User Tools

Site Tools


formationsecurite:windows2003

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

formationsecurite:windows2003 [2013/01/30 17:52] (current)
Line 1: Line 1:
 +11/04/05
 +
 +Mise à jour de [[Windows]] 2000 vers [[Windows]] 2003
 +
 +Plus souple point de vue gestion des partitions, stockage.
 +
 +Programme du cours:
 +  1. Introduction à [[Windows]] Server 2003
 +  2. Storage Management
 +  3. DNS Server
 +  4. Active Directory
 +  5. New Administration Features
 +  6. POP3 Server
 +  7. NLB (network load balancing) Clustering
 +  8. ASR (Automatic system recovery)
 +  9. Useful tools
 +  10. some command line tools
 +  11. References
 +
 +
 +== Introduction ==
 +
 +=== Historique ===
 +
 +  * 02/2000: [[Windows]] 2000 Orienté client (Professional) / server (Server)
 +  * 10/2001: [[Windows]] XP Pro / Home
 +  * 09/2001: Gartner Group Security Advice: OS trop peu sécurisé: ((http://​www.theregister.co.uk/​2001/​09/​24/​ditch_microsoft_iis_now_says/​ Ditch Microsoft IIS now, says Gartner)) 24/09/2001
 +  * 04/2003: [[Windows]] Server 2003
 +
 +Durée de vie d'un OS: 4-5 ans (ventes + support)
 +
 +Après 2000, ils sortaient la plateforme dot net server.
 +Avant Gartner, ils ont vite sorti XP pour contrer l'avis de Gartner Group avant qu'il ne soit rendu public.
 +[[Windows]] 2003 était mieux fini, avec enfin la sécurité en tête (ex: IIS 6 vs IIS 5), par défaut les ports sont fermés.
 +
 +
 +=== Versions ===
 +  * Web Edition
 +    * pas d'AD (si web serveur craqué, accès à AD = connaît tout le réseau interne), serveur DHCP, serveur RIS, serveur fax, terminal server, 10 connections SMB simultanées maximum (internes), pas de CAL (client access licenses)
 +    * juste pour servir web
 +    * license: open license (pas de CD key) possible, ​
 +
 +
 +XP Pro vs XP Home
 +  * pas possible de rentrer dans un domaine (donc pas de GPO)
 +  * Standard (existait en 2000)
 +  * Enterprise (existait en 2000)
 +  * Data Center (existait en 2000)
 +
 +=== Clustering ===
 +Intérêt:
 +  * puissance de calcul
 +  * disponibilité en cas en plantage, il y a un relais qui est pris
 +
 +=== Hardware Support ===
 +
 +Barettes de 4 Go: USD 4000 (avril 2004)
 +
 +=== Non vu ===
 +  * IIS 6.0
 +  * intégration .NET CLR
 +  * config terminal services via GPO
 +  * securité wifi
 +
 +=== Vu ===
 +  * gestion stockage
 +  * DNS
 +  * AD
 +    * niveaux fonctionnels
 +    * rename du domaine
 +    * trusts
 +  * OFS
 +
 +
 +== Installation ==
 +
 +=== Planification ===
 +
 +N.B: AD pour plus tard
 +
 +  * drivers: nic (ok, pris en charge par l'OS), scsi (ok), vga (need)
 +  * partitionnement:​ HD: 4 Gb en NTFS
 +  * nom machine: DC11
 +  * workgroup
 +  * adresse réseau: 10.10.3.101/​24 (passerelle:​ 1
 +  * mot de passe administrateur
 +  * services par défaut
 +  * licence: CAL: per server
 +
 +N.B: ASR: Automatic system recovery:
 +  * F2 au boot:avec disque d'​installation 2003, disquette de boot, data (tape)
 +
 +
 +== Disk storage ==
 +
 +avec 2003, on peut étendre des partitions basiques en CLI:
 +
 +<​code>​C:​\>​diskpart
 +
 +Microsoft DiskPart version 5.2.3790
 +Copyright (C) 1999-2001 Microsoft Corporation.
