Introduction

Cet article a pour but de présenter les différents rôles Active Directory au sein de la dernière version de Windows Server 2008 R2. Nous tenterons de présenter simplement les différentes fonctions de ces rôles ainsi que leur mise en place. Pour rappel Active Directory est un service d’annuaire amélioré. Il permet de gérer des utilisateurs de manière innovante, simple et efficace. Il s’avère être un outil indispensable dans les entreprises à plus ou moins grande infrastructure. Il permet de centraliser et d’administrer facilement les utilisateurs du domaine. Avec les rôles supplémentaires on peut gérer les certificats, gérer les autorisations sur les fichiers des utilisateurs, permettre des authentifications en SSO, et avoir un service d’annuaire applicatif. Active Directory regroupe donc Active Directory Domain Services, Active Directory Certificate Services, Active Directory Federation Services, Active Directory Right Management Services, Active Directory Lightweight Domain Services. Nous verrons aussi la mise en place d’un cluster pour le rôle ADDS.

ADDS

En utilisant le rôle Service de Domaine Active Directory ou « AD DS », vous pouvez gérer les comptes utilisateurs ainsi que les ressources mais vous avez également la prise en charge des applications utilisant les annuaires (telles que Microsoft Exchange Server).

Ce rôle sert aussi à organiser de façon hiérarchique les éléments d’un réseau tels que les utilisateurs, les ordinateurs et autres périphériques. Le serveur qui va exécuter l’AD DS se nomme : contrôleur de domaine.

De plus, l’AD DS est sécurisé grâce à l’authentification d’ouverture de session et le contrôle d’accès aux ressources de l’annuaire. Avec l’ouverture de session réseau unique, les administrateurs peuvent gérer les données de leur réseau. Ainsi les utilisateurs autorisés peuvent également utiliser une ouverture de session réseau unique pour accéder aux ressources sur leur réseau.

Les différents services de domaine que l’on va voir sont les suivant : – installation d’une nouvelle forêt,installation d’un nouveau domaine enfant,installation d’un contrôleur de domaine supplémentaire.

a.Installation d’une nouvelle forêt

Tout d’abord vous devez ouvrir le Gestionnaire de serveur, pour cela cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

Description: C:\Users\Clément\Desktop\a1.png

Vous arrivez dans Résumé des rôles, dans l’onglet de gauche vous devez choisir Ajouter des rôles. Si nécessaire, vérifiez les informations contenues sur la page Avant de commencer puis cliquez sur Suivant.

Description: C:\Users\Clément\Desktop\a2.png

Sur la nouvelle page vous pouvez sélectionner une multitude de rôles à installer. Ici choisissez donc la case Service de domaine Active Directory puis cliquez sur Suivant.

Ensuite, une page vous informe sur les Services de domaine Active Directory. Quand vous avez lu et compris ces informations vous pouvez cliquez sur Suivant.

Sur la page Confirmer les sélections pour l’installation, vous pouvez voir les rôles que vous avez choisit d’installer précédemment. Si cela vous convient cliquez sur Installer.

Description: C:\Users\Clément\Desktop\a3.png

Vous arrivez sur la page Résultats de l’installation qui récapitule les rôles que vous venez d’installer.

Cliquez alors sur Fermez cet Assistant et lancez l’Assistant Installation des services de domaine Active Directory (dcpromo.exe).

Sur la page de l’Assistant d’Installation, cliquez sur Suivant. Vous pouvez également cocher la case Utiliser l’installation en mode avancé pour accéder à des options d’installation supplémentaires.

La page suivante Compatibilité du système d’exploitation nous avertit sur les paramètres de sécurité par défaut des contrôleurs de domaine Windows server 2008 (R2). Cliquez sur Suivant.

Description: C:\Users\Clément\Desktop\a4.png

Sur cette page, vous pouvez choisir d’installer une forêt existante ou de créer un nouveau domaine dans une nouvelle forêt. Ici vous devez donc cocher Créer un domaine dans une nouvelle forêt et cliquez sur Suivant.

Ensuite, sur la page Nommez le domaine racine de la forêt nous devons donner le nom DNS complet du domaine racine de la forêt puis cliquer sur Suivant.

Si vous avez sélectionné Utiliser l’installation en mode avancée, vous arrivez maintenant sur la page Nom de domaine NetBIOS. Sur cette page, tapez le nom NetBIOS du domaine ou acceptez le nom par défaut. Puis cliquez sur Suivant.

Description: C:\Users\Clément\Desktop\a5.png

Vous arrivez sur la page Définir le niveau fonctionnel du la forêt, ici vous pouvez donc choisir le niveau fonctionnel de la forêt qui convient aux contrôleurs de domaine que vous voulez installer dans la forêt. Puis cliquez sur Suivant.

Sur la page suivante Définir le niveau fonctionnel du domaine, comme pour la forêt, il faut choisir le niveau fonctionnel qui convient. Cliquez ensuite sur Suivant.

Dans Options supplémentaires pour le contrôleur de domaine, la case Serveur DNS est cochée par défaut pour que, lors de l’installation des services de domaine Active Directory, l’infrastructure DNS de la forêt puisse être créée.  Vous pouvez la décocher si vous disposez d’une infrastructure DNS et que vous ne voulez pas que ce contrôleur de domaine soit utilisé comme serveur DNS.Cliquez sur Suivant.

Description: C:\Users\Clément\Desktop\a7.png

Une petite fenêtre s’affiche à l’écran et nous devons choisir entre : Oui, l’ordinateur utilisera une adresse IP attribuée dynamiquement (non recommandé) ou Non, j’assignerai des adresses IP statiques à tous les dispositifs du réseau.

Ensuite on arrive sur la page Emplacement de la base de données, des fichiers journaux et de SYSVOL. On choisit les emplacements correspondants puis on clique sur Suivant.

La page suivante Mot de passe administrateur de restauration des services d’annuaire, nous invite à choisir un mot de passe qui servira à lancer les services de domaine Active Directory en mode de restauration des services d’annuaire pour les tâches destinées à être effectuées hors connexion.

Description: C:\Users\Clément\Desktop\a8.png

Sur cette page Résumé vous pouvez vérifier vos sélections précédentes.  Vous pouvez également enregistrés les paramètres sélectionnés en cliquant sur Exporter les paramètres. Cet enregistrement sera utilisé pour automatiser d’autres opérations des services de domaine Active Directory. Cliquez sur Précédent si vous voulez modifier vos choix, sinon cliquez sur Suivant pour installer les services AD DS.

Description: C:\Users\Clément\Desktop\a9.png

Si vous voulez que le serveur redémarre automatiquement, vous pouvez cocher la case Redémarrer à la fin de l’opération. Sinon vous pouvez redémarrer quand vous y êtes invité pour terminer l’installation des services de domaine Active Directory.

B.Installation d’un nouveau domaine enfant

Pour la mise en place d’un nouveau domaine enfant, le début de l’installation est le même que pour l’installation d’une nouvelle forêt. On va donc reprendre directement après la page Résultats de l’installation, comme le montre l’image suivante.

Description: C:\Users\Clément\Desktop\a3.png

Sur la page de l’Assistant d’Installation, cliquez sur Suivant. Vous pouvez également cocher la case Utiliser l’installation en mode avancé pour accéder à des options d’installation supplémentaires.

La page suivante Compatibilité du système d’exploitation nous avertit sur les paramètres de sécurité par défaut des contrôleurs de domaine Windows server 2008 et Windows server 2008 R2. Cliquez sur Suivant.

Description: C:\Users\Clément\Desktop\a10.png

Vous arrivez sur la page où vous devez choisir entre Forêt existante et Créer un nouveau domaine dans une nouvelle forêt. Contrairement à tout a l’heure où nous avons choisit de créer un nouveau domaine dans une nouvelle forêt, là nous allons choisir Forêt existante puis Créer un nouveau domaine dans une forêt existante.

