Annexe B : RØvision - repo.mynooblife.orgrepo.mynooblife.org/Systeme/MCSA-MCSE/MCSA-MCSE Module...

Table des matières

Vue d'ensemble 1

Leçon : Révision du protocole TCP/IP 2

Leçon : Révision du routage 11

Leçon : Fonctionnement de DHCP dans un environnement d'entreprise 17

Leçon : Révision du service WINS 34

Leçon : Révision de la sécurité IPSec 47

Annexe B : Révision

Les informations contenues dans ce document, notamment les adresses URL et les références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les lieux et les événements utilisés dans les exemples sont fictifs et toute ressemblance avec des sociétés, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et événements existants ou ayant existé serait purement fortuite. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicables dans son pays. Sans limitation des droits d'auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou introduite dans un système d'extraction, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre), sans la permission expresse et écrite de Microsoft Corporation. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2003 Microsoft Corporation. Tous droits réservés. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, FrontPage, MSDN, PowerPoint, SharePoint, Visual Basic et Windows Media sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Annexe B : Révision 1

Vue d'ensemble

*********************DOCUMENT A L′USAGE EXCLUSIF DE L′INSTRUCTEUR********************

Les leçons comprises dans cette annexe vous permettront de réviser les concepts techniques abordés dans ce cours, notamment les protocoles TCP/IP (Transmission Control Protocol/Internet Protocol) et DHCP (Dynamic Host Configuration Protocol), le routage, le service WINS (Windows Internet Name Service) de Microsoft® et la sécurité IP (IPSec, Internet Protocol Security).

Introduction

2 Annexe B : Révision

Leçon : Révision du protocole TCP/IP


Dans cette leçon, vous allez réviser le protocole TCP/IP et son rôle dans une infrastructure réseau. Cette leçon contient une comparaison des protocoles Internet versions 4 et 6 (IPv4 et IPv6) et aborde les problèmes à prendre en considération lorsque vous planifiez l'avenir de votre entreprise.

À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :

! passer en revue la suite de protocole TCP/IP ; ! passer en revue les fonctions du protocole TCP/IP ; ! comprendre les différences entre IPv4 et IPv6 ; ! décrire l'impact de l'implémentation du protocole IPv6 au sein de votre

entreprise.

Introduction

Objectifs de la leçon


Fonctions du protocole TCP/IP


Microsoft Windows Server� 2003 prend toujours en charge les fonctions standard de TCP/IP. Il prend aussi en charge les fonctions supplémentaires du protocole qui facilitent l'installation, la configuration et le déploiement de votre infrastructure réseau. Dans Windows Server 2003, le protocole TCP/IP est par défaut installé dans le dossier Connexions réseau et ne peut pas être supprimé.

TCP/IP est une suite de protocole standard, conçue spécialement pour la communication entre les réseaux d'interconnexion étendus. Les protocoles TCP (Transmission Control Protocol) et IP (Internet Protocol) ont été développés par un groupe de recherche du Département américain de la Défense en vue de connecter différents réseaux conçus par différentes entreprises au sein d'un « réseau de réseaux » (ou Internet). TCP/IP a été conçu comme un protocole puissant, capable de se rétablir automatiquement en cas de défaillance d'un n�ud ou d'une liaison.

Le protocole TCP/IP de Windows Server 2003 prend en charge les fonctions standard suivantes :

! liaison à différentes cartes réseau avec différents types de support ; ! hébergement multiple logique et physique ; ! routage IP interne ; ! protocole IGMP (Internet Group Management Protocol) version 3 (prise en

charge pour la multidiffusion IP) ; ! détection des adresses IP en double ; ! détection du routeur ICMP (Internet Control Message Protocol) ; ! configuration de passerelles par défaut multiples ; ! détection de passerelle inactive pour le trafic TCP ; ! recherche automatique de l'unité de parcours à transmission maximale

(PMTU, Path Maximum Transmission Unit) pour les connexions TCP ;

Introduction

Définition de TCP/IP

Fonctions standard de TCP/IP prises en charge


! cryptage de données et d'authentification avancé grâce au protocole de sécurité Internet (IPSec) ;

! qualité de service (QoS) pour les flux de trafic IP soumis à des contraintes temporelles, comme la diffusion multimédia en continu ; TCP/IP prend en charge la réservation de bande passante à l'aide des mécanismes QoS ;

! TCP/IP sur les services ATM (Asynchronous Transfer Mode) ; ! réseaux privés virtuels (VPN) ; ! adressage APIPA (Automatic Private IP Addressing) automatisant

la configuration de l'adresse des hôtes sur un sous-réseau unique alloué à partir de l'adresse 169.254.0.0/16, réservée par l'autorité IANA (Internet Assigned Numbers Authority) ;

! agrandissement des tailles de fenêtre par défaut ; ! tailles de fenêtre TCP variables, y compris les fenêtre TCP de grande taille ; ! accusés de réception sélectifs (SACK) ; ! amélioration des calculs RTT (Round Trip Time) et RTO (Retransmission

Timeout) ; ! filtrage au niveau des paquets ; ! NetBIOS sur TCP/IP (NetBT).

Vous pouvez désactiver NetBT sur les ordinateurs n'utilisant que l'enregistrement et la résolution des noms DNS (Domain Name System). Ces ordinateurs ne peuvent alors que parcourir les ressources résidant sur les ordinateurs sur lesquels la fonction NetBT a été désactivée.

NetBT n'est généralement désactivé que sur les hôtes ou les serveurs proxy de frontière dans un environnement pare-feu où cette fonction n'est pas souhaitée.

En outre, le protocole TCP/IP de Windows Server 2003 intègre les nouvelles fonctions suivantes :

! IGMP version 3, qui génère des rapports sur l'appartenance des groupes de multidiffusion selon la source ;

! configuration alternative permettant à un ordinateur d'utiliser une autre adresse IP configurée manuellement en l'absence d'un serveur DHCP ;

! détermination automatique du métrique de l'interface, qui détermine automatiquement le métrique de routage de la passerelle par défaut de chaque interface, selon la vitesse de l'interface associée ;

! IP version 6, dernière version du protocole IP.

Remarque

Nouvelles fonctions de TCP/IP prises en charge


Rôle du protocole TCP/IP sur le réseau Windows Server 2003


TCP/IP est le protocole de mise en réseau d'entreprise routable standard le plus courant. Tous les systèmes d'exploitation réseau actuels le prennent en charge et le trafic sur la plupart des réseaux étendus est assuré par ce protocole. TCP/IP permet également la mise en réseau et la connexion des ordinateurs exécutant Windows Server 2003, Windows 2000 et Microsoft Windows NT®.

Aujourd'hui, les entreprises se caractérisent par des besoins croissants de connectivité à Internet et exigent parallèlement la prise en charge de différents systèmes d'exploitation et plates-formes matérielles. En outre, elles doivent permettre l'accès à leur réseau à de nombreux utilisateurs répartis dans le monde.

TCP/IP est le seul protocole satisfaisant à ces exigences des petites et grandes entreprises car il s'exécute sur divers réseaux physiques et est évolutif.

L'intégration du protocole TCP/IP à un environnement Windows Server 2003 présente les avantages suivants :

! Une technologie permettant la connexion de systèmes différents De nombreux utilitaires de connexion standard permettant l'accès aux données et leur échange entre différents systèmes, notamment le protocole FTP (File Transfer Protocol) et Telnet, protocole d'émulation de terminal. Windows Server 2003 intègre bon nombre de ces utilitaires standard.

! Un environnement serveur/client puissant, évolutif et multiplateforme Le protocole TCP/IP de Windows Server 2003 intègre l'interface Windows® Sockets, idéale pour développer des applications clientes/serveur exécutables sur des implémentations du protocole TCP/IP compatibles avec Windows Sockets d'autres fournisseurs.

Introduction

Rôle de TCP/IP sur un réseau Windows Server 2003

Avantages de TCP/IP


! Une méthode d'accès à Internet Internet est composé de milliers de réseaux internationaux, connectant des bases de données de recherche, des universités, des bibliothèques, des entreprises privées et des particuliers.

! Distribution de paquets fiable TCP garantit la distribution fiable des paquets de bout en bout, orientée connexion sur un réseau d'interconnexion. Les octets dont la réception n'est pas confirmée dans un délai spécifique sont retransmis. Ce mécanisme de fiabilité de TCP permet aux périphériques de traiter les paquets perdus, retardés, dupliqués ou mal lus. Un mécanisme d'expiration permet aux périphériques de détecter les paquets perdus et d'en demander la retransmission.

Comme tout autre protocole de couche réseau, le schéma d'adressage IP fait partie intégrante du routage des datagrammes IP sur un réseau d'interconnexion. Chaque adresse IP a des composants spécifiques et répond à un format de base.

Les réseaux IP peuvent être divisés en des réseaux de petite taille appelés « sous-réseaux ». Cette division offre aux administrateurs réseau de nombreux avantages, comme une plus grande souplesse, une meilleure utilisation des adresses réseau et la possibilité de restreindre le trafic de diffusion. (Une diffusion ne croise généralement pas un routeur.)

Impact de TCP/IP sur la configuration réseau


Suite de protocole TCP/IP


La suite de protocole TCP/IP vous permet de concevoir un réseau d'homologues logique à partir d'une infrastructure réseau physique sous-jacente. Vous pouvez utiliser ces protocoles universels pour implémenter des réseaux IP locaux (LAN) ou étendus.

La diapositive illustre le mappage du modèle OSI (Open Systems Interconnection) à sept couches sur le modèle TCP/IP à quatre couches, ainsi que les principaux composants de la suite TCP/IP.

Les protocoles TCP/IP sont mappés sur un modèle conceptuel à quatre couches : interface réseau, Internet, transport hôte à hôte et application. Les principaux protocoles de la suite TCP/IP de Microsoft déterminent le mode de communication des ordinateurs et l'interconnexion des réseaux.

À la base du modèle se trouve la couche Interface réseau. Cette couche est responsable de l'insertion et de l'extraction de cadres du réseau.

Les protocoles Internet encapsulent les paquets dans des datagrammes Internet et exécutent tous les algorithmes de routage nécessaires. Il existe quatre protocoles Internet : IP, ARP (Address Resolution Protocol), ICMP et IGMP.

! Le protocole IP est principalement responsable de l'adressage et du routage des paquets entre les hôtes et les réseaux.

! Le protocole ARP permet d'obtenir l'adresse matérielle des hôtes résidant sur le même réseau physique.

! Le protocole ICMP envoie des messages et signale les erreurs relatives à la remise des paquets.

! Le protocole IGMP est utilisé par les hôtes IP pour signaler l'appartenance des groupes hôtes aux routeurs de multidiffusion locaux.

Introduction

Mappage de la suite TCP/IP sur le modèle OSI

Modèle de la suite TCP/IP

Couche Interface réseau

Couche Internet


Les protocoles de transport assurent les sessions de communication entre les ordinateurs. Le mode de remise de données voulu détermine le protocole de transport. Les deux protocoles de transport existants sont TCP et UDP (User Datagram Protocol).

! Le protocole TCP assure la communication fiable, orientée connexion, des applications qui transfèrent généralement des volumes de données importants simultanément ou qui requièrent un accusé de réception des données.

! Le protocole UDP assure la communication sans connexion et ne garantit pas la remise des paquets. Les applications qui utilisent ce protocole transfèrent généralement peu de données à la fois. Les applications doivent assurer la fiabilité de la remise.

Au sommet du modèle se trouve la couche Application. C'est au niveau de cette couche que les applications accèdent au réseau. La couche Application intègre de nombreux services et utilitaires TCP/IP standard, comme FTP, Telnet, SNMP (Simple Network Management Protocol), DNS, etc.

Le protocole TCP/IP de Microsoft offre deux interfaces permettant aux applications réseau d'utiliser les services de la pile du protocole TCP/IP : Windows Sockets et NetBIOS.

! Le service Windows Sockets fournit une interface de programmation d'applications (API) standard sur Microsoft Windows à de nombreux protocoles de transport, comme TCP/IP et IPX (Internetwork Packet Exchange).

! NetBIOS fournit une interface aux protocoles prenant en charge les services de dénomination et de messagerie NetBIOS, comme TCP/IP et NetBEUI (NetBIOS Extended User Interface).

Couche Transport

Couche Application


Comparaison entre IPv6 et IPv4


Internet Protocol version 6 (IPv6), le protocole d'accès à Internet de la nouvelle génération, vous permet de satisfaire aux exigences de mobilité, de croissance et d'autres services. IPv6 résout également l'un des principaux problèmes affectant Internet à l'heure actuelle, à savoir le manque d'adresses IP. Il ouvre également de nouvelles perspectives à votre offre de services à valeur ajoutée, comme des services basés sur l'emplacement, des services d'annuaire et des services de diffusion interactive « always-on ».

IPv6 est la dernière version du protocole IP et est désormais incluse dans la prise en charge IP de Windows Server 2003. IPv6 est également appelé « protocole IP nouvelle génération (IPng) ».

