ZongoWiki

• 02/2000: Windows 2000 Orienté client (Professional) / server (Server)
• 10/2001: Windows XP Pro / Home
• 09/2001: Gartner Group Security Advice: OS trop peu sécurisé: ¹⁾ 24/09/2001
• 04/2003: Windows Server 2003

Durée de vie d'un OS: 4-5 ans (ventes + support)

Après 2000, ils sortaient la plateforme dot net server. Avant Gartner, ils ont vite sorti XP pour contrer l'avis de Gartner Group avant qu'il ne soit rendu public. Windows 2003 était mieux fini, avec enfin la sécurité en tête (ex: IIS 6 vs IIS 5), par défaut les ports sont fermés.

• Web Edition
  • pas d'AD (si web serveur craqué, accès à AD = connaît tout le réseau interne), serveur DHCP, serveur RIS, serveur fax, terminal server, 10 connections SMB simultanées maximum (internes), pas de CAL (client access licenses)
  • juste pour servir web
  • license: open license (pas de CD key) possible,

XP Pro vs XP Home

• pas possible de rentrer dans un domaine (donc pas de GPO)
• Standard (existait en 2000)
• Enterprise (existait en 2000)
• Data Center (existait en 2000)

Intérêt:

• puissance de calcul
• disponibilité en cas en plantage, il y a un relais qui est pris

Barettes de 4 Go: USD 4000 (avril 2004)

• IIS 6.0
• intégration .NET CLR
• config terminal services via GPO
• securité wifi

• gestion stockage
• DNS
• AD
  • niveaux fonctionnels
  • rename du domaine
  • trusts
• OFS

N.B: AD pour plus tard

• drivers: nic (ok, pris en charge par l'OS), scsi (ok), vga (need)
• partitionnement: HD: 4 Gb en NTFS
• nom machine: DC11
• workgroup
• adresse réseau: 10.10.3.101/24 (passerelle: 1
• mot de passe administrateur
• services par défaut
• licence: CAL: per server

N.B: ASR: Automatic system recovery:

• F2 au boot:avec disque d'installation 2003, disquette de boot, data (tape)

avec 2003, on peut étendre des partitions basiques en CLI:

C:\>diskpart

Microsoft DiskPart version 5.2.3790
Copyright (C) 1999-2001 Microsoft Corporation.
On computer: DC11

DISKPART> list disk

  Disk ###  Status      Size     Free     Dyn  Gpt
  --------  ----------  -------  -------  ---  ---
  Disk 0    Online        17 GB    13 GB

DISKPART> select disk 0

Disk 0 is now the selected disk.

DISKPART> list partition

  Partition ###  Type              Size     Offset
  -------------  ----------------  -------  -------
  Partition 1    Primary           4001 MB    32 KB
  Partition 2    Primary             24 MB  4001 MB

DISKPART> select volume 2

Volume 2 is the selected volume.

DISKPART> extend size=80

DiskPart successfully extended the volume.

DISKPART>

On va défragmenter en batch pour pouvoir le faire toutes les semaine:

• créer un fichier C:\defrag.bat
• y mettre:

defrag e: > c:\res_defrag.txt

• tester en lancant depuis Start → run… → C:\defrag.bat
• ca marche pas parce que le .bat a le nom d'une commande
• renommer defrag.bat en def.bat
• ajouter le cron: Start → Control Panel → Scheduled Task → add scheduled task
• suivre le wizard

Possible en Novel depuis v.5. En passant par un share, on peut restaurer des fichiers.

Pour une partition, on active le volume shadow copy. Un %age du disque est réservé à la copie. Tous les x temps, une copie des fichiers est stockée dans l'espace réservé. Cette copie est planifiée.

Avantages:

• fichier sur le disque dur (pas sur tape → plus rapide)
• user peut faire le restore
• simple

Désavantages:

• augmenter les I / O
• ça prend de la place
• il n'y a que la dernière version du fichier
• l'espace VSC doit se trouver sur la même partition
• min 100 Mo pour l'espace VSC

Pour y accéder: Explorer → sélectionner le disque → Propriétés → onglet Shadow Copies

C'est donc utile pour les shares (puisque c'est sur les serveurs 2003 uniquement).