Vous arrivez ensuite sur la page Informations d’identification réseau. Là vous devrez tapez le nom de tous les domaines existants de la forêt où vous envisagez d’installer un nouveau domaine.

Description: C:\Users\Clément\Desktop\a15.png

Sous Spécifiez les informations d’identification de compte à utiliser pour effectuer l’installation, vous avez le choix entre Mes informations d’identification de connexion actuelles et Autres informations d’identification.  Si vous choisissez cette 2

ème

option, vous devrez alors définir les informations requises vous-même.

Une fois les informations d’identifications définies, cliquez sur Suivant.

Sur la page Nommez le nouveau domaine, tapez le nom de domaine complet du domaine parent et le nom en une partie du domaine enfant. Cliquez ensuite sur Suivant.

Si vous avez sélectionné Utiliser l’installation en mode avancée, vous arrivez maintenant sur la page Nom de domaine NetBIOS. Sur cette page, tapez le nom NetBIOS du domaine ou acceptez le nom par défaut, et cliquez sur Suivant.

Description: C:\Users\Clément\Desktop\a5.png

Comme pour l’installation d’une nouvelle forêt, vous devez définir le niveau fonctionnel du domaine qui convient aux contrôleurs de domaine que vous envisagez d’installer dans le domaine.

Ensuite vous avez la page Sélectionnez un site, sur laquelle vous pouvez choisir de sélectionner un site dans la liste ou de sélectionner l’option permettant d’installer le contrôleur de domaine dans le site qui correspond à son adresse IP. Quand vous avez choisit, cliquez sur Suivant.

La page suivante Options supplémentaires pour le contrôleur de domaine permet de sélectionner, comme son nom l’indique, des options supplémentaires telles que :

– L’option Serveur DNS qui est cochée par défaut.

– L’option Catalogue Global qui est désactivée par défaut. Si vous cochez cette case, le contrôleur de domaine hébergera les rôles de maître d’opérations et d’infrastructure au sein du domaine.

Après avoir choisit vos options supplémentaires, cliquez sur Suivant.

Là encore vous risquez d’avoir la fenêtre suivante :

Description: C:\Users\Clément\Desktop\a.png

Si vous avez affecté une adresse IPv4 statique à votre carte réseau et que votre organisation n’utilise pas IPv6, vous pouvez ignorer ce message et cliquer sur Oui, l’ordinateur utilisera une adresse IP attribuée dynamiquement (non recommandé).

Si vous avez sélectionné Utiliser l’installation en mode avancé au début, la page Contrôleur de domaine source s’affiche. Elle vous permet de choisir entre Tout contrôleur de domaine ouvert en écriture ou Utiliser ce contrôleur de domaine spécifique. Ceci sert à spécifier un contrôleur de domaine à partir duquel seront répliquées les partitions d’annuaire de configuration et de schéma. Cliquez ensuite sur Suivant.

Ensuite on arrive sur la page Emplacement de la base de données, des fichiers journaux et de SYSVOL.

Description: C:\Users\Clément\Desktop\a11.png

On choisit les emplacements correspondants puis on clique sur Suivant.

Arrive la page Mot de passe administrateur de restauration des services d’annuaire. Celle-ci nous invite à choisir un mot de passe qui nous servira à démarrer les services AD DS en mode de restauration des services d’annuaire pour les tâches à effectuer hors connexion.

Description: C:\Users\Clément\Desktop\a12.png

automatiser d’autres opérations des services de domaine Active Directory ultérieurement.

Sur la page Fin de l’Assistant Installation des services de domaine Active Directory, vous pouvez cliquez sur Terminer.

Description: C:\Users\Clément\Desktop\a13.png

Après redémarrage du serveur, le Gestionnaire de serveur affiche les nouveaux rôles qui ont été installés, à savoir Serveur DNS et Services de domaine Active Directory.

C.Installation d’un contrôleur de domaine supplémentaire

Nous allons voir maintenant comment installer un contrôleur de domaine supplémentaire. Comme pour les deux installations précédentes, on doit ouvrir le Gestionnaire de serveur de la manière suivante :

Description: C:\Users\Clément\Desktop\a1.png

Cliquez sur Démarrer, puis sur Outils d’administration et enfin sur Gestionnaire de serveur.

Sur la page qui s’ouvre, dans Résumé des rôles, vous devez cliquer sur Ajouter des rôles.

Avant d’arriver sur la page des rôles, vous avez une page qui vous informe sur les rôles d’Active Directory, lisez puis cliquez sur Suivant.

Description: C:\Users\Clément\Desktop\a2.png

Sur cette page, dans l’onglet de gauche, vous devez choisir Rôles de Serveur.

Vous arrivez alors sur cette page où sont listés tous les rôles que vous pouvez installer. Nous allons donc cocher la case Service de Domaine Active Directory puis cliquer sur Suivant.

Ensuite, une page avec des informations sur les Services de Domaine Active Directory s’affiche. Lisez ces informations puis cliquez sur Suivant.

Sur la page Confirmer les sélections pour l’installation, vous pouvez voir les précédents rôles que vous avez choisit d’installer. Si ils vous conviennent, cliquez sur Installer.

Description: C:\Users\Clément\Desktop\a3.png

Sur cette page, cliquez sur Fermez cet Assistant et lancez l’Assistant Installation des services de domaine Active Directory (dcpromo.exe) pour poursuivre l’installation.

Sur la page de l’Assistant d’Installation, cliquez sur Suivant.

Vous arrivez alors sur la page Compatibilité du système d’exploitation, lisez attentivement les avertissements concernant les paramètres de sécurité par défaut des contrôleurs de domaine. Quand c’est fait, cliquez sur Suivant.

Description: C:\Users\Clément\Desktop\a14.png

Sur cette page, vous avez à nouveau les différents choix de déploiement. Nous allons choisir ici Forêt existante puis Ajouter un contrôleur de domaine à un domaine existant , et enfin cliquer sur Suivant.

Vous arrivez ensuite sur la page Informations d’identification réseau où vous devrez tapez le nom de tous les domaines existants de la forêt où vous voulez installer le contrôleur de domaine supplémentaire.

Description: C:\Users\Clément\Desktop\a15.png

Sous Spécifiez les informations d’identification de compte à utiliser pour effectuer l’installation, vous avez le choix entre Mes informations d’identification de connexion actuelles et Autres informations d’identification. Ce 2

ème

choix vous permet de choisir vous-même les identifications de compte à utiliser pour l’installation. Quand vous avez terminé, cliquez sur Suivant.

Il est possible que le domaine ne puisse pas être contacté à cause d’un problème DNS, dans ce cas vous aurez le message suivant :

Description: C:\Users\Clément\Desktop\a16.png

Ensuite, sur la page Sélectionnez un domaine, sélectionnez le domaine du nouveau contrôleur de domaine que vous voulez installer, puis cliquez sur Suivant.

De même sur la page Sélectionnez un site, sélectionnez un site dans la liste ou sélectionnez l’option qui permet d’installer le contrôleur de domaine dans le site qui correspond à son adresse IP, puis cliquez sur Suivant.

Vous arrivez sur la page suivante Options supplémentaires pour le contrôleur de domaine. Les options supplémentaires sont les suivantes :

– Serveur DNS activée par défaut et ceci permet à votre contrôleur de domaine de fonctionner en tant que serveur DNS.

– Catalogue Global activée par défaut et qui permet d’ajouter les partitions d’annuaire en lecture seule au contrôleur de domaine.

– Contrôleur de domaine en lecture seule n’est pas coché par défaut. Si elle est cochée, elle permet au contrôleur de domaine supplémentaire d’être accessible en lecture seule.

Ces options sont visibles sur l’image suivante :

Description: C:\Users\Clément\Desktop\a17.png

Un message comme le suivant risque encore d’intervenir :

Description: C:\Users\Clément\Desktop\a.png

Choisissez l’option qui vous convient le mieux.