IPv6 a été conçu comme un ensemble d'améliorations évolutif de la précédente version du protocole IP, IPv4. Les hôtes réseau et les n�uds intermédiaires équipés du protocole IPv4 ou IPv6 peuvent gérer les paquets mis en forme pour leur version du protocole IP. Les utilisateurs et les fournisseurs de services peuvent passer à IPv6 indépendamment les uns des autres. Aucune coordination n'est exigée.

IPv6 est conçu spécialement pour avoir un impact minimal sur les protocoles des couches supérieure et inférieure en évitant l'ajout aléatoire de nouvelles fonctions.

L'amélioration majeure apportée à IPv6 par rapport à IPv4 réside dans le fait que les adresses IP ont été étendues de 32 bits à 128 bits. Cette extension permet de remédier au manque d'adresses réseau.

IPv6 décrit les règles de trois types d'adressage :

! Unicast (un hôte à un autre hôte) ; ! Anycast (un hôte à l'hôte le plus proche) ; ! Multicast (un hôte à plusieurs hôtes).

Introduction

Qu'est-ce que le protocole IPv6 ?


IPv6 résout le problème majeur lié au manque d'adresses IPv4. En outre, il pallie les problèmes suivants :

! la croissance d'Internet et l'aptitude des routeurs dorsaux Internet à gérer des tables de routage volumineuses ;

! la nécessité de simplifier la configuration ; ! la nécessité d'une sécurité au niveau IP ; ! la nécessité de mieux prendre en charge la remise des données en temps

réel, également appelée « QoS ».

IPv6 intègre les fonctions suivantes :

! Nouveau format d'en-tête ! Espace d'adresse étendu ! Infrastructure d'adressage et de routage efficace et hiérarchique ! Configuration d'adresses avec et sans état ! Sécurité intégrée ! Meilleure prise en charge de QoS ! Nouveau protocole d'interaction des n�uds de voisinage ! Extensibilité

Pour plus d'informations sur l'implémentation du protocole IPv6 par Microsoft, visitez le site http://www.microsoft.com/IPv6 (en anglais).

Problèmes résolus par IPv6

Fonctions du protocole IPv6

Remarque


Leçon : Révision du routage


Dans cette leçon, vous allez réviser les concepts de base relatifs au routage et apprendre à utiliser les composants de routage pour établir la communication de réseau d'interconnexion et la communication aux emplacements distants.


! décrire le processus de routage ; ! identifier les protocoles de routage disponibles ; ! comprendre le fonctionnement du routage dans un environnement réseau.

Introduction



Présentation multimédia : Rôle du routage dans l'infrastructure réseau


Pour visualiser la présentation multimédia Rôle du routage dans l'infrastructure réseau, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur Multimédia, puis sur le titre de la présentation.

Cette présentation porte sur le rôle du routage dans une infrastructure réseau. Vous y apprendrez à effectuer les tâches suivantes :

! décrire le rôle du routage dans l'infrastructure réseau ; ! expliquer la différence entre le routage local et le routage distant ; ! décrire le rôle du service Routage et accès distant de Microsoft dans

l'infrastructure réseau.

Lorsque vous visualisez cette présentation, posez-vous les questions suivantes :

! Quel est le rôle du routage dans l'infrastructure réseau ? ! Que se passe-t-il si l'adresse IP de l'hôte auquel le client essaie

de se connecter ne se trouve pas sur le sous-réseau local ? ! Quelle est la fonction des tables de routage ? ! Comment configurer un serveur exécutant le service Routage et accès

distant ?

Emplacement du fichier

Objectif

Principales questions


Révision de la table de routage


Un routeur contient généralement une entrée de table de routage pour chaque réseau auquel il est connecté. L'entrée identifie l'adresse à laquelle le routeur doit envoyer les paquets adressés à un réseau donné.

Le tableau ci-dessous décrit chaque colonne de la table de routage du protocole IP dans l'illustration.

Nom de colonne Description Destination réseau Entrée utilisée avec le masque réseau pour faire correspondre

l'adresse IP de destination. Peut prendre les valeurs de 0.0.0.0, pour l'itinéraire par défaut, à 255.255.255.255 pour une diffusion limitée.

Remarque : Un ordinateur n'utilise l'itinéraire par défaut que si aucun autre hôte ou réseau ne correspond à l'adresse de destination indiquée dans un datagramme IP.

Masque réseau Entrée appliquée à l'adresse IP de destination lorsqu'elle est mise en correspondance avec la valeur de la destination réseau. Le masque réseau est également appelé « masque de sous-réseau ». Un masque de sous-réseau distingue les ID réseau des ID d'hôte dans une adresse IP.

Passerelle Indique l'adresse IP utilisée par l'hôte local pour transférer les datagrammes IP à d'autres réseaux IP. Une passerelle correspond à l'adresse IP d'une carte réseau locale ou d'un routeur IP sur le segment réseau local.

Interface Indique l'adresse IP de la carte réseau utilisée par l'ordinateur local lors du transfert d'un datagramme IP sur le réseau.

Métrique Indique le coût d'un itinéraire. Si la destination IP possède plusieurs itinéraires, le métrique permet de déterminer l'itinéraire à prendre. L'itinéraire présentant le métrique le plus faible est l'itinéraire recommandé. D'autres itinéraires sont utilisés si celui- ci n'est pas disponible.

Introduction

Examen des entrées de la table de routage


Vous pouvez stocker dans les entrées de la table de routage les types d'itinéraires suivants.

Type d'itinéraire Description Itinéraires réseau directement liés

Itinéraires des sous-réseaux auxquels le n�ud est directement lié. Pour les itinéraires réseau directement liés, le champ Tronçon suivant peut être vide ou peut être renseigné par l'adresse IP de l'interface sur ce sous-réseau.

Itinéraires réseau distants Itinéraires des sous-réseaux disponibles sur différents routeurs et qui ne sont pas directement liés au n�ud. Pour les itinéraires réseau distants, le champ Tronçon suivant est renseigné par l'adresse IP d'un routeur local.

Itinéraires hôtes Itinéraires d'une adresse IP spécifique. Ces itinéraires permettent le routage adresse par adresse. Pour les itinéraires hôtes, les champs ID réseau et Masque réseau sont renseignés respectivement par une adresse IP spécifique et 255.255.255.255.

Itinéraires par défaut Itinéraires utilisés lorsqu'un itinéraire réseau ou hôte plus spécifique est introuvable. La destination de l'itinéraire par défaut est 0.0.0.0, avec le masque réseau 0.0.0.0. Le champ Tronçon suivant de l'itinéraire par défaut est généralement renseigné par la passerelle par défaut du n�ud.

Les métriques peuvent indiquer différentes expressions d'une préférence d'itinéraire. La mesure appliquée au métrique varie selon le protocole de routage. Si celui-ci n'indique pas le mode de définition d'un métrique, l'administrateur chargé de la configuration du routeur choisi ce mode. Un métrique est généralement défini par les critères suivants.

Métrique Définition Nombre de sauts Indique le nombre de routeurs figurant dans l'itinéraire

de la destination. Tout élément sur le sous-réseau local représente un saut et chaque routeur rencontré après est un saut supplémentaire.

Retard Indique le temps nécessaire au paquet pour atteindre l'ID réseau.

Remarque : Le retard indique la vitesse ou la saturation d'un itinéraire. Par exemple : les liaisons réseau local (LAN) présentent un retard faible tandis que les liaisons réseau étendu (WAN) ont un retard élevé.

Débit Indique le volume de données pouvant être transférées par seconde sur l'itinéraire sans causer aucun incident.

Fiabilité Indique la constance de l'itinéraire. Certains types de liaisons sont plus sensibles aux défaillances que d'autres. Par exemple, dans le cas des liaisons réseau étendu (WAN), les lignes allouées sont plus fiables que les lignes d'appels.

Types d'itinéraires stockés dans une table de routage

Métriques


Révision des itinéraires statiques et dynamiques


La table de routage doit être mise à jour après toute modification de l'itinéraire de routage. Pour cela, deux méthodes sont possibles : vous pouvez utiliser les itinéraires statiques ou les itinéraires dynamiques. Les itinéraires statiques sont définis et mis à jour manuellement. Les itinéraires dynamiques sont configurés automatiquement à l'aide des protocoles de routage. Les routeurs utilisent des protocoles de routage pour échanger des informations entre les routeurs et distribuer les informations de connexion et les adresses réseau. Les deux protocoles de routage IP les plus courants sur les réseaux intranet sont RIP (Informations de routage Protocol) et OSPF (Open Shortest Path First).

Un itinéraire statique est un itinéraire configuré manuellement qui indique le chemin de transmission qu'un datagramme doit suivre, selon l'adresse de destination de ce dernier. Il indique le chemin de transmission vers un autre réseau.

Si un itinéraire change, l'administrateur réseau doit mettre à jour manuellement les tables de routage. Les itinéraires statiques fonctionnent bien sur les réseaux d'interconnexion de petite envergure. Toutefois, leur mise à l'échelle pose problème car ils sont administrés manuellement.

Sur les réseaux de plus grande envergure, il n'est pas possible de configurer toutes les tables de routage manuellement en modifiant les itinéraires statiques à chaque changement. Ainsi, vous pouvez utiliser des protocoles de routage pour modifier automatiquement la table de routage après toute modification réseau. Ces protocoles fournissent les itinéraires dynamiques.

Un protocole de routage crée de façon dynamique des tables de routage en annonçant les informations de routage aux autres routeurs. Les routeurs reçoivent ces annonces et les utilisent pour créer les tables de routage appropriées. Ils annoncent alors la création des tables de routage de tous les routeurs sur votre réseau. L'ensemble de ce processus évite que la gestion des tables de routage devienne une tâche administrative fastidieuse.

Introduction

Itinéraires statiques

Itinéraires dynamiques

Protocoles de routage


Le protocole RIP est un protocole de routage à vecteur de distance conçu pour l'échange des informations de routage sur un réseau d'interconnexion de taille petite ou moyenne. Les protocoles de routage à vecteur de distance distribuent les informations de routage au format d'un ID réseau et de sa « distance », ou nombre de sauts. La distance maximale du protocole RIP étant de 15 sauts, les emplacements distants de 16 sauts ou plus sont considérés comme étant non atteignables.

Comparé à d'autres protocoles, le protocole RIP est plus facile à configurer et à déployer. Toutefois, à mesure que les réseaux s'étendent, les annonces périodiques effectuées par chaque routeur RIP peuvent engendrer un trafic excessif sur le réseau. Le protocole RIP est généralement utilisé sur les réseaux comptant jusqu'à 50 serveurs.

RIP est également le nom d'un protocole de routage similaire mais distinct destiné aux réseaux IPX.

Le protocole OSPF est un protocole d'état de liaison basé sur l'algorithme SPF (Shortest Path First) qui calcule l'itinéraire le plus court entre un n�ud source et les autres n�uds d'un réseau. Les protocoles d'état de liaison distribuent les informations de routage au format d'annonces d'état de liaison (LSA, Link-State Advertisements). Les annonces LSA comprennent les réseaux connectés et leur coût. Le coût de chaque interface de routeur est un nombre sans unité assigné par l'administrateur réseau. Il peut comprendre des facteurs de retard, de bande passante et de coûts monétaires.

Les routeurs OSPF gèrent une « carte » du réseau qui est mise à jour après toute modification de la topologie du réseau. Cette carte est appelée « base de données d'état des liaisons ». Les routeurs OSPF gèrent une base de données d'état des liaisons et une table de routage.

Le protocole OSPF a été conçu pour résoudre l'incapacité du protocole RIP de servir des réseaux d'interconnexion étendus et hétérogènes. Comparé à d'autres protocoles, il présente l'avantage de fonctionner correctement sur les réseaux étendus car il calcule le meilleur itinéraire à utiliser et implique peu de messages d'état. Contrairement au protocole RIP, OSPF n'annonce pas tous les itinéraires connus aux autres routeurs, mais uniquement les modifications apportées à ses itinéraires. Son inconvénient réside dans sa complexité ; il est difficile à configurer et son administration est plus fastidieuse que celle du protocole RIP.

Pour plus d'informations sur les protocoles RIP, RIP version 2 et OSPF version 2, consultez les RFC 1058, « Routing Information Protocol » (Protocole d'information de routage), 2328, « OSPF Version 2 », et 2453, « RIP Version 2 », parmi les lectures complémentaires proposées sur le CD-ROM du stagiaire.

RIP

Remarque

OSPF

Remarque


Leçon : Fonctionnement de DHCP dans un environnement d'entreprise


Dans cette leçon, vous allez réviser l'utilisation du protocole DHCP sur la base d'un exemple de réseau simple. Cette leçon décrira en particulier la manière dont chaque segment obtient les adresses et l'importance de la tolérance de pannes.


! expliquer l'impact de la configuration de routage sur la configuration DHCP ;

! expliquer la nécessité de définir une tolérance de pannes dans la configuration de l'étendue DHCP ;

! identifier les fonctions d'étendue et d'étendue globale dans un environnement réseau ;

! déterminer la nécessité d'utiliser le protocole DHCP dans un environnement réseau.

