ESAT/DGF/DMSI
ECOLE SUPERIEURE ET D’APPLICATION DES TRANSMISSIONS
division management et systèmes d’information
WINDOWS 2000
Chapitre 1: Vue d'ensemble de Windows 2000 COURS SYSTEME
VUE D'ENSEMBLE DE WINDOWS 2000 1. Généralités..........................................................................................................................2 1.1. Windows 2000 Professionnel........................................................................................2 1.2. Windows 2000 Server...................................................................................................4 2. Les éléments fondamentaux d’Active Directory.................................................................12 3. La sécurité dans W2K.......................................................................................................17 4. Utilisation en environnement hétérogène..........................................................................18 4.1. W2K en tant que serveur membre..............................................................................18 4.2. Mode mixte, mode natif...............................................................................................19 4.3. Relations entre domaines W2K et domaines NT4......................................................21 4.4. Services Unix..............................................................................................................23 4.5. Services Netware........................................................................................................24 4.6. Méta-annuaire.............................................................................................................24 5. Impression d’ensemble.....................................................................................................25 6. Installation d’un serveur....................................................................................................26
23243574.doc
Page 1 sur 29
VUE D'ENSEMBLE DE WINDOWS 2000
1. Généralités La plate-forme Microsoft Windows 2000 – combinaison de Windows 2000 Professionnel et de Windows 2000 Serveur - a été créée pour fournir, en une seule gamme de produits, tous les composants nécessaires à l’informatique d’une entreprise: administration des réseaux, communication entre logiciels et services intranet/internet.
Plate -forme Windows 2000 Serveurs Windows 2000 Datacenter Server
Windows 2000 Server
Windows 2000 Advanced Server Windows 2000 Professionnel
Station de travail
1.1. Windows 2000 Professionnel •
• •
Amélioration de l’administration du poste client: W2K Professionnel, associé à W2K Server ou Advanced Server, permet aux administrateurs d’avoir un contrôle total non seulement sur les paramètres d’installation du système et des applications mais également sur les données. Ceci permet notamment de mettre en œuvre des mécanismes de réparation et/ou de restauration automatique qui garantissent les utilisateurs contre des dommages accidentels et diminuent de façon notable le nombre de recours au support technique. L’autre avantage est de permettre aux utilisateurs d’avoir accès aux applications et données dont ils ont besoin depuis n’importe quel ordinateur sur le réseau. Enfin, le nombre de cas de figures nécessitant un redémarrage du poste client a été réduit de manière drastique. Les tests ont permis de relever 5 cas de redémarrage contre plusieurs dizaines pour NT. Support de l’administration à distance: Conçu pour faciliter son administration, W2K Professionnel inclut nativement des "agents clients" qui permettent la mise en œuvre de solutions d’administration à distance. Facilité d’utilisation: L’interface utilisateur a été améliorée pour un accès plus simple et plus rapide aux informations par l’utilisation de menus personnalisables et aux listes de documents les plus récemment utilisés. Ce principe est étendu à une assistance à la saisie (chemins de fichiers, paramètres d’une sélection, …) en proposant une réponse complète à partir de la frappe des premiers caractères. Cela
23243574.doc
Page 2 sur 29
•
•
•
reste pourtant une évolution douce pour l’utilisateur NT qui pourra s’adapter facilement à cette interface améliorée. Amélioration de la stabilité: W2K Professionnel a montré lors des différents tests un très haut niveau de stabilité. Les postes clients restent donc plus longtemps disponibles, ce qui offre aux utilisateurs une garantie d’utilisation et de productivité accrue. Amélioration du support des périphériques: W2K Professionnel supporte à cette date plus de 7000 périphériques différents, y compris certains dont l’utilisation n’était pas ou mal assurée par Microsoft dans les versions Windows 95, 98 et/ou NT. Ainsi, le support du port USB1, de la gestion d’énergie pour les portables, des ports infrarouges et des moniteurs multiples font partie intégrante de W2K. Toutefois, il est important lors de l’installation d’un nouveau périphérique ou lors d’une migration vers W2K Professionnel de vérifier le support des périphériques en consultant la liste de compatibilité sur la page web du site de Microsoft2 ou du fabricant du matériel. On distingue en fait deux cas de figure: les périphériques récents et les périphériques anciens. Nombre de périphériques récents comme les scanneurs ne disposent pas toujours des pilotes adaptés. Il n'y a cependant pas de souci à se faire dans ce cas puisque les constructeurs assurent très généralement le portage des pilotes NT vers W2K. Le problème est plus délicat pour les périphériques anciens dont il faudra envisager le remplacement. Amélioration de l’utilisation pour les utilisateurs itinérants: Les ordinateurs portables ont bénéficié d’une attention toute particulière. Ainsi, on notera la mise en œuvre d’une fonction « d’hibernation » qui permet au système d’exploitation, avant que l’ordinateur ne se mette en veille, de recopier sa mémoire sur le disque. Au « réveil », l’état exact de la machine avant « hibernation » est restauré en quelques instants (10 à 15 secondes) après avoir saisi le mot de passe de la session. De même, W2K offre des fonctionnalités de synchronisation des dossiers pour les ordinateurs qui doivent se déconnecter et se reconnecter à un réseau. L’utilisateur marque ces dossiers en utilisant l’option ‘Rendre disponible hors connexion’. Le système crée alors un « cache » local sur le disque. Déconnecté du réseau, l’utilisateur peut continuer de travailler sur ses fichiers de manière totalement transparente. Une fois reconnecté physiquement sur le réseau, les fichiers modifiés se synchronisent automatiquement. Ces fonctions sont bien sûr applicables aux ordinateurs de bureau à la limitation près, pour « l’hibernation », de la disponibilité sur celui-ci d’une carte de gestion d’énergie compatible ACPI3.
1
Universal Serial Bus http://www.microsoft.com/windows 2000/reskit/webresources 3 Advanced Configuration and Power Interface 2
23243574.doc
Page 3 sur 29
Windows 2000 Professionnel Gestionnaire Gestionnaire de de synchronisation synchronisation
•• Kerberos Kerberos version version 55 •• Système Système de de fichiers fichiers de de cryptage cryptage EFS EFS •• Système Système IPSec IPSec •• Prise Prise en en charge charge des des cartes cartes àà puce puce •• Service Service secondaire secondaire d'ouverture d'ouverture de de session session
•
•
Protocole Protocole IPP IPP
Gestionnaire Gestionnaire Plug and --Play Play Plug --and
•• Assistant Assistant Gestion Gestion d'installation d'installation •• Windows Windows Installer Installer
Amélioration du stockage: Les progrès principaux portent sur la prise en charge des systèmes de fichiers Fat32 et NTFS 5 qui permettent une amélioration très sensible des indexations de fichiers et qui sécurisent l’accès aux données du disque grâce au système de fichiers chiffrés EFS4. W2K permet également une plus grande facilité de gestion du stockage en permettant notamment de créer, d’étendre ou de mettre en miroir un volume NTFS sans redémarrer, de consulter le journal des modifications, d’utiliser des utilitaires de nettoyage et de défragmentation5, d’optimiser l’espace disque ou d’allouer des quotas d’espace disque pour chaque utilisateur. Amélioration du support des langues: Désormais le noyau des produits Microsoft est indépendant de la langue utilisée par l’utilisateur. Le « package » d’installation contient l’intégralité des fichiers complémentaires chargés de transformer l’interface utilisateur dans sa langue préférée. Ainsi plusieurs utilisateurs ayant un accès au même poste partagé peuvent, spécifiquement à leur profil, travailler dans des langues différentes sans réinstallation spécifique. Une question subsiste: quelle configuration est nécessaire pour utiliser W2K Professionnel dans des conditions correctes ?
•
Toutes les améliorations ou nouvelles fonctionnalités présentées précédemment ont bien évidemment un coût en terme de configuration matérielle. Microsoft annonce que la plate-forme minimale est un Pentium 166 avec 32Mo de RAM et un disque de 2 Go. Après vérification et à la lecture des commentaires faits par les pionniers on peut réévaluer la configuration à un PII 266 avec 64 Mo et un disque de 4 Go. En effet, ce qu’annonce Microsoft est juste nécessaire à l’installation, mais il n’est pas question d’utiliser raisonnablement le moindre logiciel sur une telle machine. Avant migration, il faudra prévoir également une vérification complète de la compatibilité des périphériques et des modifications éventuelles du BIOS pour exploiter convenablement W2K Professionnel.