Ensuite on arrive sur la page Emplacement de la base de données, des fichiers journaux et de SYSVOL comme suit :

Description: C:\Users\Clément\Desktop\a11.png

Ici vous choisissez les emplacements respectifs du fichier de base de données, des f ichiers journaux du service d’annuaire, et des fichiers du volume système (SYSVOL). Cliquez ensuite sur Suivant.

Description: C:\Users\Clément\Desktop\a18.png

Sur cette page, vous devez donner le mot de passe de restauration. Celui-ci servira à démarrer les services AD DS en mode restauration des services d’annuaire pour les tâches à effectuer hors connexion. Quand ceci est fait, cliquez sur Suivant.

Vous arrivez ensuite sur la page Résumé, qui vous permet de revoir vos anciennes sélections, les modifier si nécessaire en cliquant sur Précédent, ou continuer en cliquant sur Suivant. Il vous est également possible d’enregistrer ces paramètres grâce au bouton Exporter les paramètres.

Vous arrivez enfin sur la page Fin de l’Assistant Installation des services de domaine Active Directory, ici cliquez sur Terminer.

Il ne vous reste plus qu’à redémarrer le serveur soit automatiquement (en cochant la case Redémarrer à la fin de l’opération) soit manuellement pour finaliser l’installation des différents rôles.

D.Conclusion

Les Services de Domaine Active Directory sont très pratiques pour tout type d’infrastructure car ils simplifient grandement la gestion des utilisateurs, des ressources, etc. En plus d’être sécurisés, ces services sont structurés.Le point fort des services de domaine est que l’on peut hiérarchiser les différents objets d’un réseau tels que les utilisateurs, les ordinateurs, les imprimantes, les services et autres. On peut effectuer des recherches sur des utilisateurs, des groupes, des ressources, ainsi qu’ajouter des rôles, en enlever etc. en quelques clics.Cette solution de l’AD DS est donc très conseillée pour les entreprises, ceci leur procurera un gain de temps et une facilité non négligeable.

ADCS

A.Sa fonction

L’ADCS ou Active Directory Certificate Services est un rôle d’Active Directory proposant différents services configurables pour créer et gérer des clés et certificats utilisés pour la protection des logiciels. Cela signifie qu’ADCS est très utilisé par les entreprises afin améliorer la sécurité. En effet, grâce à ADCS nous allons pouvoir lier facilement un utilisateur ou un périphérique à une clé privée qui lui correspondra. Pour une organisation ayant besoin d’utiliser de nombreux certificats afin de protéger un grand nombre de données, gérer ses certificats de manière non centralisée peut vite s’avérer être une tâche problématique voir même impossible. ADCS se présente donc comme un produit efficace pour gérer l’utilisation de certificats de manière centralisée et sécurisée.

ADCS prend en charge de nombreuses applications utilisés pour les réseaux (se trouvant ou non sur internet). Les différents services proposés par ADCS peuvent être installé sur un unique serveur ou sur plusieurs serveurs selon les besoins d’une organisation. Ces services sont:

– Le répondeur en ligne: Ce service est basé sur le protocole OSCP. Il est utilisé pour demandé l’état des certificats et recevoir une réponse signée. C’est grâce a l’utilisation du protocole OSCP qu’il est possible de recevoir uniquement les informations dont l’utilisateur a besoin.

– Les autorités de certification: Elles servent à émettre des certificats aux utilisateurs, ordinateurs, services et permettent ainsi de vérifier la validité des certificats.

– L’inscription d’autorité de certification Web: Elle permet aux utilisateurs de demander des certificats directement via le Web.

– Services de périphériques réseau: Cette fonctionnalité a pour but de permettre à tout les périphériques réseau (routeur …) d’obtenir des certificats.

Des nouveautés sont apparut pour ADCS avec Windows Server 2008 R2. L’inscription de certificat peut désormais se faire directement via l’utilisation du protocole HTTPS. La prise en charge des certificats à volume important a également été améliorée.

Concernant son installation, nous allons voir la configuration requise ainsi que les différentes étapes de son installation.

Configuration matérielle requise

• Un processeur 1GHz

• 512mo de RAM

• 8Go d’espace disque

Configuration logicielle requise

• Windows Server 2008 R2 Enterprise ou Datacenter

• Service Web IIS avec ASP.NET 2.0

• Microsoft .NET Framework 2.0

B.Installation ADCS :

Nous allons à présent voir les différentes étapes de l’installation du rôle ADCS :

Description: F:\AD\01.jpg

Sur cette page nous pouvons choisir quel(s) rôle(s) et/ou services nous souhaitons installer. Dans mon exemple j’ai choisit d’installer en même temps ADCS et ADFS. Comme vous pouvez le voir dans le volet de gauche, l’installation commencera avec ADFS, nous verrons donc ces différentes étapes dans la partie ADFS. Pour avoir une rapide description des services proposés, il suffit de cliquer sur le nom du service, de manière a ce qu’il soit surligné, une description apparaît alors dans la partie droite de la fenêtre. Une fois nos rôles choisis, on continue (« Next »).

Description: F:\AD\09.jpg

Voici la première page concernant l’ADCS. Elle explique brièvement l’utilité de ADCS et propose des informations complémentaires concernant la gestion de certificats.

Description: F:\AD\10.jpg

Cette page nous propose les différents services disponibles pour ADCS. Il suffit de cocher celui ou ceux qui nous intéresses et de continuer. Même remarque que pour la première page : en cliquant sur le nom d’un service on obtient sa description à droite de la fenêtre.

Description: F:\AD\11.jpg

Cette page nous montre que le Certification Authorities (CA) peut utiliser des données d’Active Directory pour simplifier la gestion des certificats. Deux choix nous sont proposés : le premier nous permet d’utiliser les données d’Active Directory si l’on possède un domaine Active Directory. La deuxième option permet d’utiliser le CA sans utiliser les données d’Active Directory.

Description: F:\AD\12.jpg

Cette page explique que le CA peut être utilisé pour créer une hiérarchie avec les publics keys (PKI). Un « Root CA » utilisera ses propres certificats alors qu’un « subordinate CA » utilisera des certificats venant d’un autre CA. Cela permettra d’avoir un CA principal et des CA secondaire qui faciliteront la gestion des certificats.

Description: F:\AD\13.jpg

Ici, plusieurs choix nous sont proposés. Nous pouvons tout d’abord créer une nouvelle clé privé. Cette option nous est utile si nous ne disposons pas encore de clé privée. Dans le cas contraire la seconde option nous permet de choisir une clé existante. Ainsi, dans le cas d’une réinstallation d’un CA, on pourra continuer à utiliser les certificats déjà créés jusqu’à présent. Dans le cas ou l’on choisit la seconde option, deux nouveaux choix nous sont proposés. Le premier nous permet d’utiliser un certificat déjà présent afin de l’utiliser. Le deuxième permet d’utilise une clé privée venant d’une précédente installation et se trouvant sur une autre source.

Description: F:\AD\14.jpg

Ayant choisit de créer une nouvelle clé privée, on me propose ici différents services de cryptographie ainsi que l’algorithme de hash qui sera utiliser pour créer la clé privée. Par défaut, nous utiliserons du RSA et du SHA1.Description: F:\AD\15.jpgNous pouvons maintenant donner un nom pour identifier ce CA. Chaque certificat venant de ce CA pourra ainsi être distingué puisque le nom donné sera ajouté aux certificats. Le suffixe peut également être modifié.

Description: F:\AD\16.jpg

Sur cette page nous allons pouvoir choisir la durée de validité du CA. Il est possible de choisir le nombre de jours, de mois ou d’années.

Description: F:\AD\17.jpg

Ici nous allons pouvoir choisir l’emplacement ou se trouvera la base de données utilisée par les certificats. Cette base de données contiendra toutes les informations sur les certificats ayant été générés.

