memoire corrigefin

Mémoire de fin de cycle

Ministère de l’Enseignement Supérieur Institut Supérieur d’Informatique

Et de la Recherche Scientifique et de Gestion des Affaires (MESRS) (SUPIGA)

MEMOIRE DE FIN DE CYCLE POUR L’OBTENTION DU

DIPLOME D’INGENIEUR DE CONCEPTION INFORMATIQUE

de l’Institut Supérieur d’Informatique et de Gestion des Affaires

(SUPIGA)

Option : Génie informatique

Thème : Mise en place d’un réseau d’entreprise sous

Windows 2008 server : Cas de l’ONG GRAADECOM

Présenté et soutenu par:

Amadou Bagayoko


1

Dédicace :

Je dédie ce travail à :

Mes très chers parents, que nulle dédicace ne peut exprimer mes sincères

sentiments, pour leur patience illimitée, leur encouragement contenu, leur

aide, en témoignage de mon profond amour et respect pour ses grands

sacrifices.

Mes chers frères : Sinaly, Aissata, Alima et Mariam pour leur grand amour et

leur soutien qu’ils trouvent ici l’expression de ma haute gratitude.


2

Remerciements:

Je souhaite adresser mes premiers remerciements à Monsieur Sidi Diallo et à

Monsieur Amadou Traoré pour avoir m’apporter leur confiance en me

proposant ce projet de mémoire de fin de cycle et pour la qualité de leur

enseignement durant ma formation.

Je remercie également Monsieur Issa Sidibé pour ces conseils, sa disponibilité

et surtout ces quelques phrases qu’il me disait m’ont permis d’avoir plus de

confiance et de faire plus pour l’avancement de mon mémoire.

Mes sincères reconnaissances à Madame Traoré Saïda Mounadeh pour

m’avoir aidé moralement pendant les moments difficile.

Je remercie Monsieur Allassane Diakité pour ces conseils, ces

encouragements et surtout sa disponibilité d’être toujours à l’écoute des

Etudiants.

Je remercie toute la promotion 2013 du cycle ingénieur que je souhaite pleins

de succès dans leurs vies professionnelles.

Mes vifs remerciements s’adressent également à tous les corps enseignant de

SUPIGA en général et ceux de la filière génie informatique particulièrement,

sans leurs efforts notre formation n’allait pas pu atteindre cette étape.

Enfin, je remercie toute ma famille pour son soutien et ses encouragements

durant mes années d’études. L’éducation qu’elle m’a prodigué m’a toujours

permis de faire face aux difficultés, de suivre mes rêves et de croire en la

réussite. Ce rapport vous est dédié ainsi qu’à tous ceux que j’ai oubliés.


3

Table des matières Introduction ........................................................................................................................................ 5

CHAPITRE I: GÉNÉRALITÉS ......................................................................................................... 6

1. Contexte du Projet de Mémoire ................................................................................................. 7

1.1 Présentation de l’ONG GRAADECOM : ................................................................................ 7

1.2 Organigramme de la structure .................................................................................................. 8

3.1 Etude de l’existant .................................................................................................................... 9

3.2 Analyse des besoins de GRAADECOM : .............................................................................. 10

3.3 Solution Technique ................................................................................................................ 11

3.4 Liste de Matériel et logiciel .................................................................................................... 11

4. L’architecture de la Topologie ancienne. ............................................................................. 13

4.1 Critique de l’ancienne topologie ............................................................................................ 13

4.2 Proposition d’une nouvelle topologie : .................................................................................. 14

4.1.1 Fonctions principales de cette topologie ............................................................................ 15

4.1.2 Fonctions contraintes........................................................................................................... 15

4.1.3 Avantage de ce modèle ....................................................................................................... 15

5. Partage du fichier et droit d’accès ....................................................................................... 16

5.1 Les Taches à effectuer : ........................................................................................................ 17

CHAPITRE II : ................................................................................................................................ 18

1. Le plan d’adressage : ................................................................................................................ 19

1.1 L’installation de Windows 2008 server : .................................................................................. 20

2. Configurations des rôles de Services................................................................................... 21

2.1 Installation d’Active Directory : .......................................................................................... 22

2.2 Le DNS (Domain Name System) : ...................................................................................... 22

2.3 Le DHCP (Dynamic Host Configuration Protocol) ............................................................... 23

3. La Configuration des Routeurs : .............................................................................................. 23

Partie III : la sécurité ........................................................................................................................ 24

1. Introduction : ............................................................................................................................ 25

1.1 Installation et configuration initiale d’ISA serveur 2004 : ..................................................... 25

1.1.1 Installation et Configuration initiale d’ISA server 2004 : ................................................... 26

2. La Configuration Initiale : .................................................................................................... 26

3. L’assistant modèle réseau ......................................................................................................... 26

4. Paramétrage du pare-feu ........................................................................................................... 30

Introduction: ................................................................................................................................. 30


4

5. Les éléments de stratégie: ........................................................................................................ 30

5.1 La création des Règles du Pare-feu ....................................................................................... 33

5.2 Ordre d'application des règles ............................................................................................... 34

5.3 Les règles de stratégie système .............................................................................................. 35

6. Exemple de configuration ........................................................................................................ 37

6.1 Interdire complètement l'accès à MSN Messenger .............................................................. 39

7. Mise en place d’un serveur VPN : ........................................................................................... 40

8. Synthèse du Mémoire et Conclusion : ..................................................................................... 41

Référence : ....................................................................................................................................... 43

Annexe : ........................................................................................................................................... 44


5

Introduction

La proposition de ce mémoire s’exerce dans le cadre d’élaboration d’un

projet de fin d’étude. Le projet dans son ensemble consiste à mettre en place

un réseau d’entreprise d’une ONG sous Windows 2008 server.

Institut Supérieur d’Informatique et de Gestion des Affaires (SUPIGA) à

travers sa formation Cycle d’ingénieur, forme des ingénieurs polyvalents dans

la spécialité Programmation, Réseau Télécoms, Réseau Informatique,

l’administrateur base de données, pouvant exercer dans différents secteurs

d’activités en informatiques.

Afin de s’engager au mieux dans la vie professionnelle, les étudiants de

SUPIGA doivent effectuer un stage d’assistant ingénieur, à mi-parcours de

leur dernière année d'études. Ce stage est censé apporter une expérience de

l’environnement de l’entreprise, confirmer les acquis durant la formation tout

en apportant et/ou en proposant de nouvelles solutions au sein de leur

organisme d'accueil.

Tout au long de ce mémoire nous procéderons tout d’abord à une présentation

détaillée de l’ONG GRAADECOM dans son environnement. Par la suite,

nous nous attèlerons à donner une description de la tâche accomplie dans le

cadre de ce mémoire, l’importance de mon travail dans ce mémoire ainsi que

les observations et les conclusions technique à tirer.


6

CHAPITRE I: GÉNÉRALITÉS


7

1. Contexte du Projet de Mémoire

GRAADECOM est un acteur dans le développement communautaire au

Mali, dont le siège est basé à SIKASSO. GRAADECOM compte aujourd'hui

plusieurs agences réparties sur l'étendue du territoire Malien.

GRAADECOM doit répondre à des contraintes fortes de sécurité et de

disponibilité de son système d'information pour ses clients, mais aussi à des

contraintes réglementaires majeures.

Pour répondre à ces besoins en terme d'infrastructures informatiques,

GRAADECOM a fait le choix de standardiser son infrastructure système et

réseau autour d'une architecture Microsoft Windows Serveur 2008 le tout

dans un environnement sécurisé. Disposant plus de 100 utilisateurs, la

solution mise en œuvre doit tenir compte de l'évolutivité du nombre

d'utilisateurs.

L'entreprise nous a donc confié la charge d'effectuer la refonte de

l'infrastructure système et réseau autour d'un domaine Microsoft Windows

Server 2008 Active Directory et la mise en œuvre d'une solution de

messagerie basée sur Microsoft Exchange Server 2007/2010. Il s'agit plus

précisément des prestations ci-dessous :

Fournir le matériel et les logiciels nécessaires pour la mise en œuvre de

la solution

Fournir une prestation de mise en œuvre

Former l'équipe technique de GRAADECOM

Fournir un accompagnement post déploiement de trois mois

1.1 Présentation de l’ONG GRAADECOM :

Le GROUPE DE RECHERCHES D’ACTIONS ET D’ASSISTANCE POUR

LE DEVELOPPEMENT COMMUNAUTAIRE (GRAADECOM) est une

Organisation Non Gouvernement qui intervient dans plusieurs secteurs de

développement entre autres : Education, Santé, Hygiène et Assainissement,

Agriculture, Micro-Finance et hydraulique.