 +On computer: DC11
 +
 +DISKPART>​ list disk
 +
 +  Disk ###  Status ​     Size     ​Free ​    ​Dyn ​ Gpt
 +  -------- ​ ---------- ​ ------- ​ ------- ​ ---  ---
 +  Disk 0    Online ​       17 GB    13 GB
 +
 +DISKPART>​ select disk 0
 +
 +Disk 0 is now the selected disk.
 +
 +DISKPART>​ list partition
 +
 +  Partition ###  Type              Size     ​Offset
 +  ------------- ​ ---------------- ​ ------- ​ -------
 +  Partition 1    Primary ​          4001 MB    32 KB
 +  Partition 2    Primary ​            24 MB  4001 MB
 +
 +DISKPART>​ select volume 2
 +
 +Volume 2 is the selected volume.
 +
 +DISKPART>​ extend size=80
 +
 +DiskPart successfully extended the volume.
 +
 +DISKPART></​code>​
 +
 +On va défragmenter en batch pour pouvoir le faire toutes les semaine:
 +  * créer un fichier C:​\defrag.bat
 +  * y mettre:
 +    <​code>​defrag e: > c:​\res_defrag.txt</​code>​
 +  * tester en lancant depuis Start -> run... -> C:​\defrag.bat
 +  * ca marche pas parce que le .bat a le nom d'une commande
 +  * renommer defrag.bat en def.bat
 +  * ajouter le cron: Start -> Control Panel -> Scheduled Task -> add scheduled task
 +  * suivre le wizard
 +
 +=== Volume shadow copy ===
 +Possible en Novel depuis v.5.
 +En passant par un share, on peut restaurer des fichiers.
 +
 +Pour une partition, on active le volume shadow copy.
 +Un %age du disque est réservé à la copie.
 +Tous les x temps, une copie des fichiers est stockée dans l'​espace réservé.
 +Cette copie est planifiée.
 +
 +Avantages:
 +  * fichier sur le disque dur (pas sur tape -> plus rapide)
 +  * user peut faire le restore
 +  * simple
 +
 +Désavantages:​
 +  * augmenter les I / O
 +  * ça prend de la place
 +  * il n'y a que la dernière version du fichier
 +  * l'​espace VSC doit se trouver sur la même partition
 +  * min 100 Mo pour l'​espace VSC
 +
 +Pour y accéder: Explorer -> sélectionner le disque -> Propriétés -> onglet Shadow Copies
 +
 +C'est donc utile pour les shares (puisque c'est sur les serveurs 2003 uniquement).
 +
 +Sur les stations XP Pro et 2000 Pro (clients), il faut installer (par exemple, avec les GPOs):
 +<​code>​\Windows\system32\clients\twclient\x86\twcli32.msi</​code>​
 +
 +Ensuite, le client peut récupérer la version précente une fois qu'on a fait tourner le service au moins une fois.
 +Il suffit de sélectionner le fichier à restaurer -> clic droit -> propriétés -> onglet ​
 +
 +Exercice
 +  * étendre la partition E: à 300 Mo
 +  * installer twcli32.msi sur la station [[Windows]] 2000
 +  * activer le VSC
 +  * créer un shared folder F:\IT
 +  * ajouter un fichier dans le share
 +  * dans explorer, sélectionner le disque E: -> clic droit -> propriétés -> onglet Shadow Copies -> Enable
 +  * faire une copie immédiatement:​ dans le même onglet -> create now
 +  * éventuellement:​ déployer twcli32.msi sur le client
 +  * se connecter en réseau sur le share: \\DC11\it
 +  * modifier le fichier
 +  * dans l'​explorer:​ sélectionner le fichier -> clic droit -> propriétés -> onglet Previous Versions
 +    * restaurer le fichier
 +    * faire une copie de la version précédente ailleurs sur le disque
 +
 +Utilisé par exemple pour les home directories.
 +
 +=== Remote storage ===
 +
 +Liaison entre OS et espace de stockage de masse (HD: access direct + tape: séquentiel).
 +
 +Si le disque est plein, le service sauve les vieux fichiers sur bande. Si un utilisateur requiert un fichier qui est sur bande, le service le retrouve (c'est plus lent).