1.2. Windows 2000 Server 4
Encrypted File System Attention: ces utilitaires sont des versions “allégées” de produits commerciaux plus complets, toutefois ils permettent de faire l’essentiel des tâches courantes dans leur domaine. 5
23243574.doc
Page 4 sur 29
La gamme W2K Server est composée à ce jour de trois produits. Il s’agit de W2K Standard, Advanced Server et DataCenter. • L’édition Server offre les services de base pour les organisations de petite ou de moyenne taille (serveur de fichiers, d’impression, communications, web, …).
Windows 2000 Server Active Active Directory Directory
Stratégie Stratégie de de groupe groupe
•
•
Protocole Protocole de de mise mise àà jour jour dynamique dynamique DNS DNS
Services Services Terminal Terminal Server Server
L’édition Advanced Server est conçue pour les besoins des applications critiques, le support des bases de données ou même l’hébergement de services web. Les cibles de cette version sont les grandes et moyennes sociétés et même les fournisseurs d’accès internet. DataCenter sera le système d’exploitation serveur le plus puissant et le plus complet jamais proposé par Microsoft. Son ambition est de concurrencer directement les grands systèmes. Ses cibles sont les banques de données, les analyses économiques, les simulations de grande échelle en science et ingénierie ainsi que le commerce électronique.
Windows 2000 éditions Datacenter Server Architecture Architecture de de la la mémoire mémoire àà l'échelle l'échelle de de l'entreprise l'entreprise
Advanced Advanced :: jusqu'à jusqu'à 88 Go Go Datacenter Datacenter :: jusqu'à jusqu'à 64 64 Go Go
Advanced Server et
Mise Mise en en cluster cluster Windows Windows
Évolutivité Évolutivité SMP SMP
Advanced Advanced :: jusqu'à jusqu'à huit huit processeurs processeurs Datacenter Datacenter :: jusqu'à jusqu'à 32 32 processeurs processeurs
Haute disponibilité Répartition de la charge réseau
Le cœur de Windows 2000 Server est un ensemble de services basés sur l’annuaire Active Directory. Le service d’annuaire Active Directory est une combinaison des éléments cidessous:
23243574.doc
Page 5 sur 29
-
Annuaire. Il s’agit d’un conteneur physique intégrant différents types d’objets. Un annuaire téléphonique, par exemple, est un annuaire qui contient des adresses et des numéros de téléphone. Services. Les services permettent d’exploiter toutes les informations et ressources de l’annuaire. Un service d’annuaire peut, par exemple, être un logiciel doté de fonctions qui permettent d’interroger le contenu d’un annuaire téléphonique.
Les services d’annuaire réseau permettent aux administrateurs de définir, d’organiser et de gérer les objets d’annuaire (données sur les utilisateurs, imprimantes, serveurs…) ainsi que leurs caractéristiques afin que les utilisateurs et les applications puissent les exploiter.
Définition d'Active Directory
Fonctionnalités Fonctionnalités du du service service d'annuaire d'annuaire Organiser Organiser Gérer Gérer
Contrôler Contrôler
Ressources Ressources
Gestion Gestioncentralisée centralisée
Point Point d'administration d'administration unique unique
Les Les utilisateurs utilisateursouvrent ouvrent une une session session une une fois fois pour pour l'accès l'accès complet complet aux aux ressources ressources de de l'annuaire l'annuaire
Un service d'annuaire, tel que Active Directory, fournit des méthodes de stockage des données de l'annuaire et met ces données à la disposition des utilisateurs et des administrateurs du réseau. Par exemple, Active Directory stocke des informations sur les comptes d'utilisateurs, notamment les noms, les mots de passe, les numéros de téléphone, etc. et permet à d'autres utilisateurs autorisés du même réseau d'accéder à ces informations. Active Directory est un annuaire distribué. Les informations peuvent être réparties sur différents ordinateurs, ce qui accélère l’accès et permet la tolérance de panne. Active Directory affiche les données de la même manière pour les utilisateurs, quel que soit le lieu à partir duquel ceux-ci y accèdent et l’emplacement où elles sont stockées.
23243574.doc
Page 6 sur 29
Active directory
Services Servicesd’annuaire d’annuaire
Ressources Ressources
Les fonctionnalités offertes par Active Directory sont plus étendues que celles d’un service d’annuaire de base, comme indiqué ci-dessous: - Evolutivité. Active Directory peut contenir plusieurs millions d’objets. - Extensibilité. Active Directory contient un schéma, qui est la définition de tous les objets qui peuvent être créés dans Active Directory, ainsi que l’ensemble de leurs caractéristiques ou attributs. Les applications auxquelles Active Directory est intégré peuvent définir de nouvelles classes d’objets ou de nouveaux attributs de classe. Pourtant, il est conseillé de ne pas modifier certains éléments créés par défaut à l’installation d’Active Directory, comme les classes d’objet et les groupes, pour des raisons de compatibilité avec certaines applications commerciales. - Dénomination, résolution de noms et protocoles d’interrogation conformes aux standards Internet. Ceci permet une intégration immédiate à d’autres produits du marché. En revanche, la structure d’Active Directory est liée à la notion d’arborescence de domaines (au sens DNS du monde IP). On ne peut donc pas facilement modifier cette structure une fois créée. - Point d’accès unique. Avec une seule ouverture de session sur un même ordinateur, les administrateurs peuvent gérer des objets situés n’importe où sur le réseau. Les utilisateurs peuvent ouvrir une session n’importe où sur le réseau et accéder aux ressources gérées par l’annuaire. - Tolérance de panne. La duplication à plusieurs maîtres réduit les risques de pertes de données et de services liés à des événements imprévus. - Contrôles de sécurité. Active Directory permet une gestion centralisée des utilisateurs, des groupes, des politiques de sécurité et des ressources de connectivité réseau. Toutefois, l’octroi de droits d’accès et d’utilisation aux utilisateurs peut être décentralisé et délégué à plusieurs groupes. Microsoft déconseille pourtant d’utiliser une délégation trop fine de la sécurité car il est difficile de revenir en arrière et sa mise en œuvre risque de pénaliser fortement les performances du système d’information. - Interopérabilité. Active Directory peut coopérer avec d’autres systèmes d’exploitation, plates-formes, services et protocoles. Il est conforme aux recommandations X.500 de l’ISO (International Organization for Standardization) pour l’implémentation des services d’annuaire. Il prend aussi en charge le protocole LDAP (Lightweight Directory Access Protocol) dans les versions 2 et 3.
23243574.doc
Page 7 sur 29
Ceci permet à Active Directory de fonctionner avec d’autres services d’annuaire prenant en charge ce protocole. Windows 2000 Server utilise désormais le système de fichiers distribués DFS6 qui permet, outre d’améliorer les temps d’accès aux données, d’offrir à l’administrateur un moyen simple de concevoir un système de fichiers intégrant des fonctions de tolérance aux pannes et d’équilibrage de charge. En effet, DFS se présente comme une arborescence composée de partages qui peuvent être situés un peu partout sur le réseau. L’administrateur peut par exemple configurer plusieurs serveurs W2K pour qu’ils se partagent la même racine DFS. Lorsqu’un client se connecte à un arbre DFS réparti sur plusieurs serveurs, Active Directory dirige le client vers le serveur DFS le plus proche (au sens capacité d’accès réseau). Si ce serveur vient à « disparaître », le client est aussitôt reconnecté à un autre serveur W2K de la même racine DFS. De même, W2K Server offre un service de réplication, FRS 7, qui traite la synchronisation des racines DFS (ce qui permet par exemple de disposer sur le réseau local de données en théorie distantes). Par défaut, cette réplication se fait toutes les quinze minutes (valeur utilisée également par Active Directory), ce qui implique que deux utilisateurs qui ne sont pas situés sur le même site peuvent temporairement travailler sur des données différentes puisque dupliquées sur deux arborescences DFS. Cette valeur peut être modifiée mais la charge sur le réseau distant s’en ressentira. Il est donc nécessaire de bien étudier à l’avance la nécessité et les limites de l’usage d’une telle architecture.
DFS dans un domaine Domaine: NETARCHITECT
\\NETARCHITECT \DFS
WASHINGTON
Service de réplication de fichier
DC-CONTRACTS
LOS ANGELES
CONTRACTS
WASHINGTON
Windows 2000 intègre également de nouvelles solutions pour le stockage, principalement par l’ajout du système de fichiers NTFS 5. Celui-ci complète le modèle et les fonctionnalités déjà connus dans NT 4, mais il n’est pas compatible8 avec ce dernier. Les principales améliorations résident dans une gestion optimisée des volumes qui permet aux administrateurs d’étendre et de gérer des volumes dynamiques sans avoir à redémarrer le système, de fixer des quotas de volumes disques en se basant sur des politiques de groupe, d’assurer la protection des données grâce au format EFS. La défragmentation des volumes NTFS est fournie en standard, même s’il s’agit là d’une version « allégée » de Diskeeper d’Executive Software, de même que le gestionnaire de disques logiques est une version 6
Distributed File System File Replication Service 8 Le SP6a de NT permet de lire et écrire dans une partition NTFS 5 existante, mais ne permet pas de la créer. 7
23243574.doc
Page 8 sur 29
bridée de Veritas Volume Manager de Veritas Software. Microsoft et les fournisseurs de ces technologies reconnaissent que les technologies ainsi intégrées dans W2K Server répondront à la majorité des besoins des administrateurs au quotidien, mais que pour des besoins plus spécifiques ou portant sur des organisations plus complexes, le recours à la version complète de l’éditeur tiers sera nécessaire. Toutefois, l’intégration sera aisée puisque l’ensemble des interfaces entre le logiciel complet et W2K sont déjà présentes dans la version « allégée ».