Introduction



Processus de génération du bail DHCP


La configuration automatique de l'adresse IP d'un client s'effectue au moyen de la génération du bail DHCP en quatre phases.

Un serveur et un client DHCP communiquent en vue de générer un bail au moyen d'une série de messages DHCP utilisant le protocole UDP. Les messages DHCP sont illustrés ci-dessous tels qu'ils sont définis par le protocole DHCP :

! Paquet DHCPDISCOVER (Découverte DHCP) Le paquet DHCPDISCOVER comprend le nom et l'adresse MAC (Media Access Control) du poste de travail et éventuellement la dernière adresse TCP/IP obtenu par le client auprès du serveur.

! Paquet DHCPOFFER (Offre DHCP) Le paquet DHCPOFFER comprend une adresse TCP/IP proposée pour le poste de travail, ainsi que l'adresse MAC de ce dernier, les informations relatives au masque de sous-réseau, la durée de bail et l'adresse TCP/IP du serveur DHCP à l'origine de la proposition.

! Paquet DHCPREQUEST (Demande DHCP) Le paquet DHCPREQUEST accepte l'adresse TCP/IP proposée par le serveur qui a émis le paquet DHCPOFFER.

! Paquet DHCPACK (Accusé de réception DHCP) Le paquet DHCPACK comprend le bail du client et toute autre information demandée par le client.

! Paquet DHCPDECLINE (Refus DHCP) Le paquet DHCPDECLINE informe le client que l'adresse est déjà utilisée sur le segment local.

Introduction

Messages DHCP


! Paquet DHCPNAK (Accusé de réception négatif DHCP) Le paquet DHCPNAK force le client à réinitialiser TCP/IP et obtenir une nouvelle adresse TCP/IP et un nouveau bail.

! Paquet DHCPRELEASE (Libération de l�adresse IP) Le paquet DHCPRELEASE comprend l'ancienne adresse IP indiquée dans le champ Adresse IP du client et l'adresse MAC du client dans le champ Adresse matérielle du client.


Exécution d'un serveur DHCP sur les segments distants


Le protocole DHCP vous permet de gérer la configuration réseau des hôtes depuis un serveur de configuration central. Vous pouvez l'utiliser pour configurer différents types d'hôtes sur votre réseau, notamment les postes de travail standard, les terminaux X, les ordinateurs portables et ceux utilisant des connexions temporaires à Internet via des fournisseurs de services Internet. Ce protocole évite aux utilisateurs d'ordinateurs d'avoir à configurer leurs systèmes manuellement.

Les protocoles DHCP et Bootstrap (BOOTP) sont très similaires. En fait, le protocole DHCP est une extension de BOOTP. Par le passé, BOOTP servait à assigner une adresse IP et fournir une image d'amorçage aux postes de travail sans disque dur. Du fait des similitudes entre les protocoles DHCP et BOOTP, les serveurs DHCP peuvent tirer parti des agents de relais BOOTP du routeur réseau conformes à la RFC 1542, « Clarifications and Extensions for the Bootstrap Protocol » (Clarifications et extensions du protocole Bootstrap), qui permettent aux serveurs BOOTP de servir les clients BOOTP sur plusieurs segments réseau distants. Pour plus d'informations, consultez la RFC 1542 disponible sur le CD-ROM du stagiaire.

Étant donné que plusieurs domaines de diffusion sont créés dans un réseau routé, il est possible que vous souhaitiez placer un serveur DHCP et des clients DHCP dans différents domaines de diffusion. En règle générale, un routeur ne transfère pas le trafic de diffusion des clients DHCP au serveur DHCP. Ainsi, Microsoft Windows Server 2003 intègre un Agent de relais DHCP conforme à la RFC 1542 afin de transférer les demandes des clients à un serveur DHCP. Vous pouvez placer cet agent sur n'importe quel sous-réseau du réseau routé.

Un agent de relais est un hôte ou un routeur qui accepte (et dans certains cas, modifie) des messages des clients BOOTP et DHCP, puis transmet les messages modifiés à d'autres segments réseau.

Introduction

Les protocoles DHCP et BOOTP

Service du protocole DHCP sur les segments distants

Agents de relais


Vous pouvez configurer l'agent de relais DHCP pour retarder le transfert des demandes à un serveur DHCP de sorte que les serveurs DHCP locaux puissent y répondre. Configurez le report du transfert si vous utilisez plusieurs agents de relais DHCP ou si vous les placez sur un sous-réseau comptant un serveur DHCP.

Il est recommandé, dans le cas d'un réseau routé, d'utiliser des agents de relais DHCP sur chaque sous-réseau dans les conditions suivantes :

! Aucun serveur DHCP n'a une interface sur le sous-réseau. ! Des ordinateurs sont disponibles pour servir d'agents de relais DHCP. ! Aucun routeur ne prend en charge le transfert DHCP/BOOTP.

Comparée à d'autres options, la configuration d'un agent de relais DHCP sur chaque sous-réseau présente les avantages suivants :

! Elle est généralement plus simple. ! Elle limite les diffusions sur le sous-réseau d'origine. ! Elle peut également comprendre une tolérance de pannes.

En outre, lorsque vous configurez des agents de relais DHCP sur plusieurs sous-réseaux, un serveur DHCP unique peut fournir des adresses IP à plusieurs sous-réseaux de façon plus efficace que lorsque vous utilisez des routeurs conformes à la RFC 1542.

Le serveur DHCP et l'agent de relais DHCP utilisent les mêmes ports UDP. Notez qu'aucun de ces services ne fonctionnera correctement si vous les installez tous deux sur le même ordinateur. w

Un agent de relais transmet les messages DHCP/BOOTP diffusés sur l'une de ses interfaces physiques connectées (comme une carte réseau) à d'autres sous-réseaux distants auxquels il est connecté par d'autres interfaces physiques, comme décrit ci-dessous :

1. Le client DHCP C diffuse le message DISCOVER DHCP/BOOTP (DHCPDISCOVER) sur le sous-réseau 2, en tant que datagramme UDP utilisant le port de serveur UDP connu 67 (numéro de port réservé et partagé pour la communication des serveurs BOOTP et DHCP).

2. L'agent de relais, en l'occurrence un routeur de relais DHCP/BOOTP, examine le champ d'adresse IP de la passerelle dans l'en-tête du message DHCP/BOOTP. Si ce champ comprend l'adresse IP 0.0.0.0, l'agent le renseigne avec l'adresse IP de l'agent de relais ou du routeur de l'interface à partir de laquelle a été envoyé le message, puis transfère le message au sous-réseau distant 1 sur lequel réside le serveur DHCP.

3. Lorsque le serveur DHCP 1 sur le sous-réseau 1 distant reçoit le message, il examine le champ d'adresse IP de la passerelle pour une étendue DHCP que le serveur DHCP peut utiliser pour fournir un bail d'adresse IP.

Quand utiliser un agent de relais DHCP

Pourquoi utiliser un agent de relais DHCP ?

Attention

Génération de bail sur un réseau routé


4. Si le serveur DHCP 1 a plusieurs étendues DHCP, l'adresse indiquée dans le champ d'adresse IP de la passerelle identifie l'étendue DHCP à partir de laquelle est proposé un bail d'adresse IP. Par exemple, si le champ d'adresse IP de la passerelle comprend l'adresse IP 10.0.0.2, le serveur DHCP recherche dans l'ensemble des étendues d'adresses disponibles une plage d'étendues d'adresses correspondant au réseau IP de classe A comprenant l'adresse de la passerelle en tant qu'hôte. Dans ce cas, le serveur DHCP recherche une étendue d'adresses comprise entre 10.0.0.1 et 10.0.0.254. Si le serveur DHCP trouve une étendue correspondante, il y sélectionne une adresse disponible afin de proposer un bail d'adresse IP au client.

5. Lorsque le serveur DHCP 1 reçoit le message DHCPDISCOVER, il traite et envoie directement une proposition de bail d'adresse IP (DHCPOFFER) à l'agent de relais identifié dans le champ d'adresse IP de la passerelle.

6. Le routeur transfère la proposition de bail d'adresse IP (DHCPOFFER) au client DHCP.

7. L'adresse IP du client étant toujours inconnue, celle-ci doit être diffusée sur le sous-réseau local. De même, un message DHCPREQUEST et un message DHCPACK sont transférés respectivement du client au serveur et du serveur au client, conformément à la RFC 1542.


Fonctionnement des étendues et des étendues globales dans un environnement


Étant donné que chaque serveur DHCP exige au moins une étendue, vous devez créer la/les étendue(s) à utiliser. Vous pouvez créer plusieurs étendues ou des étendues distinctes pour chaque sous-réseau pour permettre aux clients DHCP d'obtenir une adresse IP valide auprès de n'importe quel serveur DHCP.

Une étendue est un groupe administratif d'adresses IP des ordinateurs sur un sous-réseau utilisant le service DHCP. L'administrateur crée dans un premier temps une étendue pour chaque sous-réseau physique, puis l'utilise pour définir les paramètres utilisés par les clients.

Une étendue DHCP consiste en un pool d'adresses IP sur un sous-réseau donné, par exemple 192.168.0.1 à 192.168.0.254, qu'un serveur DHCP peut louer aux clients.

Une étendue possède les propriétés suivantes :

! une plage d'adresses IP dans laquelle inclure ou de laquelle exclure les adresses utilisées pour les propositions de bail de service DHCP ;

! un masque de sous-réseau déterminant le sous-réseau d'une adresse IP données ;

! un nom attribué à l'étendue à sa création ; ! la durée du bail assignée aux clients DHCP qui reçoivent les adresses IP

allouées de façon dynamique ; ! toute option d'étendue DHCP configurée pour être assignée aux clients

DHCP, comme le serveur DNS et l'adresse IP du routeur et du serveur WINS ;

! les réservations garantissant qu'un client DHCP reçoit toujours la même adresse IP.

Introduction

Qu'est-ce qu'une étendue ?

Propriétés d'une étendue


Chaque sous-réseau ne peut avoir qu'une seule étendue DHCP associée à une plage d'adresses IP continues unique. Pour utiliser plusieurs plages d'adresses dans une étendue ou un sous-réseau unique pour le service DHCP, vous devez commencer par définir l'étendue, puis toute plage d'exclusion nécessaire. Vous utilisez toute la plage d'adresses IP consécutives composant le sous-réseau IP local pour lequel vous activez le service DHCP. En outre, il est important de définir plusieurs étendues pour chaque sous-réseau distribué entre les serveurs DHCP sur le réseau d'interconnexion. Les clients peuvent ainsi louer des adresses IP en cas de panne du serveur.

Il est recommandé de définir des plages d'exclusion pour toute adresse IP comprise dans l'étendue que le serveur DHCP ne doit pas proposer ou utiliser pour l'affectation DHCP.

Vous spécifiez ainsi que ces adresses ne seront jamais proposées aux clients DHCP lorsqu'ils demanderont une configuration louée auprès du serveur. Les adresses IP exclues peuvent être actives sur votre réseau, uniquement si elles ont été configurées manuellement sur les hôtes n'utilisant pas DHCP pour obtenir une adresse. Par exemple, vous pouvez exclure les 10 premières adresses comprises dans l'étendue illustrée précédemment en créant une exclusion des adresses 192.168.0.1 à 192.168.0.10.

Une étendue globale est un groupe composé au minimum de deux étendues combinées de sorte que vous puissiez les gérer en tant qu'unité simple. Lorsque vous configurez une étendue globale sur un serveur, ce dernier peut générer des adresses et l'étendue correspondante aux clients résidant sur le même sous-réseau physique.

Les étendues globales peuvent être utiles dans les circonstances suivantes :

! lorsque vous devez ajouter d'autres hôtes que ceux initialement prévus sur un sous-réseau ;

! lorsque vous remplacez une plage d'adresses existante par une nouvelle plage ;

! lorsque vous devez prendre en charge des clients DHCP distants situés à l'extrémité des agents de relais DHCP et BOOTP (là où le réseau à l'extrémité de l'agent de relais utilise des multi-réseaux) ;

! lorsque les adresses IP appartenant à votre entreprise ne sont pas comprises dans une plage contiguë ;

! lorsque vous devez regrouper et activer des plages d'étendues d'adresses IP individuelles utilisées dans vos configurations multi-réseaux.

Dans chaque cas, configurez une étendue globale pour éviter d'avoir à supprimer et recréer les étendues existantes.

Définition de l'étendue

Configuration des plages d'exclusion

Qu'est-ce qu'une étendue globale ?

Quand utiliser des étendues globales


Les étendues globales permettent de résoudre les problèmes liés à certains types de déploiements DHCP pour multi-réseaux, notamment :

! Le pool d'adresses disponibles d'une étendue active est quasiment épuisé et d'autres ordinateurs doivent être ajoutés au réseau. L'étendue initiale comprend l'intégralité de la plage d'adresses disponibles d'un réseau IP unique appartenant à la classe d'adressage spécifiée. Vous devez utiliser une autre plage d'adresses réseau IP afin d'étendre l'espace d'adresse du même segment réseau physique.