 +
 +13/04/05
 +
 +== Rappel ==
 +  ​
 +  * defragmenter
 +    * possible en ligne de commande -> scripting -> scheduling
 +  * diskpart
 +    * En 2000: spanned volume
 +      * disque en dynamique, pas en basique
 +      * problème: si un volume crashe, toute la partition est inaccessible
 +      * peut agrandir la partition avec espace sur d'​autres disques physiques
 +  * volume shadow copy
 +    * backup de la dernière version des fichiers sur la même partition
 +  * remote storage
 +    * permet d' "​agrandir"​ la partition avec tape
 +    * si plus de place sur le disque, les fichiers qui n'ont plus été accédés depuis longtemps vont sur la bande
 +
 +
 +== DNS ==
 +
 +Forwarder: on les défini dans un certain ordre.
 +En 2000, résoud sur le premier DNS; si timeout, essaie 2e; si timeout, essaie 3e.
 +En 2003, on peut faire du forwarding conditionnel:​ si tu veux une résolution pour toto.be, va sur tel DNS.
 +ça permet d'​éviter les timeouts et de spécifier des DNS locaux sans devoir passer par plusieurs machines.
 +
 +=== Stub zones ===
 +Nouveau type de zone (après primaire, secondaire, ADI): la zone amputée.
 +
 +Zone de type secondaire (pas de zones ADI, qui sont répliquées dans l'AD) qui contient le minimum d'​information:​
 +  * record NS de la zone primaire
 +  * record SOA de la zone primaire
 +  * record A du SOA
 +
 +Elle est donc en read only (puisque secondaire, donc non-authoritative).
 +
 +Pour ne pas trop diffuser d'​information.
 +Utile si on on délègue une partie de l'​administration des DNS et que pour des raisons de sécurité, on ne veut pas divulger toute la topologie.
 +
 +Avantage: modifiée automatiquement,​ mise à jour lors des zone transferts.
 +
 +Dans une DMZ, on met des zones statiques.
 +
 +Les stub zones sont utiles dans les grosses sociétés uniquement.
 +
 +=== Selective ADI Zones Replication ===
 +
 +Quand en 2000 on réplique l'AD, elle contient l'ADI. Donc, tous les DC qui ne sont pas DNS ne sont pas concernés -> trafic inutile.
 +
 +Avec 2003, on peut choisir:
 +  * tous les DNS dans la forêt du domaine
 +  * tous les DNS du domaine
 +  * comme en 2000: tous les DC dans le domaine
 +
 +
 +== Active Directory ==
 +
 +=== Functional levels ===
 +Il faut définir au niveau forêt et au niveau domaine.
 +
 +En 2000, 2 modes:
 +  * mixed: BDC (AD pas plus de 40 Mo) NT et DC 2000
 +  * native: que des DC en 2000
 +
 +N.B: on garde le PDC emulator même si pas de serveur NT pour:
 +  * GPO
 +  * réplication préférentielle des mots de passe
 +
 +En 2003, 4 modes niveau domaine:
 +  * [[Windows]] 2000 mixed: NT4 BDC, 2000, 2003: pas d'​historique des SID, pas d'​universal group (que distribution,​ utilisé comme mailing lists)
 +  * [[Windows]] 2000 native: 2000, 2003: comme [[Windows]] 2000
 +  * [[Windows]] Server 2003 interim: NT4 BDC, 2003: quand on fait upgrade depuis NT4
 +  * [[Windows]] Server 2003: 2003: on peut renommer les domaines
 +
 +En 2003, niveau forêt: elles contiennent les types de domaines suivants:
 +  * [[Windows]] 2000: 2000 mixed / native, 2003
 +  * [[Windows]] Server 2003 interim: [[Windows]] Server 2003 interim
 +  * [[Windows]] Server 2003: [[Windows]] Server 2003
 +
 +==== Nouveautes ====
 +  * En 2000, les trusts de domaines de forêt à forêt n'​étaient pas transitifs.
 +  En 2003, ils le sont.
 +  N.B: de forêt à forêt, les trusts ne sont pas transitifs.
