11/04/05
Mise à jour de Windows 2000 vers Windows 2003
Plus souple point de vue gestion des partitions, stockage.
Programme du cours:
1. Introduction à [[Windows]] Server 2003 2. Storage Management 3. DNS Server 4. Active Directory 5. New Administration Features 6. POP3 Server 7. NLB (network load balancing) Clustering 8. ASR (Automatic system recovery) 9. Useful tools 10. some command line tools 11. References
Durée de vie d'un OS: 4-5 ans (ventes + support)
Après 2000, ils sortaient la plateforme dot net server. Avant Gartner, ils ont vite sorti XP pour contrer l'avis de Gartner Group avant qu'il ne soit rendu public. Windows 2003 était mieux fini, avec enfin la sécurité en tête (ex: IIS 6 vs IIS 5), par défaut les ports sont fermés.
XP Pro vs XP Home
Intérêt:
Barettes de 4 Go: USD 4000 (avril 2004)
N.B: AD pour plus tard
N.B: ASR: Automatic system recovery:
avec 2003, on peut étendre des partitions basiques en CLI:
C:\>diskpart Microsoft DiskPart version 5.2.3790 Copyright (C) 1999-2001 Microsoft Corporation. On computer: DC11 DISKPART> list disk Disk ### Status Size Free Dyn Gpt -------- ---------- ------- ------- --- --- Disk 0 Online 17 GB 13 GB DISKPART> select disk 0 Disk 0 is now the selected disk. DISKPART> list partition Partition ### Type Size Offset ------------- ---------------- ------- ------- Partition 1 Primary 4001 MB 32 KB Partition 2 Primary 24 MB 4001 MB DISKPART> select volume 2 Volume 2 is the selected volume. DISKPART> extend size=80 DiskPart successfully extended the volume. DISKPART>
On va défragmenter en batch pour pouvoir le faire toutes les semaine:
defrag e: > c:\res_defrag.txt
Possible en Novel depuis v.5. En passant par un share, on peut restaurer des fichiers.
Pour une partition, on active le volume shadow copy. Un %age du disque est réservé à la copie. Tous les x temps, une copie des fichiers est stockée dans l'espace réservé. Cette copie est planifiée.
Avantages:
Désavantages:
Pour y accéder: Explorer → sélectionner le disque → Propriétés → onglet Shadow Copies
C'est donc utile pour les shares (puisque c'est sur les serveurs 2003 uniquement).
Sur les stations XP Pro et 2000 Pro (clients), il faut installer (par exemple, avec les GPOs):
\Windows\system32\clients\twclient\x86\twcli32.msi
Ensuite, le client peut récupérer la version précente une fois qu'on a fait tourner le service au moins une fois. Il suffit de sélectionner le fichier à restaurer → clic droit → propriétés → onglet
Exercice
Utilisé par exemple pour les home directories.
Liaison entre OS et espace de stockage de masse (HD: access direct + tape: séquentiel).
Si le disque est plein, le service sauve les vieux fichiers sur bande. Si un utilisateur requiert un fichier qui est sur bande, le service le retrouve (c'est plus lent).
13/04/05
* defragmenter * possible en ligne de commande -> scripting -> scheduling * diskpart * En 2000: spanned volume * disque en dynamique, pas en basique * problème: si un volume crashe, toute la partition est inaccessible * peut agrandir la partition avec espace sur d'autres disques physiques * volume shadow copy * backup de la dernière version des fichiers sur la même partition * remote storage * permet d' "agrandir" la partition avec tape * si plus de place sur le disque, les fichiers qui n'ont plus été accédés depuis longtemps vont sur la bande
Forwarder: on les défini dans un certain ordre. En 2000, résoud sur le premier DNS; si timeout, essaie 2e; si timeout, essaie 3e. En 2003, on peut faire du forwarding conditionnel: si tu veux une résolution pour toto.be, va sur tel DNS. ça permet d'éviter les timeouts et de spécifier des DNS locaux sans devoir passer par plusieurs machines.
Nouveau type de zone (après primaire, secondaire, ADI): la zone amputée.
Zone de type secondaire (pas de zones ADI, qui sont répliquées dans l'AD) qui contient le minimum d'information:
Elle est donc en read only (puisque secondaire, donc non-authoritative).
Pour ne pas trop diffuser d'information. Utile si on on délègue une partie de l'administration des DNS et que pour des raisons de sécurité, on ne veut pas divulger toute la topologie.
Avantage: modifiée automatiquement, mise à jour lors des zone transferts.
Dans une DMZ, on met des zones statiques.
Les stub zones sont utiles dans les grosses sociétés uniquement.
Quand en 2000 on réplique l'AD, elle contient l'ADI. Donc, tous les DC qui ne sont pas DNS ne sont pas concernés → trafic inutile.
Avec 2003, on peut choisir:
Il faut définir au niveau forêt et au niveau domaine.
En 2000, 2 modes:
N.B: on garde le PDC emulator même si pas de serveur NT pour:
En 2003, 4 modes niveau domaine:
En 2003, niveau forêt: elles contiennent les types de domaines suivants:
En 2003, ils le sont.
N.B: de forêt à forêt, les trusts ne sont pas transitifs. * on peut avoir jusqu'à 5000 sites (200 en 2000) * schema v.30 (2000 v.13) * Global Catalog: quand ajout d'attributs à référencer dans le GC, c'est différentiel (2000: reconstruit from scratch)
= relation d'approbation en français.
Les trusts qu'on a vu jusqu'ici sont dit “normaux”.
Il en existe 3 autres types:
On utilise la commande netdom trust pour créer ou détruire un trust Il y a aussi un wizard pour le faire.