Défragmenteur Windows2000
Du côté de l’authentification, le protocole NTLanManager, protocole propriétaire de Microsoft, a été remplacé par un noyau Kerberos 5. Celui-ci est utilisé pour la validation de l’accès aux ressources d’un domaine W2K. Il permet notamment d’établir le schéma d’approbation transitive au sein d’une forêt et d’une arborescence W2K sur lequel se fonde tout le fonctionnement d’Active Directory. Ce préalable était absolument nécessaire pour développer une structure arborescente apte à s’appliquer aux organisations complexes des grandes entreprises. Jusqu’à présent, NT 4 obligeait les administrateurs à décrire de manière explicite tous les liens d’approbation entre les domaines NT ainsi que leurs sens (A vers B et B vers A pour une relation d’approbation réflexive) avec une structure limitée à deux niveaux. Désormais, sauf cas particulier décrit explicitement par l’administrateur, dans une même arborescence l’approbation transitive9 est automatique et réflexive. Ceci permet de faire disparaître, entre autres, les notions de contrôleur principal – contrôleur secondaire de NT au profit d’une notion unique de contrôleur de domaine W2K. A cette infrastructure d’authentification sont associés différents modules qui permettent par exemple d’assurer la gestion des clés publiques et privées, des certificats10 et de spécifier les autorités de certification à approuver11. Ceci permet aux deux acteurs de s’authentifier mutuellement et de chiffrer la transaction.
9
si A approuve B et B approuve C alors A approuve C de fait Basés sur le standard X509 11 Composant enfichable Certificates dans la console d’administration MMC 10
23243574.doc
Page 9 sur 29
Fonctionnement de
Kerberos
Kerberos contoso.msft contoso.msft
nwtraders.msft nwtraders.msft
3
2 o in ti m fica e i Ch ent th au d’
1
na.contoso.msft na.contoso.msft
n
4 5
south.nwtraders.msft south.nwtraders.msft
L’initiative ZAW (Zero Administration for Windows) est la tentative de réponse de Microsoft au besoin croissant des entreprises de diminuer le coût de possession de leur informatique, mais également au produit ZenWorks de Novell. Le Gartner Group a effectué une des études les plus complètes sur ce sujet et a montré que la répartition de ce coût est approximativement le suivant: 12% pour les coûts d’administration, 16% pour l’assistance technique, 16% pour l’acquisition des matériels et des logiciels et 56% pour les pertes de productivité des utilisateurs finaux. Trois raisons principales peuvent expliquer ce dernier chiffre. La première est la disponibilité des serveurs sur lesquels l’utilisateur accède pour ses données. La seconde est la disponibilité des réseaux: « no network = no work ». Enfin, la dernière est le temps d’apprentissage du système d’exploitation et des applications. Une infrastructure W2K Server apporte un certain nombre de réponses12 pour ces différentes constatations: D’une machine à l’autre, l’utilisateur peut conserver le même profil, c’est à dire le même environnement personnalisé et les mêmes droits d’accès aux applications. L’installation de nouvelles machines ou de nouveaux logiciels13, ainsi que la mise à jour, se fait avec un minimum d’administration, mais sous couvert d’une politique préalablement définie et mise en œuvre par un niveau d’administration habilité. • L’environnement des utilisateurs est totalement paramétrable par l’administrateur, ce qui permet de n’autoriser que le strict nécessaire afin d’éviter des modifications intempestives ou des altérations accidentelles du système d’exploitation ou des applications. • Les données des utilisateurs sont dupliquées entre leurs machines et les serveurs ce qui permet des restaurations plus aisées en cas d’incident. • Les données peuvent être mises en cache sur le poste client ce qui permet aux utilisateurs de continuer à travailler même en mode déconnecté. Les principaux services qui permettent de mettre en œuvre ces fonctionnalités au sein de W2K Server sont Intellimirror et Remote Install Service. Les fonctions de connectivité ont également fait l’objet d’une attention particulière. W2K Server se base essentiellement sur IP pour l’aspect réseau. La pile TCP/IP a d’ailleurs été 12
Certaines de ses fonctionnalités sont déjà présentes dans NT à partir du SP 4 mais limité par le modèle hiérarchique à deux niveaux de cette plate-forme. 13 Il est à noter que dans le cadre les différents modules logiciels sont auto-réparables puisque le système garde une image permanente de la configuration idéale.
23243574.doc
Page 10 sur 29
totalement réécrite pour tenir compte du maximum des dernières RFC14 de l’IETF. Les principaux apports concernent: Le support des réseaux privés virtuels (VPN) en se basant sur les protocoles majeurs du domaine: PPTP15, L2TP16 et bien sûr IPSec. Le support d’IPv6 et d’ATM en natif en plus d’IPv4. Les fonctions de routeur (protocoles RIP v1, RIP v2, RIP pour IPX, OSPF, IGMP v2), et de serveur d’accès distant (fonctions à réserver aux petites entités). Les fonctions d’agent de relais DHCP qui permettent une distribution d’adresse IP au-delà de la barrière que représente un routeur sur un réseau. Le support des principaux protocoles de gestion de qualité de service (RSVP, Diff-Serv, 802.1p, ISSLow) De plus, W2K Server fournit les services de gestion des flots de données multimédia grâce à Windows Media Services et d’intégration avec la téléphonie IP à travers l’interface de programmation TAPI (Telephony Application Programming Interface). W2K intègre nativement les services de terminaux alors qu’il s’agissait d’une version spécifique de NT 4, Terminal Server Edition. Toutefois, le protocole utilisé n’est plus ICA de Citrix, mais un produit totalement propriétaire. Cette fonction permet de se connecter aux serveurs distants comme si l’on était sur la console système et permet donc le déploiement de clients légers au sein d’une organisation. Cette solution permettrait de recycler des postes trop anciens pour accepter W2K. Toutefois, il ne faudra pas sous-estimer la configuration du serveur car toutes les applications sont exécutées sur celui-ci, les ressources mémoires et le(s) processeur(s) étant fortement sollicité(s).
Fonctionnement des services Terminal RDP RDP TCP/IP TCP/IP
My Documents
Ordinateur Ordinateur client client
My Computer
Server
Serveur Serveur exécutant exécutant les les services services Terminal Terminal Server Server
My Network Places
Recycle Bin
Internet Explorer
Start
12:00PM
Si toutes les versions de la famille serveur W2K supportent les architectures symétriques multiprocesseurs (4 processeurs et jusqu’à 4 Go de mémoire physique pour W2K Server, 8 processeurs et 8 Go pour W2K Advanced Server, 32 processeurs et 64 Go pour DataCenter), seules les versions Advanced Server et DataCenter permettent la mise en place de clusters de machines (clusters deux nœuds pour W2K Advanced Server et quatre nœuds pour DataCenter). Il sera donc nécessaire, lors des choix d’équipements d’un site, de 14
Request For Comments: document décrivant le standard étudié par le groupe ad-hoc de l’IETF Point to Point Tunneling Protocol: protocole propriétaire Microsoft disponible sous NT 4.0 16 Layer 2 Tunneling Protocol: norme établie en coopération avec Cisco, Ascend, IBM et 3Com 15
23243574.doc
Page 11 sur 29
fixer le degré d’évolutivité prévisible17 des services fournis et donc, de déterminer quelle version installer. Les atouts de ce type d’architecture sont utilisés massivement par la future version Enterprise de Exchange 2000 qui profite de cette potentialité pour séparer le schéma des données, de leur stockage physique. Ceci permet de faciliter la sauvegarde et la restauration des données, ainsi que leur administration, en toute transparence pour les utilisateurs qui continuent à accéder en permanence à leur application de messagerie et de groupware.