 +  * on peut avoir jusqu'​à 5000 sites (200 en 2000)
 +  * schema v.30 (2000 v.13)
 +  * Global Catalog: quand ajout d'​attributs à référencer dans le GC, c'est différentiel (2000: reconstruit from scratch)
 +
 +=== Trusts ===
 += relation d'​approbation en français.
 +
 +=== types de trusts ===
 +Les trusts qu'on a vu jusqu'​ici sont dit "​normaux"​.
 +
 +Il en existe 3 autres types:
 +  * shortcut: quand un user veut s'​identifier (avec Kerberos) sur une machine dans un autre domaine que le sien, il faut passer par les domaines entre les 2 domaines -> ça peut prendre du temps; on crée un trust shortcut entre les 2 domaines pour l'​authentification
 +  * forest: trust de forêt à forêt
 +  * realm: pour l'​authentification avec serveurs Unix
 +
 +On utilise la commande //netdom trust // pour créer ou détruire un trust
 +Il y a aussi un wizard pour le faire.
 +
 +=== Domain Rename ===
 +Si je change le nom d'un domaine, je change sa position dans l'​arbre (changement du suffixe). De même, les domaines en-dessous dans l'​arborescence sont déplacés (ils suivent le domaine qui change)
 +
 +gpfixup renomme les GPO pour que ça suive.
 +
 +Il y a 15 étapes pour changer le nom d'un domaine.
 +  * il faut une zone DNS dynamique pour accueillir le nouveau nom
 +  * faire un trust short-cut avec le nouveau parent
 +  * vérifier DFS
 +  * le renommage se fait depuis un member server
 +  * changer le fichier domainlist.xml
 +  * uploader le fichier
 +  * préparer et faire la mise à jour
 +  * rebooter 2 fois les member serveurs et les workstations
 +  * sur tous les DCs: changer le suffixe
 +  * mise à jour des GPO (avec gpfixup)
 +  * procédure de cleanup
 +
 +=== Integrer 2003 dans une AD 2000 ===
 +Installer un serveur 2003.
 +Faire une mise à jour du schema (version 14 ->30).
 +
 +
 +== Labo ==
 +
 +[[Windows]] 2000 DC (il faut au moins le Service Pack 2):
 +  * installer DNS
 +  * installer AD
 +  * configurer DNS: zones  dynamiques, virer root, configurer reverse zone, PTR
 + 
 +[[Windows]] 2003 DC:
 +  * pointer DNS sur DC [[Windows]] 2000
 +  * installer AD et rejoindre domain1.be
 +
 +=== [[Windows]] 2000 ===
 +  * installer le DNS: Add / Remove Program -> Add / Remove [[Windows]] Component -> Networking Services -> details -> DNS (cocher)
 +  * pointer sur soi-même pour les DNS: My Network Placess -> clic droit -> proprietes -> TCP / IP -> properties
 +  * installer l'AD:
 +    <​code>​dcpromo</​code>​
 +    * choisir nouveau domaine
 +    * choisir nouvel arbre
 +    * choisir nouvelle forêt
 +    * full DNS name for domain: domain1.be
 +    * nom netbios (pas changer): DOMAIN1
 +    * sauver les fichiers à l'​endroit par défaut pour NTDS et SYSVOL
 +    * laisser wizard installer et configurer DNS
 +    * compatible pre-windows (mode mixte)
 +    * entrer le mot de passe du restore mode
 +    * reboot
 +  * bidouillage DNS
 +    * Start -> Programs -> Administrative Tools -> DNS
 +    * verifer dans la forward lookup zone -> domaine1.be:​ records SOA, NS, A
 +    * Reverse lookup zone -> clic droit -> new zone -> ADI -> network id 10.10.3 -> OK
 +    * Reverse lookup zone -> clic droit -> proprietes -> onglet general -> allow dynamic update -> yes
 +    * Forward lookup zone -> clic droit -> proprietes -> onglet general -> allow dynamic update -> yes
 +    * Forward lookup zone -> clic droit -> proprietes -> onglet zone transfers -> décocher //zone transfers// (trou de sécurité)
 +    * Start -> run -> cmd
 +      <​code>​ipconfig /​registerdns</​code>​