Créer en 1997 elle compte aujourd’hui plus de 100 agents (permanents et

contractuels). Sont siège principal est basé à SIKASSO.


8

1.2 Organigramme de la structure

L’organigramme est la représentation schématique de l’organisation qui

donne une image exacte de la division du travail et indique au premier coup

d’œil quels postes existent dans l’organisation, comment ils sont groupés en

unités et comment l’autorité formelle circule entre eux (selon quels canaux

s’exerce la supervision directe). L’organigramme c’est le squelette de

l’organisation selon Van de VEN. Par rapport à la définition des organes et

leurs fonctions, l’organigramme de GRAADECOM se présente comme suit :


9

ADC (Agent de Développement Communautaire).

3.1 Etude de l’existant

Le parc informatique de l’entreprise L’entreprise dispose actuellement pour le local de Sikasso :

11 ordinateurs bureautiques

5 portables

Une photocopieuse

2 Scanners

Un Commutateur de 24 ports et un routeur Wifi

Conseil d’Administration

CA

Coordinateur

General CG Secrétaire

Chef de

département projet

/ programme

Chef de département

communication et

suivi – évaluation

Chef de département

administratif et

financier

ADC ADC ADC ADC

Assemblée Générale

(AG)


10

3 imprimantes dont :

1. Une imprimante pour le service comptable

2. Une imprimante pour le Directeur

3. Une imprimante pour le secrétariat.

L’entreprise veut que l’imprimante du secrétariat soit partagée entre tous les

autres utilisateurs de l’entreprise à l’exception du directeur et les agents de la

comptabilité.

L’imprimante du service comptabilité sera également partager sur le réseau

entre les différents membres de la comptabilité selon le niveau de

responsabilité.

Pour le local de Koutiala :

2 Bureautiques

2 portables

Une imprimante

Un routeur Wifi sur lequel les 2 ordinateurs sont directement reliés.

Pour le local de Bamako :

5 Bureautiques

4 portables

Une imprimante

Un commutateur de 16 ports et routeur wifi.

Un scanner

Il faut également compter la présence circonstancielle d’ordinateurs

portables apportés et utilisés par les stagiaires ou les visiteurs au sein du parc

informatique.

La Structure ne disposant pas de serveurs, cependant elle a un besoin assez

pesant de serveurs pour héberger un certain nombre de ressources pour

faciliter leur accès pour tous les utilisateurs selon les niveaux de

responsabilité.

Les matérielles d'interconnexion

Les équipements d’interconnexion représentent le cœur du réseau dans une

architecture.

S'ils sont mal dimensionnés, ils pourront avoir des effets négatifs sur le trafic

du réseau, pouvant entrainer la détérioration de celui-ci.

3.2 Analyse des besoins de GRAADECOM :

Puisque la structure est en évolution et grandissant :

Pour faciliter la Mise en place du réseau, on leur a fait la proposition

suivante tout en spécifiant ceux dont ils ont besoins. Ces besoins sont :

Administration de ses ressources informatiques dans un environnement

sécurisé et centralisé


11

Installation d'un service de messagerie pour faire communiquer tous les

employés de l'entreprise

Fournir des produits nécessaires à son bon fonctionnement

3.3 Solution Technique

Il existe beaucoup de solutions informatiques, mais leur mise en œuvre

nécessite un savoir faire. Les moyennes entreprises qui disposent souvent

seulement d'un consultant externe et dont les collaborateurs sont souvent

experts, mais pas nécessairement en informatique, se trouvent face à un défi

difficile. Comment exploiter les possibilités d'une solution informatique

moderne de manière efficace et rentable sans disposer en interne d'un

spécialiste qui puisse se consacrer entièrement à sa mission ?

Avec une intégration tout en un, qui couvre tous les domaines importants de

l'informatique, et qui se distingue par :

L'intégration étroite des composants qui la composent

Une utilisation particulièrement facile, qui ne requiert pas de

connaissances spéciales

Un potentiel de croissance intrinsèque

Un rapport prix prestations attrayant

Ce défi peut être relevé sans l’ombre d’une hésitation. C’est dans cette

optique que Microsoft Windows 2008 Server a été développé. Cette solution

complète permet aux moyennes entreprises de tirer parti des avantages de

l’intranet et d’internet, rapidement et simplement.

3.4 Liste de Matériel et logiciel

Quantité Désignation

1 Serveur d'administration

Serveur HP Proliant DL380 G6

Format : Rack 2U

Microprocesseur : Quad Core Intel Xeon 5540


12

Mémoire cache : 8 Mo 1.3

Chipset : Intel 5520

Mémoire : 8Go DDR3 ECC

Emplacement mémoire: 8 logements DIMM

Disque dur: 2 X 146 Go SAS Hot plug

Contrôleur Raid : Smart Array P410i/256, Raid 0, 1 et 5

Carte réseau : 4 X 10/100/1000 Gigabit NC382i

Lecteur optique : Graveur DVD

Ports : 04 USB, 01 Série, 04 RJ45, 01 Ilo 2

3 Serveur HP Proliant DL380 G6

Format : Rack 2U

Microprocesseur : Quad Core Intel Xeon 5540

Mémoire cache : 8 Mo 1.3

Chipset : Intel 5520

Mémoire : 8Go DDR3 ECC

Emplacement mémoire: 8 logements DIMM

Disque dur: 2 X 146 Go SAS Hot plug

Contrôleur Raid : Smart Array P410i/256, Raid 0, 1 et 5

Carte réseau : 4 X 10/100/1000 Gigabit NC382i

Lecteur optique : Graveur DVD

Ports : 04 USB, 01 Série, 04 RJ45, 01 Ilo 2

3 Routeur Types Cisco

Le système d’exploitation qui sera installé est Windows 2008 Server Edition

Standard.


13

4. L’architecture de la Topologie ancienne.

Schémas de l’architecture de la topologie ancienne de GRAADECOM

Dans l’ancienne topologie il n’ya pas de machine serveur installée dans

aucun des sites. Seules quelques machines de la structure sont connectées à

un commutateur de 24 ports. Ce dernier est connecté à un router TPlink qui a

seulement 4 ports. Cette structure n’est valable qu’à SIKASSO qui est le siège

principal de la structure et les autres machines bureautiques sont équipées de

carte Wifi pour qu’ils y soient connectés à l’internet. Dans les autres

structures il n’ya pas de connexion.

4.1 Critique de l’ancienne topologie

Le fait que la topologie soit en Etoile présente un défaut majeur. Le principal

défaut de cette topologie, c'est que si l'élément central ne fonctionne plus,

plus rien ne fonctionne : toute communication est impossible. Cependant, il

n'y a pas de risque de collision de données ;


14

Outre la topologie il n’y a pas de ressources partagées entre les utilisateurs de

l’entreprise.

Certains employés, s’ils ont besoin d’imprimer un fichier, ils sont obligés de

prendre leur fichier sur clé pour aller l’imprimer chez la secrétaire.

Les Inconvénients

Baisse de rentabilité de la production du personnel

Pas de sécurité au niveau des données

Plus de matériels à acheter par l’entreprise

Puisqu’ il n’ya pas de câblage digne de ce nom l’aspect esthétique de

la structure sera vilain.

Donc cette Structure n’est pas du tout rentable pour l’entreprise.

4.2 Proposition d’une nouvelle topologie :

L’objectif est d’expliquer l’importance de l’environnement client serveur

dans un environnement réseau et son importance pour la rentabilité des

travailleurs de l’entreprise.

La nouvelle topologie consiste à mettre en place trois (3) sous-réseaux qui

seront tous reliés entre eux par les routeurs.

Dans cette topologie chaque site sera configuré en tant que contrôleur de

domaine sauf que les deux (2) sites distants celui de Koutiala et Bamako

seront configurés en contrôleur de domaine en lecture seule en raison de leur

taille et la distance qui les séparent de l’administrateur. De plus puisque ces

sites n’ont pas assez d’utilisateurs pour le moment, donc pas besoin d’un

administrateur physiquement sur ces sites, ce qui va permettre à l’entreprise

de ce faire une économie par rapport au besoin des techniciens sur ces sites.

