWaitTime"=dword:00000002 (et à quel moment le redémarrage
aura lieu ?) ;
 "UseWUServer"=dword:00000001 (utilisez-vous un serveur WSUS ?).
Une fois l’une de ces options configurée, redémarrez votre serveur et vous observerez
dans la console, au niveau des ordinateurs, que votre ordinateur est apparu.
Accessoirement, vous aurez droit à un indicateur sur les mises à jour présentes sur
votre WSUS qui seront évaluées pour votre ordinateur :

Client du WSUS et évaluation des MAJ disponibles

Approuvez des mises à jour WSUS

Tant que vous n’avez pas approuvé des MAJ, elles ne s'installent pas. Ici, comme
vous avez mis à jour votre serveur avant de commencer l’installation de rôles, elles
devraient être installées (suivant ce que vous avez choisi pour la première
synchronisation).

Pour approuver des MAJ, rendez-vous dans la partie “Mises à jour” et grâce au clic
droit, vous aurez le menu “Action” qui vous permettra d’approuver ou de refuser une
mise à jour.
Pourquoi refuser une mise à jour ?
Je vous conseille de tester les mises à jour avant de les déployer à grande échelle. Si
vous observez, lors de votre test, une incompatibilité avec un applicatif ou un autre
correctif, refusez la mise à jour, elle ne se déploiera pas et vous serez à l’abri d’un
souci à l’échelle de votre parc :

Approuver ou refuser une mise à jour

Afin d’avoir le plus d’informations possible sur une mise à jour, Microsoft vous offre de
nombreuses informations sur chacune d’entre elles :

Informations sur une mise à jour

Ainsi vous saurez en un coup d’œil, en cliquant sur une mise à jour, si elle nécessite
un redémarrage, si elle est remplacée par une autre mise à jour, si elle met à jour le
contrat de licence de Microsoft et surtout une description de ce qu’elle apporte
(succincte ; pour une description complète, rendez-vous sur le lien correspondant de
la base de connaissance de Microsoft – sous la forme kb/xxxxx).
Vous avez maintenant toutes les cartes en main pour mettre en œuvre une politique
de sécurité cohérente, et surtout maîtrisée, de votre parc de postes clients et serveurs
sous Windows !

En résumé

 Windows Server permet de reprendre le contrôle des mises à jour

Microsoft de son parc informatique au travers de WSUS.
 WSUS permet de mettre en œuvre une stratégie de déploiement en fonction
de critères simples (tels que l’heure ou la date de déploiement) ou avancés
(en fonction du type de correctifs).
 Microsoft fournit de nombreuses informations sur les mises à jour, qu’il met à
disposition pour WSUS : description, impact en termes de
redémarrage, cible, impact sur la licence…
 Les ordinateurs clients doivent être configurés pour prendre en compte leur
nouvelle source de mise à jour (le WSUS) ; pour cela deux méthodes existent,
les GPO ou la modification du registre (pour les ordinateurs gérés sans Active
Directory).