2. Les éléments fondamentaux d’Active Directory Sans entrer dans le détail de la structure complète d’Active Directory, ce chapitre a pour but de rappeler les concepts principaux qui sont associés à cet annuaire. La compréhension de ces concepts est essentielle pour la compréhension des implications de la mise en œuvre d’Active Directory au sein d’une grande organisation comme l’armée de terre. Les schémas d’ensemble sont fournis en annexe C. Active Directory est un service d’annuaire fourni avec la gamme de produits serveurs W2K. Ces principales caractéristiques sont les suivantes: Une base de données répartie entre plusieurs serveur. Un modèle de réplication multi-maître permettant la propagation des mises à jour à travers tout le réseau. Un schéma évolutif permettant l’ajout de nouveaux types de données. Une organisation de la base de données sur un modèle arborescent permettant l’héritage des droits et privilèges. Les définitions à connaître: Domaine: Un domaine est le conteneur logique d’un ensemble d’objets (utilisateurs, ordinateurs, groupes) qui font partie de la même structure logique de l’entreprise. Le domaine représente une frontière à l’intérieur de laquelle les données répondent à une même référence d’administration et de sécurité. Il est à noter qu’une fois un nom de domaine créé, il devient difficile, voire impossible pour le domaine racine, de le modifier. Il n’est pas non plus possible de fusionner ou de scinder facilement des domaines. Dans chaque cas cela revient à ré-exécuter tout le processus de création du ou des domaines concernés. On voit donc que l’étude préalable du plan de nommage est une opération importante. Dans le cas de l’armée de terre, ce travail a été effectué pour le plan DNS. Il est probable que ce plan de nommage serve de guide pour celui des domaines W2K.
17
Devrais-je faire face à une augmentation croissante de la charge sur mes serveurs ? Devrais-je assurer un taux de disponibilité élevé ? , …
23243574.doc
Page 12 sur 29
Domaines
Limite de sécurité
Unité de duplication
Modes des domaines Mode mixte
Mode natif
Contrôleur Contrôleur de de domaine domaine (Windows (Windows 2000) 2000)
et Contrôleur Contrôleur de de domaine domaine (Windows (Windows NT NT 4.0) 4.0)
Contrôleurs Contrôleurs de de domaine domaine (Windows (Windows 2000 2000 uniquement uniquement ))
Arborescence: Une arborescence est une organisation hiérarchique de conteneurs et d’objets. Une arborescence peut comporter plusieurs branches. Les extrémités des branches sont appelées « objets feuilles » et représentent des utilisateurs, des services ou des ressources. Le choix du découpage logique de l’entreprise en domaines au sein d’une arborescence a de nombreuses implications à la fois sur le modèle d’administration, sur le modèle de sécurité, mais également pour le trafic généré sur le réseau. Ainsi la réplication inter-domaines est plus faible que la réplication intra-domaine, mais il devient nécessaire de décrire la politique de sécurité et d’administration au sein des domaines concernés. En théorie, on peut arriver à la description d’une entreprise en un seul domaine. Dans la pratique, seules les petites entreprises peuvent arriver à cette extrémité.
Arborescences
et forêts
Approbations Approbations transitives transitives bidirectionnelles bidirectionnelles
(racine) Contoso Contoso.msft .msft
Forêt Arborescence China China. . Contoso Contoso.msft .msft
Nwtraders Nwtraders.msft .msft
Japan Japan. . Contoso Contoso.msft .msft
Arborescence China China. . Nwtraders Nwtraders.msft .msft
Japan. Japan. Nwtraders Nwtraders.msft .msft
Domaine Domaine Windows WindowsNT NT4.0 4.0
Approbation Approbationnon nontransitive transitive unidirectionnelle unidirectionnelle
Objets Les objets sont des éléments qui peuvent être stockés au sein de l’annuaire. Les utilisateurs, les groupes, les imprimantes, les ordinateurs ou toute autre entité décrite dans le schéma de l’annuaire sont des objets.
23243574.doc
Page 13 sur 29
Unité d’organisation Les unités d’organisation sont des conteneurs qui sont employés au sein d’un domaine comme outils d’administration et de sécurité sur les objets contenus. Une unité d’organisation peut contenir elle-même d’autres unités d’organisation, ce qui permet de hiérarchiser l’administration et la sécurité au sein d’un domaine. La description d’un domaine en une hiérarchie d’unités d’organisation engendre une complexification des règles d’héritage des droits des utilisateurs, qui peut au mieux faire chuter les performances de connexion, au pire bloquer le fonctionnement du domaine. Il s’agit donc de rester mesuré dans l’utilisation d’arborescence d’unités d’organisation.
Unités d'organisation
Hiérarchie des unités d'organisation Structure Structure organisationnelle organisationnelle Paris
Modèle Modèle d'administration d'administration de de réseau réseau Ventes
Ventes
Utilisateurs
Réparation
Ordinateurs
Contrôle administratif des unités d'organisation
Unités d'organisation et modèle à domaine unique
Schéma: Le schéma représente la référence unique de la structure des données que l’annuaire est autorisé à stocker. Le schéma ne peut être modifié que sur le serveur « maître de schéma » par un administrateur appartenant au groupe « administrateurs de l’entreprise ». Une fois modifié, comme Active Directory est une base de donnée répartie, la connaissance de la structure de cette base doit être disponible sur tous les contrôleurs de domaines de la forêt. De ce fait, toute modification sur le schéma est propagée par réplication dans toute la forêt. De plus, les temps de latence liés à ce mécanisme de mise à jour peuvent entraîner des incohérences dans la base. Ainsi, la suppression d’un attribut d’un objet entraîne une incohérence entre les objets créés avant cette suppression et les objets basés sur la nouvelle référence. L’administrateur devra alors lancer une requête et supprimer manuellement cet attribut. On peut donc constater que la manipulation du schéma est une opération délicate et qui peut s ‘avérer lourde de conséquence. Il est donc conseillé de confier cette opération à une structure centralisée. Les demandes de modification du schéma devront être clairement justifiées et une étude d’impact sera élaborée afin de déterminer les interventions complémentaires que devra conduire l’équipe d’administration. Il est toujours préférable, dans la mesure du possible, d’utiliser les objets et les attributs existants plutôt que d’en créer de nouveaux. Le processus de modification du schéma, ainsi que la signification des objets et attributs, devront être portés à la connaissance des équipes de développement qui souhaiteraient intégrer les services d’annuaire Active Directory dans leurs travaux. L’utilisation à terme d’Exchange 2000, comme système de messagerie, doit être intégrée au plus tôt dans l’élaboration du schéma de l’annuaire. En effet, la mise en place d’Exchange 2000 conduit à une modification du schéma. Si l’on procède à une mise en place d’Active Directory puis, ultérieurement à celle d’Exchange 2000, le schéma une fois modifié sera
23243574.doc
Page 14 sur 29
répliqué massivement sur tous les contrôleurs de domaine. Si l’on installe le premier serveur Exchange 2000 dès la racine Active Directory créée, le schéma ainsi modifié sera répliqué au fur et à mesure de l’installation des nouveaux contrôleurs de domaines et la charge réseau sera alors lissée dans la durée.
Schéma Exemples de classes d'objets :
Ordinateurs Ordinateurs
Utilisateurs Utilisateurs
Serveurs Serveurs
Disponible Disponible dynamiquement dynamiquement ,, peut peut être être mis mis àà jour, jour, protégé protégépar par DACL DACL
Les Les attributs attributs d'Utilisateurs d'Utilisateurs peuvent peuvent contenir contenir :: accountExpires accountExpires badPasswordTime badPasswordTime mail mail name name
Exemples d'attributs : Liste Liste d'attributs d'attributs accountExpires accountExpires badPasswordTime badPasswordTime mail mail cAConnect cAConnect dhcpType dhcpType eFSPolicy eFSPolicy fromServer fromServer governsID governsID Name Name … …
Configuration: La configuration est la représentation de toute l’arborescence de la forêt. Elle permet aux mécanismes internes des différentes partitions de l’annuaire Active Directory de partager les mêmes informations de topologie de la forêt. Catalogue global: Le catalogue global est un index de tous les objets d’un annuaire Active Directory. Il contient les informations nécessaires pour qu’un utilisateur ou une application puisse retrouver la localisation logique d’un objet sans en connaître l’emplacement physique réel. Alors que la partition de l’annuaire spécifique au domaine contient toutes les informations sur tous les objets du domaine, le catalogue global possède quelques informations, mais sur tous les objets de l’annuaire complet. Le positionnement des serveurs de catalogue global sur le réseau doit être soigneusement étudié afin d’arriver à un juste équilibre entre rapidité de réponse à une requête et trafic de réplication engendré. On doit également déterminer quels sont les objets qui doivent être indexés dans le catalogue global et quels attributs serviront à leur recherche.