Pour un souci économique et pratique, nous n’allons pas réinvestir dans un

nouveau serveur DHCP. De plus nous voulons que nos sites distants puissent

communiquer entre eux. Pour ce faire les routeurs reliant les sites seront

configurés pour faire office d’agent relais.

Pour que ces trois (3) sites puissent échanger des informations nous allons

configurer les routeurs qui seront utilisés pour relier les sites.

Dans cette topologie nous avons un site principal et deux sites distants.


15

4.1.1 Fonctions principales de cette topologie

Le système doit permettre de centraliser les données

Le système doit assurer la continuité du travail des employés

Le système doit être sécurisé

4.1.2 Fonctions contraintes

L’installation du nouveau système ne doit pas perturber l’activité de

l’entreprise

Le système ne doit pas déranger les utilisateurs

4.1.3 Avantage de ce modèle

Le modèle client/serveur est particulièrement recommandé pour des

réseaux nécessitant un grand niveau de fiabilité, ses principaux atouts

sont :

Des ressources centralisées


16

Étant donné que le serveur est au centre du réseau, il peut gérer des ressources

communes à tous les utilisateurs, comme par exemple une base de données

centralisée, afin d'éviter les problèmes de redondance et de contradiction.

Une meilleure sécurité Car le nombre de points d'entrée permettant l'accès aux données est moins

important.

Une administration au niveau serveur Les clients ayant peu d'importance dans ce modèle, ils ont moins besoin

d'être administrés.

Un réseau évolutif Grâce à cette architecture il est possible de supprimer ou rajouter des clients

sans perturber le fonctionnement du réseau et sans modification majeure.

5. Partage du fichier et droit d’accès

L’entreprise se divise en 4 groupes :

1. Direction

2. Comptabilité

3. Département Projets/programmes

4. Département Communication Suivi-Évaluation

L’entreprise compte parmi ces employés :

Direction

Secrétaire Général (Directeur)

Secrétaire

Comptabilité

Responsable Administratif et Financier

Comptable

Aide Comptable

Département Projets/Programmes

Chargé EPC

Chargé Agriculture

Chargé Education

Département Communication et Suivi-Évaluation

Coordinateur Projets/Programmes


17

Chaque chargé de Programme gère des Agents de Développement

Communautaire (ADC) c'est-à-dire les agents de terrain.

5.1 Les Taches à effectuer :

Création des Comptes pour tous les utilisateurs de l’entreprise. Les

utilisateurs doivent changer de mot de passe au premier login.

Chaque utilisateur doit posséder un répertoire personnel et un profil errant.

Les profils et les répertoires personnels seront sauvegardés dans les

répertoires Users_Profils et Users_Personnels sur le serveur Principal.

De plus, la compagnie a besoin de 3 autres répertoires partagés (Projets,

Salaires et Programmes) qui seront accessibles pour les utilisateurs selon

les besoins suivants:

Les permissions doivent être attribuées aux groupes et non aux utilisateurs

sauf dans des cas spécifiques tel que le filtrage de permission :

• Tout le monde peut utiliser les applications du répertoire Projets sans

pouvoir les modifier.

• Tous les utilisateurs de votre domaine, sauf le directeur, peuvent juste

déposer des documents dans Programmes. Ils ne doivent pas être capables de

les modifier ni les supprimer. Le Directeur, quant à lui, peut déposer,

apporter des modifications et supprimer tous les documents de ce répertoire.

• Pour le service de la comptabilité, seul le Responsable Administratif

financier possède des droits de modification sur le répertoire Salaires, tous

les autres utilisateurs n’ont pas le droit de consulter le contenu de ce

répertoire.

• Chaque utilisateur a le droit de modification sur son répertoire personnel

sans être capable d’accéder aux répertoires des autres utilisateurs.

• Chaque utilisateur a le droit de modification sur son profil sans être capable

d’accéder aux profils des autres utilisateurs.

• L’administrateur a le full control sur tous les répertoires sauf le répertoire

Users_Profils.

• Les répertoires Users_Profils et Users_Personnels doivent être cachés.


18

CHAPITRE II :

INSTALLATION DE WINDOWS

2008 SERVER ET DÉPLOIEMENT

DES SERVICES


19

Cette partie sera consacrée à la mise en place de Windows 2008 serveur ainsi

que les déploiements des services de rôles.

1. Le plan d’adressage :

Puisque l’entreprise est en croissant, nous avons choisi une adresse de classe

B qui renferme plus d’hôte par rapport à une adresse de classe C.

L’adresse IP choisie est la suivante : 172.16.0.0 en slash 16 soit le masque

225.255.0.0

L’entreprise dispose de trois (3) sites donc trois sous réseaux selon les besoins

suivants :

Pour le LAN de Sikasso 200 hôtes

Pour le LAN de Bamako 100 hôtes

Pour le LAN de Koutiala 50 hôtes

Pour les liaisons serial 2 adresses IP utilisable

Pour obtenir les sous réseaux nous avons procédé au découpage de l’adresse

IP par la technique VLSM () : le résultat obtenu se trouve dans le tableau ci-

dessous :

ID Réseaux Adresse sous-

réseaux

Plage de

diffusion Plage d’adresse Masque décimal

Nombre

d’hôte

utilisable

LAN

SIKASSO 172.16.0.0 172.16.0.255

172.16.0.1

à

172.16.0.254

255.255.0.0 254

LAN

BAMAKO 172.16.1.0 172.16.1.127

172.16.1.1

à

172.16.1.126

255.255.255.0 126

LAN

KOUTIALA 172.16.1.128 172.16.1.191

172.16.1.129

à

172.16.1.190

255.255.255.128 61

Liaison

SKO-BKO 172.16.1.192 172.16.1.195

172.16.1.193

à

172.16.1.194

255.255.255.252 2

Liaison

SKO-KLA 172.16.1.196 172.16.1.199

172.16.1.197

à

172.16.1.198

255.255.255.252 2

Liaison

BKO-KLA 172.16.1.200 172.16.1.203

172.16.1.201

à

172.16.1.202

255.255.255.252 2

Liaison

Router-

ISA_SKO

172.16.1.204 172.16.1.207

172.16.1.205

à

172.1.16.206

255.255.255.252 2

Liaison

Router-

ISA_BKO

172.16.1.208 172.16.1.211

172.16.1.209

à

172.16.1.210

255.255.255.252 2

Liaison

Router

ISA_KLA

172.16.1.212 172.16.1.215

172.16.1.213

à

172.16.1.214

255.255.255.252 2


20

1.1 L’installation de Windows 2008 server :

Pour pouvoir installer le Windows 2008 servers, un certain nombre de

contrainte est exigé sur le choix du matériel (caractéristique du matériel) sur

lequel ont doit installer le produit.

Pour cela la configuration requise estimée pour Windows Server 2008 est

présentée ci-dessous. Si votre ordinateur ne possède pas la configuration

minimale requise, vous ne pourrez pas installer ce produit correctement. La

configuration requise réelle varie en fonction de la configuration de votre

système et des applications et fonctionnalités que vous installez.

Processeur

Les performances du processeur dépendent non seulement de la fréquence

d’horloge du processeur, mais également du nombre de cœurs de processeur

et de la taille du cache de processeur. La configuration requise en matière de

processeur pour ce produit est la suivante :

Configuration minimale : 1 GHz (pour processeurs x86) ou 1,4 GHz

(pour processeurs x64)

Configuration recommandée : 2 GHz ou plus rapide

Remarques

Un processeur Intel Itanium 2 est requis pour Windows Server 2008 pour les

systèmes Itanium.

RAM

La configuration requise en matière de mémoire RAM pour ce produit est la

suivante :

Configuration minimale : 512 Mo

Configuration recommandée : 2 Go ou plus

Configuration maximale (systèmes 32 bits) : 4 Go (pour

Windows Server 2008, Standard Edition) ou 64 Go (pour Windows

Server 2008, Édition Entreprise ou Windows Server 2008, Datacenter

Edition)

Configuration maximale (systèmes 64 bits) : 32 Go (pour

Windows Server 2008, Standard Edition) ou 2 To (pour Windows


21

Server 2008, Édition Entreprise, Windows Server 2008, Datacenter

Edition ou Windows Server 2008 pour les systèmes Itanium)

Notre configuration minimale étant requise nous pouvons procéder à

l’installation de notre produit.