 +    * Dans le subnet de la reverse lookup zone, vérifier qu'il y a un record PTR (pointer) qui a été ajouté
 +  * upgrade schema 2000 -> 2003
 +    * mettre le CD d'​installation de 2003 -> répertoire i386
 +      <​code>​D:​
 +cd i386
 +adprep /forestPrep
 +c</​code>​
 +      <​code>​adprep /​domainprep</​code>​
 +
 +=== [[Windows]] 2003 ===
 +  * pointer sur le DC 2000
 +    * My Network Places -> clic droit -> properties -> Local area connexion -> clic droit -> properties -> TCP / IP -> properties
 +      * mettre une IP fixe: 10.10.3.101
 +      * mettre l'IP du serveur 2000 comme DNS: 10.10.3.102
 +  * s'​enregistrer sur serveur 2000:
 +    <​code>​ipconfig /​registerdns</​code>​
 +  * installer l'AD
 +    <​code>​dcpromo</​code>​
 +    * additional domain controller for an existing domain
 +    * user name: administrator,​ password: password, domain: domain1.be
 +    * domain name: domain1.be
 +    * folder NTDS et SYSVOL par défaut
 +    * entrer le password pour restaurer l'AD
 +    * reboot
 +  * vérifier que DNS ok:
 +    <​code>​nslookup
 +Default Server: ​ dc2k12.domain1.be
 +Address: ​ 10.10.3.102
 +
 +> 10.10.3.101
 +Server: ​ dc2k12.domain1.be
 +Address: ​ 10.10.3.102
 +
 +Name:    dc11.domain1.be
 +Address: ​ 10.10.3.101
 +
 +> dc11.domain1.be
 +Server: ​ dc2k12.domain1.be
 +Address: ​ 10.10.3.102
 +
 +Name:    dc11.domain1.be
 +Address: ​ 10.10.3.101</​code>​
 +  * vérifier que l'AD OK en faisant une réplication
 +    * Start -> Programs -> Administrative Tools -> Active Directory Sites and Services
 +    * Sites -> Default-First-Site-Name -> Servers -> DC11 -> NTDS [[Settings]]
 +    * dans la fenêtre de droite -> sélectionner -> click droit -> Replicate Now
 +    * pareil avec DC12
 +    * vérifier dans les logs que OK: Start -> Programs -> Administrative Tools -> Event Viewer -> Directory Services
 +
 +
 +== Active Directory (suite) ==
 +
 +=== Migration NT4 vers 2003 ===
 +changer une clef dans la base de registres du PDC:
 +HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\parameters -> ajouter une valeur:
 +type: REG_DWORD, value = 1
 +
 +Si ce n'est pas fait, logon depuis une station [[Windows]] 2000 professional uniquement depuis 2003 (authentification).
 +
 +
 +
 +Ensuite, on peut faire l'​upgrade avec l'​outil ADMT (installer admigration.msi) après avoir fait les actions préliminaires:​
 +  * migration des groupes
 +  * migration des utilisateurs
 +  * migration des member servers et des stations de travail
 +  * application des ACLs (pour les shares, etc.)
 +
 +
 +== New Administration Features ==
 +
 +  * nouveau objets dans l'AD
 +  * password généré au hasard
 +  * multi-user EFS
 +  * NTFS
 +  * DFS
 +  * GPO
 +
 +=== Nouveau objets AD ===
 +
 +  * Inetorgperson:​ interopérabilité avec le service iPlanet Directory ​ Service.
 +  * MSMS queue alias: pour les objets qui risquent de changer de nom (pour la programmation?​)
 +
 +=== Generation de mots de passe aleatoires ===
 +
 +<​code>​net user toto /​random</​code>​
 +
 +<​code>​net user toto /random >> C:​\pass.txt</​code>​
 +
 +Créer un nouvel user dans l'AD:
 +  * Start -> Programs -> Administrative Tools -> [[Users]] and Computers -> domain1.be -> users -> clic droit -> new -> user
 +  * donner un full name et un logon -> password
 +  * réplication de l'AD
 +  <​code>​net user titi /random >> C:​\pass.txt</​code>​
 +
 +=== multi-user EFS ===
 +encrypted efs
 +
 +Avec 2003, on peut encrypter le fichier et que plusieurs utilisateurs puissent le décrypter.
