Configuration Des Services Avancés de Windows Server

P R O D U I T O F F I C I E L D E F O R M A T I O N M I C R O S O F T
22412B
Configuration des services avancs
de Windows Server 2012
Contenu d'accompagnement
2 Configuration des services avancs de Windows Server 2012
Les informations contenues dans ce document, notamment les URL et les autres rfrences aux sites Web,
pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les socits, produits, noms de
domaines, adresses de messagerie, logos, personnes, lieux et vnements utiliss dans les exemples sont
fictifs et toute ressemblance avec des socits, produits, noms de domaines, adresses de messagerie,
logos, personnes, lieux et vnements rels est purement fortuite et involontaire. L'utilisateur est tenu
d'observer la rglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce
document ne peut tre reproduite, stocke ou introduite dans un systme de restitution, ou transmise
quelque fin ou par quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou
autre) sans la permission expresse et crite de Microsoft Corporation.
Microsoft peut dtenir des brevets, avoir dpos des demandes d'enregistrement de brevets ou tre
titulaire de marques, droits d'auteur ou autres droits de proprit intellectuelle portant sur tout ou partie
des lments qui font l'objet du prsent document. Sauf stipulation expresse contraire d'un contrat de
licence crit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concder une licence
sur ces brevets, marques, droits d'auteur ou autres droits de proprit intellectuelle.
Les noms de fabricants, de produits ou les URL sont fournis uniquement titre indicatif et Microsoft ne
fait aucune dclaration et exclut toute garantie lgale, expresse ou implicite, concernant ces fabricants
ou l'utilisation des produits avec toutes les technologies Microsoft. L'inclusion d'un fabricant ou produit
n'implique pas l'approbation par Microsoft du fabricant ou du produit. Des liens vers des sites Web tiers
peuvent tre fournis. Ces sites ne sont pas sous le contrle de Microsoft et Microsoft n'est pas responsable
de leur contenu ni des liens qu'ils sont susceptibles de contenir, ni des modifications ou mises jour de
ces sites. Microsoft n'est pas responsable de la diffusion Web ou de toute autre forme de transmission
reue d'un site connexe. Microsoft fournit ces liens pour votre commodit, et l'insertion de n'importe
quel lien n'implique pas l'approbation du site en question ou des produits qu'il contient par Microsoft.
2013 Microsoft Corporation. Tous droits rservs.
Microsoft et les marques commerciales figurant sur la page http://www.microsoft.com/about/legal/en/us/

IntellectualProperty/Trademarks/EN-US.aspx sont des marques commerciales du groupe de socits Microsoft.
Toutes les autres marques sont la proprit de leurs propritaires respectifs.
Numro de produit : 22412B
Numro de rfrence : X18-86876
Date de publication : 3/2013

Configuration des services avancs de Windows Server 2012 3
TERMES DU CONTRAT DE LICENCE MICROSOFT

COURS MICROSOFT AVEC FORMATEUR
Les prsents termes du contrat de licence constituent un contrat entre Microsoft Corporation
(ou en fonction du lieu o vous vivez, lun de ses affilis) et vous. Lisez-les attentivement. Ils portent
sur votre utilisation du contenu qui accompagne le prsent contrat, y compris le support sur lequel
vous lavez reu, le cas chant. Les prsents termes de licence sappliquent galement au Contenu
du Formateur et aux mises jour et supplments pour le Contenu Concd sous Licence, moins
que dautres termes naccompagnent ces produits. ces derniers prvalent.
EN ACCDANT AU CONTENU CONCD SOUS LICENCE, EN LE TLCHARGEANT OU EN

LUTILISANT, VOUS ACCEPTEZ CES TERMES. SI VOUS NE LES ACCEPTEZ PAS, NACCDEZ PAS
AU CONTENU CONCD SOUS LICENCE, NE LE TLCHARGEZ PAS ET NE LUTILISEZ PAS.
Si vous vous conformez aux prsents termes du contrat de licence, vous disposez des droits
stipuls ci-dessous pour chaque licence acquise.
1. DFINITIONS.
a. Centre de Formation Agr dsigne un Membre du Programme Microsoft IT Academy

ou un Membre Microsoft Learning Competency, ou toute autre entit que Microsoft peut
occasionnellement dsigner.
b. Session de Formation Agre dsigne le cours avec formateur utilisant le Cours Microsoft avec
Formateur et men par un Formateur ou un Centre de Formation Agr.
c. Dispositif de la Classe dsigne un (1) ordinateur ddi et scuris quun Centre de