L’installation de Microsoft Windows 2008 server se fait de plusieurs

façons.

Voir la procédure d’installation en annexe.

2. Configurations des rôles de Services

Nous allons configurer notre Windows 2008 server en installant le rôle des

services suivants :

Le service Active Directory (AD)

Le service Domaine Name Service (DNS)

Le service Dynamics Host Configuration Protocol (DHCP)

1.1 Active Directory

Active Directory est un annuaire d’entreprise, utilisé pour faciliter la

gestion des utilisateurs.

Il existe plusieurs types d’annuaire d’actif directory :

Les Services de domaine Active Directory (AD DS, Active Directory Domain

Services) présentent de nombreux avantages, notamment le fait de pouvoir

gérer des installations de toutes tailles, qu’elles soient composées d’un

serveur unique avec quelques centaines d’objets, ou de milliers de serveurs

avec plusieurs millions d’objets. Active Directory simplifie aussi grandement

le processus de recherche des ressources sur un grand réseau.

L’interface ADSI (Active Directory Services Interface) et le nouvel ADAM

(Active Directory Application Mode) introduit dans Windows Server 2003 R2,

permettent aux développeurs de créer des applications pouvant accéder aux

annuaires, donnant ainsi aux utilisateurs un point d’accès unique vers de

multiples annuaires, que ceux-ci s’appuient sur LDAP, NDS ou NTDS (NT

Directory Services).

Active Directory combine le concept Internet d’espace de noms et les services

d’annuaire du système d’exploitation. Cette combinaison permet d’unifier

plusieurs espaces de noms dans, par exemple, les environnements logiciels et

matériels hétérogènes des réseaux d’entreprise, même entre systèmes

d’exploitation différents. Compte tenu de sa capacité à regrouper des

annuaires différents dans un unique annuaire à usage général, Active


22

Directory diminue sensiblement les coûts induits par l’administration de

plusieurs espaces de noms.

Active Directory permet d’administrer, depuis un même emplacement, toutes

les ressources publiées : fichiers, périphériques, connexions d’hôte, bases de

données, accès web, utilisateurs, autres objets quelconques, services, etc.

Active Directory emploie le protocole DNS comme service de localisation,

organise les objets des domaines dans une hiérarchie d’unités

organisationnelles (OU, organizational unit) et permet de regrouper plusieurs

domaines au sein d’une arborescence. Il existe les concepts de contrôleur

principal de domaine (PDC) et de contrôleur secondaire de domaine (BDC).

Le rôle BDC est dorénavant rempli par le contrôleur de domaine en lecture

seule (RODC, Read-Only Domain Controller).

L’active Directory est bien plus qu’un simple annuaire.

2.1 Installation d’Active Directory :

Sur Windows 2008, l’installation de l’annuaire peut se lancer de deux façons

différentes de part son mode de fonctionnement différent de ses prédécesseurs

qui étaient 2000 et 2003. En effet, sur les versions antérieures, il fallait

exécuter depuis « Executer » du menu « Démarrer » la

commande « DCPROMO.EXE » qui lançait l’assistant d’installation Active

Directory. Cette solution est toujours opérationnelle sur 2008 cependant il est

possible désormais de passer au préalable par l’interface graphique.

DCPROMO reste cependant nécessaire pour configurer l’annuaire sous 2008

car le nouvel assistant n’installe que les fichiers et services nécessaires à AD

DS mais ne l’installe pas à proprement parler. En résumé, ca ne semble pas

servir à grande chose de prime abord à part perdre un peu plus de temps

cependant, le fait d'installer le rôle vous permettra entre autres d'utiliser des

outils comme DCDIAG.

De ce fait nous allons lancer le « gestionnaire de serveur » en cliquant sur

l’icône situé à côté de « Démarrer ». Nous pouvons également y accéder par

un clic droit sur « Ordinateur » depuis le menu « Démarrer » et choisir

l’option « Gérer ».

L’installation de l’Active Directory est présentée en annexe.

2.2 Le DNS (Domain Name System) :


23

Le DNS assure la résolution de nom d’hôte en adresse IP.

Le service DNS est essentiel pour le fonctionnement d’Active Directory et

repose en priorité sur lui pour localiser les ressources sur le réseau et être

localisé.

L’ors de l’installation d’AD, l’assistant détecte la présence du DNS et vous

propose le cas échéant de l’installer s’il n’est pas présent.

Une fois le service DNS installer il est nécessaire de le configurer pour qu’il

puisse effectuer la résolution de nom d’hôte en adresse IP et vis versa.

2.3 Le DHCP (Dynamic Host Configuration Protocol)

Le DHCP consiste à attribuer les adresses IP aux machines clientes de façon

automatique. Cela va permettre de simplifier le travail à l’administrateur

réseau.

3. La Configuration des Routeurs :

Les routeurs sont des équipements qui nous permettent de relier des réseaux

différents.

Nous allons configurer nos routeurs par l’implémentation d’un protocole de

routage dynamique. Les protocoles de routage dynamique s’adaptent

automatiquement aux modifications, sans qu’aucune intervention de

l’administrateur réseau ne soit nécessaire. Notre choix par rapport au

protocole de routage dynamique en général et particulièrement le protocole de

routage configuré ici c'est-à-dire le protocole de routage EIGRP s’explique

par rapport à notre choix pour la liaison d’agrégation et le type de routeur. Le

protocole de routage EIGRP est un protocole de routage intérieur à vecteur de

distance avancé développé par Cisco. En cas de panne de l’une des liaisons

nos données peuvent toujours transiter sur notre réseau du à la liaison

d’agrégation. De plus nous ferons la configuration de telle sorte que les

ordinateurs des sites distants puissent accéder à l’internet via le site principal.


24

Partie III : la sécurité


25

1. Introduction :

La sécurité au niveau de l’entreprise est un facteur incontournable pour les

entreprises. Pour sécuriser notre environnement notre choix a été porté sur le

ISA server (Internet and Accelerator Security). Nous allons utiliser la version

2004 pour plusieurs raison :

Une nouvelle interface graphique beaucoup plus ergonomique et

intuitive.

La configuration des règles du pare-feu a été entièrement revue par

rapport à la version 2000 notamment au niveau de l’ordre d’application

des règles.

Le paramétrage des règles de routage/NAT entre les différents réseaux

connectés au serveur ISA a été révolutionné grâce à la création d’un

assistant de configuration réseau qui permet de se décharger

totalement de cette opération et permet ainsi de se concentrer sur le

paramétrage des options liées à la sécurité.

De nouveaux filtres applicatifs ont été ajoutés ou modifiés. Par

exemple le filtre HTTP a été grandement remanié afin d’augmenter le

niveau de sécurité des applications web comme IIS, Exchange ou bien

encore Outlook.

Les possibilités au niveau de la surveillance (ou monitoring) ont été

développées en profondeur. Ainsi on pourra visualiser les journaux

(logs) et les sessions actives en temps réel, importer et exporter des

rapports au format HTML, tester la connectivité réseau,…

Le serveur VPN est dorénavant totalement intégré au serveur ISA et

son paramétrage en est d’autant plus facilité.

La possibilité d’importer et d’exporter la configuration du serveur

ISA au format XML.

1.1 Installation et configuration initiale d’ISA serveur

2004 :

L’installation d’ISA serveur (Internet and Accelerator Security serveur) exige

un certain nombre de contrainte pour pouvoir l’installer.

Voici les caractéristiques logicielles et matérielles requises pour exécuter ISA

Server 2004 :

processeur Pentium III 550 ou plus performant

256Mo de mémoire vive

un nombre de cartes réseaux et/ou modems adéquats


26

une partition ou un volume formaté avec le système de fichier NTFS

et disposant de 150Mo d’espace libre (bien entendu, si vous souhaitez

activer la mise en cache, il faudra disposer de plus d’espace).

un minium de deux interfaces réseau (carte réseau, modem RNIS,

modem ADSL,...)

Windows Server 2003 ou Windows 2000 Server SP4 (Attention :

Microsoft recommande l'installation du correctif en plus du Service

Pack 4)

Internet Explorer 6.0 ou supérieur

Pour notre cas nous allons installer ISA server 2004 sur Windows 2008

server.