Sur les stations XP Pro et 2000 Pro (clients), il faut installer (par exemple, avec les GPOs):

\Windows\system32\clients\twclient\x86\twcli32.msi

Ensuite, le client peut récupérer la version précente une fois qu'on a fait tourner le service au moins une fois. Il suffit de sélectionner le fichier à restaurer → clic droit → propriétés → onglet

Exercice

• étendre la partition E: à 300 Mo
• installer twcli32.msi sur la station Windows 2000
• activer le VSC
• créer un shared folder F:\IT
• ajouter un fichier dans le share
• dans explorer, sélectionner le disque E: → clic droit → propriétés → onglet Shadow Copies → Enable
• faire une copie immédiatement: dans le même onglet → create now
• éventuellement: déployer twcli32.msi sur le client
• se connecter en réseau sur le share: \\DC11\it
• modifier le fichier
• dans l'explorer: sélectionner le fichier → clic droit → propriétés → onglet Previous Versions
  • restaurer le fichier
  • faire une copie de la version précédente ailleurs sur le disque

Utilisé par exemple pour les home directories.

Liaison entre OS et espace de stockage de masse (HD: access direct + tape: séquentiel).

Si le disque est plein, le service sauve les vieux fichiers sur bande. Si un utilisateur requiert un fichier qui est sur bande, le service le retrouve (c'est plus lent).

13/04/05

* defragmenter
  * possible en ligne de commande -> scripting -> scheduling
* diskpart
  * En 2000: spanned volume
    * disque en dynamique, pas en basique
    * problème: si un volume crashe, toute la partition est inaccessible
    * peut agrandir la partition avec espace sur d'autres disques physiques
* volume shadow copy
  * backup de la dernière version des fichiers sur la même partition
* remote storage
  * permet d' "agrandir" la partition avec tape
  * si plus de place sur le disque, les fichiers qui n'ont plus été accédés depuis longtemps vont sur la bande

Forwarder: on les défini dans un certain ordre. En 2000, résoud sur le premier DNS; si timeout, essaie 2e; si timeout, essaie 3e. En 2003, on peut faire du forwarding conditionnel: si tu veux une résolution pour toto.be, va sur tel DNS. ça permet d'éviter les timeouts et de spécifier des DNS locaux sans devoir passer par plusieurs machines.

Nouveau type de zone (après primaire, secondaire, ADI): la zone amputée.

Zone de type secondaire (pas de zones ADI, qui sont répliquées dans l'AD) qui contient le minimum d'information:

• record NS de la zone primaire
• record SOA de la zone primaire
• record A du SOA

Elle est donc en read only (puisque secondaire, donc non-authoritative).

Pour ne pas trop diffuser d'information. Utile si on on délègue une partie de l'administration des DNS et que pour des raisons de sécurité, on ne veut pas divulger toute la topologie.

Avantage: modifiée automatiquement, mise à jour lors des zone transferts.

Dans une DMZ, on met des zones statiques.

Les stub zones sont utiles dans les grosses sociétés uniquement.

Quand en 2000 on réplique l'AD, elle contient l'ADI. Donc, tous les DC qui ne sont pas DNS ne sont pas concernés → trafic inutile.

Avec 2003, on peut choisir:

• tous les DNS dans la forêt du domaine
• tous les DNS du domaine
• comme en 2000: tous les DC dans le domaine

Il faut définir au niveau forêt et au niveau domaine.