23243574.doc
Page 15 sur 29
Serveur de catalogue global
Attributs Attributs d'objets d'objets
Domaine
Domaine
Domaine
Domaine
Catalogue Catalogueglobal global Requêtes Requêtes
Domaine
Domaine
Adhésion Adhésion àà un ungroupe groupe lorsque lorsquel'utilisateur l'utilisateur ouvre ouvreune une session session Serveur Serveur de decatalogue catalogueglobal global
Forêt: Une forêt est un ensemble d’une ou plusieurs arborescences de domaines partageant le même schéma, la même configuration et le même catalogue global. Au sein, d’une même forêt, les domaines bénéficient du mécanisme d’approbation transitive généré par défaut lors de la création de ceux-ci. Les mécanismes de sécurité nécessaires à ce fonctionnement sont fournis par les services Kerberos intégrés à W2K. Sites: Un site peut être défini comme l’ensemble des sous-réseaux IP partageant une connexion rapide et fiable. Il est conseillé de ne pas tenter de rassembler dans un même site, au sens Active Directory, des réseaux reliés à moins de 512 Kb/s pour peu que la bande passante ne soit pas consommée par le reste du trafic réseau. La notion de site permet de planifier et de compresser le trafic de réplication intra et inter-domaines entre deux sites distincts.
Sites
Seattle New York Chicago Los Angeles
Sous -réseau IP
Site Sous -réseau IP
23243574.doc
Page 16 sur 29
3. La sécurité dans W2K Ce chapitre est certainement celui vers lequel la plupart des lecteurs vont se diriger en premier après avoir parcouru le sommaire, tant le sujet est sensible. Il est évident que dans le contexte de « microsoftophobie » que connaît aujourd’hui le monde de l’informatique, toute information sur une faille de sécurité ou toute rumeur sur des bogues sont attendues avec impatience. Dans ce domaine, il s’agit d’être lucide: aucun système d’exploitation n’est ou ne sera totalement fiable et encore moins sûr. Une fois éliminés les ayatollahs du « tout sauf Microsoft », il s’agit de juger froidement et par les faits les apports et les risques d’une solution telle que Microsoft la propose avec W2K. Les cabinets d’analystes sont tous unanimes: l’effort consenti par Microsoft durant toute la phase de test du produit a porté ses fruits. Le produit, sans être la panacée, est nettement plus fiable et sûr que son prédécesseur NT et ne souffre pas de la comparaison avec ses concurrents. Outre la réécriture quasi complète du noyau NT, de nombreuses fonctionnalités ont été intégrées dans W2K pour augmenter la capacité de sécurisation du système et pour fournir les services nécessaires aux administrateurs pour concevoir, établir et contrôler une politique de sécurité à l’échelle d’une grande entreprise. Parmi celles-ci on peut noter: • L’utilisation du protocole d’authentification Kerberos18. • L’implémentation des fonctions de serveur d’accès distant Radius. • L’implémentation native du standard IPSec. • L’implémentation de protocoles VPN comme PPTP et L2TP. • Les services de gestion d’infrastructure de clés publiques. • Les services de gestion des lecteurs de cartes à puce ou biométriques. • Le système de chiffrement des fichiers EFS. • La technologie IntelliMirror de gestion des comptes utilisateurs, de distribution et de gestion de configuration des logiciels. Mais l’avancée significative concerne la possibilité de définition d’une politique de sécurité basée sur les différentes entités de la structure de l’annuaire Active Directory. On parle de stratégie système. Ces dernières sont conçues comme le cumul de plusieurs stratégies de groupe19 (les actions autorisées) et des droits d’accès20 (les ressources autorisées). Les stratégies de groupe s’appliquent aux sites, aux domaines et aux unités d’organisation. Les droits d’accès s’appliquent aux groupes et aux objets tels que les utilisateurs ou les ordinateurs. C’est l’association des différentes règles qui permet de contrôler l’ensemble des droits d’un utilisateur ou d’une ressource, comme par exemple l’accès à un répertoire partagé ou le script d’ouverture et de fermeture d’une session. L’ensemble de ces règles peut être (et devrait être) défini de manière centralisée afin d’harmoniser et donc de fiabiliser la sécurité système au sein de l’entreprise. Ce mécanisme, très riche, est toutefois relativement complexe à la fois dans ses concepts et dans sa mise en œuvre. Ainsi, les stratégies de groupe ne s’appliquent évidemment pas aux groupes. De même, il n’existe aucune règle pour les conteneurs d’objet. En effet, ces derniers ne sont que des services de stockage internes à Active Directory et n’ont donc aucune influence sur les droits d’un utilisateur ou d’une ressource. Les mécanismes de sécurité agissent de manière verticale depuis le site vers le domaine et sont transmis par héritage vers les niveaux inférieurs (les UO pouvant contenir elles-mêmes des UO). Ensuite, 18
Avec quelques spécificités Microsoft. Tous les clients Kerberos et les serveurs Kerberos MIT sont interopérables avec la version Microsoft. 19 Le terme employé dans les documents Microsoft est Group Policy Object. 20 Le terme employé dans les documents Microsoft est Access Control List (la liste de règles) et Access Control Entity (la règle individuelle).
23243574.doc
Page 17 sur 29
pour chaque action de l’utilisateur, le système interroge l’ACE correspondante et vérifie les droits de celui-ci. On voit donc que le travail amont de planification de la sécurité W2K est une tâche importante et lourde de conséquences. Il faudra donc être prudent et ne pas chercher dans un premier temps une organisation trop complexe qui serait difficile à implémenter, ardue à maintenir et surtout très pénalisante en terme de performance pour les utilisateurs. Il est conseillé par Microsoft de ne pas généraliser la délégation d’administration, car ce mécanisme, qui certes permet d’alléger les tâches d’un groupe d’administrateurs sur des utilisateurs, peut entraîner de graves problèmes de cohérence dans l’organisation globale de la sécurité. Pour reprendre l’exemple de Microsoft, l’ensemble des 5000 serveurs déployés dans le monde entier est administré depuis Redmond par 17 ingénieurs H24. Les sites locaux ne disposent d’aucun droit sur les systèmes et sont juste autorisés à intervenir sur les applicatifs. Ainsi on peut conclure que l’accroissement, unanimement constaté, de la sécurité de la plate-forme W2K est liée principalement au nécessaire niveau de compétence des équipes de conception et d’administration et à l’obligation de la phase de préparation à la migration. Alors que dans le vocabulaire commun on parle de « passage à NT », on parle de « migration vers W2K », ce qui exprime bien la différence de niveau de préparation. En effet, jusqu’à présent n’importe quel « apprenti sorcier » pouvait installer NT Server et le faire fonctionner à peu près correctement sur son LAN. Désormais il lui serait impossible de le faire avec W2K et encore moins au niveau d’un grand organisme. En contre-partie, les gains à espérer en terme de fiabilité globale du système d’information, de diminution des charges de support aux utilisateurs et de diminution de charge d’exploitation des serveurs sont considérables. Les gains constatés à partir des études menées par plusieurs cabinets d’analystes sur les premiers déploiements de W2K varient de 17% à 40%.
4. Utilisation en environnement hétérogène 4.1. W2K en tant que serveur membre Les serveurs membres sont désignés comme des ressources, que ce soit dans un domaine NT ou dans Active Directory. Ces serveurs ne disposent d’aucune copie des bases de comptes du domaine ou de l’annuaire. Ils se contentent de fournir des services aux utilisateurs, tels que les services web, les services d’impression, l’accès aux bases de données, à la messagerie21, le stockage et la sauvegarde des fichiers, les services applicatifs d’un SI, … Un utilisateur accède à un serveur membre en s’authentifiant auprès du contrôleur de domaine dont dépend ce serveur. Dès lors que l’utilisateur est authentifié, il bénéficie des droits liés à son compte ainsi qu’aux groupes globaux et locaux auxquels il appartient. Un serveur membre W2K peut donc parfaitement s’insérer dans un domaine NT4. De même, un serveur membre NT4 peut être déployé dans un domaine W2K, puisque le contrôleur de domaine W2K dispose d’une fonctionnalité d’émulation de contrôleur de domaine NT4 comme explicité au paragraphe suivant. En revanche, les stratégies de sécurité et les potentialités liées à une utilisation d’Active Directory ne peuvent être mises en œuvre de façon homogène au sein d’un tel réseau. Toutefois, cette indépendance du système d’exploitation du serveur membre et du contrôleur de domaine, permet d’envisager d’établir des plans de migration « par palier »22. 21
Il est à noter par exemple que le service de messagerie Exchange 5.5 peut parfaitement être installé sur un serveur membre fonctionnant sous W2K.