1.1.1 Installation et Configuration initiale d’ISA server 2004 :

Nous allons présenter l’installation d’ISA serveur 2004 tout en faisant une

comparaison entre les versions 2000 et 2004.

L’installation d’ISA 2004 serveur est détails en annexe.

2. La Configuration Initiale :

Une fois l'installation terminée, six nouveaux services sont installés et

doivent être démarrés pour que le serveur fonctionne correctement.

Quatre de ces services concernent directement ISA Server :

Contrôle de Microsoft ISA Server : ce service est le service principal

d'ISA 2004. Il se révèle très utile pour arrêter/démarrer le service pare-

feu et le service Planificateur de tâches Microsoft ISA Server en une

seule opération.

Pare-feu Microsoft : ce service est le plus important, il gère toutes les

connexions faites au serveur, les règles du pare-feu, les règles de mise

en cache, ... S'il n'est pas démarré, aucune des fonctionnalités du

serveur n'est assurée (mise en cache, pare-feu et serveur VPN).

Planificateur de tâches Microsoft ISA Server : ce service permet de

planifier des rapports sur l'activité du serveur.

Espace de stockage Microsoft ISA Server : ce service gère

notamment le système de surveillance intégré à ISA Server et l'espace

mémoire nécessaire à la mise en cache.

3. L’assistant modèle réseau

L’une des principales améliorations au niveau de l'interface concerne la

configuration du NAT et/ou routage entre les différents réseaux

connectés au serveur ISA. En effet, un assistant très efficace est désormais


27

disponible pour mettre en place sans efforts administratifs les topologies

réseau classiquement utilisées sur un pare-feu. Il suffit de lancer l’assistant et

en 3 clics de souris, les règles qui permettent la communication entre les

différents réseaux reliés au serveur sont automatiquement paramétrées. Cinq

configurations sont prédéfinies voir le tableau ci-dessous:

• Pare-feu de périmètre

Dans cette configuration, le

serveur ISA est un hôte

bastion, c’est-à-dire un pare-

feu interconnectant un

réseau Privé à un réseau

public. C’est le scénario

classique en entreprise

lorsque l’on souhaite filtrer

l’accès à Internet.

• Périmètre en trois parties

Le serveur ISA possède trois

interfaces chacune connectée

à un sous réseau ou à un

réseau différent :

- la première est connectée

au réseau interne de

l’entreprise

- la seconde à un réseau

périphérique encore appelé

zone démilitarisée ou DMZ

(DeMilitarized Zone)

- la dernière à un réseau

public comme Internet.

Pare-feu avant

Dans ce scénario, le serveur

ISA est configurée pour être

le premier pare-feu d’un

réseau équipé de deux pare-

feu mis dos-à-dos. Le

serveur ISA est l’ordinateur

qui filtre les informations

circulant entre le réseau

périphérique (DMZ) et le

réseau public (ex. : Internet).


28

Pare-feu arrière

Dans ce scénario, le serveur

ISA est configurée pour être

le second pare-feu d’un

réseau équipé de pare-feu

dos-à-dos.

Le serveur ISA est

l’ordinateur qui filtre les

informations circulant entre

le réseau interne de

l’Entreprise et le réseau

Périphérique (DMZ).

Carte réseau unique Dans cette configuration,

ISA Server 2004 est

paramétré

pour assurer uniquement la

fonction de mise en cache

(serveur de Proxy). Il

fonctionne sur le même

réseau que le réseau interne

et ne peut faire ni routage, ni

serveur VPN, ni pare-feu.

On peut également noter qu’une configuration réseau peut être sauvegardée

au format XML ce qui permet de pouvoir la restaurer très rapidement. La

possibilité de pouvoir importer/exporter une configuration est d'ailleurs

disponible pour tous les types de paramètres du serveur (ensemble de réseaux,

règles de réseaux, règles de chaînage web, stratégies de pare-feu,

configuration des clients VPN, règles de cache, filtres,...).

Chaînage de pare-feu et chaînage web Le chaînage consiste à raccorder plusieurs serveurs ISA entres eux afin

d'optimiser au maximum l'utilisation de la bande passante réseau. Cette

fonctionnalité peut se révéler très utile dans le cas d'une entreprise possédant

un site principal et plusieurs sites distants comme dans notre cas. Il existe

deux types de chaînage sous ISA Server 2004 :

le chaînage web qui s'applique uniquement aux clients du Proxy web

le chaînage de pare-feu qui s'applique uniquement aux clients Secure

NAT et aux clients pare-feu

Considérons une entreprise possédant un site principal et deux sites distants

comme le cas de notre étude. Admettons que le site principal regroupe


29

environ 200 machines alors que les succursales en regroupent 50 chacune.

Toutes les machines clientes sont configurées en tant que clients du Proxy

web.

Chaque succursale contient un serveur ISA fonctionnant en tant que serveur

de proxy. Dans ce cas, il est possible d'accélérer grandement les performances

de la navigation web dans les sites distants de la manière suivante :

utiliser la connexion Internet locale pour les requêtes HTTP destinées à

des sites web français (c'est-à-dire des sites appartenant au domaine

DNS *.Fr)

rediriger toutes les autres requêtes vers les serveurs ISA du site

principal afin de bénéficier du fichier de cache de ce serveur qui doit

être plus conséquent et plus à jour étant donné le nombre de clients

appartenant au site principal.

Le chaînage web route (ou redirige) les demandes des clients du Proxy web

vers la connexion Internet locale, un autre serveur de Proxy situé en

amont ou bien directement vers un serveur HTTP. ISA Server 2004 permet

de définir des règles de chaînage web très flexible afin d'optimiser au

maximum les performances de la navigation et la charge réseau.

On peut par exemple rediriger les requêtes à destination d'une URL ou d'un

ensemble d'URL donné vers un serveur de Proxy spécifique.


30

Le chaînage de pare-feu redirige les demandes des clients SecureNAT et des

clients pare-feu vers la connexion Internet locale ou vers un autre serveur

ISA situé en amont. Il n'est pas possible de définir de règles précises en ce

qui concerne le chaînage de pare-feu.

4. Paramétrage du pare-feu

Introduction:

Nous allons maintenant faire le paramétrage du pare-feu du serveur ISA.

Dans la version 2004 du serveur ISA des nouveautés ont été apporté :

Interface et méthode de création des règles d'accès améliorées

Modification de l’ordre d’application des règles

Stratégie système

Remaniement des filtres d'application

5. Les éléments de stratégie:

A l’instar d’ISA 2000, on utilise des éléments de stratégie

définis préalablement afin de simplifier et de structurer la

création de règles d'accès pour le pare-feu mais aussi pour la

création de tous les autres types de règles existantes (règles de

mise en cache, règles de stratégie système,...)

Les différents types d’éléments sont :

Protocoles

Utilisateurs

Types de contenus

Planifications

Objets de réseau


31

Un certain nombre d’éléments existent par défaut ce qui évite à

l’administrateur de devoir tous les redéfinir. On peut créer et visionner les

éléments de stratégie dans l’ongle boîte à outils située dans le menu de la

fenêtre de droite (ce menu s’affiche si l’on sélectionne stratégie de pare-feu

dans l’arborescence).

Par défaut le nombre de protocoles préfinis est

impressionnant. Ils sont classés par groupe ce qui

facilite grandement les recherches. Ainsi si l'on

souhaite paramétrer une règle pour autoriser ou

refuser l'accès aux pages Web il faudra aller

chercher dans le conteneur Web qui contient

notamment les protocoles HTTP et HTTPS.

Cette classification se révèle très utile à l'usage. En

effet, cela évite de devoir faire des recherches sur

Internet lorsqu'on ne connaît pas le numéro de port

et/ou les plages de ports utilisées par une

application donnée. On peut citer quelques

dossiers intéressants :

VPN et IPSec qui permet d'autoriser l'accès VPN

(IKE, IPSec, L2TP, PPTP,...)

Terminal distant donne accès aux principaux

protocoles d'administration à distance (RDP, Telnet,

SSH,...)

Messagerie instantanée qui permet d'autoriser ou

d'interdire rapidement l'accès aux principales

applications (ICQ, AIM, MSN, IRC...)