En 2000, 2 modes:

• mixed: BDC (AD pas plus de 40 Mo) NT et DC 2000
• native: que des DC en 2000

N.B: on garde le PDC emulator même si pas de serveur NT pour:

• GPO
• réplication préférentielle des mots de passe

En 2003, 4 modes niveau domaine:

• Windows 2000 mixed: NT4 BDC, 2000, 2003: pas d'historique des SID, pas d'universal group (que distribution, utilisé comme mailing lists)
• Windows 2000 native: 2000, 2003: comme Windows 2000
• Windows Server 2003 interim: NT4 BDC, 2003: quand on fait upgrade depuis NT4
• Windows Server 2003: 2003: on peut renommer les domaines

En 2003, niveau forêt: elles contiennent les types de domaines suivants:

• Windows 2000: 2000 mixed / native, 2003
• Windows Server 2003 interim: Windows Server 2003 interim
• Windows Server 2003: Windows Server 2003

• En 2000, les trusts de domaines de forêt à forêt n'étaient pas transitifs.

En 2003, ils le sont.

N.B: de forêt à forêt, les trusts ne sont pas transitifs.
* on peut avoir jusqu'à 5000 sites (200 en 2000)
* schema v.30 (2000 v.13)
* Global Catalog: quand ajout d'attributs à référencer dans le GC, c'est différentiel (2000: reconstruit from scratch)

= relation d'approbation en français.

Les trusts qu'on a vu jusqu'ici sont dit “normaux”.

Il en existe 3 autres types:

• shortcut: quand un user veut s'identifier (avec Kerberos) sur une machine dans un autre domaine que le sien, il faut passer par les domaines entre les 2 domaines → ça peut prendre du temps; on crée un trust shortcut entre les 2 domaines pour l'authentification
• forest: trust de forêt à forêt
• realm: pour l'authentification avec serveurs Unix

On utilise la commande netdom trust pour créer ou détruire un trust Il y a aussi un wizard pour le faire.

Si je change le nom d'un domaine, je change sa position dans l'arbre (changement du suffixe). De même, les domaines en-dessous dans l'arborescence sont déplacés (ils suivent le domaine qui change)

gpfixup renomme les GPO pour que ça suive.

Il y a 15 étapes pour changer le nom d'un domaine.

• il faut une zone DNS dynamique pour accueillir le nouveau nom
• faire un trust short-cut avec le nouveau parent
• vérifier DFS
• le renommage se fait depuis un member server
• changer le fichier domainlist.xml
• uploader le fichier
• préparer et faire la mise à jour
• rebooter 2 fois les member serveurs et les workstations
• sur tous les DCs: changer le suffixe
• mise à jour des GPO (avec gpfixup)
• procédure de cleanup

Installer un serveur 2003. Faire une mise à jour du schema (version 14 →30).

Windows 2000 DC (il faut au moins le Service Pack 2):

• installer DNS
• installer AD
• configurer DNS: zones dynamiques, virer root, configurer reverse zone, PTR

Windows 2003 DC:

• pointer DNS sur DC Windows 2000
• installer AD et rejoindre domain1.be

• installer le DNS: Add / Remove Program → Add / Remove Windows Component → Networking Services → details → DNS (cocher)
• pointer sur soi-même pour les DNS: My Network Placess → clic droit → proprietes → TCP / IP → properties
• installer l'AD:

dcpromo

• choisir nouveau domaine
• choisir nouvel arbre
• choisir nouvelle forêt
• full DNS name for domain: domain1.be
• nom netbios (pas changer): DOMAIN1
• sauver les fichiers à l'endroit par défaut pour NTDS et SYSVOL
• laisser wizard installer et configurer DNS
• compatible pre-windows (mode mixte)
• entrer le mot de passe du restore mode
• reboot
• bidouillage DNS
• Start → Programs → Administrative Tools → DNS
• verifer dans la forward lookup zone → domaine1.be: records SOA, NS, A
• Reverse lookup zone → clic droit → new zone → ADI → network id 10.10.3 → OK
• Reverse lookup zone → clic droit → proprietes → onglet general → allow dynamic update → yes
• Forward lookup zone → clic droit → proprietes → onglet general → allow dynamic update → yes
• Forward lookup zone → clic droit → proprietes → onglet zone transfers → décocher zone transfers (trou de sécurité)
• Start → run → cmd

ipconfig /registerdns

• Dans le subnet de la reverse lookup zone, vérifier qu'il y a un record PTR (pointer) qui a été ajouté
• upgrade schema 2000 → 2003
• mettre le CD d'installation de 2003 → répertoire i386