Une fois cette page validée, nous arrivons à une autre page rassemblant toutes les informations les services que l’on veut installer. Il ne reste qu’à appuyer sur « install ». A ce moment l’installation démarre avec une fenêtre nous présentant les différents services que nous avons choisis d’installer, ainsi qu’une barre nous indiquant l’avancement de l’installation. Une fois l’installation terminée, une dernière page s’ouvre en nous montrant les services ayant été installés ainsi que les problèmes potentiels.

C.Un bon outil ?

Pour conclure nous pouvons dire que ADCS permet de gérer les certificats de manière centralisée, hiérarchisée. De plus sa mise en place est facile et rapide. ADCS s’avère donc être un produit complet et indispensable pour les organisations ayant à gérer de nombreux certificats afin de protéger de grosses quantités de données.

ADFS

A.Sa fonction

ADFS ou Active Directory Federation Services est un des cinq rôles d’Active Directory. Il a été mis en place avec Windows Server 2008.

Comme son nom l’indique, ADFS est un service de fédération. Concrètement cela signifie qu’il sert à unifier des applications se trouvant sur internet afin de simplifier leur utilisation et cela, même si ces applications ne se trouvent pas sur le même réseau, le tout sans se soucier de la plateforme (Windows ou non Windows).

Normalement, si un utilisateur se trouve sur un réseau, il doit s’identifier à chaque fois qu’il va chercher des applications étant sur un autre réseau afin que le serveur web puisse reconnaître cet utilisateur comme ayant accès à cette application. Et bien avec ADFS, une seule connexion est nécessaire. En effet, ADFS va transmettre au serveur web les informations sur l’identité de l’utilisateur et ainsi donner l’accès instantanément à l’utilisateur si ce dernier est autorisé à accéder à l’application. Ce système servant à éviter la réauthentification de l’utilisateur est appelé SSO ou Single Sign On. Il est très utile lors de partenariats entre plusieurs organisations. En effet, chacune de ces organisations peut gérer indépendamment ses droits d’utilisateurs, mais peut aussi en transmettre et en accepter d’autres venants d’une organisation partenaire.

ADFS propose différents services qui, une fois configurés, permettent le SSO.

Ces services sont:

– Le service de fédération. Il est utilisé pour centraliser les demandes d’authentifications venant d’utilisateurs se trouvant sur d’autres réseaux.

– Le proxy du service de fédération. Son but est de collecter les informations d’identification grâce aux navigateurs web, puis d’envoyer ces informations au service de fédération.

– Le service d’agent Web. Installé sur un serveur web, il sert à créer et gérer des jetons de sécurité, utilisés pour donner des autorisations à l’accès à une application se trouvant sur le serveur.

ADFS possède des avantages par rapport à sa précédente version distribuée avec Windows Server 2003 R2. En effet, certaines applications supportent maintenant nativement les services de fédération (Microsoft Office SharePoint Server 2007, ADRMS). Le système d’importation et d’exportation des paramètres de fédération a été simplifié. Son installation est plus facile, rapide et sécurisée. L’assistant d’installation vérifie chaque point important afin d’éviter tout problème et son installation est directement intégrée au gestionnaire de serveur Windows Serveur 2008.

Concernant son installation, nous allons voir la configuration requise ainsi que les différentes étapes de son installation.

Configuration matérielle requise

• Un processeur 133MHz pour les ordinateurs x86

• 256mo de RAM

• 10Mo d’espace disque

Configuration logicielle requise

• Windows Server 2003 R2

• Service Web IIS avec ASP.NET 2.0

• Microsoft .NET Framework 2.0

• Un site web par défaut configuré avec TSL/SSL

• Un certificat pour service de fédération

• Présence de comptes utilisateurs dans Active Directory ou ADAM

Remarque : Attention, Il faut aussi noter qu’il est impossible d’installer le service de fédération et le proxy du service de fédération sur le même serveur.

B.Installation de ADFS

Voyons maintenant son installation étape par étape :

Description: F:\AD\01.jpg

Cette page est la même que dans la partie ADCS. Pour rappel : elle permet de choisir les différents services que l’on souhaite installer et d’avoir une description rapide de ces services en cliquant sur leur nom.

Description: F:\AD\02.jpg

Une page nous présentant les différentes fonctionnalités d’ADFS apparaît. Comme pour les autres pages présentant des rôles d’Active Directory, des liens permettant d’accéder à des informations complémentaires sont proposés. Continuons…

Description: F:\AD\03.jpg

Nous allons maintenant pouvoir choisir quels services proposés par ADFS nous allons installer. J’ai choisit d’installer le Service de proxy mais ce dernier nécessite un serveur web IIS, or si on regarde le premier screen, on s’aperçoit que je n’ai pas coché l’installation du serveur web IIS. Voyons comment va réagir l’assistant d’installation.

Description: F:\AD\04.jpg

Un message apparait. Il nous explique que pour pouvoir utiliser le service de proxy nous avons besoins d’un server web. Il suffit de cliquer sur « Add Required Role Services » afin que l’assistant ajoute automatiquement à la liste d’installation les éléments manquants nécessaires au fonctionnement des services.

Description: F:\AD\05.jpg

On aperçoit désormais dans le volet de gauche que l’installation du serveur web IIS a bien été ajoutée à nos différentes étapes d’installations. Nous pouvons maintenant continuer.

Description: F:\AD\06.jpg

Cette fenêtre nous permet de choisir un certificat de cryptage SSL existant déjà ou d’en créer un nouveau. Dans le premier cas on utilisera un CA déjà existant, dans le second choix, après l’installation, nous devrons installer manuellement les certificats sur les clients qui communiquent avec le serveur.

Description: F:\AD\07.jpg

Cette page nous permet de donner le nom du server de fédération qui communiquera avec le service de proxy (pour rappel : le service de fédération et le service de proxy ne peuvent pas être installés sur le même serveur).

Description: F:\AD\08.jpg

Cette page ressemble énormément à celle où l’on pouvait choisir le certificat SSL. Mais cette fois-ci, ce n’est plus le certificat d’authentification du serveur qui doit être choisit, mais le certificat d’authentification du client. Les options sont les même que tout à l’heure, on peut choisir un certificat existant ou en créer un nouveau. Dans le cas où l’on créer un nouveau certificat, après l’installation, nous devrons installer les certificats sur les clients qui vont communiquer avec le serveur.

Description: F:\AD\18.jpg

Cette page nous présente ce qu’est le Serveur Web IIS et nous permet d’avoir des informations complémentaires.

Description: F:\AD\19.jpg

Ici nous allons pouvoir choisir les différents services et protocoles que nous souhaitons mettre en place avec le serveur web IIS. Comme d’habitude, en cliquant sur le nom on obtient une brève description du service. Une fois que les services que l’on souhaite installer sont cochés, il ne reste plus qu’à confirmer ce que l’on souhaite installer. La page suivante est une page indiquant la progression de l’installation et une fois l’installation terminée, une page montrant un rapport détaillant les différents services et les potentiels problèmes rencontrés apparaît.

C.Un bon outil ?

Pour conclure, ADFS permet de fédérer d’autres services, et certains possèdent nativement ADFS (SharePoint, ADRMS). ADFS est également un outil extrêmement pratique puisqu’il peut interagir avec des systèmes Windows mais également avec des systèmes non Windows. Son installation est rapide, et si un composant est manquant à son fonctionnement, un seul clic suffit à corriger ce problème. De plus en cas d’erreur lors de l’installation, un rapport détailler permet de voir rapidement l’endroit auquel se situe l’erreur. Le système de Single Sign On est un atout majeur lors de l’accès à des applications placées sur un autre réseau que celui sur lequel se trouve le client cherchant à accéder à cette ressource. Nous pouvons donc dire que ADFS est un bon outil permettant d’éviter un nombre d’identification élevé et de gagner ainsi un temps précieux.