Formation Agr possde ou contrle, qui se trouve dans les installations de formation dun
Centre de Formation Agr et qui rpond ou est suprieur au niveau matriel spcifi pour
le Cours Microsoft avec Formateur concern.
d. Utilisateur Final dsigne une personne qui est (i) dment inscrite et participe une Session
de Formation Agre ou une Session de Formation Prive, (ii) un employ dun membre MPN,
ou (iii) un employ temps plein de Microsoft.
e. Contenu Concd sous Licence dsigne le contenu qui accompagne le prsent contrat
et qui peut inclure le Cours Microsoft avec Formateur ou le Contenu du Formateur.
f. Formateur Agr Microsoft ou MCT dsigne une personne qui est (i) engage pour donner
une session de formation des Utilisateurs Finaux au nom dun Centre de Formation Agr ou
dun Membre MPN, et (ii) actuellement Formateur Agr Microsoft dans le cadre du Programme
de Certification Microsoft.
g. Cours Microsoft avec Formateur dsigne le cours avec formateur Microsoft qui forme
des professionnels de linformatique et des dveloppeurs aux technologies Microsoft.
Un Cours Microsoft avec Formateur peut tre labellis cours MOC, Microsoft Dynamics
ou Microsoft Business Group.
h. Membre du Programme Microsoft IT Academy dsigne un membre actif du Programme

Microsoft IT Academy.
i. Membre Microsoft Learning Competency dsigne un membre actif du programme

Microsoft Partner Network qui a actuellement le statut Learning Competency.
j. MOC dsigne le cours avec formateur Produit de Formation Officiel Microsoft appel
Cours Officiel Microsoft qui forme des professionnels de linformatique et des dveloppeurs
aux technologies Microsoft.
k. Membre MPN dsigne un membre actif Silver ou Gold du programme Microsoft Partner
Network.
l. Dispositif Personnel dsigne un (1) ordinateur, un dispositif, une station de travail ou un autre
dispositif lectronique numrique qui vous appartient ou que vous contrlez et qui rpond ou est
suprieur au niveau matriel spcifi pour le Cours Microsoft avec Formateur concern.
m. Session de Formation Prive dsigne les cours avec formateur fournis par des Membres MPN
pour des clients dentreprise en vue denseigner un objectif de formation prdfini laide dun
Cours Microsoft avec Formateur. Ces cours ne font lobjet daucune publicit ni promotion auprs
du grand public et la participation aux cours est limite aux employs ou sous-traitants du client
dentreprise.
n. Formateur dsigne (i) un formateur accrdit sur le plan acadmique et engag par un
Membre du Programme Microsoft IT Academy pour donner une Session de Formation Agre
et/ou (ii) un MCT.
o. Contenu du Formateur dsigne la version du formateur du Cours Microsoft avec Formateur et

tout contenu supplmentaire uniquement conu lusage du Formateur pour donner une session
de formation en utilisant le Cours Microsoft avec Formateur. Le Contenu du Formateur peut inclure
des prsentations Microsoft PowerPoint, un guide de prparation du formateur, des documents
de formation du formateur, des packs Microsoft One Note, un guide de prparation de la classe
et un formulaire prliminaire de commentaires sur le cours. des fins de clarification, le Contenu
du Formateur ne contient aucun logiciel, disque dur virtuel ni machine virtuelle.
2. DROITS DUTILISATION. Le Contenu Concd sous Licence nest pas vendu. Le Contenu Concd
sous Licence est concd sous licence sur la base dune copie par utilisateur , de sorte que vous
devez acheter une licence pour chaque personne qui accde au Contenu Concd sous Licence
ou lutilise.
2.1 Vous trouverez ci-dessous cinq sections de droits dutilisation. Une seule vous est applicable.
a. Si vous tes un Membre du Programme Microsoft IT Academy :