D:
cd i386
adprep /forestPrep
c

    <code>adprep /domainprep</code>

• pointer sur le DC 2000
  • My Network Places → clic droit → properties → Local area connexion → clic droit → properties → TCP / IP → properties
    • mettre une IP fixe: 10.10.3.101
    • mettre l'IP du serveur 2000 comme DNS: 10.10.3.102
• s'enregistrer sur serveur 2000:

ipconfig /registerdns

• installer l'AD

dcpromo

• additional domain controller for an existing domain
• user name: administrator, password: password, domain: domain1.be
• domain name: domain1.be
• folder NTDS et SYSVOL par défaut
• entrer le password pour restaurer l'AD
• reboot
• vérifier que DNS ok:

nslookup
Default Server:  dc2k12.domain1.be
Address:  10.10.3.102

> 10.10.3.101
Server:  dc2k12.domain1.be
Address:  10.10.3.102

Name:    dc11.domain1.be
Address:  10.10.3.101

> dc11.domain1.be
Server:  dc2k12.domain1.be
Address:  10.10.3.102

Name:    dc11.domain1.be
Address:  10.10.3.101

• vérifier que l'AD OK en faisant une réplication
  • Start → Programs → Administrative Tools → Active Directory Sites and Services
  • Sites → Default-First-Site-Name → Servers → DC11 → NTDS Settings
  • dans la fenêtre de droite → sélectionner → click droit → Replicate Now
  • pareil avec DC12
  • vérifier dans les logs que OK: Start → Programs → Administrative Tools → Event Viewer → Directory Services

changer une clef dans la base de registres du PDC: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\parameters → ajouter une valeur: type: REG_DWORD, value = 1

Si ce n'est pas fait, logon depuis une station Windows 2000 professional uniquement depuis 2003 (authentification).

Ensuite, on peut faire l'upgrade avec l'outil ADMT (installer admigration.msi) après avoir fait les actions préliminaires:

• migration des groupes
• migration des utilisateurs
• migration des member servers et des stations de travail
• application des ACLs (pour les shares, etc.)

• nouveau objets dans l'AD
• password généré au hasard
• multi-user EFS
• NTFS
• DFS
• GPO

• Inetorgperson: interopérabilité avec le service iPlanet Directory Service.
• MSMS queue alias: pour les objets qui risquent de changer de nom (pour la programmation?)

net user toto /random

net user toto /random >> C:\pass.txt

Créer un nouvel user dans l'AD:

• Start → Programs → Administrative Tools → Users and Computers → domain1.be → users → clic droit → new → user
• donner un full name et un logon → password
• réplication de l'AD

net user titi /random >> C:\pass.txt

encrypted efs

Avec 2003, on peut encrypter le fichier et que plusieurs utilisateurs puissent le décrypter. Ceci est réalisé par le biais d'un serveur de certificats.

14 permissions de bases. fichier → click droit → properties → security → advanced:

• onglet permissions: on voit d'où sont héritées les permissions
  • onglet effective permissions: permet de voir pour le fichier sélectionné les permissions d'un utilisateur ou d'un groupe spécifié

On peut maintenant donner la propriété du fichier (ownership) à un utilisateur.