ADRMS

A.Sa fonction

La fonction de l’ADRMS est un nouveau rôle dans Windows Server 2008 R2. C’est un acronyme pour Active Directory Rights Management Services. Il permet donc de gérer les droits sur les fichiers des utilisateurs. Chaque utilisateur pourra faire un réglage fin des ACL et d’autres attributs complets tel que la possibilité de sauvegarder le fichier, de l’imprimer… Il permet aussi le chiffrement et déchiffrement de contenu. Il permet donc de restreindre l’accès aux différentes personnes d’une entreprise. ADRMS gère les certificats et licences. Par exemple on peut certifier un ordinateur du réseau et un utilisateur qui ne pourra avoir accès à tel fichier que sur cet ordinateur. Il est important de dire que peu importe le format du fichier ou de l’application on peut utiliser le service en toute circonstance tant que les applications soient compatible. ADRMS coté client-application est intégré dans les versions de Office 2007 Entreprise, Professionnel Plus ou Intégral. Pour utiliser ADRMS avec d’autres applications il existe un ADRMS SDK qui permet le développement d’application compatible dites « ADRMS-enabled applications ». ADRMS fonctionne donc de manière client-serveur. La partie cliente est intégré à partir de la version Windows Vista et pour les autres devra être téléchargé sur le site de Microsoft. Les grandes nouveautés de ce nouveau rôle est déjà qu’il soit un rôle serveur. Ensuite son administration est plus aisée grâce à une intégration dans la console MMC de Windows. Il permet maintenant l’intégration aux services ADFS par le biais une option lors de l’installation. Et enfin deux autres choses L’auto-inscription des clusters et la délégation des responsabilités via de nouveau rôles administratif ADRMS (trois type d’administrateur maintenant existe).

Nous pouvons revenir un peu plus en détail sur les nouveaux points apportés par ce nouveau RMS. Tout d’abord une amélioration apportée sur le plan de l’ergonomie et de l’expérience utilisateur avec le fait que ce soit un rôle intégré a Windows Server 2008 R2 cela permet de ne plus télécharger de manière particulière un fichier pour l’installation. De plus une nouvelle interface de configuration qui s’intègre parfaitement dans la console MMC de Windows Server 2008 R2. Cela apporte de l’ergonomie et une administration simplifié par rapport à l’interface Web auparavant utilisé. Deuxième point important est l’intégration aux services ADFS (Active Directory Federation Services) qui permet de travailler avec l’extérieur et ainsi augmenter la collaboration avec différents groupes externe. On peut partager des informations protégées sans installer de chaque part un service ADRMS. On peut utiliser des droits pour le partage de fichier à la place d’utiliser des identifiants Windows Live ID. Ensuite une autre nouveauté permet une plus grande flexibilité, l’auto-inscription des clusters ADRMS. Maintenant on peut auto-signer un certificat afin de permettre que d’autres clusters puissent être dans le groupe de confiance. Il n’est plus nécessaire de passer par le service de Microsoft et ainsi la connexion internet n’est plus obligatoire. Enfin de nouveaux rôles administratifs ont vu le jour. La délégation des responsabilités est donc plus aisée. Ces nouveaux administrateurs sont Administrateurs d’entreprise ADRMS, Administrateurs de modèles ADRMS et Auditeurs ADRMS. Les administrateurs d’entreprises ADRMS sont ceux qui peuvent modifier toutes les faces de ADRMS que ce soit les stratégies ou paramètre du service. A l’installation ce sont les utilisateurs du groupe administrateur en font partie. L’administrateur de modèles ADRMS agit sur les modèles de stratégies du service. L’auditeur ADRMS ne permet que la lecture des journaux et rapports et autres lecture d’informations.

Nous pouvons dès à présent montrer comment s’installe ce nouveau rôle dans Windows Server 2008 R2. Tout d’abord nous allons voir les recommandations minimales et/ou recommandées que ce soit matériel ou logiciel. Puis nous allons montrer l’installation en elle-même avec bien entendu quelques commentaires.

Pour installer ADRMS il vous faut :

Au minimum :

· Un processeur Pentium 4 3Ghz

· 512Mo de RAM

· 40Go d’espace disque

Recommandé :

· Deux processeurs Pentium 4 3Ghz

· 1024Mo de RAM

· 80Go d’espace disque

Logiciels :

· Windows Server 2008 R2

· Service Message Queuing

· Serveur Web IIS avec ASP.NET actif

· Etre membre d’un domaine Active Directory (sous Windows Server 2000 minimum)

· Un serveur de base de données SQL Server 2005

Les besoins matériels peuvent varier suivant les besoins de votre architecture.

B.Installation de ADRMS

Commençons l’installation. Tout d’abord installer le rôle ADRMS qui se trouve soit dans la première fenêtre « Initial Configuration » ou bien dans la fenêtre de configuration globale du serveur « Server Manager ». Passez la fenêtre de prévention avant de commencer. Cocher la case pour l’installation d’ADRMS. Vous arriverez alors à ceci: Description: C:\Users\Renux\Pictures\ADRMS\Install001.png

Vous pouvez voir que l’installation vous propose tout de suite d’installer les rôles et services utiles à ADRMS. Vous pouvez continuer l’installation. Après l’introduction a ADRMS et une courte explication avec de l’aide connexe vous arriverez à faire un choix : Description: C:\Users\Renux\Pictures\ADRMS\Install002.png

C’est ici que l’on donne le choix si vous voulez ou non utiliser une nouvelle fonctionnalité d’ADRMS qui est l’intégration d’ADFS. Sachant que la première option est obligatoire vu que c’est l’élément principal et que cette fonctionnalité ADFS n’est qu’une option facultative. L’écran suivant vous indique ceci :Description: C:\Users\Renux\Pictures\ADRMS\Install003.png

Il vous demande si vous voulez créer un cluster ADRMS ou bien joindre un ADRMS existant en utilisant donc une certaine licence pour entrer dans le groupe de confiance. Dans ce cas précis nous allons faire une nouvelle installation donc nous allons créer un cluster racine. Passons à l’étape suivante : Description: C:\Users\Renux\Pictures\ADRMS\Install004.png

Ici on nous propose d’utiliser une base de données interne mais ce qui empêchera l’architecture sous forme de cluster donc en serveur seul. Sinon pour avoir une base de données externe il suffit de la sélectionner et de choisir le serveur puis de récupérer les informations et enfin de les valider. Passons donc à la suite avec l’indication de quel utilisateur devons nous choisir dans l’Active Directory, cet utilisateur ne doit pas avoir de droit spécifique. Ensuite nous arrivons sur :Description: C:\Users\Renux\Pictures\ADRMS\Install005.png

Ce panneau permet de choisir comment nous allons stocker la clé d’identification inter-cluster et pour le Recovery. On peut soit la stocker en local soit par le biais d’un fournisseur de chiffrement tiers. Dans la fenêtre suivante il faudra taper son mot de passe et s’en souvenir bien entendu. Ce doit être un mot de passe fort pour plus de sécurité. Puis nous allons sélectionner un site Web pour le répertoire virtuel. Sur l’écran suivant on a :Description: C:\Users\Renux\Pictures\ADRMS\Install006.png

Ici on choisit le nom par lequel on pourra avoir accès au site d’ADRMS et la façon dont laquelle ont y a accès chiffrement SSL ou non. Dans la fenêtre suivante on pourra choisir un certificat SSL pour le site ou bien le créer ou encore choisir de le faire plus tard. Après on doit taper le nom du certificat. Enfin on finalise l’installation de l’ADRMS par le choix d’enregistrer le SCP pour utiliser ADRMS a la fin de l’installation ou non. Enfin nous passons à la partie de l’installation d’IIS ou il faudra faire attention d’avoir bien activé le service ASP.NET. Une dernière confirmation est donnée avant que l’installation se déroule : Description: C:\Users\Renux\Pictures\ADRMS\Install007.png

Cliquer sur Install puis patientez et voila ADRMS est installé et activé. Vous pouvez fermer l’assistant d’installation. Notez bien que le serveur devra être redémarré.

C.Présentation de la console

Nous pouvons passer à la présentation de la nouvelle console d’administration d’ADRMS.