i. Chaque licence achete en votre nom ne peut tre utilise que pour consulter
une (1) copie du cours Microsoft avec Formateur sous la forme sous laquelle il vous a t
fourni. Si le Cours Microsoft avec Formateur est en format numrique, vous tes autoris
installer une (1) copie sur un maximum de trois (3) Dispositifs Personnels. Vous ntes
pas autoris installer le Cours Microsoft avec Formateur sur un dispositif qui ne vous
appartient pas ou que vous ne contrlez pas.
ii. Pour chaque licence que vous achetez au nom dun Utilisateur Final ou Formateur, vous
tes autoris :
1. distribuer une (1) version papier du Cours Microsoft avec Formateur un (1) Utilisateur
Final qui est inscrit la Session de Formation Agre et uniquement immdiatement
avant le dbut de la Session de Formation Agre qui est lobjet du Cours Microsoft
avec Formateur fourni, ou
2. fournir un (1) Utilisateur Final le code daccs unique et les instructions permettant
daccder une (1) version numrique du Cours Microsoft avec Formateur, ou
3. fournir un (1) Formateur le code daccs unique et les instructions permettant
daccder un (1) Contenu Formateur,
pour autant que vous vous conformiez ce qui suit :

iii. vous ne donnerez accs au Contenu Concd sous Licence quaux personnes qui ont
achet une licence valide du Contenu Concd sous Licence,
iv. vous veillerez ce que chaque Utilisateur Final participant une Session de
Formation Agre dispose de sa propre copie concde sous licence valide du
Cours Microsoft avec Formateur qui est lobjet de la Session de Formation Agre,
v. vous veillerez ce que chaque Utilisateur Final ayant reu la version papier du Cours
Microsoft avec Formateur reoive une copie du prsent contrat et reconnaisse que son
utilisation du Cours Microsoft avec Formateur sera soumises aux termes du prsent accord,
et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra confirmer son
acceptation du prsent contrat dune manire opposable aux termes de la rglementation
locale avant daccder au Cours Microsoft avec Formateur,
vi. vous veillerez ce que chaque Formateur donnant une Session de Formation Agre
dispose de sa propre copie concde sous licence valide du Cours Microsoft avec
Formateur qui est lobjet de la Session de Formation Agre,
vii. vous nutiliserez que des Formateurs qualifis qui ont une connaissance et une exprience
approfondies de la technologie Microsoft qui est lobjet du Cours Microsoft avec Formateur
donn pour toutes vos Sessions de Formation Agres.
viii. vous ne donnerez quun maximum de 15 heures de formation par semaine pour chaque
Session de Formation Agre qui utilise un cours MOC, et
ix. vous reconnaissez que les Formateurs qui ne sont pas MCT nauront pas accs lensemble
des ressources destines au formateur du Cours Microsoft avec Formateur.
b. Si vous tes un Membre du Microsoft Learning Competency :

tes autoris :
Final participant la Session de Formation Agre et uniquement immdiatement
avant le dbut de la Session de Formation Agre qui est lobjet du Cours Microsoft
avec Formateur fourni, ou
2. fournir un (1) Utilisateur Final participant la Session de Formation Agre le code
daccs unique et les instructions permettant daccder une (1) version numrique
du Cours Microsoft avec Formateur, ou
3. fournir un (1) Formateur le code daccs unique et les instructions permettant
daccder un (1) Contenu Formateur,
iv. vous veillerez ce que chaque Utilisateur Final participant une Session de Formation
Agre dispose de sa propre copie concde sous licence valide du Cours Microsoft avec
v. vous veillerez ce que chaque Utilisateur Final ayant reu une version papier
du Cours Microsoft avec Formateur reoive une copie du prsent contrat et reconnaisse
que son utilisation du Cours Microsoft avec Formateur sera soumise aux termes du prsent
accord, et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra
confirmer son acceptation du prsent contrat dune manire opposable aux termes de
la rglementation locale avant daccder au Cours Microsoft avec Formateur,
vi. vous veillerez ce que chaque Formateur donnant une Session de Formation Agre
vii. vous nutiliserez que des Formateurs qualifis qui possdent la Certification Microsoft
applicable qui est lobjet du Cours Microsoft avec Formateur donn pour vos Sessions
de Formation Agres,
viii. vous nutiliserez que des MCT qualifis qui possdent galement la Certification Microsoft
applicable qui est lobjet du cours MOC donn pour toutes vos Sessions de Formation
Agres utilisant MOC,
ix. vous ne donnerez accs au Cours Microsoft avec Formateur quaux Utilisateurs Finaux, et
x. vous ne donnerez accs au Contenu du Formateur quaux Formateurs.
c. Si vous tes un Membre MPN :