L'onglet Utilisateurs permet de créer des groupes d'utilisateurs qui seront

utiles lors de la création des règles du pare-feu. La grande nouveauté à ce

niveau est la gestion des comptes contenus sur les serveurs RADIUS ou sur

les serveurs gérant l'authentification via le protocole SecureID en plus des

comptes de domaine Active Directory.


32

Un certain nombre de types de contenus existe par défaut, ce qui permet de

simplifier la création de règles sur les contenus.

On peut citer documents web, images, audio ou bien encore vidéo. Les

éléments de stratégie Types de contenus se révèlent très utiles pour permettre

à des utilisateurs de surfer tout en les empêchant de télécharger certains

fichiers (comme les vidéos par exemple).

Les deux planifications types présentes par défaut sont

Simplistes et devront être retouchées afin de correspondre

Aux horaires de votre entreprise. Il ne faudra pas hésiter ici à

Créer plusieurs autres planifications comme pause ou repas

Qui permettront de paramétrer des règles d'accès spécifiques à

Certains moments de la journée.

Les objets réseaux sont très importants pour le paramétrage des différentes

règles du serveur ISA. Les ensembles de réseaux et les réseaux sont crées

automatiquement lors de la sélection d'un modèle réseau. Par exemple si vous

choisissez le modèle pare-feu de périmètre les réseaux Interne, Externe,

Clients VPN et Clients VPN en quarantaine Seront ajoutés. Le réseau hôte

local est toujours présent, il représente le serveur ISA.

Le "réseau" clients VPN en quarantaine contient l'ensemble des clients VPN

dont la connexion a été refusée car leurs niveaux de sécurité n’étaient pas

satisfaisant. Cette mise en quarantaine des clients "non sécurisés" est une

nouveauté de la version 2004 d'ISA server.


33

Une autre catégorie d'objet de réseau intéressante est la possibilité de créer

des ensembles d'URL et des ensembles de noms de domaines. Cela va

permettre de bloquer ou d'autoriser certains sites ou certaines pages. Si le

nombre de sites web auquel nos utilisateurs doivent accéder est faible, il est

fortement recommandé de créer un élément de stratégie nommé sites autorisés

ce qui permettra à nos utilisateurs d’accéder uniquement à ces sites.

5.1 La création des Règles du Pare-feu

La création des règles du pare-feu a été modifiée. Voici les informations à

rentrer pour paramétrer une règle type sur un server ISA 2004.

Action Protocole Source/Destination Application Condition

-Refuser

-autoriser

-ensemble de

protocole

-port particulier

-ensemble de site

-ensemble de noms

de domaine

-plage d’adressages

IPs

-utilisateurs

- groupes

-personnalisée

-plages horaire

-type de

contenu

Cette nouveauté a le mérite de simplifier la configuration et la

compréhension car on n’a beaucoup moins de règles à paramétrer. Par

exemple pour autoriser l’accès à Internet avec ISA Server 2000 il faut


34

créer deux règles (une règle de site et de contenu pour autoriser l’accès vers

telle ou telle destination et une règle de protocoles pour autoriser les

protocoles HTTP et HTTPS) alors qu’ISA Server 2004 ne nécessite qu’une

seule règle pour arriver au même résultat.

L’onglet tâches contient l’ensemble des actions

réalisables pour paramétrer le pare-feu. On y

retrouve les possibilités s’appliquant aux règles

d'accès (création, édition, désactivation,

suppression), mais aussi tous les types de

publication (publication d’un serveur Web,

publication d’un serveur web sécurisé, publication

d’un serveur de messagerie, publication de serveur).

On peut de plus afficher, modifier, importer et

exporter les règles de la stratégie système. Ces

règles sont définies par automatiquement et

s'appliquent spécifiquement au serveur ISA qui

correspond au "réseau" hôte local. Ces règles

permettent par exemple au serveur ISA de joindre

un serveur DHCP ou un contrôleur de domaine.

Les règles de stratégie système sont donc

essentielles au bon fonctionnement du serveur ISA.

Le lien définir les préférences d'IP permet quand à

lui d'activer le routage IP et de paramétrer le filtre

d'options IP. Le filtre d'options IP permet

d'autoriser ou de refuser les paquets possédant des

options spécifiques.

Toutes les opérations d'importation et d'exportation utilisent le format

XML.

5.2 Ordre d'application des règles

Avec la nouvelle version, cette procédure complexe est remplacée par un

autre système.

Dorénavant, chaque règle possède un numéro et lorsqu’une requête

arrive au serveur, c’est la règle qui a le numéro le plus faible qui

s’applique. Ce système a le mérite d’être beaucoup plus simple à

comprendre que l’ancien et il est d’ailleurs repris en ce qui concerne

l’ensemble des règles que l’on peut créer avec ISA Server 2004 (règles de

translation d’adresse et de routage, règles de pare-feu, règles de cache,

…). Voici un exemple de règles que l’on peut paramétrer :


35

On note la présence d’une règle spécifique ne portant pas de numéro et

notée : «Dernier». Comme vous pouvez le voir sur la capture d’écran ci-

dessus, cette règle bloque tous les protocoles de toutes les sources vers

toutes les destinations. Elle est toujours située à la fin et possède donc la

priorité la plus basse.

5.3 Les règles de stratégie système

La stratégie système est un ensemble de règles qui permettent au serveur ISA

de joindre certains services réseau fréquemment utilisés. Au premier

abord, on pourrait considérer ces règles de stratégie système comme un trou

de sécurité. Cependant la plupart de ces règles autorisent juste la

communication entre l'hôte local et le réseau interne. En aucun cas, un

utilisateur externe ne peut accéder au serveur ISA ou bien au réseau de

l'entreprise via l'une de ces règles. Le but de Microsoft avec la stratégie

système est de trouver un bon compromis entre connectivité et sécurité.

Si la stratégie système n'existait pas, le serveur ISA ne pourrait

communiquer avec aucune autre machine. Ceci empêcherait notamment le

serveur ISA de réaliser les actions suivantes :

ouvrir une session sur le domaine

récupérer un bail DHCP

résoudre les noms de domaines pleinement qualifié en adresse IP etc.

Le scénario de l'installation à distance via une session Terminal Server

permet de bien se rendre compte de l'utilité de la stratégie système du point de

vu administratif. En effet, si la stratégie système n'existait pas, vous pourriez

installer ISA 2004 sur une machine distante, mais dès le lancement du service

pare-feu, la session Terminal Server serait immédiatement déconnectée

car le protocole RDP serait bloqué. Cela obligerait ensuite l'administrateur a

se déplacer sur le site distant pour créer une règle d'accès autorisant le

protocole RDP ce qui peut s'avérer contraignant si le site distant est situé à

6000 kilomètres !


36

Extrait des règles de stratégie système

Remarque : il y’a un assistant spécifique nommé Éditeur de stratégie

système. Il permet de désactiver toutes les règles de stratégie système, mais

aussi de les configurer. Voir la capture d’écran


37

L'éditeur de stratégie système est accessible à partir de l'onglet Tâches

Conclusion

Voici les points essentiels à retenir pour créer des règles d'accès sous ISA

Server 2004 :

La création des règles d'accès fait appel à des éléments de stratégie

Chaque règle est appliquée dans un ordre bien précis

Certaines règles sont présentent par défaut (stratégie système)

6. Exemple de configuration

Autoriser l'accès à Internet pour les clients du réseau interne Nous allons maintenant créer une règle autorisant l'accès à Internet (c'est-

à-dire au réseau externe dans cet exemple) pour tous les clients pare-feu du

réseau interne via les ports 21, 80,443 et 1863 (le port utilisé par MSN

Messenger pour la connexion et l'échange de messages).

Il faut commencer par donner le nom le plus explicite possible à la règle que

l'on souhaite créer. On doit ensuite sélectionner l'action à effectuer

(autoriser ou refuser). Si l'on sélectionne Refuser, la possibilité de rediriger

la requête vers une page web est offerte (cela permet de faire comprendre à

l'utilisateur que la page a été bloquée intentionnellement par le pare-feu et que

ce n'est donc pas un problème technique). Il faut choisir le ou les ports de


38

destination pour le(s)quel(s) la règle va s'appliquer. Dans notre exemple, tous

les protocoles sont prédéfinis (ce sont des éléments de stratégie présent par

défaut dans le serveur) et il suffit juste d'ajouter les protocoles nommés FTP,

HTTP et HTTPS à l'aide du bouton adéquat. Il est possible de définir quels

sont les ports sources à l'aide du bouton Ports... Dans notre exemple nous

laissons l'option par défaut qui autorise tous les ports sources (ainsi les clients

pourront accéder à des sites web et à des serveurs FTP quel que soit le logiciel

client utilisé).