! Les clients doivent être progressivement migrés vers une nouvelle étendue (par exemple, pour renuméroter le réseau IP actuel d'une plage d'adresses utilisée dans une étendue active existante vers une nouvelle étendue contenant une plage d'adresses réseau IP différente).

Quels problèmes les étendues globales résolvent-elles ?


Tolérance de pannes dans l'implémentation DHCP


L'utilisation d'une solution de clustering Windows permet d'augmenter la disponibilité d'un serveur DHCP. Ce dernier est un service à reconnaissance de clusters que vous pouvez installer sur un cluster afin d'assurer la récupération immédiate en cas de panne matérielle ou de service. Vous pouvez également renforcer la tolérance de pannes en combinant le clustering du serveur DHCP avec une configuration de basculement à distance, par exemple en utilisant une configuration de division d'étendue.

Un cluster de serveurs est un groupe de systèmes informatiques indépendants, appelés des « n�uds », exécutés sur Windows Server 2003 Enterprise Edition ou Windows Server 2003 Datacenter Edition. Les serveurs interagissent les uns avec les autres comme un système unique afin de garantir la disponibilité des applications et des ressources stratégiques aux clients. Les n�uds d'un cluster communiquent en permanence grâce à l'échange de messages périodiques, appelés pulsations (heartbeats). Si l'un des n�uds devient indisponible consécutivement à une panne ou une tâche de maintenance, un autre n�ud prend immédiatement le relais pour fournir le service. Ce processus est appelé basculement. Un cluster Windows est administré à l'aide de l'outil Administrateur de cluster.

Si vous devez simplement gérer à distance les clusters de serveurs DHCP déployés sur des ordinateurs distants exécutant Windows Server 2003 Enterprise Edition, vous pouvez utiliser l'outil Administrateur de cluster à cette fin.

Introduction

Qu'est-ce qu'un cluster de serveurs?

Remarque


La configuration de DHCP avec le clustering Windows vous permet d'effectuer les tâches suivantes :

! assurer le basculement et le redémarrage automatiques en cas de panne ; ! rétablir plus rapidement les serveurs en panne car une base de données

DHCP unique est utilisée ; ! éliminer la nécessité d'utiliser des étendues distribuées, ce qui réduit les

surcharges d'administration. Il est important de satisfaire aux exigences suivantes pour l'exécution correcte du serveur DHCP :

! Lorsqu'il est utilisé dans un cluster de serveurs, le serveur DHCP exige une ressource disque, une ressource adresse IP et une ressource nom.

! Dans ce type de configuration, une adresse IP virtuelle est définie pour la ressource adresse IP à l'aide de l'outil Administrateur de cluster. Il doit s'agir d'une adresse IP statique, qui n'est pas obtenue auprès d'un autre serveur DHCP.

! Le serveur DHCP se lie à cette adresse IP virtuelle, qui doit ensuite servir à autoriser le service DHCP dans le service d'annuaire Active Directory® afin de pouvoir fonctionner correctement et servir les clients sur le réseau.

! Une fois que l'adresse IP virtuelle a été définie à l'aide de la configuration du cluster, vous devez définir l'adresse IP de chaque carte réseau installée sur chaque n�ud (c'est-à-dire, chaque serveur du cluster). Étant donné que le service DHCP ne se lie pas aux adresses IP des cartes, vous pouvez définir ces adresses via DHCP ou de façon statique. Si vous optez pour la configuration statique, les adresses IP de chaque paire liée de cartes réseau (lien n�ud à n�ud) doivent provenir du même sous-réseau.

! Les adresses configurées de façon statique à l'aide des propriétés TCP/IP définies dans le dossier Connexions réseau peuvent être visualisées dans les propriétés des liaisons de serveur sur la console DHCP. Toutefois, pour un cluster de serveurs DHCP, les informations relatives aux liaisons qui s'affichent dans ces vues ne correspondent pas à l'adresse IP virtuelle du cluster de serveurs. Par conséquent, ces paramètres ne s'appliquent pas.

! Lorsqu'une étendue est créée pour un serveur DHCP en cluster, les adresses IP virtuelles utilisées dans le contexte du cluster doivent être exclues de façon à ne pas être distribuées aux clients. En outre, il est recommandé de configurer sur le disque partagé le chemin d'accès de la base de données, du fichier journal d'audit et de la sauvegarde de la base de données à l'aide de l'outil Administrateur de cluster.

La base de données Microsoft Jet sur laquelle repose le service DHCP ne reconnaît pas les clusters. Si la base de données DHCP en cluster devient inaccessible au service DHCP, ce dernier renverra des milliers d'erreurs dans le journal des applications ESENT (Extensible Storage Engine) et le service DHCP du cluster sera interrompu.

Pourquoi configurer DHCP avec le clustering Windows ?

Configuration requise d'une ressource DHCP en cluster

Remarque


Une autre méthode d'implémentation de la fonction de basculement DHCP distant consiste à déployer sur le même réseau deux serveurs DHCP partageant une configuration d'étendue distribuée sur la base d'une règle 50/50 ou 80/20.

Plusieurs serveurs dotés d'étendues distribuées assurent la redondance des serveurs DHCP et partagent la charge des clients DHCP. Vous devez distribuer la plage d'adresses entre les serveurs en fonction de l'emplacement réseau de ces derniers.

Si plusieurs serveurs DHCP servent un segment réseau unique et résident tous sur ce segment, ou si tous les sous-réseaux utilisent des agents de relais DHCP, vous pouvez allouer à chaque serveur des proportions égales (50/50) de la plage d'adresses du sous-réseau.

Si un serveur réside sur un segment et les autres serveurs utilisent des agents de relais DHCP, vous pouvez distribuer la plage d'adresses sur la base de 80/20 pour assurer des performances optimales des clients DHCP tout en minimisant le trafic sur les sous-réseaux.

Tolérance de pannes par division des étendues


Options d'interopérabilité DHCP


Dans un environnement d'entreprise, vous pouvez configurer DHCP pour interagir avec le service Routage et accès distant, DNS, WINS et Active Directory. Grâce à son intégration à d'autres services réseau Windows Server 2003, les fonctionnalités du service DHCP sont étendues et la gestion réseau réduite.

L'intégration des services Routage et accès distant et DHCP permet à un serveur d'accès distant d'obtenir les baux d'adresses IP auprès du serveur DHCP. Ces baux sont ensuite assignés aux clients d'accès distants qui se connectent au serveur. Lors de l'initialisation, le serveur d'accès distant contacte le serveur DHCP et demande une adresse IP à utiliser en interne et 10 adresses IP à communiquer aux clients. À mesure qu'augmente le nombre de clients d'accès distant connectés simultanément, le serveur demande d'autres adresses IP au serveur DHCP par bloc de 10.

Si le serveur d'accès distant est configuré pour utiliser l'agent de relais DHCP, toutes les informations de configuration DHCP sont communiquées aux clients d'accès distant. Si l'agent de relais DHCP n'est pas configuré sur le serveur d'accès distant, les clients d'accès distant ne reçoivent que l'adresse IP et le masque de sous-réseau fournis par le serveur DHCP.

Il n'est pas possible de mettre à jour manuellement dans DNS le nom des clients dont les adresses IP sont allouées de façon dynamique. Lorsque vous installez le service DHCP de Windows Server 2003, vous pouvez configurer le serveur DHCP pour effectuer des mises à jour au nom de ses clients DHCP sur n'importe quel serveur DNS prenant en charge les mises à jour dynamiques.

Les serveurs DHCP configurés pour effectuer des mises à jour DNS dynamiques effectuent l'une des opérations suivantes :

! Le serveur DHCP met à jour les enregistrements A DNS (hôte) et PTR (pointeur) si les clients le lui demandent à l'aide de l'option 81.

! Le serveur DHCP met à jour les enregistrements A DNS et PTR que le client le demande ou non.

Introduction

Interopérabilité du service Routage et de l'accès distant

Interopérabilité DNS

Description de l'interaction des mises à jour DHCP/DNS


En outre, le serveur DHCP peut mettre à jour de façon dynamique les enregistrements A DNS et PTR au nom des clients hérités qui ne sont pas en mesure d'envoyer l'option 81 au serveur. Vous pouvez également configurer le serveur DHCP pour ignorer les enregistrements du client A et PTR à la suppression du bail du client.

Lorsque vous planifiez l'interopérabilité de DHCP avec DNS, vous devez prendre en considération la configuration du serveur DHCP. Vous souhaiterez inclure plusieurs paramètres dans votre planification. Il est notamment recommandé de :

! conserver les paramètres par défaut des enregistrements A DNS et PTR mis à jour de façon dynamique uniquement si les clients DHCP le demandent ; Les clients DHCP exécutant Microsoft Windows 2000, Windows XP ou Windows Server 2003 enregistreront leurs propres enregistrements A et demanderont au serveur DHCP d'enregistrer les enregistrements PTR.

! configurer le serveur DHCP pour mettre à jour de façon dynamique les enregistrements A DNS et PTR au nom des clients hérités ;

! configurer le serveur DHCP pour ignorer les enregistrements du client A et PTR à la suppression du bail du client (ce paramètre est défini par défaut).

Pour faciliter l'interaction des services DHCP et WINS, vous devez configurer les paramètres suivants :

! Vous pouvez configurer le type d'option 44 pour identifier les serveurs WINS que les clients DHCP utiliseront.

! Vous pouvez configurer le type d'option 46 pour définir un type de n�ud WINS/NetBIOS sur TCP/IP (NetBT). Une configuration de n�ud h garantira que les clients essaieront, dans un premier temps, d'utiliser un serveur WINS pour résoudre les noms NetBIOS.

! Vous pouvez configurer la durée des baux DHCP comparables aux intervalles de renouvellement WINS. Si vous étendez ou écourtez la durée du bail DHCP, modifiez en conséquence l'intervalle de renouvellement WINS afin de réduire le nombre d'enregistrements WINS superflus.

Les serveurs DHCP non autorisés ont le pouvoir de perturber le fonctionnement du réseau en communiquant aux clients des adresses IP ou des informations sur les options erronées. L'intégration du service DHCP à Active Directory permet d'autoriser les serveurs DHCP dans Active Directory. Les serveurs DHCP Windows Server 2003 non autorisés ne démarreront pas, ce qui élimine les risques de suspension des baux d'adresse IP sur un réseau.

L'autorisation des serveurs DHCP dans Active Directory ne s'applique qu'aux serveurs DHCP Windows 2000 Server et version supérieure. Un serveur DHCP au minimum doit être installé sur un serveur ou un contrôleur de domaine Active Directory pour permettre le fonctionnement des autorisations.

Options de configuration du serveur DHCP

WINS

Intégration de Microsoft Active Directory

Remarque


Application pratique : Identification des problèmes liés à l'intégration


Dans cette application pratique, vous allez identifier les problèmes liés à l'intégration DHCP.

Déterminer une configuration réseau satisfaisant aux exigences du scénario suivant.

Introduction

Objectif


1. Lisez le scénario. 2. Choisissez un binôme. 3. Développez un plan satisfaisant aux exigences du scénario. 4. Pour obtenir de l'aide, consultez :

• l'aide de Windows Server 2003 ; • le CD-ROM du stagiaire (fichiers de réponse) ; • les étapes suivantes de l'application pratique.

5. Préparez-vous à exposer les difficultés qu'implique cette tâche dans une discussion après l'application pratique.

Vous êtes ingénieur système chez Contoso, Ltd. Vous avez été chargé de planifier l'implémentation d'une solution DHCP sur le réseau d'une filiale. Cette filiale compte 40 ordinateurs exécutant Windows 98, Windows XP Professionnel, Windows 2000 Professionnel ou Microsoft Windows NT 4.0. Le routeur existant n'est pas conforme à la RFC 1542.

1. Si vous décidez d'exécuter le service DHCP sur le serveur de la filiale, que devez-vous ajouter sur ce réseau pour que la solution DHCP soit fonctionnelle ? Un agent de relais DHCP sur le commutateur. ____________________________________________________________

____________________________________________________________

2. Vous décidez d'exécuter le service DHCP sur le serveur de la filiale. Vous prenez 64 adresses IP dans l'étendue du serveur d'entreprise et les allouez à une étendue de la filiale. Qu'est-ce qui empêchera le serveur DHCP de la filiale de communiquer ces adresses aux clients DHCP résidant sur le réseau de l'entreprise ? Les agents de relais résidant sur le réseau de l'entreprise n'incluront pas le serveur DHCP de la filiale parmi les destinataires auxquels transférer les messages DHCP. ____________________________________________________________

____________________________________________________________

3. Vous devez planifier le service DNS. Le serveur DNS réside sur le réseau de l'entreprise. Quelles options devez-vous configurer pour l'étendue DHCP afin de vous assurer que tous les enregistrements A et PTR soient mis à jour lorsqu'une adresse DHCP est générée et le bail supprimé ? Vous devez accepter les paramètres définis par défaut dans l'onglet Propriétés de l'étendue DNS qui mettent à jour de façon dynamique les enregistrements A DNS et PTR à la demande du client et ignorent les enregistrements A et PTR lorsque le bail est libéré. Pour les clients Windows 98 et Windows NT 4.0, vous devez cocher l'option Mettre à jour dynamiquement les enregistrements PTR et A DNS pour des clients DHCP qui ne nécessitent aucune mise à jour. ____________________________________________________________

____________________________________________________________

Instructions (facultatives)

Scénario

Application pratique


4. Étant donné que les clients hérités sont installés au niveau de la filiale, quelles autres options d'étendue devez-vous configurer ? Le type d'option d'étendue 44, afin d'identifier les serveurs WINS pour les clients DHCP, et le type d'option 46, pour identifier le type de n�ud WINS/NBT, selon que le client commence par utiliser WINS ou par rechercher la ressource. ____________________________________________________________

____________________________________________________________


Leçon : Révision du service WINS


Dans cette leçon, vous allez réviser les concepts fondamentaux relatifs au service WINS afin de mieux cerner la planification et l'optimisation de ce service.