23243574.doc
Page 18 sur 29
Coexistence de Windows 2000 et NT 4.0
Contrôleur principal Windows 2000 Serveur membre Windows 2000
Client Windows NT4
Contrôleur secondaire Windows NT4
Workstation
Serveur membre Windows NT4 Client Windows 2000XP Pro Client Windows 9x
4.2. Mode mixte, mode natif Un domaine qui contient à un instant donné des contrôleurs de domaine Windows NT et W2K est appelé domaine en « mode mixte », en opposition au « mode natif » dans lequel tous les contrôleurs de domaine sont des serveurs W2K. Au sein d’un domaine en mode « mixte », les différents contrôleurs de domaine continuent à proposer des services de domaine, de communications entre contrôleurs de manière transparente pour les utilisateurs23. Le premier contrôleur de domaine W2K installé dans le domaine, outre le fait de détenir une copie en accès écriture de la base annuaire Active Directory du domaine, va assurer le rôle de contrôleur principal de domaine24 grâce à sa fonction « PDC Emulator »25 (CE QUI SIGNIFIE QU’ON NE PEUT PAS METTRE EN PLACE UN EMULATEUR DE PDC SANS ACTIVE DIRECTORY). Cet émulateur gère les demandes suivantes en provenance des clients NT (serveurs ou postes de travail): Modification de comptes (changement de mot de passe par exemple); Duplication de la base de données des comptes sur les contrôleurs de domaine secondaires26; Fourniture de données d’exploration au service Explorateur; Services d’authentification pour les demandes d’ouverture de session LANManager. Tous les objets (utilisateurs, ressources, groupes) sont stockés dans Active Directory, mais ceci n’a aucune incidence pour les postes de génération NT, puisque ceux-ci bénéficient toujours des mêmes services sous les mêmes protocoles.
22
Migration n’obligeant pas à une stricte dépendance de l’infrastructure de domaine, des serveurs membres et des postes de travail. 23 Mais pas pour les administrateurs. 24 Primary Domain Controller (PDC) 25 Ce qui signifie qu’il faut au préalable faire disparaître du réseau le contrôleur principal de domaine NT (PDC) NT4 et ne laisser en fonctionnement que les contrôleurs secondaires NT pour que les utilisateurs puissent continuer à s’authentifier et à accéder aux ressources. 26 Boundary Domain Controller (BDC)
23243574.doc
Page 19 sur 29
En cas de défaillance du « PDC Emulator », les clients ne pourront plus ni modifier leur mot de passe de domaine ni parcourir les ressources du domaine. Ce service peut être transféré temporairement à un autre contrôleur de domaine W2K. Il est à noter que sur un réseau local, un poste client W2K, lors d’une ouverture de session, va tenter de localiser un DC27 W2K par une requête à son serveur DNS28. S’il ne peut en trouver un, il utilise le protocole NTLM pour ouvrir une session sur un contrôleur de domaine NT. La connexion engendre des délais et un trafic plus importants. De plus, les stratégies de groupe Windows 2000 et les scripts d’ouverture de session ne sont pas traités. Il est donc recommandé d’installer au moins un contrôleur de domaine W2K sur chaque site où seront déployés des clients W2K. Le « mode natif » procure de nombreux avantages, notamment dans le cadre des fonctionnalités de gestion évoluées et concourt donc à une diminution des charges d’administration et d’exploitation. Le tableau ci-après résume les différences majeures entre les deux modes:
Fonctionnalité
Mode mixte
Mode natif
Duplication à plusieurs maîtres
Oui, mais uniquement sur les contrôleurs de domaine W2K Global, Local
Oui
Etendue de groupe Groupes de sécurité imbriqués Administration inter-domaines Filtre de mots de passe Approbations transitives Authentification Kerberos
Requêtes utilisant la modification du bureau ou la gestion de configuration Nombre d’objets du domaine
Non Limitée Installés individuellement sur chaque contrôleur de domaine Oui Disponible uniquement sur les DC W2K et utilisable par les clients W2K ou des clients Kerberos Uniquement sur des contrôleurs de domaine Windows 2000 Inférieur ou égal à 40 000
Universel, Global, Domaine local, Local Oui Totale Automatiquement sur tous les contrôleurs de domaine Oui Oui
Oui Supérieur à 1 million
Stratégie de Migration Structure existante satisfaisante ?
Oui
Non
Mise à jour Structure satisfaisante ?
Non
Oui
Restructuration Inter -forêt
Intra
• Migration des utilisateurs • Migration des ressources
-forêt •Déplacement des objets
Migration terminée !
27
Domain Controller Domain Name Server: système établissant la correspondance entre un nom logique d’une machine et son adresse IP. 28
23243574.doc
Page 20 sur 29
Attention: Pour migrer un domaine du « mode mixte » vers le « mode natif », l’administrateur doit configurer manuellement chacun des DC W2K pour changer de mode. Dès que cette procédure est enclenchée, elle est irréversible et doit être menée le plus rapidement possible sur tous les contrôleurs du domaine. Un DC W2K en « mode natif » ne peut être rétrogradé en « mode mixte ». Si pour résoudre un problème de migration, l’administrateur doit revenir à l’état initial, il sera contraint à faire une réinstallation du domaine. Avant d’initialiser le passage en « mode natif », il est préconisé d’établir la stratégie de retrait suivante: • • • •
Faire une sauvegarde sur bande de chaque serveur du réseau à migrer. Créer un BDC sous NT (s’il n’en existe pas déjà un). Forcer une synchronisation entre le PDC (en fait le DC W2K qui fournit le service de « PDC Emulator ») et le BDC. Retirer le BDC ainsi synchronisé du réseau et le conserver précieusement jusqu’à la validation de la migration.
Ainsi en cas de nécessité de retour à l’état initial, l’administrateur peut restaurer le domaine à partir du BDC et des bandes de sauvegarde. Passage du mode
mixte au mode natif
Passage au mode
natif
Windows 2000 Server
Windows 2000 Server Windows NT Server 4.0
Mode mixte
Windows 2000 Server
Mode natif
Mettez à niveau tous les contrôleurs vers Windows 2000
de domaine
Recréez les paramètres de stratégie du système Windows NT 4.0 à l'aide des objets stratégie de groupe de Windows 2000
Passez au mode natif
4.3. Relations entre domaines W2K et domaines NT4 Un réseau d’entreprise peut à un instant donné être composé de domaines gérés par des contrôleurs de domaine W2K (mixtes ou natifs) et de domaines gérés par des contrôleurs de domaine exécutant une version antérieure de Windows NT (nous ne nous limiterons qu’à envisager des domaines NT4). La structuration d’administration sera amenée pendant la phase de migration à mettre en relation ces différents domaines, ne serait-ce que pour maintenir à disposition des utilisateurs les services distribués auxquels ils avaient accès dans leur ancienne infrastructure NT. Comme expliqué au chapitre précédent, ce sont les services de « PDC Emulateur » des DC W2K qui vont permettre d’assurer cette continuité du fonctionnement de manière transparente pour les utilisateurs. Au sein de la forêt Active Directory, les DC sont reliés par des relations d’approbation transitives et créées par défaut. Au sein du réseau NT, les relations d’approbation ne sont ni transitives ni créées par défaut. Ces relations doivent donc être décrites explicitement entre chaque domaine et pour chaque sens de la relation (A->B et B->A). Chaque sens d’une approbation nécessite deux actions: L’administrateur A doit déclarer vers quel domaine il
23243574.doc
Page 21 sur 29
souhaite une approbation (ici le domaine B) et l’administrateur B doit déclarer qu’il autorise les demandes d’approbation en provenance du domaine A. De même, il est possible d’établir une relation d’approbation explicite entre un domaine NT et un domaine d’une forêt Active Directory. Toutefois, cette approbation ne sera pas transitive. Il y aura donc autant de relations d’approbation (à créer dans les deux sens, d’où quatre actions d’administration) que le produit du nombre de domaines Active Directory et de domaines NT à relier. Dans un réseau d’entreprise complexe (beaucoup de domaines NT et/ou forêt AD multidomaines), cette structure peut vite devenir relativement lourde à mettre en œuvre (et surtout à maintenir). Il faut donc réserver cette utilisation à des cas particuliers et en limiter l’usage dans le temps. Remarques: • Pour que ces relations d’approbation puissent être établies, le PDC du domaine NT et le « PDC Emulator » du domaine W2K doivent pouvoir se reconnaître sur le réseau. Entre deux DC W2K, le mécanisme de recherche est basé sur l’utilisation de requêtes DNS. Ce mécanisme ne peut être utilisé avec un PDC NT. C’est le service de nommage WINS (associé au nommage NetBIOS) qui est utilisé. En conséquence, le service WINS doit être disponible durant toute la phase de migration où des relations d’approbation devront être maintenues entre des domaines NT et des domaines d’une forêt AD. Ce service étant particulièrement « bavard » sur le réseau29 il est recommandé de limiter dans le temps la période d’utilisation de ce type d’infrastructure. Il est préférable d’installer au plus tôt une « dorsale » de contrôleurs de domaines W2K qui fourniront le même type de service, mais basé sur le service de nommage DNS. • Entre forêts AD on peut établir (mais de manière explicite) des relations d’approbation. Ces relations sont transitives par propagation à l’intérieur des forêts (tout domaine de la forêt A approuve tout domaine de la forêt B), mais pas entre forêts (si la forêt A approuve la forêt B et que B approuve la forêt C, A n’approuve pas C). Ceci implique que des organisations multi-forêts seront aussi difficiles à administrer que ce qui a été montré précédemment. La conséquence est qu’il n’est pas concevable de laisser se multiplier de manière anarchique des forêts AD en espérant pouvoir les administrer par relations d’approbation inter-forêts. C’est pourquoi la solution de créer autant de forêts que d’organismes ne doit pas être retenue, même si cela pouvait représenter une solution simple pour limiter, voire éliminer, les flux de réplications sur le réseau distant. La création de forêts au sein de grande organisation, et donc l’utilisation de l’annuaire Active Directory W2K, doit rester sous le contrôle d’une seule autorité.