 +Ceci est réalisé par le biais d'un serveur de certificats.
 +
 +=== NTFS ===
 +14 permissions de bases.
 +fichier -> click droit -> properties -> security -> advanced:
 +  * onglet permissions:​ on voit d'où sont héritées les permissions
 +    * onglet effective permissions:​ permet de voir pour le fichier sélectionné les permissions d'un utilisateur ou d'un groupe spécifié
 +
 +On peut maintenant donner la propriété du fichier (ownership) à un utilisateur.
 +
 +=== DFS ===
 +C'est quoi un réplicat?
 +Copie du share sur un autre DC.
 +file replication service = FRS
 +FRS gère sa propre topologie de réplication
 +On peut choisir entre:
 +  * ring: en anneau: si problème sur un, ça s'​arrête
 +  * full mesh: peer to peer, mais génère du trafic réseau
 +  * hub and spoke: en étoile
 +  * custom
 +
 +=== Group policy ===
 +S'​appliquent sur des OU (machines ou utilisateurs)
 +Nouveautés:​
 +  * configuration wifi pour [[Windows]] XP (preferred network)
 +  * restreindre les logiciels qui tournent sur les machines: on peut spécifier le chemin d'​applications et mettre disable / enable
 +  * Resultant set of policies: polices qui s'​appliquent sur cet OU
 +
 +13/04/05
 +
 +
 +== Rappel ==
 +  * DNS
 +    * forwarder conditionnel:​ forwarder en fonction de la zone DNS qu'on interroge.
 +    * stub zones: zone secondaire (lecture seule): copie qu'une partie de la zone sur le primaire: NS, SOA, A
 +    * Zone ADI peut être répliquée que sur les DCs qui sont serveurs DNS, sur les DCs de la forêt, du domaine -> économie de bande passante
 +  * Functional levels: 4 pour le domaine (2000 mixte, 2000 natif, 2003 interim, serveur 2003, 3 pour la forêt (). On ne peut pas augmenter le niveau d'une forêt tant que tous les domaines la composant n'ont pas ce niveau. Trusts: possibilité d'​avoir des forest to forest trust: les domaines de la forêt A font confiance aux domaine de la forêt B (et vice versa si c'est un two way trust). Cependant, il n'y a pas de transitivité inter-forêt.
 + - Renommer un domaine: 15 étapes en mode texte, dont certaines sensibles: rebooter les member servers et les workstations 2 fois, upload du fichier XML depuis un member servers. En changeant le nom (le nom DNS donc), on change la topologie de la forêt (et tous les domaines "​sous"​ le domaine renommé).
 +  * Renommer un DC: donne un nom secondaire, nom secondaire -> nom primaire (et vice versa), nom secondaire supprimé, publier le nouveau nom
 +  * On peut faire la réplication en CLI
 +  * Intégrer un serveur 2003 dans un domaine 2000 avec AD: il faut faire une mise à jour du schéma de l'AD sur tous les DCs en 2000.
 +  * Migration de NT4 vers 2003: mise à jour de la registry, lancer un exe pour exporter les mots de passe dans un fichier, autoriser l'​export des users et des shares, les ACLs, les GPOs. Ensuite, on peut utiliser l'​utilitaire MS pour faire la migration: ADMT (administrative domain migration tool).
 +  * nouveautés 2003
 +    * nouveaux objets AD
 +    * password générés au hasard
 +    * multi-user EFS
 +    * NTFS: d'où viennent les permissions (héritage),​ et on voit les permissions effectives (somme des permissions NTFS appliquées à l'​utilisateur sur un fichier ou un répertoire),​ on peut changer le propriétaire du fichier (ownership)
 +    * DFS: modification de la topologie de réplication
 +    * group policies
 +
 +=== GPOs ===
 +AD [[Users]] and Computers (view -> advanced):
 +  * nouvel OU (Gosselies)
 +    * sous-OU users: création d'une nouvelle policy (My Policy): click droit sur l'OU -> properties -> onglet Group Policy -> New
 +      *  disallow C:​\spywares\MySpyware.exe:​ il ne pourra plus être exécuter tant que la police s'​applique
 +      * vérification des policies qui s'​appliquent:​ all tasks -> Resultant set of Policy (Planning)...