C'est quoi un réplicat? Copie du share sur un autre DC. file replication service = FRS FRS gère sa propre topologie de réplication On peut choisir entre:

• ring: en anneau: si problème sur un, ça s'arrête
• full mesh: peer to peer, mais génère du trafic réseau
• hub and spoke: en étoile
• custom

S'appliquent sur des OU (machines ou utilisateurs) Nouveautés:

• configuration wifi pour Windows XP (preferred network)
• restreindre les logiciels qui tournent sur les machines: on peut spécifier le chemin d'applications et mettre disable / enable
• Resultant set of policies: polices qui s'appliquent sur cet OU

13/04/05

• DNS
  • forwarder conditionnel: forwarder en fonction de la zone DNS qu'on interroge.
  • stub zones: zone secondaire (lecture seule): copie qu'une partie de la zone sur le primaire: NS, SOA, A
  • Zone ADI peut être répliquée que sur les DCs qui sont serveurs DNS, sur les DCs de la forêt, du domaine → économie de bande passante
• Functional levels: 4 pour le domaine (2000 mixte, 2000 natif, 2003 interim, serveur 2003, 3 pour la forêt (). On ne peut pas augmenter le niveau d'une forêt tant que tous les domaines la composant n'ont pas ce niveau. Trusts: possibilité d'avoir des forest to forest trust: les domaines de la forêt A font confiance aux domaine de la forêt B (et vice versa si c'est un two way trust). Cependant, il n'y a pas de transitivité inter-forêt.

- Renommer un domaine: 15 étapes en mode texte, dont certaines sensibles: rebooter les member servers et les workstations 2 fois, upload du fichier XML depuis un member servers. En changeant le nom (le nom DNS donc), on change la topologie de la forêt (et tous les domaines “sous” le domaine renommé).

• Renommer un DC: donne un nom secondaire, nom secondaire → nom primaire (et vice versa), nom secondaire supprimé, publier le nouveau nom
• On peut faire la réplication en CLI
• Intégrer un serveur 2003 dans un domaine 2000 avec AD: il faut faire une mise à jour du schéma de l'AD sur tous les DCs en 2000.
• Migration de NT4 vers 2003: mise à jour de la registry, lancer un exe pour exporter les mots de passe dans un fichier, autoriser l'export des users et des shares, les ACLs, les GPOs. Ensuite, on peut utiliser l'utilitaire MS pour faire la migration: ADMT (administrative domain migration tool).
• nouveautés 2003
  • nouveaux objets AD
  • password générés au hasard
  • multi-user EFS
  • NTFS: d'où viennent les permissions (héritage), et on voit les permissions effectives (somme des permissions NTFS appliquées à l'utilisateur sur un fichier ou un répertoire), on peut changer le propriétaire du fichier (ownership)
  • DFS: modification de la topologie de réplication
  • group policies

AD Users and Computers (view → advanced):

• nouvel OU (Gosselies)
  • sous-OU users: création d'une nouvelle policy (My Policy): click droit sur l'OU → properties → onglet Group Policy → New
    • disallow C:\spywares\MySpyware.exe: il ne pourra plus être exécuter tant que la police s'applique
    • vérification des policies qui s'appliquent: all tasks → Resultant set of Policy (Planning)…
      • wizard: → simule les policies qui s'appliquent à l'OU
        • pour voir d'où vient la GPO: click droit → properties
    • sous-OU stagiaires:
    • sous-OU employes
  • sous-OU computers

Serveur assez limité, surtout par rapport à Exchange.

Il faut activer des services: Start → Program → Control Panel → Add / Remove Programs → Add / Remove Windows components

• email services: tout sélectionner
• application server: sélectionner ASP .net
• POP3 Service: quand on compte un

Envoi d'email:

telnet dc11.domain1.be 25
HELO
MAIL FROM: administrator@domain1.be
RCPT TO: toto@domain1.be
DATA
ceci est un test d'envoi de mail sous POP3 de W2K3 SRV
.