Le nouveau moyen d’administrer ADRMS est beaucoup plus ergonomique et facile puisqu’il est reconnu en tant qu’élément enfichable à une console MMC de Windows Server 2008 R2. Il reprend donc tous les avantages des éléments enfichables déjà par le fait que l’on peut faire des consoles personnalisés pour permettre une meilleure flexibilité inter-utilisateur. Voyons donc un peu plus près cet élément. Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc001.PNG

Sur la page principale on a une vue d’ensemble sur le service en route. On remarque dans le premier quart les alertes et autre warning qui peuvent survenir. Ensuite on a un aperçu du service en cour de fonctionnement que l’on peut arrêter ou redémarrer. On pourra après installer l’option de l’ADFS. Et enfin on a une section d’aide avec des conseils sur de bonne pratique. Voyons plus en détail chaque partie d’administration. Ici nous sommes sur la vue d’ensemble d’un cluster ADRMS Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc002.PNG

Dans cette partie on retrouve les informations générales sur un cluster en particulier. Une première partie sur son identification avec licences et certificats. Un autre encadré sur quelle base de données il est rattaché. Enfin un panneau tâches qui sont des raccourcie sur ce que l’on peut faire et ce qui est conseillé de faire.Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc003.pngDescription: C:\Users\Renux\Pictures\ADRMS\MMC\mmc004.png

C’est dans ces parties que l’on change ou que l’on ajoute ou enlève des certificats pour intégrer ou non des domaines de publication cluster ou domaine utilisateur. Après il y a la possibilité de créer des exemples pré-fait de profil de droit, des « templates ».Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc005.PNG

Lorsque l’on veut créer un template on arrive sur un assistant qui nous guide : Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc006.png

Ici on ajoute un template avec son nom, la langue et une description. On le configura par la suite de l’assistant.Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc007.png

On choisit l’utilisateur ou bien tout le monde pour assigner les droits qui caractériseront le template. Dans cet exemple on crée un template qui permet à tout le monde d’imprimer et au propriétaire d’avoir un control complet. Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc008.png

On peut dater un template au point de vue de l’utilisation de la licence ou bien au niveau du contenu.Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc009.png

Ici on a des options sur le contenu protégé au niveau de l’utilisation de la licence et la possibilité de voir un contenu d’un fichier via un plug-in d’un navigateur.Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc010.png

On a la configuration de la révocation de la politique de sécurité pour le template. Bien entendu chaque template pourra être modifié ou supprimé. Une autre partie de la console MMC pour l’administration ADRMS est la possibilité de configurer la duré des certificats émis pour les utilisateurs par ce cluster.Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc011.png

Ensuite on a la possibilité de gérer la partie exclusion. Que ce soit des exclusions d’application ou d’utilisateur ou de coffre-fort. On pourra gérer cette sécurité. On exclu des utilisateurs pour éviter qu’ils utilisent des licences ou bien on exclu des applications en fonction de leur version pour éviter par exemple des faille de sécurité potentielle dans les versions antérieures. Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc012.png

On a après la politique de sécurité. On peut choisir qui sera membre des super-utilisateurs si l’on souhaite l’utiliser. Ensuite il y a la possibilité de remettre à zéro le mot de passe en cas de problème matériel pour ne pas perdre les données. Et enfin il y a la possibilité d’enlever toutes les protections des fichiers pour ainsi pouvoir désinstaller ADRMS sans perdre de données. Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc013.png

Et pour finir cette présentation de la console on a un dernier volet sur les journaux d’évènement et d’alerte. Description: C:\Users\Renux\Pictures\ADRMS\MMC\mmc014.png

D.Un bon outil ?

Pour finir on peut dire que le nouveau rôle ADRMS est bien une nouvelle façon d’appréhender cette technologie. Tout d’abord une installation aisée qui va activer les bons services en fonction des besoins. On gagne en ergonomie et en expérience utilisateur. C’est le même constat avec la console MMC qui présente les informations de manière logique et ordonnée en fonction des besoin mais aussi en fonction des nouveaux groupes administratif qui pourront utiliser la console pour chaque cluster en fonction de leurs droits. Les nouveautés sont les bienvenues comme la possibilité de communiquer avec l’extérieur par le biais d’ADFS.

ADLDS

A.Sa fonction

Le nouveau rôle ADLDS est le remplaçant de ADAM. Du moins il en a les mêmes fonctionnalités que l’ADDS en mode applicatif soit l’ADAM. ADLDS permet d’avoir donc un ADDS léger permettant de regrouper les mêmes fonctions. Incluant donc un service d’annuaire LDAP. Il se veut plus léger que le service ADDS donc il réclame moins de dépendance. On peut en déduire donc que quelques fonctions ne sont pas dans ce rôle qui a pour but principal de fournir un service LDAP qui permet aux applications demandeuses d’avoir un endroit pour stocker et récupérer les donnée de ce type. Il permet d’utiliser des applications « directory-enabled ». Ce type d’application utilise un annuaire pour pouvoir stocker et retrouver les données, ce n’est pas comme les autres applications traditionnelles qui utiliserai plutôt une base de donnée ou autre ; ce type de stockage permet de bonne performance en lecture. ADLDS fonctionne par le biais d’instance qui équivaut au service d’un annuaire. On alors peut utiliser plusieurs instances sur le même serveur ce qui pourrait permettre de faire un load-balancing par exemple. Ces instances sont indépendantes et peuvent être configuré de manière personnalisé pour chaque type d’applications. Il existe une inter-compatibilité avec les services ADFS via le Windows Autorisation Manager (Azman).

Un point important qui le différencie est le fait qu’il ne stock pas la sécurité principal de Windows mais peut l’utiliser. Windows ne peut pas utiliser les utilisateurs stockés dans ADLDS pour l’authentification sauf si on a un ADDS déjà installé et donc ADLDS peut invoquer la fonction pour l’authentification avec ses utilisateurs. ADLDS est souvent utilisé pour faire un annuaire extranet par exemple pour des fournisseurs qui ne sont pas des éléments interne à l’entreprise et donc on ne les inclus pas dans ADDS. ADLDS ne supporte pas les domaines et forêts, les catalogues ou les Group Policy. D’autres fonctionnalités sont en commun avec ADDS comme la réplication multi-maître, API pour ADSI (Active Directory Service Interfaces), et le chiffrement des données pour connections LDAP. Les applications qui fonctionnent avec ADDS pourront fonctionner avec ADLDS. Par contre vu que ADLDS est orienté application les outils de ADDS pour la gestion n’est pas compatible mais les outils plus générique tel que l’éditeur ADSI ou ldp.exe peuvent permettre à un administrateur de les modifier au besoin.

B.Installation de ADLDS

Pour installer ADLDS il faut passer par les rôles de Windows Server 2008 R2. Comme le montre l’image ci-après : Description: C:\Users\Renux\Pictures\ADLDS\Capture003.PNG

L’assistant nous proposera par la suite d’installer les éléments dépendants de l’installation de ADLDS qui est le .NET Framework 3.5.1. On accepte de l’installer et on continue. On arrive sur la page d’introduction ou il faut penser à créer une instance après l’installation en exécutant le Setup Wizard dans la console par la suite. Description: C:\Users\Renux\Pictures\ADLDS\Capture007.PNG

L’installation est très rapide avec peu de configuration on arrive déjà au résumé de l’installation. L’installation se déroule sans problème et vous voila avec ADLDS installer nous allons regarder maintenant comment le configurer et plus particulièrement comment une créer une nouvelle instance. Nous allons maintenant dans la console de management principal du server dans la rubrique de ADLDS pour aller trouver l’assistant d’installation de nouvelles instances.