 +        * wizard: -> simule les policies qui s'​appliquent à l'OU
 +          * pour voir d'où vient la GPO: click droit -> properties
 +      * sous-OU stagiaires:
 +      * sous-OU employes
 +    * sous-OU computers
 +
 +=== POP3 server ===
 +Serveur assez limité, surtout par rapport à Exchange.
 +
 +Il faut activer des services: Start -> Program -> Control Panel -> Add / Remove Programs -> Add / Remove [[Windows]] components
 +  * email services: tout sélectionner
 +  * application server: sélectionner ASP .net
 +  * POP3 Service: quand on compte un 
 +
 +Envoi d'​email:​
 +<​code>​telnet dc11.domain1.be 25
 +HELO
 +MAIL FROM: administrator@domain1.be
 +RCPT TO: toto@domain1.be
 +DATA
 +ceci est un test d'​envoi de mail sous POP3 de W2K3 SRV
 +.
 +</​code>​
 +
 +[[R]]éception d'​email:​
 +<​code>​telnet dc1.domain1.be 110
 +USER carl@domain1.be
 ++OK
 +PASS carl1
 ++OK User successfully logged on
 +STAT
 ++OK 1 421
 +LIST
 ++OK 1 messages (421 octets)
 +1 421
 +.
 +RETR 1
 ++OK 421 octects
 +Received: from  ([10.10.3.102]) by dc11.domain1.be with Microsoft SMTPSVC(6.0.37
 +90.0);
 +         Thu, 14 Apr 2005 10:38:30 +0200
 +From: tamereenshort@domain0.be
 +Bcc:
 +Return-Path:​ tamereenshort@domain0.be
 +Message-ID: <​DC11PqhFahXOnmIQiax00000003@dc11.domain1.be>​
 +X-OriginalArrivalTime:​ 14 Apr 2005 08:​38:​42.0249 (UTC) FILETIME=[5CFD1390:​01C540
 +CD]
 +Date: 14 Apr 2005 10:38:42 +0200
 +
 +hello carl,
 +Maintenant je vois tout
 +;
 +.
 +QUIT</​code>​
 +
 +Avec Outlook Express
 +Wizard -> broadband
 +email: toto@domain1.be
 +incoming mail server: dc1.domain1.be
 +pour se connecter: toto@domain1.be (pas toto)
 +
 +=== Exercice ===
 +  * DC en 2003: install POP3
 +    * Start -> Control Panel -> Add or Remove Programs -> Add / Remove [[Windows]] Components
 +      * sélectionne E-mail services
 +      * dans Application server, sélectionner ASP.NET
 +      * OK
 +    * Start -> Administrative Tools -> POP3 Services
 +    * sélectionner DC11 -> Action -> New -> Domain -> domain1.be
 +    * sélectionner domain1.be -> click droit -> new -> mailbox -> user: carl (cocher l'​ajout de l'​utilisateur dans l'AD), entrer mot de passe -> OK
 +  * DC en 2000: envoi de mail via [[telnet]]
 +    * Start -> run... -> cmd
 +      <​code>​telnet dc1.domain1.be 25</​code>​
 +        * dans [[telnet]] (parfois en mode aveugle:
 +      <​code>​HELO
 +MAIL FROM: dimitri@toto.be
 +RCPT TO: carl@domain1.be
 +DATA
 +test
 +.
 +</​code>​
 +    * si [[telnet]] en mode aveugle, pour le changer:
 +    <​code>​telnet
 +    set LOCAL_ECHO</​code>​
 +  * DC en 20003: lecture d'​email via outlook express
 +    * vérifier dans Start -> Administrative Tools -> POP3 Services que l'​email est arrivé pour le user carl
 +    * Start -> Programs -> Outlook Express
 +      * Wizard -> Connect to internet -> Connect to a broadband connexion that is always on -> OK
 +      * Wizard ​
 +        * Display Name: Carl Devos
 +        * E-mail address: carl@domain1.be
 +        * incoming mail server is a POP3 server, incoming mail server: dc11.domain1.be,​ outgoing: 10.10.100.30
 +        * account name: carl@domain1.be,​ password
 +      * cliquer sur l'​icône send / receive
 +      * cliquer sur la mailbox: local folders -> inbox
 +      * cliquer sur le message
 +
 +Le server smtp est-il un relais ouvert? Le formateur ne sait pas.