29
En effet, les serveurs WINS doivent tenir à jour la liste complète des services auxquels un contrôleur de domaine doit pouvoir donner accès de par les relations d’approbation établies avec d’autres domaines.
23243574.doc
Page 22 sur 29
Mise à niveau d'un domaine vers la racine de la forêt tailspintoys .msft
Modèle à domaine unique tailspintoys
Comptes Comptes d'utilisateur d'utilisateur Groupes Groupes globaux globaux Groupes Groupes locaux locaux Groupes Groupes intégrés intégrés Comptes Comptes d'ordinateur d'ordinateur
Utilisateurs Comptes d'utilisateur Groupes locaux et globaux Ordinateurs Comptes d'ordinateur Intégré Groupes intégrés
Modèle à domaine principal unique nwtraders
Comptes Comptes d'utilisateur d'utilisateur Groupes Groupes gobaux gobaux
Africa Comptes d'ordinateur Groupes locaux Ressources
NAmerica Comptes d'ordinateur Groupes locaux Ressources
nwtraders. msft
Utilisateurs Comptes d'utilisateur Groupes globaux
Africa Africa
NAmerica NAmerica
4.4. Services Unix L’interopérabilité de W2K avec certains des systèmes Unix et Linux est possible grâce au logiciel SFU30 2.0 édité par Microsoft. Il est probable que des éditeurs d’Unix ou des éditeurs tiers proposeront des solutions équivalentes mais orientées pour une intégration dans leur propre environnement d’administration. A ce jour, la seule alternative possible pourrait être l’utilisation d’un serveur « samba »31, mais aucune publication n’a été trouvée sur ce type de configuration notamment dans une infrastructure W2K en « mode natif ». Des tests ultérieurs devront être menés pour comparer ces deux solutions. Les présentations de SFU 2.0 relevées dans les documents et publications estiment que ce produit permet: • de faciliter l'échange de données entre deux réseaux; • d’accéder via une interface ligne de commande depuis un poste Windows vers un poste UNIX; • d’écrire des scripts offrant un accès aux « shells », outils et utilitaires UNIX; • d’alléger les tâches d’administration de réseaux hétérogènes comprenant notamment le partage de mots de passes utilisateurs. Chaque poste de travail ou serveur équipé d'un système d'exploitation Windows 2000, pour lequel des besoins d'interopérabilité W2K–Unix32 existent, nécessitera l'installation de SFU 2.0. Toutefois, certains composants de SFU 2.0 pourront être installés uniquement sur un serveur, permettant à de multiples postes de travail de bénéficier des services correspondants: par exemple, le service de passerelle NFS. A ce jour, SFU 2.0 supporte les versions suivantes d'UNIX: HP-UX 10.2 et versions ultérieures, Solaris 2.6 et versions ultérieures, Compaq Tru64 UNIX 5.0 et versions 30
Services For Unix Service d’interopérabilité entre NT et Unix permettant notamment d’assurer l’accès aux répertoires et fichiers des stations ou serveurs Unix pour un client NT et d’assurer la concordance d’un « login / mot de passe » NT avec le « login / mot de passe » Unix de l’utilisateur. 32 SFU 2.0 prend également en charge l’interopérabilité NT-Unix 31
23243574.doc
Page 23 sur 29
ultérieures, Redhat 5.1 et versions ultérieures, AIX 4.2 et versions ultérieures. D'autres versions populaires pourraient être supportées à l'avenir en fonction des souhaits exprimés par les utilisateurs du produit en fonction de leurs besoins d'interopérabilité.
4.5. Services Netware Microsoft Services pour Netware version 5.0 est un environnement complet destiné à simplifier l'adoption de Windows 2000 Server dans les environnements Novell Netware. Il a également pour but de faciliter la migration des ressources Netware vers les serveurs Microsoft Windows 2000, permettant ainsi de réduire l'administration liée à l'utilisation de plusieurs plates-formes réseau. Microsoft Services for Netware 5.0 inclut des utilitaires permettant l'interopérabilité entre Windows 2000 et Netware: • Microsoft Directory Synchronization Services (MSDSS) qui permet la synchronisation bidirectionnelle de l'annuaire Active Directory de Windows 2000 avec la NDS de Novell, et la synchronisation unidirectionnelle entre Active Directory et les « Binderies » de Netware. • Microsoft File Migration Utility (MFMU) pour effectuer la migration des fichiers Novell Netware vers Windows 2000 Server. • File & Print Services for Netware 5.0 (FPNW5) qui permet à un système Windows 2000 Server d'apparaître comme un serveur de fichiers et d'impression Netware. Cette solution assure donc la possibilité de faire coexister de manière durable les deux infrastructures sur un même site en associant les administrations des deux systèmes d’annuaires au sein de la console d’administration de W2K. Toutefois, il ne faut pas perdre de vue que le fait d’offrir une solution de coexistence implique la conservation de l’ancien système: matériels, tâches d’exploitation, filière de compétence, coûts de maintenance, migration Netware 4/Netware 5. La nécessité de maintien d’une double infrastructure d’annuaire (même si les informations sont synchronisées) doit être particulièrement justifiée compte tenu des implications exposées ci-dessus. Les cas les plus probables sont l’utilisation de la messagerie Groupwise, de systèmes d’information se basant sur le moteur de workflow de Groupwise ou sur l’annuaire NDS de Novell. Or, les décisions prises par l’EMAT concernant les systèmes de messagerie conduisent à l’abandon dès 2001 de Groupwise. De même, sauf développements locaux, il n’existe pas de cas recensé de système d’information basé sur l’annuaire de Novell.
4.6. Méta-annuaire De plus en plus de grandes entreprises ont démarré des projets de fusion de leurs annuaires. Toutefois, cette fusion en un « annuaire physique unique » se heurte très souvent à l’obligation de maintenir en fonctionnement plusieurs annuaires spécifiques. Il n’en reste pas moins que dans un but d’allégement des tâches d’administration et de diminution des incohérences des données, la notion d’ « annuaire logique unique » est incontournable. C’est le rôle d’un méta-annuaire d’offrir la couche service nécessaire pour, soit « fédérer » l’ensemble des informations en un index unique, soit « administrer » les données en assurant les fonctionnalités de synchronisation des enregistrements dans les différents annuaires physiques gérés. Pour accéder aux informations, il est nécessaire de disposer au niveau du méta-annuaire de connecteurs spécifiques à chaque système d’annuaire.
23243574.doc
Page 24 sur 29
A ce jour, les principaux acteurs du marché des méta-annuaires33 fournissent déjà des connecteurs pour Active Directory. De plus, Active Directory, bien que n’étant pas un annuaire X500, dispose d’un schéma d’annuaire respectant la syntaxe X500, permet l’interrogation des données grâce au protocole LDAP v3 et l’exportation de données d’annuaire grâce au standard LDIF.