! comprendre les concepts fondamentaux du service WINS ; ! décrire les types de n�uds NetBIOS ; ! décrire le traitement des rafales ; ! décrire les partenaires de réplication ; ! décrire les enregistrements WINS ; ! décrire la base de données WINS.

Introduction



Présentation multimédia : Comment les clients WINS résolvent les noms


Pour visualiser la présentation Comment les clients WINS résolvent les noms, ouvrez la page Web sur le CD-ROM du stagiaire, puis cliquez sur Multimédia et sur le titre de la présentation.

Cette présentation vise à décrire la manière dont les clients WINS résolvent un nom NetBIOS en une adresse IP. Vous y apprendrez à effectuer les tâches suivantes :

! expliquer la fonctionnalité d'un serveur WINS sur un réseau routé ; ! identifier le n�ud par défaut d'un client WINS ; ! décrire l'utilisation d'un serveur WINS pour résoudre un nom NetBIOS

en une adresse IP.

Lorsque vous visualisez cette présentation, posez-vous les questions suivantes :

! Comment les serveurs WINS simplifient-ils la résolution des noms sur un réseau routé ?

! Quel est le type de n�ud par défaut d'un client WINS ? ! Comment un client WINS résout-il les noms NetBIOS en une adresse IP ?

Emplacement du fichier

Objectif

Principales questions


Types de n�uds NetBIOS


Pour pouvoir exécuter des applications NetBIOS sur des réseaux TCP/IP, ces applications doivent être en mesure de résoudre les noms NetBIOS en adresses IP. Vous pouvez utiliser différentes techniques pour résoudre les noms NetBIOS, selon le type de n�ud pour lequel est configuré le client NetBIOS.

Les quatre types de n�uds NetBIOS sont le n�ud-b, le n�ud-p, le n�ud-m et le n�ud-h.

! Le n�ud-b (broadcast ou diffusion) utilise les demandes de noms NetBIOS diffusés pour enregistrer et résoudre les noms. Il s'agit du n�ud par défaut si aucun serveur WINS n'est configuré.

! Le n�ud-p (point à point) utilise un serveur de nom NetBIOS (NBNS) comme serveur WINS pour résoudre les noms NetBIOS. Ce type de n�ud n'utilise pas de diffusions mais interroge directement le serveur de nom.

! Le n�ud-m (mixte) est une combinaison de types de n�uds-b et de n�uds-p. Par défaut, un n�ud-m fonctionne comme un n�ud-b. Si un n�ud-m n'est pas en mesure de résoudre un nom par diffusion, il interroge un serveur NBNS en utilisant le type de n�ud-p.

! Le n�ud-h (hybride) est une combinaison de types de n�uds-p et de n�uds-b. Par défaut, un n�ud-h fonctionne comme un n�ud-p. Si un n�ud-h n'est pas en mesure de résoudre un nom par le biais d'un serveur NBNS, il utilise alors une diffusion.

Introduction

Types de n�uds NetBIOS


Pour plus d'informations sur les types de n�uds, consultez la RFC 1001, « Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Concepts and Methods » (Protocole standard d'un service NetBIOS sur un transport TCP/UDP : Concepts et méthodes) et la RFC 1002, « Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Detailed Specifications » (Protocole standard d'un service NetBIOS sur un transport TCP/UDP : Spécifications détaillées), disponibles sur le CD-ROM du stagiaire.

Le type de n�ud-h est le type de n�ud par défaut utilisé par les clients réseau Microsoft chaque fois que vous sélectionnez un serveur WINS dans la configuration des clients.

Remarque

Mode WINS par défaut


Proxys WINS


La RFC 1001 recommande de ne pas utiliser le type de n�ud-b pour résoudre les noms sur un réseau routé. Toutefois, dans la pratique, les n�uds-b sont parfois utiles sur les réseaux routés et, parfois, ne peuvent pas être supprimés ou mis à jour. C'est pourquoi Microsoft a introduit les proxys WINS.

Un proxy WINS est un client WINS configuré pour agir au nom d'autres ordinateurs hôtes qui ne peuvent pas directement utiliser WINS. Un proxy WINS est un ordinateur WINS qui aide à la résolution des demandes de noms des ordinateurs non dotés du service WINS sur les réseaux TCP/IP routés.

Par défaut, la plupart des ordinateurs ne peuvent pas utiliser les diffusions WINS pour résoudre les demandes de noms NetBIOS et enregistrer leurs noms NetBIOS sur le réseau. Vous pouvez configurer un proxy WINS pour écouter au nom de ces ordinateurs et rechercher sur WINS les noms non résolus par la diffusion.

Les proxys WINS ne sont utiles ou nécessaires que sur les réseaux comprenant des clients NetBIOS de diffusion uniquement (ou n�ud-b). Les clients WINS sont courants sur la plupart des réseaux et les proxys WINS ne sont généralement pas requis.

Les proxys WINS sont des ordinateurs WINS qui écoutent les fonctions du service de nom NetBIOS du n�ud-b (enregistrement, libération et recherche de noms). Ils peuvent renvoyer les noms distants et non utilisés sur le réseau local. Ils communiquent directement avec un serveur WINS afin d'extraire les informations nécessaires pour répondre à ces diffusions locales.

Introduction

Qu'est-ce qu'un proxy WINS?


Le proxy WINS compare le masque de sous-réseau portant n'importe quel nom résolu à son propre masque de sous-réseau. Si les deux masques sont identiques, il ne répond pas à la demande de nom.

Les proxys WINS sont utilisés comme décrit ci-dessous :

! Lorsqu'un client de n�ud-b enregistre son nom, le proxy recherche ce dernier dans la base de données du serveur WINS. Si ce nom existe dans la base de données WINS, le proxy peut renvoyer une réponse d'enregistrement négative au client de n�ud-b essayant d'enregistrer son nom. Si le proxy WINS ne trouve pas le nom dans la table de noms distante, il interroge le serveur WINS; puis entre le nom dans la base de données du proxy WINS sous l'état Résolution en cours. Si le proxy WINS reçoit une demande relative au même nom avant de recevoir la réponse du serveur WINS, il ne réinterroge pas le serveur WINS. Lorsque le proxy WINS reçoit la réponse du serveur WINS, il met à jour l'entrée dans la table distante avec l'adresse correcte et change l'état à Résolu.

! Lorsqu'un client de n�ud-b libère son nom, le proxy supprime ce nom du cache des noms distants.

! Lorsqu'un client de n�ud-b envoie une demande de nom, le proxy essaie de résoudre ce dernier à partir des informations contenues dans son cache local des noms distants ou à partir de celles obtenues auprès du serveur WINS.

Le comportement d'un client de n�ud-b ne change pas lorsqu'un proxy WINS est ajouté sur le sous-réseau local. Si la première demande de résolution de nom expire, le client effectue une deuxième tentative. Si la mémoire est placée dans le cache du proxy WINS à l'interception d'une nouvelle requête, le proxy WINS répond à l'hôte.

Utilisation des proxys WINS

Remarque


Traitement des rafales


À certaines heures de la journée, les serveurs WINS peuvent être saturés par la charge considérable des enregistrements ; c'est le cas, par exemple, lorsque des utilisateurs démarrent leur ordinateur en début de matinée ou après une panne réseau. Les serveurs WINS peuvent désormais gérer ces charges élevées du serveur, appelées rafales.

Les rafales surviennent lorsque de nombreux clients WINS essaient simultanément d'enregistrer leur nom local sur WINS. Par exemple, lorsque le courant est rétabli après une panne, plusieurs utilisateurs redémarrent simultanément leur ordinateur et enregistrent leur nom sur le réseau, causant ainsi un trafic WINS considérable. Grâce à la prise en charge des rafales, un serveur WINS peut désormais répondre positivement aux demandes de ces clients, avant même de traiter et d'entrer physiquement ces mises à jour dans la base de données du serveur WINS.

Le mode Rafale utilise une taille de file d'attente des rafales comme valeur de seuil. Cette valeur détermine le nombre de demandes d'enregistrement et d'actualisation de noms envoyées par les clients WINS qui sont normalement traitées avant le lancement du traitement en mode Rafale. La valeur par défaut de mise en file d'attente des rafales est 500. Un serveur WINS lance le traitement des rafales chaque fois que le nombre de demandes d'enregistrement des clients WINS dépasse la taille de la file d'attente des rafales.

Par défaut, lorsque la file d'attente des demandes d'enregistrement excède 500, un serveur WINS commence à répondre positivement aux nouvelles demandes d'enregistrement avec une durée de vie (TTL, Time to Live) plus courte (5 à 50 minutes). La courte durée de bail force ces clients WINS à se réenregistrer une fois que la surcharge de trafic d'enregistrement WINS s'est atténuée.

Introduction

Traitement des rafales

Enregistrement des noms en mode Rafale


Dans le processus de traitement des rafales, le serveur WINS envoie immédiatement une réponse positive aux demandes supplémentaires des clients. Cette réponse comprend diverses valeurs de durée de vie pour les clients, qui permettent de réguler la charge d'enregistrement des clients et de répartir le traitement des demandes au fil du temps. Ceci a pour effet de ralentir la fréquence des actualisations et des tentatives des nouveaux clients WINS et de réguler les rafales du trafic des clients WINS.

Par exemple, si la taille de la file d'attente des rafales est de 50 entrées et que plus de 500 demandes sont actives, le serveur WINS envoie immédiatement aux 100 demandes suivantes d'enregistrement de clients WINS des réponses positives indiquant une durée de vie initiale de 5 minutes. Pour chaque série supplémentaire de 100 demandes de clients, le serveur WINS incrémente la durée de vie de 5 minutes, jusqu'à 50 minutes au maximum. Si le trafic des clients WINS atteint toujours les niveaux de rafales, le serveur WINS répond aux 100 demandes suivantes des clients par la durée de vie initiale de 5 minutes, et répète l'intégralité du processus pour incrémenter cette valeur.

Vous pouvez modifier la taille de la file d'attente des rafales à partir des propriétés du serveur WINS dans la console MMC (Microsoft Management Console) WINS. Le paramètre par défaut, réglé sur 500, correspond à un paramètre Moyen dans l'interface utilisateur. Vous pouvez le modifier en le réglant sur 300 (Faible), 1 000 (Élevé) ou toute valeur personnalisée de votre choix.

Processus de traitement des rafales

Exemple

Modification du traitement des rafales


Enregistrements WINS


Étant donné qu'un client Microsoft WINS peut enregistrer plusieurs noms, chaque nom ou groupe doit avoir un ID unique. Chaque enregistrement WINS est un enregistrement de nom NetBIOS d'un nom ou d'un groupe unique.

Tous les systèmes d'exploitation Microsoft prenant en charge et utilisant des noms NetBIOS permettent aux utilisateurs de spécifier les 15 premiers caractères d'un nom. Les clients Microsoft utilisent le 16ème caractère du nom (00�FF hex) pour indiquer un type de ressource.

Un nom unique NetBIOS représente le nom d'un ordinateur unique. Un seul ordinateur peut enregistrer ce nom. Toute tentative d'enregistrement du même nom par un autre ordinateur entraînera un conflit de nom.

Un nom de groupe NetBIOS peut être enregistré par plusieurs ordinateurs. Ce paramètre est utile car plusieurs clients peuvent enregistrer ce nom.

Pour plus d'informations sur les noms NetBIOS, recherchez la chaîne « Informations de référence sur les noms NetBIOS » dans l'aide de Microsoft Windows Server 2003.

Les enregistrements WINS sont enregistrés par des clients WINS pour indiquer les noms d'ordinateurs et de groupes auxquels ils sont associés. Le 16ème caractère identifie le service auquel est associé le nom.

Les clients et les serveurs NetBIOS utilisent les noms NetBIOS pour identifier le nom et les services associés à un ordinateur donné. Au lieu d'identifier un ordinateur ou un service avec une adresse IP, NetBIOS utilise un nom convivial.

Par exemple, un client NetBIOS qui souhaite se connecter à un serveur de fichier Windows appelé Serveur1 doit demander le nom Serveur1[20h] au serveur WINS.