Si je change le nom d'un domaine, je change sa position dans l'arbre (changement du suffixe). De même, les domaines en-dessous dans l'arborescence sont déplacés (ils suivent le domaine qui change)
gpfixup renomme les GPO pour que ça suive.
Il y a 15 étapes pour changer le nom d'un domaine.
Installer un serveur 2003. Faire une mise à jour du schema (version 14 →30).
Windows 2000 DC (il faut au moins le Service Pack 2):
Windows 2003 DC:
dcpromo
ipconfig /registerdns
D: cd i386 adprep /forestPrep c
<code>adprep /domainprep</code>
ipconfig /registerdns
dcpromo
nslookup Default Server: dc2k12.domain1.be Address: 10.10.3.102 > 10.10.3.101 Server: dc2k12.domain1.be Address: 10.10.3.102 Name: dc11.domain1.be Address: 10.10.3.101 > dc11.domain1.be Server: dc2k12.domain1.be Address: 10.10.3.102 Name: dc11.domain1.be Address: 10.10.3.101
changer une clef dans la base de registres du PDC: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\parameters → ajouter une valeur: type: REG_DWORD, value = 1
Si ce n'est pas fait, logon depuis une station Windows 2000 professional uniquement depuis 2003 (authentification).
Ensuite, on peut faire l'upgrade avec l'outil ADMT (installer admigration.msi) après avoir fait les actions préliminaires:
net user toto /random
net user toto /random >> C:\pass.txt
Créer un nouvel user dans l'AD:
net user titi /random >> C:\pass.txt
encrypted efs
Avec 2003, on peut encrypter le fichier et que plusieurs utilisateurs puissent le décrypter. Ceci est réalisé par le biais d'un serveur de certificats.
14 permissions de bases. fichier → click droit → properties → security → advanced:
On peut maintenant donner la propriété du fichier (ownership) à un utilisateur.
C'est quoi un réplicat? Copie du share sur un autre DC. file replication service = FRS FRS gère sa propre topologie de réplication On peut choisir entre:
S'appliquent sur des OU (machines ou utilisateurs) Nouveautés:
13/04/05
- Renommer un domaine: 15 étapes en mode texte, dont certaines sensibles: rebooter les member servers et les workstations 2 fois, upload du fichier XML depuis un member servers. En changeant le nom (le nom DNS donc), on change la topologie de la forêt (et tous les domaines “sous” le domaine renommé).
AD Users and Computers (view → advanced):
Serveur assez limité, surtout par rapport à Exchange.
Il faut activer des services: Start → Program → Control Panel → Add / Remove Programs → Add / Remove Windows components
Envoi d'email:
telnet dc11.domain1.be 25 HELO MAIL FROM: administrator@domain1.be RCPT TO: toto@domain1.be DATA ceci est un test d'envoi de mail sous POP3 de W2K3 SRV .
Réception d'email:
telnet dc1.domain1.be 110 USER carl@domain1.be +OK PASS carl1 +OK User successfully logged on STAT +OK 1 421 LIST +OK 1 messages (421 octets) 1 421 . RETR 1 +OK 421 octects Received: from ([10.10.3.102]) by dc11.domain1.be with Microsoft SMTPSVC(6.0.37 90.0); Thu, 14 Apr 2005 10:38:30 +0200 From: tamereenshort@domain0.be Bcc: Return-Path: tamereenshort@domain0.be Message-ID: <DC11PqhFahXOnmIQiax00000003@dc11.domain1.be> X-OriginalArrivalTime: 14 Apr 2005 08:38:42.0249 (UTC) FILETIME=[5CFD1390:01C540 CD] Date: 14 Apr 2005 10:38:42 +0200 hello carl, Maintenant je vois tout ; . QUIT
Avec Outlook Express Wizard → broadband email: toto@domain1.be incoming mail server: dc1.domain1.be pour se connecter: toto@domain1.be (pas toto)
telnet dc1.domain1.be 25
HELO MAIL FROM: dimitri@toto.be RCPT TO: carl@domain1.be DATA test .
telnet set LOCAL_ECHO
Le server smtp est-il un relais ouvert? Le formateur ne sait pas.
Activation: c'est installer, mais pas activé par défaut.
My Network Places → clic droit → properties → Local Area connexion → clic droit → properties → Onglet General → Network Load Balancing → cocher → properties → onglet Cluster Parameter
Ensuite, il faut aller ajouter l'IP dans Internet Protocol (~TCP/IP) → properties → advanced → onglet IP settings
Vérifier en console:
C:\>ipconfig /all Windows IP Configuration Host Name . . . . . . . . . . . . : dc11 Primary Dns Suffix . . . . . . . : domain1.be Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : domain1.be Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) 82559 Fast Ethernet LOM with Alert on LAN* Physical Address. . . . . . . . . : 02-BF-0A-0A-03-C5 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 10.10.3.199 Subnet Mask . . . . . . . . . . . : 255.255.255.0 IP Address. . . . . . . . . . . . : 10.10.3.101 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.10.3.250 DNS Servers . . . . . . . . . . . : 10.10.3.102 194.7.1.4
Il faut:
Start → All Programs → Accessoires → System Tools → Backup (pas démarrer en wizard)
Soft propriétaires pour faire des backups de données sous Windows: ARCServe ou Veritas Backup Exec.
2): Pour voir les GPO en plus complet dans un outil centralisé.
Une fois installé, c'est accessible depuis: Start → Administrative Tools → AD Users and Computers
3):
Utiliser la console AD Users and Computers depuis une workstation.