5. Impression d’ensemble Points positifs: • Stabilité et facilité d’utilisation de la version Professional. • Intégration dans un seul produit serveur de toutes les fonctions nécessaires à une infrastructure de type Internet/intranet quelle que soit la taille de l’entreprise (DNS, annuaire compatible LDAP V2 et V3, assistant connexion réseau, VPN, RAS, partage de connexion distante, …). • Meilleure gestion des utilisateurs mobiles (portables) ou errants (login unique quelle que soit la situation sur le réseau). • Meilleur support du port USB, des drivers intégrés (Plug & Play), des composants déplaçables « à chaud » (Hot Plug), de la gestion de l’alimentation. • Active Directory: annuaire d’entreprise, distribué, évolutif. • Nombreux composants de sécurité intégrés (authentification basée sur un module Kerberos, infrastructure de gestion de clé publique – PKI, implémentation native d’IPSec, modèle de protection des données EFS, infrastructure de gestion de clusters, …). • Haute disponibilité grâce à des schémas de réplication des annuaires adaptés aux contraintes de l’infrastructure réseau. • Accompagnement des grands comptes. • Approche par espace de nommage hiérarchique à l’échelle de l’entreprise. • Meilleure gestion du stockage des données que sur NT 4.0, grâce à une abstraction des volumes de sauvegarde. • Middleware COM+. • Cohérence d’ensemble de la gamme de produits. • Richesse de l’infrastructure d’administration permettant d’augmenter la productivité des administrateurs (console d’administration totalement personnalisable, gestion des profils de sécurité basée sur la description de l’organisation dans ADS, déploiement automatisé, installation à distance, Terminal Services, …). • Possibilité de déploiement automatisé des configurations W2K Professional, des applications, réparation automatique des modules logiciels. • Utilisation importante des standards issus de l’IETF et du W3C.
Points négatifs: • • •
33
Proximité de l’adoption de NT4.0 par les entreprises (et l’armée de terre). Nécessité de disposer en interne de fortes compétences dans les domaines de l’administration et des technologies issues de l’internet. Peu de déploiements d’envergure à ce jour (faible retour d’expérience).
Siemens, Microsoft, Netscape, Novell
23243574.doc
Page 25 sur 29
• • • • • • • • •
Coût de la migration encore mal maîtrisé (pas de métrique fiable, Gartner Group annonce une fourchette allant de 2 KF à plus de 18KF par poste34 pour un parc de 2500 PC). Complexité de la migration (étude de l’organisation à l’échelle de l’entreprise, mise en évidence et planification de toutes les tâches à accomplir, formation des architectes et des équipes techniques, …). Concurrence des autres NOS (Network Operating System): Unix – Linux – Netware. Encore peu d’offres de services fiables dans les SSII. La migration doit être la plus totale pour profiter au maximum de l’apport de W2K. Taille du code: comporte potentiellement encore de nombreux problèmes non mis en évidence. Nécessité de disposer d’un noyau d’administrateurs ayant un haut niveau de compétences (réseaux et système). Impact de l’organisation de l’entreprise sur les choix de modélisation d’Active Directory. Remplacement inéluctable des périphériques anciens pour lesquels les pilotes W2K ne seront jamais fournis.
6. Installation d’un serveur L’installation de Microsoft Windows 2000 n’est pas plus difficile que celle de son prédécesseur, Microsoft Windows NT 4.0. Vous vous apercevrez, en fait, que la dernière incarnation de la technologie Windows NT se trouve facilitée, du fait d’un ensemble d’améliorations intervenues dans le programme d’installation, mais aussi d’autres, qui relèvent des capacités du système d’exploitation. Par exemple, Windows 2000 détecte et configure automatiquement la plupart des périphériques les plus courants, réduit le nombre de questions auxquelles vous devrez répondre et fournit un chemin de mise à niveau à partir de versions autres que Windows NT. La ligne de commande du programme d’installation est elle aussi notablement plus simple. Les étapes premières du processus d’installation de Windows 2000 ne diffèrent guère de celles de Windows NT 4.0. Que cette similarité soit ou non intentionnelle , elle vous aidera à l’installer plus rapidement – si vous êtes déjà familier de ce type de programme de mise en place et des informations requises pendant ses premiers pas. Les écrans d’installation bleus vous seront par exemple familiers, comme la sélection de partition et le processus de copie de fichiers. En un mot, si vous avez déjà installé Windows NT 4.0, vous n’aurez aucun problème avec Windows 2000. Les étapes ultérieures ont été légèrement modifiées car Windows 2000 requiert du programme d’installation (en cas de mise à niveau) qu’il installe divers éléments, tels qu’un rapport de mise à niveau où seront consignés tous les détails d’éventuelles difficultés de compatibilité.
34
Le modèle utilisé par le Gartner Group (Total Cost of Ownership) intègre l’ensemble des coûts directs et indirects d’une migration vers W2K, y compris les gains et pertes de revenus de l’entreprise. Ce modèle est vivement critiqué car nombre des indicateurs utilisés pour l’évaluation sont relativement subjectifs et les résultats peuvent différer de plus de 200% suivant l’entreprise à laquelle ce modèle s’applique.
23243574.doc
Page 26 sur 29
Choixdelaméthoded’installation
INSTALLATION DE WINDOWS 2000 server Insérez le CD-ROM de Windows 2000 dans le lecteur, lorsque l’écran Notification du programme d’installation s’affiche, appuyer sur ENTREE ensuite l’écran Bienvenue s’affiche, appuyez sur ENTREE. Le programme d’installation de Windows 2000 Server vous signale que la disquette de démarrage de votre ordinateur est nouvelle ou que son contenu a été effacé. Appuyé alors sur la touche C pour poursuivre l’installation. Lorsque l’écran Contrat de licence de Windows 2000 s’affiche, lisez–le (au moins une fois), appuyez sur F8 pour accepter les conditions du mode de licence. Lorsque vous accédez à la liste des partitions, appuyez sur la touche C pour créer une partition sur votre disque. Lorsque le système vous demande de sélectionner une taille de partition, tapez une valeur minimum de 2048 dans la zone de texte Créer une partition de taille (en Mo), puis appuyez sur ENTREE.Dans la liste des partitions, appuyez sur ENTREE pour sélectionner la partition que vous venez de créer, ensuite appuyer sur ENTREE pour sélectionner Formater la partition en utilisant le système de fichiers NTFS. Le programme d’installation formate le disque dur, l’examine, puis copie les fichiers dans les dossiers d’installation de Windows 2000, puis retirez le CD-ROM du lecteur ensuite l’ordinateur redémarre automatiquement pour passer à la phase d’installation en mode d’interface utilisateur graphique. Lorsque l’assistant Installation de Windows 2000 s’affiche, cliquez sur suivant. La page Installation de périphériques s’affiche et vous invite à attendre la fin de détection et de l’installation des périphériques par le programme d’installation. La page Paramètres régionaux s’affiche et vous invite à personnaliser Windows 2000 pour différentes régions et langues, cliquez alors sur suivant. Dans la page Personnalisez votre logiciel, taper votre nom puis votre organisme, puis cliquez sur suivant. La page Mode de licence s’affiche et vous invite à sélectionner un mode de licence que vous choisirez en fonction de votre organisme (soit par serveur , soit par siège).
23243574.doc
Page 27 sur 29
Mode de licence
Dans la page Nom de l’ordinateur et mot de passe Administrateur, tapez le nom de l’ordinateur qui vous aura été fourni par votre administrateur système ainsi qu’un mot de passe pour le compte Administrateur, puis cliquez sur suivant. La page Composants de Windows 2000 s’affiche et vous permet d’ajouter ou de supprimer des composants, ensuite cliquez sur suivant.
Choix des composants
Dans la page Réglage de la date et l’heure, réglez la date, l’heure, ainsi que le fuseau horaire selon vos besoins, puis cliquez sur suivant. La page Paramètres de gestion de réseau s’affiche et vous informe que Windows est en train d’installer des composants réseau, puis vous invite à sélectionner des paramètres réseau par défaut ou personnalisés. Cliquez sur Paramètres personnalisés , puis sur suivant. Dans la page Composants de réseau, cliquez sur TCP/IP, puis sur Propriétés.
23243574.doc
Page 28 sur 29
Installation des composants réseau
Dans la boite de dialogue Propriétés TCP/IP, cliquez sur Utiliser l’adresse IP suivante, tapez l’adresse que vous aura donné votre administrateur réseau, puis appuyer sur TABULATION et renseignez au besoin la case du masque de sous-réseau, la passerelle par défaut et le serveur DNS. Cliquez sur OK, puis sur suivant.
Configuration du protocole TCP/IP
La page Groupe de travail ou domaine d’ordinateurs s’affiche et vous invite à intégrer un domaine ou un groupe de travail. Cliquez sur suivant pour intégrer le groupe de travail proposé par défaut. La page Installation en cours des composants s’affiche et vous informe que le programme d’installation est en train d’installer des composants de Windows 2000. La page Exécution des tâches finales s’affiche et vous informe que le programme d’installation est en train d’achever un ensemble de tâches finales. Cliquer sur Terminer . L’ordinateur redémarre. Dans un environnement d’entreprise, il n’est pas très rentable d’installer Windows 2000 sur chaque ordinateur avec son programme de mise en place interactif standard. Pour réduire notablement le coût total de possession (CTP) vous pouvez effectuer des installations automatisées sur de multiples machines.
23243574.doc
Page 29 sur 29