C.Installation/désintallation d’une instance

Description: C:\Users\Renux\Pictures\ADRMS\MMC\consolef.png

Une fois l’assistant ouvert et avoir passé la page d’introduction nous arrivons ici :Description: C:\Users\Renux\Pictures\ADLDS\Capture010.PNG

Il nous demande tout de suite si nous voulons créer une nouvelle instance ou bien reprendre le schéma d’une instance déjà existante. Nous allons donc juste après l’installation créer une nouvelle instance. Dans la suite de la procédure il nous demande de nommer et d’ajouter une petite description de l’instance. Description: C:\Users\Renux\Pictures\ADLDS\Capture011.PNG

Par la suite on vous propose de choisir les ports par lesquels les informations vont transiter. Le premier champ est le port pour le service LDAP simple et par lequel une application pourra dialoguer pour stocker ou récupérer des informations de l’annuaire. Le second champ vous permet de définir un port sécurisé pour le transite des informations entre le service et l’application. Description: C:\Users\Renux\Pictures\ADLDS\Capture012.PNG

Comme indiquer dans l’assistant il faut faire attention au port utilisé si un ADDS est sur le même serveur car cela pourra entrer en conflit car par défaut ce sont les ports d’un ADDS. Dans l’écran suivant il vous demande si vous utiliser une application qui créera sa propre partition ou bien si il faut la créer avec les paramètres à préciser. Description: C:\Users\Renux\Pictures\ADLDS\Capture013.PNG

Par la suite il vous demande où vous voulez stocker les fichiers associé a cette instance les donnée et les sauvegardes. L’écran suivant vous demandera avec quelles permissions d’un compte associé peut être exécuté l’instance.Description: C:\Users\Renux\Pictures\ADLDS\Capture015.PNG

La prochaine fenêtre vous demande qui sera l’administrateur de cette instance. Par défaut c’est l’utilisateur qui installe l’instance.Description: C:\Users\Renux\Pictures\ADLDS\Capture016.PNG

Par la suite on arrive sur la fenêtre d’importation de fichier LDIF. Il est conseillé d’installer ces fichiers par le biais de l’assistant même si il est possible de modifier cette configuration par la suite. Description: C:\Users\Renux\Pictures\ADLDS\Capture017.PNG

Après un résumé des paramètres de la création de l’instance l’installation en elle-même se lance et se fini. Votre nouvelle instance est prête.

Maintenant que votre instance est prête on peut faire un rapide tour sur les différents outils qui permettent de gérer le service. Il y a un outil pour synchroniser les données d’un ADDS vers un ADLDS ce qui permet une migration suivant les besoin de ressources (Adamsync.exe). Il existe un autre outil qui est un analyseur de schémas qui permet une migration simplifier entre ADDS et ADLDS (ADSchemaAnalyzer.exe). Ensuite il y a ADSI Edit qui permet de manager les objets internes de l’annuaire. Puis on a l’utilitaire qui permet l’import et export de fichier LDIF (ldifde.exe). Un client LDAP (ldp.exe).

Pour pouvoir supprimer une instance il faut se rendre dans le panneau de configuration et modifier ou supprimer des programmes. Enfin choisir l’instance et la supprimer.

D.Un bon outil ?

ADLS nous permet donc d’avoir un service d’annuaire pour les applications. On se retrouve avec un service léger qui pour autant est stable pour les applications. Il permet de faire de multiple chose grâce à ses instances totalement indépendante. On peut donc avoir un seul serveur sui peut subvenir au besoin d’un certain nombre d’applications requérant l’annuaire sans pour autant utiliser un Active Directory Domain Service complet. Grâce à la mise en place de cette solution en rôle de Windows Server 2008 R2 l’installation se révèle agréable et sans contrainte ni concession : ce service n’est pas dépendant de plusieurs fonctionnalité a part le Framework .NET 3.5.1 mais qui se révèle utilise pour un bon nombre de programme donc c’est pour ainsi dire une dépendant « normal ». De plus même si ce service est destiné aux applications et donc qui devrait s’autogérer, il existe des outils performent mais peu conviviale pour gérer les instances : ligne de commande ou fenêtre dépouillé. Bien sûr il y a aussi des intérêts pour un outil en ligne de commande, sa légèreté et sa flexibilité. Les outils pour la migration et l’interconnexion avec un ADDS sont très utile et simple dans le sens où on a peu de modification à faire grâce à un analyseur mais aussi parce que ADLDS est basé sur le même code. On voit donc un service léger, flexible, interconnectable, facile à installé.

mise en place d’un cluster

A.Présentation

La fonctionnalité de mise en cluster disponible sous Windows Server 2008 a été rebaptisée par rapport aux anciennes versions. Elle ne s’appelle plus « MSCS » ni « Windows Server 2003 clustering services » mais « Windows Server Failover Clustering ». Failover Clustering permet de créer la redondance dans un réseau et d’éliminer les points uniques de défaillance. Les améliorations apportées aux clusters de basculement (anciennement connu sous le nom de clusters de serveurs) dans Windows Server 2008 sont destinées à simplifier les grappes, les rendant plus sécuritaire, ainsi que de renforcer la stabilité du cluster.

B.Les clusters et outils

Cluster Validation Toolles commandes nécessaires à gérer les actions de cluster  : Small Computer System Interface (SCSI).

Installation de cluster

Après l’utilisation du cluster validation tool, et que la configuration a été validée par cet outils, l’installation est plus rapide et permet une configuration de cluster en une étape . L’installation de cluster est entièrement scriptable, ce qui permet aux administrateurs d’automatiser les déploiements de cluster.

Migration ClusterWINS, et supporte des configurations de réseau les plus courantes.

Une interface modifiée a permis une meilleure gestion du cluster : plus rapide et plus intuitive . Il y a 2 manières de gérer un cluster: en ligne de commande ou en utilisant le WMI (Windows Management Instrumentation) => la console de gestion. La création de vues personnalisées permet de gérer les dossiers partagés en cluster plus facilement et plus rapidement. Cela permet de voir par quel groupe un dossier partagé en cluster est accessible.

Cluster sauvegarde et de restauration Avec le Volume Shadow Copy Service, il est plus facile à sauvegarder et il est plus facile de restaurer les configurations de cluster.

Le quorum de cluster contient les paramètres de configuration pour l’ensemble du cluster. Avec Windows Server 2008 R2, vous pouvez configurer un cluster de sorte que la ressource quorum ne soit pas un point unique de défaillance en utilisant le jeu de nœud majoritaire ou un hybride du jeu de nœud majoritaire et le modèle de ressource de quorum.

= > Cette nouvelle implémentation des services de clustering supporte jusqu’à 16 nœuds sur un serveur équipé d’une architecture x64 (les architectures x86 et Itanium restent limitées à 8 nœuds).

L’assistant de configuration d’un nouveau cluster distingue quatre types d’implémentations :

1) Node Majority Quorum Configuration : Cluster avec quorum qui fonctionne avec une majorité de nœuds fonctionnels ou quorum MNS (pour Majority Node Set). Ce type de cluster reste en ligne tant qu’une majorité des nœuds le composant est opérationnelle. Ainsi, un cluster à 4 nœuds fonctionne tant que 3 nœuds sur 4 sont opérationnels (Si 2 nœuds tombent, il n’y a plus de majorité et le service ne fonctionne plus).

2) Node and Disk Majority Quorum Configuration: Même fonctionnement que la précédente, la seule différence est l’ajout d’un disque partagé (de type NAS ou SAN) qui servira de témoin qui agira comme un nœud dans le calcul de la majorité. Ce principe permet d’augmenter le niveau de tolérance aux pannes. En effet, un cluster à 4 nœuds restera en ligne tant que 2 des nœuds plus le disque partagé seront fonctionnels.

3) Node and File Share Majority Quorum Configuration: Cette configuration utilise un partage de fichiers en tant que témoin. Hormis cela, elle est identique à la précédente.

4) No Majority (Disk Only) Quorum Configuration : Cette configuration utilise un quorum partagé (c’est-à-dire stocké sur un support de stockage de type NAS ou SAN). Cette implémentation est la seule où le quorum n’est pas répliqué localement sur l’ensemble des nœuds ! Ce type de configuration n’implémente pas le principe de la majorité (un cluster à 4 nœuds reste fonctionnel tant qu’au moins un nœud est actif). Malheureusement ce système induit une unicité des données (si le support partagé est corrompu, le cluster est perdu !) et il devrait être de moins en moins utilisé dans les années à venir.