Introduction

Définition

Noms uniques NetBIOS

Noms de groupes NetBIOS

Remarque

Pourquoi les enregistrements WINS sont-ils importants ?

Utilisation des noms NetBIOS ?

Exemple


Réplication WINS


Si votre réseau utilise plusieurs serveurs WINS, vous pouvez configurer ces derniers pour répliquer des enregistrements de leurs bases de données sur d'autres serveurs. Pour ce faire, vous devez commencer par définir et configurer des partenaires de réplication. Vous pouvez également faire votre choix parmi trois types de partenaires de réplication : partenaires collecteurs, partenaires émetteurs et partenaires collecteurs/émetteurs.

Plusieurs serveurs WINS distribuent le service de nom NetBIOS sur des réseaux locaux (LAN) et étendus (WAN), limitant le trafic des clients WINS à des zones localisées. Pour garantir la cohérence de la résolution des noms sur l'ensemble du réseau, les serveurs WINS doivent répliquer les entrées acquises localement sur les partenaires configurés.

Pour effectuer la réplication, vous devez configurer chaque serveur WINS avec au minimum un partenaire de réplication. Lorsque vous configurez un partenaire de réplication pour un serveur WINS, vous pouvez spécifier le partenaire comme un partenaire collecteur, un partenaire émetteur, ou un partenaire collecteur/émetteur dans le processus de réplication.

Un partenaire collecteur extrait, ou recherche, les entrées de base de données de son partenaire de réplication. Le partenaire collecteur extrait les nouvelles entrées de la base de données WINS en demandant les entrées de version supérieure à la dernière entrée reçue lors de la dernière réplication du partenaire émetteur.

Un partenaire émetteur intègre, ou envoie, des messages de notification de mise à jour à ses partenaires lorsque des modifications sont apportées à la base de données. Lorsque les partenaires collecteurs répondent au message par une demande de réplication, le partenaire émetteur envoie aux partenaires collecteurs une copie des nouvelles entrées de la base de données WINS.

Un partenaire collecteur/émetteur effectue deux fonctions avec un partenaire de réplication.

Introduction

Réplication WINS

Partenaires de réplication WINS


Il est toujours bon que les partenaires de réplication soient à la fois des partenaires collecteurs et émetteurs les uns des autres. Les serveurs WINS principaux et de sauvegarde doivent être des partenaires collecteurs et émetteurs les uns des autres pour garantir la cohérence des bases de données principales et de sauvegarde.

Dans cet exemple, supposez que :

! L'hôte A sur le sous-réseau A s'enregistre auprès du serveur WINS A sur le sous-réseau A.

! L'hôte B sur le sous-réseau B s'enregistre auprès du serveur WINS B sur le sous-réseau B.

La réplication WINS s'effectue et chaque serveur WINS met à jour sa base de données avec la nouvelle entrée de la base de données de l'autre serveur.

Il résulte de cette réplication que les deux serveurs WINS comprennent désormais des informations sur les deux hôtes et ces derniers peuvent résoudre le nom les uns des autres en contactant leurs serveurs WINS locaux.

Le partenaire collecteur peut notifier aux partenaires émetteurs la nécessité d'effectuer la réplication à l'aide de l'une des méthodes suivantes :

! un intervalle de temps arbitraire, comme configuré par l'administrateur WINS ;

! la réplication immédiate, lancée par l'administrateur WINS à l'aide du Gestionnaire WINS.

Le partenaire émetteur peut notifier aux partenaires collecteurs les critères de la réplication à l'aide de l'une des méthodes suivantes :

! un nombre de mises à jour WINS arbitraire, comme configuré par l'administrateur WINS ;

! la réplication immédiate, lancée par l'administrateur WINS à l'aide du Gestionnaire WINS.

Si vous modifiez le nombre de mises à jour à l'aide du Gestionnaire WINS, vous pouvez alors ouvrir la boîte de dialogue de configuration du serveur WINS, puis cliquer sur OK. La nouvelle valeur s'applique aussitôt.

Exemple

Notification des partenaires

Modification du nombre de mises à jour


Base de données WINS


La base de données WINS fait partie intégrante du service WINS. Les serveurs WINS gèrent les bases de données de noms de ressources statiques et dynamiques, ainsi que le mappage des adresses IP de façon à pouvoir résoudre les noms de façon efficace. Il est important que les enregistrements de la base de données soient cohérents. Les serveurs WINS sont ainsi tenus à jour.

La base de données WINS stocke et réplique les mappages des noms NetBIOS sur les adresses IP de votre réseau. Dans la famille Windows Server 2003, la base de données WINS utilise le moteur de base de données ESE (Extensible Storage Engine), à savoir la même technologie avancée que le service d'annuaire Active Directory.

Vous pouvez effectuer plusieurs tâches administratives dans une base de données WINS, notamment :

! la vérification de sa cohérence ; ! la configuration de son chemin d'accès ; ! sa sauvegarde et sa restauration ; ! son nettoyage.

Pour plus d'informations sur ces tâches administratives, consultez la rubrique traitant de la « Gestion de la base de données WINS » dans l'aide de Windows Server 2003.

Introduction

Base de données WINS

Remarque


Les enregistrements de la base de données WINS sont régis par quatre valeurs du chronomètre configurables :

! Intervalle de renouvellement Égalemegnt appelé « délai de rafraîchissement des noms » ou « durée de vie ».

! Intervalle d'extinction Également appelé « âge maximum des noms » ou « intervalle de désactivation ».

! Délai d'extinction Également appelé « délai de désactivation ». Les enregistrements éteints (ou désactivés) dont la date est supérieure au délai d'extinction sont supprimés de la base de données.

! Intervalle de vérification L'intervalle de vérification WINS indique le délai au-delà duquel le serveur WINS doit vérifier si les anciens noms qu'il ne possède pas sont toujours actifs.

Microsoft a choisi soigneusement les valeurs par défaut de ces quatre paramètres et, en règle générale, celles-ci ne doivent pas être modifiées. Ces valeurs par défaut minimisent le trafic réseau et la charge des serveurs WINS. Si l'on tient compte des différentes configurations dans lesquelles les serveurs WINS peuvent être déployés, les valeurs par défaut représentent le meilleur compromis entre la réalisation de ces objectifs et la réduction de l'intervalle de temps pendant lequel les bases de données ne sont pas synchronisées.

Lors de la définition de ces intervalles, Microsoft a tenu compte de facteurs tels que les week-ends prolongés, la suppression de tout trafic de réplication superflu, la possibilité de gérer rapidement un grand nombre de clients lorsque cela est nécessaire et un compromis entre l'élimination rapide des goulots d'étranglement et la conservation d'entrées afin d'assurer la réplication.

Les algorithmes de réplication et de nettoyage reposent sur la cohérence de l'horloge système. Bien évidemment, avancer ou retarder l'horloge système affecte ces algorithmes. Toutefois, l'horodatage étant toujours exprimé dans les valeurs locales, il n'est pas nécessaire de synchroniser ces valeurs sur les serveurs WINS. Il vous suffit d'assurer la cohérence de l'horodatage sur chaque serveur individuel.

La vérification de la cohérence permet de maintenir l'intégrité de la base de données entre les serveurs WINS sur un réseau étendu. Lorsque vous lancez la vérification de la cohérence sur la console WINS, tous les enregistrements sont extraits de chaque propriétaire figurant dans la base de données des serveurs en cours, y compris les autres serveurs WINS qui sont des partenaires de réplication indirects (c'est-à-dire qui ne sont pas directement configurés).

Intervalles d'enregistrement

Horloge système

Cohérence de la base de données WINS


Leçon : Révision de la sécurité IPSec


Avant de pouvoir planifier un déploiement IPSec, vous devez en comprendre les composants fondamentaux. Dans cette leçon, vous allez apprendre à utiliser IPSec pour éliminer les menaces pesant sur la sécurité des données. En outre, la leçon décrit des méthodes d'implémentation de la sécurité IPSec au sein d'une entreprise, son intégration au service d'annuaire Active Directory et son impact sur les ordinateurs de l'entreprise.


! identifier les méthodes d'authentification IPSec ; ! comprendre l'implémentation de la sécurité IPSec ; ! décrire la sécurité IPSec ; ! décrire l'impact de la sécurité IPSec au sein d'une entreprise.

Introduction

Objectifs


Présentation des risques


Une étape primordiale de la protection des données consiste à cerner les différents risques qu'implique votre environnement. Vous devez connaître ces risques et ces menaces avant de pouvoir mettre en place une stratégie adéquate. Il existe différents types de risques, dont certains ne sont pas résolus par IPSec. Toutefois il est important de les identifier également.

Un risque est un point auquel une ressource peut être attaquée. Il peut aussi être défini comme un point faible.

Un système non sécurisé permet l'échange et la vérification des identités tout en exposant ces informations à leur interprétation par des intrus. Il est possible que les données envoyées par un système non sécurisé soient non cryptées et non vérifiées, ce qui permet à n'importe qui de les intercepter et de les lire, voire de les modifier, à l'insu de l'expéditeur et du destinataire. Cette menace d'interception est l'un des problèmes de sécurité majeurs auxquels sont confrontées les entreprises aujourd'hui.

Quelques-unes des menaces les plus graves proviennent d'Internet. Les pirates informatiques expérimentés utilisent Internet comme passerelle pour accéder aux ordinateurs dans le monde entier. Un système non sécurisé peut permettre l'envoi de paquets de/vers n'importe quel port, source ou adresse de destination, offrant la possibilité aux pirates d'envoyer des données malicieuses à ce système. Si les données ne sont pas correctement filtrées, vous exposez votre système et vos données aux pirates qui savent exploiter les services et applications installés sur votre système.

Introduction

Qu'est-ce qu'un risque ?

Transfert de données non cryptées

Faiblesse de la sécurité sur les connexions Internet


Un des moyens d'accès les plus simples aux données consiste à exploiter les mots de passe faibles. Un mot de passe facile à deviner exposera votre système aux pirates qui savent utiliser les logiciels de décryptage des mots de passe disponibles. Même les mots de passe compliqués peuvent être décryptés en fin de compte. Vous pouvez utiliser des certificats de clés publiques comme autre mécanisme d'authentification.

Les risques décrits ici sont les plus courants. Vous devez cependant savoir qu'il en existe beaucoup d'autres, notamment social engineering (l'ingénierie sociale, le fait d'obtenir des informations dont l'accès n'est pas autorisé), les logiciels sans correctif et les logiciels et matériels mal configurés.

Pour consulter la liste des 20 risques majeurs dressée par le FBI et le SysAdmin, Audit, Network, Security (SANS) Institute, visitez le site Web http://www.sans.org/top20.htm (en anglais).

Faiblesse des mots de passe

Autres risques

Remarque


Analyse des menaces


En tant qu'ingénieur système, vous devez protéger les ressources de votre entreprise contre toute menace d'exploitation frauduleuse dans votre environnement informatique. Vous devez prendre certaines mesures afin de renforcer la sécurité de votre infrastructure. Vous devez notamment décider des mesures les plus appropriées aux besoins de votre entreprise.

Une menace est un événement ou un individu susceptible d'accéder à vos ressources afin de les endommager. L'acuité de ces menaces varie selon la vulnérabilité de votre environnement. L'analyse des menaces consiste à examiner les menaces existantes et l'éventualité qu'elles se concrétisent. Une analyse des menaces approfondie vous permet de prendre des décisions en connaissance de cause afin d'éliminer les risques qu'elles impliquent.

Les menaces peuvent se présenter sous différentes formes. Le tableau ci-dessous décrit divers exemples de menaces.

Types de menaces Exemple

Naturelle et physique Incendie, dégâts des eaux, vent, séisme, panne de courant

Non intentionnelle Employés non informés, clients non informés

Intentionnelle Pirates, terroristes, espions industriels, gouvernements, code malicieux

Vous devez définir la priorité de toute menace identifiée, selon le degré de probabilité qu'elle se concrétise et la gravité des dommages qu'elle pourrait causer.

Introduction

Qu'est-ce qu'une menace ?

Identification des menaces potentielles


Lorsque vous déterminez la probabilité d'une menace, vous devez tenir compte de l'effort, des coûts et du temps nécessaires à sa concrétisation ; plus elle implique d'efforts et de dépenses, moins il est probable qu'elle sera mise en oeuvre. Le mieux pour déterminer cette probabilité est d'attribuer à chaque menace potentielle un nombre compris entre 1 et 10, 1 représentant la probabilité la plus élevée et 10 la probabilité la plus faible.

Après avoir déterminé la probabilité d'une menace, vous devez évaluer les dommages qui pourraient résulter de la corruption des données. Encore une fois, vous pouvez attribuer à chaque menace un nombre compris entre 1 et 10, 1 représentant les dégâts les moins graves et 10 les dégâts les plus graves.

La combinaison de ces évaluations vous permettra de calculer le degré de menace, qui indique le problème représenté par une menace. Pour ce faire, vous pouvez diviser la valeur des dommages par la probabilité afin de déterminer le facteur de risque, comme illustré dans l'exemple suivant. Une fois ce facteur déterminé, veillez à traiter en priorité les éléments présentant le facteur de risque le plus élevé.