Réception d'email:

telnet dc1.domain1.be 110
USER carl@domain1.be
+OK
PASS carl1
+OK User successfully logged on
STAT
+OK 1 421
LIST
+OK 1 messages (421 octets)
1 421
.
RETR 1
+OK 421 octects
Received: from  ([10.10.3.102]) by dc11.domain1.be with Microsoft SMTPSVC(6.0.37
90.0);
         Thu, 14 Apr 2005 10:38:30 +0200
From: tamereenshort@domain0.be
Bcc:
Return-Path: tamereenshort@domain0.be
Message-ID: <DC11PqhFahXOnmIQiax00000003@dc11.domain1.be>
X-OriginalArrivalTime: 14 Apr 2005 08:38:42.0249 (UTC) FILETIME=[5CFD1390:01C540
CD]
Date: 14 Apr 2005 10:38:42 +0200

hello carl,
Maintenant je vois tout
;
.
QUIT

Avec Outlook Express Wizard → broadband email: toto@domain1.be incoming mail server: dc1.domain1.be pour se connecter: toto@domain1.be (pas toto)

• DC en 2003: install POP3
  • Start → Control Panel → Add or Remove Programs → Add / Remove Windows Components
    • sélectionne E-mail services
    • dans Application server, sélectionner ASP.NET
    • OK
  • Start → Administrative Tools → POP3 Services
  • sélectionner DC11 → Action → New → Domain → domain1.be
  • sélectionner domain1.be → click droit → new → mailbox → user: carl (cocher l'ajout de l'utilisateur dans l'AD), entrer mot de passe → OK
• DC en 2000: envoi de mail via telnet
  • Start → run… → cmd

telnet dc1.domain1.be 25

• dans telnet (parfois en mode aveugle:

HELO
MAIL FROM: dimitri@toto.be
RCPT TO: carl@domain1.be
DATA
test
.

• si telnet en mode aveugle, pour le changer:

telnet
    set LOCAL_ECHO

• DC en 20003: lecture d'email via outlook express
  • vérifier dans Start → Administrative Tools → POP3 Services que l'email est arrivé pour le user carl
  • Start → Programs → Outlook Express
    • Wizard → Connect to internet → Connect to a broadband connexion that is always on → OK
    • Wizard
      • Display Name: Carl Devos
      • E-mail address: carl@domain1.be
      • incoming mail server is a POP3 server, incoming mail server: dc11.domain1.be, outgoing: 10.10.100.30
      • account name: carl@domain1.be, password
    • cliquer sur l'icône send / receive
    • cliquer sur la mailbox: local folders → inbox
    • cliquer sur le message

Le server smtp est-il un relais ouvert? Le formateur ne sait pas.

Activation: c'est installer, mais pas activé par défaut.

My Network Places → clic droit → properties → Local Area connexion → clic droit → properties → Onglet General → Network Load Balancing → cocher → properties → onglet Cluster Parameter

• IP Address: 10.10.3.197
• Subnet mask: 255.255.255.0
• Full Internet Name: cluster.domain1.be
• mac address: par défaut

Ensuite, il faut aller ajouter l'IP dans Internet Protocol (~TCP/IP) → properties → advanced → onglet IP settings

• add IP address:
  • IP Address: 10.10.3.197
  • Subnet mask: 255.255.255.0

Vérifier en console:

C:\>ipconfig /all

Windows IP Configuration

   Host Name . . . . . . . . . . . . : dc11
   Primary Dns Suffix  . . . . . . . : domain1.be
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : domain1.be

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) 82559 Fast Ethernet LOM with Alert on LAN*
   Physical Address. . . . . . . . . : 02-BF-0A-0A-03-C5
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 10.10.3.199
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.10.3.101
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.10.3.250
   DNS Servers . . . . . . . . . . . : 10.10.3.102
                                       194.7.1.4

Il faut:

• une disquette ASR
• le CD d'installation (appuyer sur F2 lors du boot)
• et le backup des données

Start → All Programs → Accessoires → System Tools → Backup (pas démarrer en wizard)

Soft propriétaires pour faire des backups de données sous Windows: ARCServe ou Veritas Backup Exec.

• http://www.windowsitpro.com/

²⁾: Pour voir les GPO en plus complet dans un outil centralisé.

Une fois installé, c'est accessible depuis: Start → Administrative Tools → AD Users and Computers

³⁾:

Utiliser la console AD Users and Computers depuis une workstation.

• Installer sur le serveur
• Installer rcontrol.exe dans C:\windows\