 +
 +
 +== NLB Clustering ==
 +
 +Activation: c'est installer, mais pas activé par défaut.
 +
 +My Network Places -> clic droit -> properties -> Local Area connexion -> clic droit -> properties -> Onglet General -> Network Load Balancing -> cocher -> properties -> onglet Cluster Parameter
 +  * IP Address: 10.10.3.197
 +  * Subnet mask: 255.255.255.0
 +  * Full Internet Name: cluster.domain1.be
 +  * mac address: par défaut
 +Ensuite, il faut aller ajouter l'IP dans Internet Protocol (~TCP/IP) -> properties -> advanced -> onglet IP settings
 +  * add IP address:
 +    * IP Address: 10.10.3.197
 +    * Subnet mask: 255.255.255.0
 +Vérifier en console:
 +<​code>​C:​\>​ipconfig /all
 +
 +Windows IP Configuration
 +
 +   Host Name . . . . . . . . . . . . : dc11
 +   ​Primary Dns Suffix ​ . . . . . . . : domain1.be
 +   Node Type . . . . . . . . . . . . : Unknown
 +   IP Routing Enabled. . . . . . . . : No
 +   WINS Proxy Enabled. . . . . . . . : No
 +   DNS Suffix Search List. . . . . . : domain1.be
 +
 +Ethernet adapter Local Area Connection:
 +
 +   ​Connection-specific DNS Suffix ​ . :
 +   ​Description . . . . . . . . . . . : Intel(R) 82559 Fast Ethernet LOM with Alert on LAN*
 +   ​Physical Address. . . . . . . . . : 02-BF-0A-0A-03-C5
 +   DHCP Enabled. . . . . . . . . . . : No
 +   IP Address. . . . . . . . . . . . : 10.10.3.199
 +   ​Subnet Mask . . . . . . . . . . . : 255.255.255.0
 +   IP Address. . . . . . . . . . . . : 10.10.3.101
 +   ​Subnet Mask . . . . . . . . . . . : 255.255.255.0
 +   ​Default Gateway . . . . . . . . . : 10.10.3.250
 +   DNS Servers . . . . . . . . . . . : 10.10.3.102
 +                                       ​194.7.1.4</​code>​
 +
 +
 +== ASR: Automatic system recovery ==
 +Il faut:
 +    * une disquette ASR
 +  * le CD d'​installation (appuyer sur F2 lors du boot)
 +  * et le backup des données
 +
 +Start -> All Programs -> Accessoires -> System Tools -> Backup (pas démarrer en wizard)
 +
 +Soft propriétaires pour faire des backups de données sous [[Windows]]:​ ARCServe ou Veritas Backup Exec.
 +
 +
 +== Tips and Tricks ==
 +
 +  * http://​www.windowsitpro.com/​
 +
 +
 +== Useful Tools ==
 +
 +((http://​www.microsoft.com/​windowsserver2003/​gpmc/​default.mspx Group Policy Management Console)):
 +Pour voir les GPO en plus complet dans un outil centralisé.
 +
 +Une fois installé, c'est accessible depuis: Start -> Administrative Tools -> AD [[Users]] and Computers
 +
 +((http://​www.microsoft.com/​downloads/​details.aspx?​FamilyID=0a91d2e7-7594-4abb-8239-7a7eca6a6cb1&​displaylang=en Remote Control Add-on for AD [[Users]] and Computers)):​
 +
 +Utiliser la console AD [[Users]] and Computers depuis une workstation.
 +
 +  * Installer sur le serveur
 +  * Installer rcontrol.exe dans C:\windows\
 +
 +
 +== Some command line tools usage ==
  
formationsecurite/windows2003.txt · Last modified: 2013/01/30 17:52 (external edit)