L'étape suivante consiste à spécifier le réseau source et le réseau de

destination. Dans notre exemple, le réseau source correspond à Interne (le

réseau local de l'entreprise) et le réseau de destination correspond à Externe

(Internet).


39

Enfin on sélectionne les ensembles d'utilisateurs pour lesquels la règle

entrera en action.

Dans notre cas, le groupe nommé Tous les utilisateurs authentifiés est

retenu. Cependant, tous les groupes de sécurité définis dans le service

d'annuaire Active Directory peuvent être utilisé pour créer une règle plus fine.

Une fois l'assistant terminé, la règle est inopérante. Pour que qu'elle entre en

action il suffit de cliquer sur le bouton Appliquer qui apparaît au milieu de

l'interface de la console de gestion ISA.

6.1 Interdire complètement l'accès à MSN Messenger

A l'instar de Windows Messenger, MSN Messenger est une application de

messagerie instantanée permettant d'accroître grandement la productivité des

utilisateurs (chat, vidéoconférence, échange de fichiers aisé,...). Cependant

l'utilisation de ce logiciel en entreprise peut entraîner quelques dérives... Si

vous souhaitez empêcher certains utilisateurs de l'utiliser, plusieurs solutions

sont envisageables :

créer deux règles d'accès interdisant la communication avec le serveur

messenger.hotmail.com

configurer les clients pare-feu pour empêcher MSN Messenger

d'accéder au réseau

configurer le filtre HTTP pour bloquer l'application MSN Messenger

en analysant le paramètre adéquat

Chacune de ces méthodes présentent des avantages et des inconvénients.


40

7. Mise en place d’un serveur VPN :

Le Virtual Private Networking (VPN) consiste de mettre en place un système

qui permettra aux utilisateurs distants de ce connecté sur le site de

l’entreprise. Son objectif est de faire en sorte que les utilisateurs distant puisse

travailler en temps réel et l’importe où il se trouve.

Pour paramétrer les réseaux privés virtuels sous ISA serveur 2004, on se rend

dans la fenêtre de paramétrage des réseaux directement disponible dans

l’arborescence de la console du serveur ISA.

Cette fenêtre va permettre de mettre en place un serveur

VPN en quelques clics. En effet, lorsque l’on sélectionne une topologie réseau

avec l’assistant de configuration réseau, les paramètres du VPN sont

automatiquement réglés pour une mise en production rapide.

Ainsi lorsque l’on a choisi la topologie réseau pare-feu de périmètre, un

serveur VPN est configuré afin d’écouter les éventuelles requêtes faites sur la

carte réseau externe en utilisant le protocole PPTP et la méthode

d’authentification MS-CHAP V2.0. De plus le serveur VPN assigne les

adresses IP aux clients VPN en utilisant un serveur DHCP et accepte un

maximum de 5 connexions.

Pour rendre le serveur VPN fonctionnel lorsque l’on a choisi la topologie

réseau pare-feu de périmètre, il faut simplement activer le serveur VPN (qui

est paramétré automatiquement, mais pas activé) et choisir les groupes et/ou

les utilisateurs qui ont le droit de se connecter à distance.

Dans ISA serveur 2004 il y’a une fonctionnalité plus innovante qui permet de

ne pas ruiné les efforts de l’administrateur. Cette Fonctionnalité est la mise en

quarantaine des clients VPN.

La fonction de mise en quarantaine permet d'isoler les clients ne répondant

à certains critères dans un réseau spécifique nommé clients VPN en

quarantaine. Les critères de sélections doivent être définis dans un script qui

s'exécute après l'authentification des clients.

Ce script n'est pas fourni par Microsoft avec ISA Server et doit donc être

développé par l'administrateur ce qui offre une plus grande flexibilité. On

peut notamment créer un script vérifiant si le pare-feu du client est actif et si

son antivirus et son système sont à jour.


41

8. Synthèse du Mémoire et Conclusion :

En fin de partie de ce mémoire, j’ai voulu faire un bilan par rapport à

l’ensemble de mon travail, sa valeur, ce que j’ai pu faire, ce qui reste à faire.

Je donne aussi un petit bilan par rapport aux différents modules de ma

formation qui m’ont aidé à atteindre certains objectifs.

Mon sujet

J’ai trouvé le domaine du réseau très passionnant surtout l’administration sous

le Système Windows 2008 Server et les défis à relever dans un avenir proche.

Pour faciliter la communication, il a fallu que je m’adapte rapidement à la

méthodologie de travail de mon tuteur. Ce dernier m’a apporté beaucoup de

soutiens au niveau de la mise en place d’une architecture réseau très pratique

qui me fut une première et des outils d’aide au développement de mon projet.

L’administration sous 2008 serveur ma donné plus de goût au métier de

l’administrateur réseau, rigueur dans mes approches et plus de qualité

professionnelles.

Valeur de mon travail

On mesure le bon fonctionnement d’un réseau grâce à la disponibilité de

certaines informations et ressources et par la restriction et la protection

appliquées aux autres.

Windows Server 2008 offre à l’administrateur réseau des outils et

fonctionnalités qui lui permettent de satisfaire les besoins des utilisateurs, tout

en protégeant les informations sensibles stockées sur ou passant par le réseau.

Les « « Pourriels » », vers et virus sont devenu le quotient des internautes et

le cauchemar des administrateurs, Microsoft à lancé un logiciel phare Internet

and Accelerator server (ISA) concernant la sécurité qui a pour but de faciliter

le travail des administrateurs réseaux tout en renforçant la sécurité d’accès au

niveau de leur réseau grâce à la sécurité des environnements réseaux.

Ce qui explique notre choix par rapport à la mise en place de notre réseau

sous le Windows 2008 server et sa sécurisation sous le ISA server.

Ce qui reste à faire comme perspective :

Conception du site web pour la structure

Ebergement du site sur le serveur de l’entreprise qui est Windows 2008

server.

Bilan par rapport à ma formation


42

Contexte du Mémoire Module de Formation Contenu

Mise en place d’un

réseau informatique

moderne dans un

environnement sécurisé

Windows 2008 server

Preparation

Installation et

Configuration

Administration du

réseau

ISA serveur 2004 Installation et

configuration

Paramétrage du

Pare-feu

Exemple de

configuration

Implémentation de

la mise en cache

Microsoft Exchange

2010 Installation et

Configuration


43

Référence : WWW.developpez.com

www.Openclassroom.com

Windows server 2008 Volume 1: Charlie Russel & Sharon Crawford

http://www.developpez.com/

http://www.openclassroom.com/


44

Annexe :


45

Voici comment installer Windows Server 2008 sur un serveur vierge à l’aide

d’un DVD standard :

1. Mettez le serveur sous tension et insérez immédiatement le DVD Windows

Server 2008 de l’architecture à installer. Si le disque dur principal ne possède

pas de système d’exploitation amorçable, vous êtes automatiquement dirigé

vers le processus d’installation de Windows Server 2008. Si le disque contient

un système d’exploitation amorçable, le message Appuyez sur n’importe

quelle touche pour démarrer du CDROM ou du DVD-ROM s’affiche.

Dans ce cas, appuyez sur une touche.

2. Lorsque l’écran Installer Windows de la figure 5-1 apparaît, sélectionnez la

langue et les autres paramètres régionaux à employer avec cette installation.

3. Cliquez sur Suivant pour ouvrir la page de la figure 5-2. Vous pouvez

réparer une installation Windows Server 2008 endommagée ou afficher des

informations supplémentaires avant l’installation.


46

4. Cliquez sur Installer pour afficher la page Entrez votre clé de produit pour

activation de l’Assistant Installer Windows, comme le montre la figure 5-3.

Figure 5-3 Page Entrez votre clé de produit pour activation de l’Assistant

Installer Windows

5. Tapez la clé de produit de cette installation de Windows Server 2008.

6. Laissez cochée la case Activer automatiquement Windows quand je serai

en ligne, sauf si vous préférez décider quand activer le produit.