Stockage du clusterLes administrateurs peuvent exécuter des outils en mode maintenance pour vérifier, corriger, sauvegarder ou restaurer des disques plus facilement et avec moins de perturbations pour les clusters.

Cluster Network

L’amélioration du réseau permet d’inclure le protocole Ipv6 et le DNS (Résolution de noms) grâce à une simplification : il n’est plus obligatoire de posséder WINS et les émissions de noms NetBIOS . Cette amélioration concerne aussi la gestion des dépendances entre adresses IP et noms: Si l’une des adresses IP associées à un nom de réseau est disponible, le nom du réseau restera disponible. En raison de l’architecture de cluster partagé Volumes (CSV), il y a une meilleure tolérance au nœud de cluster qui affecte directement les machines virtuelles fonctionnant sur le cluster. L’architecture CSV met en œuvre un mécanisme, appelé I dynamique / O redirection, dans laquelle I / O peut être réacheminé au sein du cluster de basculement en fonction des disponibilités de connexion.

Cluster de sécuritéCela permet une disponibilité accrue pour les centres de données virtuelles. L’un des aspects les plus importants de tout centre de données est d’offrir la meilleure disponibilité possible pour les systèmes et applications. Les centres virtuels de données ne font pas exception à la nécessité d’une consolidation, de haute disponibilité et, surtout, des outils de gestion sophistiqués.Hyper-V dans Windows Server 2008 R2 inclut la fonctionnalité de migration Live, qui vous permet de déplacer une machine virtuelle entre deux serveurs de virtualisation hôte sans aucune interruption de service. Les utilisateurs connectés à la machine virtuelle sont transférés, vous remarquerez peut-être un léger ralentissement des performances pour quelques instants. Sinon, ils ne seront pas au courant que la machine virtuelle a été déplacée d’un ordinateur physique à un autre. Live Migration utilise le nouveau cluster partagé Volumes (CSV) au sein de fonctionnalité Failover Clustering sous Windows Server 2008 R2. Les volumes CSV permettent à plusieurs nœuds dans le cluster de basculement même d’accéder simultanément au même numéro d’unité logique (LUN).

Alors que les CSVs sont actuellement employées principalement pour Live Migration, leurs bénéfices s’étendront au-delà de ce scénario unique. D’une part, ils sont faciles à configurer en utilisant NTFS simple plutôt qu’un format propriétaire autre. Cela signifie que les administrateurs n’auront pas à reformater leurs SAN pour profiter de CSVs. Cela signifie aussi que les administrateurs auront plus de facilité à montrer seulement les utilisateurs d’un référentiel de données unique. Et enfin, les CSVs ne nécessitent pas de configuration et d’outils de gestion dédiés. Les administrateurs Windows Server (utilisé pour les outils de Windows Server 2008) peuvent continuer à utiliser ces mêmes consoles et ils vont simplement travailler avec CSVs dans R2.

C.

La capture d’écran ci-dessous utilise une console MMC à distance pour montrer le même disque et les volumes.

Description: C:\Users\lali\Desktop\m.jpg

Création d’une nouvelle machine virtuelle sur le nœud 1 Voici quelques captures d’écran montrant comment créer un Hyper-V Virtual Machine. Nous utilisons une technologie Hyper-V à distance de MMC pour l’accès nœud 1. Ce premier écran affiche une étape de la « New Virtual Machine Wizard » lorsque vous spécifiez l’emplacement de la configuration de la machine virtuelle.

Description: C:\Users\lali\Desktop\SNWD06.jpg

Haute disponibilité de la machine virtuelle

Ces captures d’écran montrent les étapes pour rendre la machine virtuelle hautement disponible. Nous utilisons à nouveau une MMC à distance (cette fois, le Failover Cluster Management MMC) pour se connecter au cluster (composé des deux Hyper-V nœuds). Ce premier écran affiche « Configuration d’un service ou l’application »

Ce deuxième screenshot nous montre le moment dans cet assistant du choix de la machine virtuelle existante sur le nœud 1.

Ce troisième screenshot montre l’état final, avec la machine virtuelle sur le nœud 1. On peut vérifier que la gestion du cluster de basculement via une console MMC à distance.

La dernière série de captures d’écran montre la façon de déplacer la machine virtuelle à partir du nœud 1 vers le nœud 2, en sélectionnant simplement l’option «Déplacer le service ou l’application vers un autre nœud». Cette opération démarre le processus d’enregistrement de l’état de la machine virtuelle sur le nœud 1, de déplacement des ressources vers le nœud 2 et de restauration de la machine virtuelle sur le nœud 2. Ce premier écran affiche les VM sauvées sur le nœud 1. Juste après la migration.

Ce deuxième screenshot montre le moment où le disque de cluster est déjà en ligne sur le nœud 2 et où la machine virtuelle est en cours de restauration.

Ce dernier screenshot montre la ligne VM sur le nœud 2, après que la migration soit terminée.

D.Un bon outil ?

Les principaux obstacles des clusters traditionnels étaient : leur complexité de configuration, de construction et de gestion. Ce qui engendrait le plus souvent des coûts plus élevés pour une société car cette difficulté de gestion des clusters entrainait la perte de la possibilité de faire des applications avec une haute disponibilité, car il était couteux de conserver les ressources administratives pour maintenir les grappes.

Pourquoi utiliser Windows Server Failover Clustering?

Car c’est sur ce système de clustering qui est la base de systèmes tels que Hyper-V* qui ne s’appuient que sur ce système. Ce système (Failover Clustering) offre la possibilité de faire des architectures permettant une très haute disponibilité et des performances accrues comparé à un serveur isolé.

La simplification et une meilleure rapidité des outils de diagnostiques du système (stockage, réseau) permettent une plus grande facilité pour un administrateur d’installer un cluster.

Le cluster live migration est un énorme avantage en termes de gain de temps et de performances, car les paramètres des clusters peuvent être « capturés » et copiés sur un autre cluster. Le temps de construction d’un nouveau cluster et de sa configuration est substantiellement réduit.

Cela permet aussi de gérer plus en profondeur des environnements contenant plusieurs réseaux, ce qui offre la possibilité d’appliquer des métriques aux réseaux, les clusters de basculement ont une meilleure tolérance aux pannes et permettent un basculement sur un autre réseau en cas d’indisponibilité.

Conclusion

Pour finir, nous pouvons dire qu’Active Directory est une technologie qui possède de nombreuses ressources pour satisfaire des infrastructures de différentes tailles et de manière rentable. ADDS est très pratique pour tout type d’infrastructure car ils simplifient grandement la gestion des utilisateurs, des ressources grâce notamment à la hiérarchisation des objets. C’est un outil sécurisé et plaira donc aux entreprises. ADCS permet de gérer les certificats de manière centralisée, hiérarchisée et de gérer un grand nombre de certificats afin de protéger de grosses quantités de données. ADFS permet un gain de temps précieux avec le système Single Sign On qu’il propose. Il peut s’intégrer parfaitement dans d’autres services Windows tels que Sharepoint et ADRMS. Ce dernier gère les permissions sur les fichiers utilisateurs. Nous pouvons également noter la présence de nouveaux groupes administrateur pour les audits. La console gagne en expérience utilisateur. ADLDS nous permet donc d’avoir un service d’annuaire pour les applications. Il est léger et stable. Ce service est basé sur le code de ADDS et permet une bonne interaction entre les services. La mise en place du cluster permet d’obtenir un gain de performance. Dans le sens ou on aura toujours de la disponibilité du service. On prévient ainsi les accidents et ainsi avoir un système fiable. La mise en place ce fait grâce avec une interface. Active Directory est moyen complet pour gérer son infrastructure d’utilisateur.