tes autoris :
Final participant la Session de Formation Prive et uniquement immdiatement avant
le dbut de la Session de Formation Prive qui est lobjet du Cours Microsoft avec
Formateur fourni, ou
2. fournir un (1) Utilisateur Final qui participe la Session de Formation Prive le code
daccs unique et les instructions permettant daccder une (1) version numrique
du Cours Microsoft avec Formateur, ou
3. fournir un (1) Formateur qui donne la Session de Formation Prive le code daccs
unique et les instructions permettant daccder un (1) Contenu Formateur,
iv. vous veillerez ce que chaque Utilisateur Final participant une Session de Formation
Prive dispose de sa propre copie concde sous licence valide du Cours Microsoft avec
Formateur qui est lobjet de la Session de Formation Prive,
v. vous veillerez ce que chaque Utilisateur Final ayant reu une version papier du Cours
Microsoft avec Formateur reoive une copie du prsent contrat et reconnaisse que son
utilisation du Cours Microsoft avec Formateur sera soumise aux termes du prsent accord,
et ce avant de lui fournir ledit Cours Microsoft avec Formateur. Chacun devra confirmer son
acceptation du prsent contrat dune manire opposable aux termes de la rglementation
locale avant daccder au Cours Microsoft avec Formateur,
vi. vous veillerez ce que chaque Formateur donnant une Session de Formation Prive
Formateur qui est lobjet de la Session de Formation Prive,
vii. vous nutiliserez que des Formateurs qualifis qui possdent la Certification Microsoft
applicable qui est lobjet du Cours Microsoft avec Formateur donn pour toutes vos
Sessions de Formation Prives,
viii. vous nutiliserez que des MCT qualifis qui possdent la Certification Microsoft applicable
qui est lobjet du cours MOC donn pour toutes vos Sessions de Formation Prives
utilisant MOC,
ix. vous ne donnerez accs au Cours Microsoft avec Formateur quaux Utilisateurs Finaux, et
x. vous ne donnerez accs au Contenu du Formateur quaux Formateurs.
d. Si vous tes un Utilisateur Final :

Pour chaque licence que vous achetez, vous tes autoris utiliser le Cours Microsoft
avec Formateur exclusivement pour votre formation personnelle. Si le Cours Microsoft avec
Formateur est en format numrique, vous pouvez y accder en ligne laide du code daccs
unique que vous a fourni le prestataire de formation et installer et utiliser une (1) copie du
Cours Microsoft avec Formateur sur un maximum de trois (3) Dispositifs Personnels. Vous tes
galement autoris imprimer une (1) copie du Cours Microsoft avec Formateur. Vous ntes
e. Si vous tes un Formateur :