7. Cliquez sur Suivant pour afficher la page Sélectionnez l’édition de

Windows que vous avez achetée de l’Assistant Installer Windows, illustrée


47

par la figure 5-4. Si vous installez le produit sans saisir de clé de produit, la

liste des versions possibles est plus longue.

Figure 5-4 Sélectionnez l’édition de Windows que vous

avez achetée de l’Assistant Installer Windows

8. Choisissez entre Installation complète ou Installation Server Core. Ce choix

est irréversible : il est impossible de convertir ultérieurement une installation

complète en Server Core ou inversement. L’installation et la configuration de

Windows Server 2008 Server Core sont analysées au chapitre 9 du tome 1, «

Installation et configuration de Server Core ».

9. Cliquez sur Suivant pour afficher la page Veuillez lire le contrat de licence.

Cochez la case J’accepte les termes du contrat de licence. Vous n’avez pas le

choix : soit vous les acceptez, soit l’installation s’arrête.

10. Cliquez sur Suivant pour ouvrir la page Quel type d’installation voulez-

vous effectuer.

La seule possibilité que vous avez lorsque vous démarrez d’un DVD est

Personnalisée (Avancé). Sélectionnez alors cette option pour ouvrir la page

Où souhaitez-vous installer Windows de la figure 5-5.


48

Figure 5-5 Page Où souhaitez-vous installer Windows de l’Assistant Installer

Windows

11. Le premier disque de votre ordinateur est mis en évidence. Vous êtes libre

de sélectionner le disque de votre choix. Si le disque cible ne s’affiche pas,

chargez les pilotes requis en cliquant sur Charger un pilote. Cliquez sur

Options de lecteurs (avancées) pour obtenir d’autres options destinées à

repartitionner ou à formater le lecteur sélectionné.

12. Une fois que vous avez sélectionné le lecteur, cliquez sur Suivant pour

démarrer l’installation. Aucune invite ne s’affiche jusqu’à la fin de

l’installation. Vous êtes alors invité à saisir votre mot de passe pour le compte

Administrateur.

Remarque :

Le lecteur sélectionné par défaut à l’installation de Windows Server 2008 est

le premier lecteur énuméré par le BIOS. Vous pouvez en sélectionner un autre

si celui que vous voulez n’est pas sélectionné ou ajouter des pilotes pour

d’autres contrôleurs si le lecteur que vous voulez n’apparaît pas. Pour ceux

qui connaissent bien les versions précédentes de Windows, réjouissez-vous

d’apprendre que Windows Server 2008 propose enfin une prise en charge de

supports autres que la disquette pour charger les pilotes de stockage pendant

l’installation. Comme le montre la figure 5-6, il est possible de charger des

pilotes à partir de disquettes, CD, DVD ou lecteur flash USB.


49

Figure 5-6 Windows Server 2008 prend en charge le chargement de pilotes

de stockage à partir de disquette, disque optique ou lecteur USB.

Si vous devez modifier les partitions d’un lecteur, le formater ou même

l’étendre pour lui fournir de l’espace supplémentaire, cliquez sur Options de

lecteurs (avancées) pour afficher les options supplémentaires de gestion et de

configuration des disques pendant l’installation, comme le montre la figure 5-

7.

Figure 5-7 Des options de lecteurs avancées sont disponibles pendant l’installation

de Windows Server 2008.

Le processus d’installation de Windows Server 2008 propose une nouveauté

importante : la possibilité d’étendre une partition. S’il ne s’agit pas d’une

fonctionnalité importante dans les installations toutes nouvelles, elle se révèle

pratique si vous recyclez un ordinateur. Vous pouvez étendre une partition

avec de l’espace non alloué disponible du même disque.

Remarque Si vous devez ouvrir une fenêtre d’Invite de commandes pendant

le processus d’installation, appuyez sur les touches Maj+F10. Il est alors


50

possible d’exécuter manuellement Diskpart.exe ou n’importe quel autre outil

disponible et charger manuellement un pilote ou ajuster le partitionnement.

À la fin de l’installation, Windows Server 2008 redémarre et présente l’écran

d’ouverture de session. Vous devez saisir un nouveau mot de passe pour le

compte Administrateur, comme le montre la figure 5-8, puis ouvrir une

session sur le nouveau serveur.

Figure 5-8 Définition du mot de passe initial pour le compte Administrateur

Une fois que vous êtes connecté, l’Assistant Tâches de configurations initiales

s’affiche pour gérer la configuration de votre nouveau serveur.


51


52

Une fois le gestionnaire de serveur lancé, rendez-vous dans la section

« Rôles » à partir du menu situé sur la gauche. Nous devrions en avoir zéro

d’installé tel que cela est le cas dans cet exemple. Cliquons ensuite sur

« Ajouter des rôles » situé sur la fenêtre de droite ou sélectionner l’option

portant le même nom à l’aide d’un clique droit sur « Rôles » dans le menu de

gauche.

Nous arrivons sur « Assistant Ajout de rôles » qui propose en premier lieu de

faire tout un ensemble de vérification. Dans un cadre productif, il sera

conseillé de les suivre à la lettre et en particulier les mises à jour. Cela sera un

gage supplémentaire pour obtenir un système stable (A noter que nous

pouvons désactiver cette page en cochant « ignorer cette page par défaut »

lors d’un prochain appel à l’assistant).

Sélectionner le rôle « Services de domaine Active Directory ».


53

Dans le cas présent, il manque une fonctionnalité requise pour l’installation

du rôle (en l’occurrence le .NET Framework). Choisir « Ajouter les

fonctionnalités requises ».

L’assistant nous convie à prendre quelques dispositions concernant la mise en

place d’un annuaire dans le cadre d’un environnement de production. Premier

point, et non des moindres, il sera nécessaire d’installer le service DNS mais

ca nous verrons cela par la suite. Deuxième point, à souligner, est

l’importance de l’annuaire une fois intégrée dans votre architecture et le

risque d’indisponibilité suite à une panne du serveur. La solution sera de

prévoir rapidement un contrôleur de domaine secondaire afin d’assurer la

continuité de service. Enfin, l’assistant nous invite après l’installation à lancer

DCPROMO.

L’assistant suit son cours et termine sur un rapport d’installation.

Une fois, le rôle installé, vous pouvez désormais lancer dcpromo à partir de

« Executer » depuis le menu « Démarrer ».

Remarque: bien que dans le cadre d'une nouvelle création de forêt sans réel

existant cela ait peu d'intérêt, il vous est possible toutefois de vérifier si le

serveur est éligible pour une promotion en tant que contrôleur de domaine

d'une nouvelle forêt avec la commande dcdiag /test:dcpromo

/dnsdomain:domaine.local /newforest (le service DNS domaine.local doit être

configuré).

Nous allons activer le mode avancé afin de voir les différentes options qui

s’offrent à nous. Une seconde fenêtre évoque la compatibilité antérieure du

système d’exploitation.


54

Nous allons choisir de créer un domaine dans une nouvelle forêt. Car pour le

moment nous ne disposons pas d’un domaine existant. Après vous allons

désigner le nom de notre nouveau domaine Active Directory. Un nom de

domaine Active Directory est exactement similaire à un domaine DNS. Il doit

être localisable depuis Internet.

On suit l’assistant jusqu’à la fin de l’installation de notre active directory.

Installation de ISA serveur: Contrairement à la version 2000 qui proposait 3 modes d'installation

différents (mode cache, mode pare-feu et mode intégré), ISA Server

2004 ne propose qu'un seul mode d'installation. Dorénavant l'activation ou

non de la mise en cache se paramètre dans la console de Gestion ISA et n'est

plus tributaire du mode d'installation choisi au départ.

Après l'insertion du CD-ROM d'installation, le menu ci-dessous apparaît. Il

permet d'installer ISA Server 2004 ou bien de mettre à jour un serveur

ISA 2000. Pour réalisez la migration d'ISA 2000 vers ISA Server 2004, le

Service Pack 1 pour ISA 2000 doit être installé au préalable.

L'installation ne présentant aucunes difficultés (choix des composants à

installer, définition de la table d'adresses locales, activation de la prise en

charge des clients pare-feu utilisant l'ancienne version du client...).

memoire corrigefin

Documents