Supposez que vous avez identifié deux menaces potentielles pesant sur votre entreprise :

! La menace A a été identifiée comme impliquant des dommages considérables (Dommages = 10) et ayant peu de chances de se concrétiser (Probabilité = 10), ainsi le degré de menace est égal à 1 (10/10 = 1).

! La menace B a été identifiée comme impliquant des dommages considérables (Dommages = 8) et ayant beaucoup de chances de se concrétiser (Probabilité = 3), ainsi le degré de menace est égal à 2,67 (8/3 = 2,67).

Par conséquent, vous devez vous occuper de la menace B en priorité car son degré de menace est élevé.

Exemple


Qu'est-ce que la sécurité IPSec ?


Après avoir identifié les menaces potentielles pesant sur vos données et déterminé l'ordre dans lequel elles doivent être traitées, vous devez les éliminer. Bon nombre des menaces identifiées par l'analyse des menaces peuvent être éliminées au moyen de la sécurité IPSec.

IPSec est un ensemble d'extensions de la famille du protocole IP. Cet outil intègre des services de sécurité cryptographique qui assurent l'authentification, l'intégrité, le contrôle d'accès et la confidentialité des données. La sécurité IPSec exécute des services similaires à SSL (Secure Sockets Layer), mais au niveau de la couche réseau, en toute transparence par rapport aux applications, et beaucoup plus puissants. Ceci du fait qu'il n'est pas nécessaire que vos applications connaissent IPSec pour pouvoir l'utiliser. Vous pouvez créer des tunnels cryptés (réseaux privés virtuels [VPN]) ou vous contenter d'exécuter le cryptage entre les ordinateurs. Par ailleurs, les nombreuses options de la sécurité IPSec en font un protocole plus complexe que SSL.

L'implémentation de la sécurité IPSec dans la famille de produits Windows 2000, Windows XP et Windows Server 2003 repose sur les normes développées par le groupe de travail sur IPSec de l'IETF (Internet Engineering Task Force). Des parties des services liés à IPSec ont été développées conjointement par Microsoft et Cisco Systems, Inc.

Introduction

Définition

Remarque


IPSec utilise des services de protection par cryptographie, des protocoles de sécurité et la gestion de clés dynamique pour réaliser les deux objectifs suivants :

! protéger le contenu des paquets IP ; ! dresser une barrière contre les attaques réseau par le filtrage des paquets

et la mise en �uvre d'une communication approuvée.

IPSec garantit la protection robuste et souple des communications entre les ordinateurs résidant sur les réseaux privés, les domaines, les sites, les emplacements distants, les extranets et les clients d'accès distants. Il permet même de bloquer la réception ou l'envoi de types de trafic particuliers.

IPSec repose sur un modèle de sécurité de bout en bout qui établit la confiance et la sécurité entre une source IP et une adresse IP de destination. L'adresse IP proprement dite n'est pas forcément considérée comme une identité ; en fait, c'est le système derrière l'adresse IP qui a une identité validée par l'authentification. Seuls les ordinateurs expéditeur et destinataire doivent savoir que le trafic est sécurisé. Chaque ordinateur gère la sécurité à son extrémité propre, en supposant que le média sur lequel s'effectue la communication n'est pas sécurisé.

Tous les ordinateurs qui acheminent uniquement les données de la source à la destination ne sont pas nécessaires pour prendre en charge IPSec, à moins qu'un filtrage des paquets de type pare-feu ou la conversion d'adresses réseau (NAT) ne soit exécuté entre deux ordinateurs. Ce modèle permet de déployer correctement IPSec dans les scénarios d'entreprise suivants :

! Réseau local (LAN) : client/serveur et homologue à homologue ! Réseau étendu (WAN) : routeur à routeur et passerelle à passerelle via des

tunnels IPSec ! Accès distant : clients d'accès distant et accès Internet depuis des réseaux

privés

Lorsque vous utilisez le mode Tunnel IPSec, IPSec crypte la charge utile et l'en-tête IP. Le mode tunnel permet de protéger un paquet IP entier.

Le mode Transport est le mode IPSec par défaut et il est utilisé pour les communications bout en bout. Lorsque vous utilisez ce mode, IPSec ne crypte que la charge utile IP. Le mode Transport permet de protéger une charge utile IP. Les charges utiles IP sont généralement des segments TCP, un message UDP et un message ICMP.

Les extrémités expéditeur et destinataire d'une communication requièrent généralement que soit configurée la sécurité IPSec (appelée « stratégie IPSec ») pour définir les options et les paramètres de sécurité qui autoriseront deux systèmes à convenir d'une méthode de sécurisation du trafic entre eux deux.

Il est recommandé d'utiliser IPSec lorsque vous souhaitez sécuriser les données au moyen des méthodes suivantes :

! Cryptage des données ! Intégrité des données ! Authentification manuelle ! Filtrage des paquets

Objectifs de la sécurité IPSec

Fonctionnement de la sécurité IPSec

Mode Tunnel IPSec

Mode Transport IPSec

Configuration de la sécurité IPSec

Quand utiliser IPSec


Fonctions de Microsoft IPSec


L'implémentation de la sécurité IPSec par Microsoft permet de sécuriser les communications à un faible coût de possession. En outre, la famille Microsoft Windows Server 2003 implémente la sécurité IPSec grâce à la prise en charge de fonctions spécifiques. Bien que la liste des fonctions ci-dessous ne soit pas exhaustive, elle souligne combien Microsoft a simplifié le déploiement de la sécurité IPSec.

Vous pouvez affecter des stratégies IPSec par le biais de la configuration de stratégies de groupe des domaines et unités d'organisation Active Directory. Ceci vous permet d'affecter la stratégie IPSec au niveau du site, du domaine ou de l'unité d'organisation, éliminant ainsi la surcharge administrative qu'implique la configuration de chaque ordinateur individuellement. L'utilisation des fonctions Stratégie de groupe Active Directory ou Stratégie de groupe locale facilite généralement la configuration, l'implémentation et l'administration.

Les paquets ESP (Encapsulating Security Payload) IPSec peuvent désormais passer par un périphérique NAT qui prend en charge le trafic UDP. Le protocole IKE (Internet Key Exchange) détecte automatiquement la présence d'un périphérique NAT et utilise l'encapsulage UDP�ESP pour autoriser le trafic IPSec à passer par ce périphérique. La fonctionnalité IPSec sur un périphérique NAT permet d'établir des connexions sécurisées par IPSec dans les scénarios de déploiement courants suivants :

! Les clients VPN L2TP (Layer Two Tunneling Protocol)/IPSec derrière les périphériques NAT peuvent établir des connexions sécurisées par IPSec sur Internet à leur réseau d'entreprise via le mode de transport ESP IPSec.

! Les serveurs exécutant le service Routage et accès distant peuvent établir des tunnels IPSec passerelle à passerelle lorsque l'un de ces serveurs se trouve derrière un périphérique NAT.

! Les clients et les serveurs peuvent envoyer des paquets TCP et UDP sécurisés par IPSec à d'autres clients ou serveurs au moyen du mode Transport ESP IPSec lorsque l'un de ces ordinateurs ou les deux se trouvent derrière un périphérique NAT.

Introduction

Gestion de la configuration sur la base de stratégies

Fonctionnalité IPSec sur NAT


Si vous utilisez Kerberos version 5 (Kerberos V5) ou l'authentification des certificats, vous pouvez définir des restrictions régissant la connexion des ordinateurs. Cette fonctionnalité vous permet d'utiliser IPSec pour autoriser ou refuser l'un des accès suivants à un serveur :

! Ordinateurs membres d'un domaine spécifique Lorsque vous activez le mappage des certificats sur des comptes dans IPSec, le protocole IKE associe (mappe) un certificat d'ordinateur sur un compte d'ordinateur dans une forêt ou dans un domaine Active Directory, puis extrait un jeton d'accès, qui comprend la liste des droits de l'utilisateur assignés à l'ordinateur.

! Ordinateurs possédant un certificat émis par une autorité de certification particulière

! Un ordinateur ou un groupe d'ordinateurs spécifique Vous pouvez limiter l'accès en configurant les paramètres de sécurité de stratégie de groupe et en attribuant le droit d'utilisateur Accéder à cet ordinateur à partir du réseau ou Interdire l'accès à cet ordinateur à partir du réseau à plusieurs ordinateurs ou à des ordinateurs individuels, comme requis.

La famille Windows Server 2003 améliore considérablement la sécurité en exemptant uniquement le trafic IKE (nécessaire pour établir la communication sécurisée par IPSec) du filtrage IPSec. Tous les autres types de trafic sont désormais filtrés par IPSec et vous pouvez configurer, bloquer ou autoriser des opérations de filtrage spécifiquement pour le trafic de multidiffusion et de diffusion. (IPSec ne négocie pas les associations de sécurité pour le trafic de multidiffusion et de diffusion.)

L'utilisation de commandes dans le contexte IPSec Netsh vous permet de configurer les paramètres du principal mode IPSec statique ou dynamique, les paramètres du mode rapide, les règles et les paramètres de configuration. Vous pouvez utiliser cette fonction pour rédiger un script et automatiser la configuration IPSec. Cette fonction n'est fournie qu'avec la famille Windows Server 2003. Le contexte IPSec Netsh remplace l'outil Ipsecpol.exe fourni avec le kit de ressources Windows 2000 Server.

Pour renforcer la sécurité, IPSec intègre désormais une fonction de filtrage avec état du trafic réseau au démarrage de l'ordinateur. Lorsque vous exécutez cette fonction, seul le trafic suivant est autorisé au démarrage de l'ordinateur :

! le trafic sortant initié par l'ordinateur au démarrage ; ! le trafic entrant envoyé en réponse au trafic sortant ; ! le trafic DHCP.

Vous pouvez également spécifier les types de trafic à exempter du filtrage IPSec au démarrage de l'ordinateur.

Il n'est pas possible de configurer cette fonction dans la console de gestion des stratégies de sécurité IP. Pour ce faire, vous devez utiliser l'utilitaire de ligne de commandes IPSec Netsh.

Mappage des certificats sur les comptes IPSec pour le contrôle de l'accès au réseau

Exemptions de trafic par défaut

Gestion des lignes de commandes avec Netsh

Sécurité au démarrage de l'ordinateur

Remarque


Vous pouvez désormais créer et attribuer une stratégie IPSec permanente pour sécuriser un ordinateur si une stratégie IPSec locale ou basée sur Active Directory ne peut pas être appliquée. Dans ce cas, cette stratégie permanente est appliquée avant la stratégie locale ou la stratégie basée sur Active Directory et elle reste en vigueur, que la stratégie locale ou la stratégie basée sur Active Directory soit appliquée ou non.

Il n'est pas possible de configurer cette fonction dans la console de gestion des stratégies de sécurité IP. Pour ce faire, vous devez utiliser l'utilitaire de ligne de commandes IPSec Netsh.

Stratégie permanente pour une sécurité renforcée

Remarque


Avantages et inconvénients

*********************DOCUMENT L′USAGE EXCLUSIF DE L′INSTRUCTEUR********************

Lorsque vous commencez à analyser la fonctionnalité IPSec comme solution de sécurité pour votre entreprise, vous devez en déterminer les avantages ainsi que les inconvénients potentiels.

Réfléchissez aux avantages suivants lorsque vous déterminez l'utilité de la sécurité IPSec pour votre entreprise :

! Authentification, confidentialité et intégrité des données Les algorithmes de cryptage puissants symétriques et asymétriques bloquent de nombreuses méthodes d'interception. Les contrôles de sécurité qui implémentent la confidentialité empêchent tout accès non autorisé aux données pendant les échanges. Les en-têtes d'authentification IP et les variations de l'algorithme d'authentification HMAC (Hash Message Authentication Code) garantissent l'intégrité des données lors des échanges d'informations.

! Souplesse des stratégies et des protocoles de sécurité Ces stratégies peuvent être implémentées grâce aux composants logiciels enfichables MMC qui se caractérisent par une grande convivialité.

! Transparence aux utilisateurs et aux applications IPSec est invisible aux utilisateurs et aux applications et est mis en �uvre au niveau de la couche réseau IP sans aucune intervention de l'utilisateur.

! Renouvellement de clés dynamique La fonction de renouvellement de clés dynamique lors des échanges sur les canaux de session non sécurisés font barrage à la plupart des méthodes d'interception et d'usurpation d'identité.

Introduction

Avantages de la fonctionnalité IPSec


! Liaisons de bout en bout sécurisées Des liaisons de bout en bout sécurisées sont fournies aux utilisateurs de réseaux privés au sein du réseau ou entre les réseaux de l'entreprise, ce qui permet d'éviter de nombreuses attaques, comme les attaques de type man-in-the-middle (ou attaque de l'homme au milieu) et replay.

! Implémentation simplifiée et gestion centralisée Les filtres et les stratégies de sécurité définissent les niveaux de sécurité appropriés tout en réduisant les surcharges administratives et le coût total de possession.