i. Pour chaque licence que vous achetez, vous tes autoris installer et utiliser
une (1) copie du Contenu du Formateur sous la forme dans laquelle il vous a t fourni
sur un (1) Dispositif Personnel exclusivement pour prparer et donner une Session
de Formation Agre ou une Session de Formation Prive, et installer une (1) copie
supplmentaire sur un autre Dispositif Personnel comme copie de sauvegarde, utilisable
uniquement pour rinstaller le Contenu du Formateur. Vous ntes pas autoris installer
ou utiliser une copie du Contenu du Formateur sur un dispositif qui ne vous appartient pas
ou que vous ne contrlez pas. Vous tes galement autoris imprimer une (1) copie
du Contenu du Formateur uniquement pour prparer et assurer une Session de
Formation Agre ou une Session de Formation Prive.
ii. Vous pouvez personnaliser les parties crites du Contenu du Formateur qui sont
logiquement associes la prsentation dune session de formation conformment
la version la plus rcente du contrat MCT. Si vous choisissez dexercer les droits qui
prcdent, vous acceptez de vous conformer ce qui suit : (i) les personnalisations ne
peuvent tre utilises que pour donner des Sessions de Formation Agres et des Sessions
de Formation Prives, et (ii) toutes les personnalisations seront conformes au prsent
contrat. des fins de clart, toute utilisation de personnaliser ne fait rfrence
qu la modification de lordre des diapositives et du contenu, et/ou la non-utilisation
de lensemble du contenu ou des diapositives, et ne signifie pas le changement ou la
modification daucune diapositive ni daucun contenu.
2.2 Dissociation de composants. Le Contenu Concd sous Licence est concd sous licence
en tant quunit unique et vous ntes pas autoris dissocier les composants ni les installer
sur diffrents dispositifs.
2.3 Redistribution du Contenu Concd sous Licence. Sauf stipulation contraire expresse
dans les droits dutilisation ci-dessus, vous ntes pas autoris distribuer le Contenu Concd
sous Licence ni aucune partie de celui-ci (y compris les ventuelles modifications autorises)
des tiers sans lautorisation expresse et crite de Microsoft.
2.4 Programmes et Services Tiers. Le Contenu Concd sous Licence peut contenir
des programmes ou services tiers. Les prsents termes du contrat de licence sappliqueront
votre utilisation de ces programmes ou services tiers, except si dautres termes accompagnent
ces programmes et services.
2.5 Conditions supplmentaires. Le Contenu Concd sous Licence est susceptible de contenir
des composants auxquels sappliquent des termes, conditions et licences supplmentaires en
termes dutilisation. Les termes non contradictoires desdites conditions et licences sappliquent
galement votre utilisation du composant correspondant et compltent les termes dcrits dans
le prsent contrat.
3. CONTENU CONCD SOUS LICENCE BAS SUR UNE TECHNOLOGIE PRCOMMERCIALE.

Si lobjet du Contenu Concd sous Licence est bas sur une version prcommerciale dune technologie
Microsoft ( version prcommerciale ), les prsents termes sappliquent en plus des termes de
ce contrat :
a. Contenu sous licence en version prcommerciale. Lobjet du prsent Contenu Concd sous
Licence est bas sur la version prcommerciale de la technologie Microsoft. La technologie peut
ne pas fonctionner comme une version finale de la technologie et nous sommes susceptibles de
modifier cette technologie pour la version finale. Nous sommes galement autoriss ne pas diter
de version finale. Le Contenu Concd sous Licence bas sur la version finale de la technologie
est susceptible de ne pas contenir les mmes informations que le Contenu Concd sous Licence
bas sur la version prcommerciale. Microsoft na aucune obligation de vous fournir quelque autre
contenu, y compris du Contenu Concd sous Licence bas sur la version finale de la technologie.
b. Commentaires. Si vous acceptez de faire part Microsoft de vos commentaires concernant

le Contenu Concd sous Licence, directement ou par lintermdiaire de son reprsentant tiers,
vous concdez Microsoft, gratuitement, le droit dutiliser, de partager et de commercialiser vos
commentaires de quelque manire et quelque fin que ce soit. Vous concdez galement des
tiers, titre gratuit, tout droit de proprit sur leurs produits, technologies et services, ncessaires
pour utiliser ou interfacer des parties spcifiques dun logiciel, produit ou service Microsoft qui
inclut les commentaires. Vous ne donnerez pas dinformations faisant lobjet dune licence
qui impose Microsoft de concder sous licence son logiciel, ses technologies ou produits des
tiers parce que nous y incluons vos commentaires. Ces droits survivent au prsent contrat.
c. Dure de la Version Prcommerciale. Si vous tes un Membre du Programme Microsoft IT