! Évolutivité IPSec est une solution évolutive appropriée pour les environnements de toute taille.

Réfléchissez également aux inconvénients suivants lorsque vous décidez d'utiliser IPSec :

! Surcharges administratives IPSec implique que les individus qui maîtrisent suffisamment cette technologie planifient, configurent, modifient et attribuent des stratégies IPSec.

! Exigences d'amélioration des performances IPSec intègre des fonctions de cryptographie qui peuvent utiliser plus de temps processeur. Certaines cartes réseau sont en mesure d'effectuer ces calculs sans recourir au processeur principal des ordinateurs.

! Assistance IPSec implique que l'entreprise possède le personnel adéquat pour assurer l'assistance et résoudre les problèmes éventuels liés à cette technologie.

! Gestion des stratégies IPSec exige que l'entreprise mette en place un plan de stratégie de groupe et prévoit le personnel chargé d'en assurer l'assistance. En outre, l'entreprise doit mettre en place l'infrastructure Active Directory afin de prendre en charge les stratégies régissant les sites, les domaines ou les unités d'organisation.

! Mise en place d'une infrastructure de clé publique (PKI) destinée à prendre en charge IPSec Dans un environnement non Active Directory, vous devrez utiliser une infrastructure de clé publique (PKI) ou un ensemble de procédures pour obtenir les certificats de chaque ordinateur auquel est associée une stratégie IPSec.

! Configuration de stratégies locales Dans un environnement non Active Directory, vous devrez déterminer le déploiement de la stratégie locale sur chaque ordinateur auquel est associée une stratégie IPSec.

Inconvénients de la fonctionnalité IPSec


Services de sécurité IPSec


IPSec assure une sécurité élevée grâce à des services de cryptographie. Une combinaison composée d'un algorithme et d'une clé permet de sécuriser les informations. L'algorithme est le processus mathématique servant à sécuriser les informations. La clé est la valeur ou le code secret nécessaire pour sécuriser, lire, modifier ou vérifier les données. IPSec fournit ou utilise les services de sécurité suivants.

Les services IKE échangent et gèrent de façon dynamique les clés cryptographiques entre les ordinateurs qui communiquent.

Les services IKE négocient de façon dynamique un ensemble commun de paramètres de sécurité entre les ordinateurs qui communiquent, éliminant ainsi la nécessité que les stratégies des deux ordinateurs soient configurées à l'identique.

IPSec prend en charge l'authentification par des certificats de clé publique. Ceci permet d'établir des communications approuvées et sures pour :

! les ordinateurs n'appartenant pas un domaine Windows 2000 ou Windows Server 2003 approuvé ;

! les ordinateurs exécutant des systèmes d'exploitation autres que Microsoft ; ! les ordinateurs appartenant à des domaines non approuvés ; ! les instances dans lesquelles l'accès des ordinateurs doit être restreint

à un groupe plus petit que ne l'autorise l'authentification du domaine.

Introduction

Gestion des clés automatique

Négociation de sécurité automatique

Prise en charge des clés pré-partagées (PKI)


IPSec peut utiliser des clés pré-partagées pour l'authentification. Pré-partagées signifie que les différentes parties conviennent d'utiliser une clé secrète partagée pour l'authentification dans une stratégie IPSec. Toutefois, l'authentification à l'aide d'une clé pré-partagée n'est pas recommandée car il s'agit d'une méthode relativement faible. Dans Active Directory, les clés pré-partagées sont stockées dans un format hexadécimal lisible et sont accessibles aux utilisateurs autorisés.

Si l'authentification au moyen du protocole Kerberos V5 ou de certificats de clés publiques n'est pas possible, vous pouvez configurer une clé d'authentification pré-partagée.

Il est recommandé de n'utiliser des clés pré-partagées qu'à des fins de test et de réserver les certificats ou Kerberos V5 aux environnements de production.

Prise en charge de clés pré-partagées

Important


Méthodes d'authentification


Il existe trois méthodes d'authentification principales pour IPSec. Kerberos V5 est la méthode d'authentification par défaut.

Kerberos V5 est le principal protocole de sécurité pour l'authentification dans un domaine. Ce protocole vérifie l'identité de l'utilisateur et les services réseau. Cette double vérification est également appelée authentification mutuelle.

Pour plus d'informations sur la méthode d'authentification Kerberos V5, visitez le site : http://www.microsoft.com/windowsserver2003/ techinfo/reskit/resourcekit.mspx (en anglais).

Le mécanisme d'authentification Kerberos V5 émet des tickets permettant d'accéder aux services réseau. Ces tickets contiennent des données cryptées, notamment un mot de passe crypté, qui confirme l'identité de l'utilisateur au service demandé. L'intégralité de ce processus est invisible à l'utilisateur, sauf l'entrée du mot de passe ou des informations d'identification des cartes à puce.

Dans un environnement Active Directory, les services Kerberos V5 sont installés sur chaque contrôleur de domaine et un client Kerberos est installé sur chaque poste de travail et serveur. Les clients Kerberos utilisent une fonction de recherche DNS pour rechercher le contrôleur de domaine le plus proche.

Vous pouvez résoudre de nombreux problèmes de sécurité en implémentant efficacement une infrastructure de clé publique dans laquelle les informations de sécurité peuvent être présentées sans risque. IPSec fonctionne avec votre infrastructure de clé publique pour permettre l'authentification des ordinateurs sur la base de certificats.

Introduction

Authentification Kerberos V5

Remarque

Présentation de Kerberos V5

Certificats de clés publiques


Un certificat de clé publique est un type d'authentification qui vérifie les identités de façon fiable. Les certificats de clés publiques servent à vérifier l'identité des ordinateurs exécutant des systèmes d'exploitation autres que Microsoft, des ordinateurs autonomes, des clients n'appartenant pas à un domaine approuvé ou des ordinateurs n'exécutant pas le protocole d'authentification Kerberos V5 (méthode d'authentification par défaut dans Microsoft Windows XP et la famille Windows Server 2003) et le service Routage et accès distant.

Pour plus d'informations sur la méthode d'authentification basée sur les certificats de clés publiques, visitez le site : http://www.microsoft.com/ windowsserver2003/techinfo/reskit/resourcekit.msx.

IPSec peut utiliser des clés pré-partagées pour l'authentification. Pré-partagées signifie que les différentes parties conviennent d'utiliser une clé secrète partagée pour l'authentification dans une stratégie IPSec.

Lors de la négociation de la sécurité, les informations sont cryptées avant la transmission à l'aide d'une clé de session. La clé de session est créée au moyen d'un calcul Diffie-Hellman et de la clé secrète partagée. Les informations sont décryptées au niveau du destinataire au moyen de la même clé. Un homologue IPSec authentifie le paquet de l'autre homologue par le décryptage et la vérification du hachage contenu dans le paquet. (Il s'agit du hachage des clés pré-partagées.) Si l'authentification échoue, le paquet est ignoré.

Il n'est pas recommandé d'utiliser l'authentification par clés pré-partagées car cette méthode est relativement faible. L'authentification par clés pré-partagées crée une clé principale qui est moins sure (dans la mesure où elle peut générer une forme de cryptage inférieure) que les certificats ou le protocole Kerberos V5. En outre, les clés pré-partagées sont stockées dans le Registre au format de texte brut. Dans Active Directory, les clés pré-partagées sont stockées dans un format hexadécimal lisible. L'authentification par clés pré-partagées est destinée à des fins d'interopérabilité et pour garantir la conformité aux normes IPSec. Il est recommandé de n'utiliser des clés pré-partagées qu'à des fins de test et de réserver les certificats ou Kerberos V5 aux environnements de production.

Pour plus d'informations sur la méthode d'authentification par clés secrètes pré-partagées, visitez le site : http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.msx.

Remarque

Authentification par clé pré-partagée

Remarque


Déploiement de la solution IPSec


Vous pouvez déployer IPSec à l'aide de stratégies locales ou du service d'annuaire Active Directory. Si l'ordinateur est temporairement non connecté à un domaine Windows 2000 ou Windows Server 2003 approuvé, les informations relatives à la stratégie sont mises en cache dans le Registre local. Les stratégies locales sont définies dans le Registre des ordinateurs autonomes et des ordinateurs qui n'appartiennent pas toujours à un domaine Windows 2000 ou Windows Server 2003 approuvé.

Chaque ordinateur exécutant Windows XP ou Windows Server 2003 comprend un objet Stratégie de groupe local (GPO), souvent appelé « stratégie de l'ordinateur local ». Vous pouvez stocker dans cet objet les paramètres d'ordinateurs individuels, qu'ils appartiennent ou non à un domaine Active Directory. Les objets Stratégie de groupe locaux peuvent être remplacés par des objets Stratégie de groupe associés aux sites, aux domaines ou aux unités d'organisation dans un environnement Active Directory. Sur un réseau dépourvu de domaine Active Directory, les paramètres de l'objet Stratégie de groupe déterminent le comportement IPSec car ils ne sont pas remplacés par d'autres objets Stratégie de groupe.

Vous pouvez utiliser des stratégies locales pour déployer IPSec si aucune infrastructure Active Directory n'est en place ou si une telle infrastructure est en place mais il n'est pas nécessaire de déployer automatiquement des stratégies IPSec sur un grand nombre d'ordinateurs.

Si vous devez déployer une stratégie IPSec sur un petit nombre d'ordinateurs, vous pouvez configurer une stratégie de groupe locale sur chacun de ces postes afin de leur affecter une stratégie IPSec.

Introduction

Déploiement IPSec à l'aide de stratégies locales


Active Directory facilite la gestion et l'implémentation d'une stratégie IPSec d'entreprise. Vous pouvez affecter des stratégies IPSec au moyen de la configuration de stratégie de groupe des domaines et unités d'organisation Active Directory. Ceci vous permet d'affecter la stratégie IPSec au niveau du site, du domaine ou de l'unité d'organisation, éliminant ainsi la surcharge administrative qu'implique la configuration de chaque ordinateur individuellement.

Vous pouvez personnaliser les services de sécurité au sein de chaque stratégie afin de satisfaire aux impératifs de sécurité du réseau et du trafic des données.

IPSec utilise le domaine sécurisé dans Windows 2000 et Windows Server 2003 comme modèle d'approbation. Par défaut, les stratégies IPSec utilisent la méthode d'authentification Active Directory par défaut (authentification Kerberos V5) pour identifier et approuver les ordinateurs qui communiquent. Les ordinateurs membres d'un domaine Windows 2000 ou Windows Server 2003 et résidant dans un domaine approuvé peuvent facilement établir des communications sécurisées par IPSec.

Tenez compte des instructions suivantes pour les stratégies stockées dans Active Directory :

! Une seule stratégie IPSec peut être assignée à un niveau donné dans Active Directory.

! Les stratégies IPSec configurées et assignées à une unité d'organisation priment sur les stratégies assignées au niveau des domaines de cette unité d'organisation.

! Une unité d'organisation hérite la stratégie de son unité d'organisation parent (à moins que l'héritage des stratégies ne soit bloqué ou qu'une stratégie ne soit explicitement assignée à l'unité d'organisation enfant).

! Il est recommandé d'annuler l'assignation de la stratégie IPSec avant de supprimer l'objet Stratégie.

! La sauvegarde et la restauration des stratégies de groupe dans Active Directory doivent également inclure les stratégies IPSec afin de garantir la cohérence.

Gestion sur la base de stratégies


Vous pouvez créer un objet Stratégie de groupe pour un site, un domaine ou une unité d'organisation et y assigner une stratégie IPSec.

Pour organiser vos comptes d'ordinateurs et leur appliquer une stratégie IPSec commune, il peut s'avérer nécessaire de créer votre propre unité d'organisation, de créer un objet Stratégie de groupe pour cette unité d'organisation, puis d'assigner une stratégie IPSec dans cet objet. Toutefois, si une unité d'organisation existante comprend déjà tous vos comptes d'ordinateurs, il n'est pas nécessaire d'en créer une nouvelle. Il vous suffit d'assigner une stratégie IPSec à un objet Stratégie de groupe existant ou d'en créer une si nécessaire. Tous les enregistrements extraits des bases de données distantes sont comparés aux enregistrements de la base de données locale et les vérifications suivantes appliquées en vue de garantir la cohérence :

! Si l'enregistrement de la base de données locale est identique à l'enregistrement extrait de la base de données propriétaire, son horodatage est mis à jour.

! Si l'ID de version de l'enregistrement de la base de données locale est inférieur à celui de l'enregistrement extrait de la base de données propriétaire, ce dernier est ajouté dans la base de données locale et l'enregistrement local d'origine est coché en vue de sa suppression.

Planification d'unités d'organisation supplémentaires

THIS PAGE INTENTIONALLY LEFT BLANK

Annexe B : RØvision - repo.mynooblife.orgrepo.mynooblife.org/Systeme/MCSA-MCSE/MCSA-MCSE Module...

Documents

Transcript of Annexe B : RØvision - repo.mynooblife.orgrepo.mynooblife.org/Systeme/MCSA-MCSE/MCSA-MCSE Module...