Academy, un Membre Microsoft Learning Competency, un Membre MPN ou un Formateur, vous
cesserez dutiliser toutes les copies du Contenu Concd sous Licence bas sur la technologie
prcommerciale (i) la date que Microsoft vous indique comme date de fin dutilisation du Contenu
Concd sous Licence bas sur la technologie prcommerciale, ou (ii) soixante (60) jours aprs
la mise sur le march de la technologie qui fait lobjet du Contenu Concd sous Licence, selon la
date la plus proche ( Dure de la Version Prcommerciale ). Ds lexpiration ou la rsiliation
de la dure de la version prcommerciale, vous supprimerez dfinitivement et dtruirez toutes
les copies du Contenu Concd sous Licence en votre possession ou sous votre contrle.
4. CHAMP DAPPLICATION DE LA LICENCE. Le Contenu Concd sous Licence nest pas vendu.
Le prsent contrat ne fait que vous confrer certains droits dutilisation du Contenu Concd sous
Licence. Microsoft se rserve tous les autres droits. Sauf si la rglementation applicable vous confre
dautres droits, nonobstant la prsente limitation, vous ntes autoris utiliser le Contenu Concd
sous Licence quen conformit avec les termes du prsent contrat. Ce faisant, vous devez vous
conformer aux restrictions techniques contenues dans le Contenu Concd sous Licence qui ne vous
permettent de lutiliser que dune certaine faon. Sauf stipulation expresse dans le prsent contrat,
vous ntes pas autoris :
accder au Contenu Concd sous Licence ou y autoriser laccs quiconque qui na pas achet
une licence valide du Contenu Concd sous Licence,
modifier, supprimer ou masquer les mentions de droits dauteur ou autres notifications
de protection (y compris les filigranes), marques ou identifications contenue dans le
Contenu Concd sous Licence,
modifier ou crer une uvre drive dun Contenu Concd sous Licence,
prsenter en public ou mettre disposition de tiers le Contenu Concd sous Licence des fins
daccs ou dutilisation,
copier, imprimer, installer, vendre, publier, transmettre, prter, adapter, rutiliser, lier ou publier,
mettre disposition ou distribuer le Contenu Concd sous Licence un tiers,
contourner les restrictions techniques contenues dans Contenu Concd sous Licence, ou
reconstituer la logique, dcompiler, supprimer ou contrecarrer des protections, ou dsassembler
le Contenu Concd sous Licence, sauf dans la mesure o ces oprations seraient expressment
permises par les termes du contrat de licence ou la rglementation applicable nonobstant
la prsente limitation.
5. DROITS RSERVS ET PROPRIT. Microsoft se rserve tous les droits qui ne vous sont pas
expressment concds dans le prsent contrat. Le Contenu Concd sous Licence est protg
par les lois et les traits internationaux en matire de droits dauteur et de proprit intellectuelle.
Les droits de proprit, droits dauteur et autres droits de proprit intellectuelle sur le Contenu
Concd sous Licence appartiennent Microsoft ou ses fournisseurs.
6. RESTRICTIONS LEXPORTATION. Le Contenu Concd sous Licence est soumis aux lois
et rglementations amricaines en matire dexportation. Vous devez vous conformer toutes les
lois et rglementations nationales et internationales en matire dexportation applicables au Contenu
Concd sous Licence. Ces lois comportent des restrictions sur les utilisateurs finals et les utilisations
finales. Des informations supplmentaires sont disponibles sur le site www.microsoft.com/exporting.
7. SERVICES DASSISTANCE TECHNIQUE. Dans la mesure o le Contenu Concd sous Licence est
fourni en ltat , nous ne fournissons pas de services dassistance technique.
8. RSILIATION. Sans prjudice de tous autres droits, Microsoft pourra rsilier le prsent contrat si vous
nen respectez pas les conditions gnrales. Ds la rsiliation du prsent contrat pour quelque raison
que ce soit, vous arrterez immdiatement toute utilisation et dtruirez toutes les copies du Contenu
Concd sous Licence en votre possession ou sous votre contrle.
9. LIENS VERS DES SITES TIERS. Vous tes autoris utiliser le Contenu Concd sous Licence pour
accder des sites tiers. Les sites tiers ne sont pas sous le contrle de Microsoft et Microsoft nest pas
responsable du contenu de ces sites, des liens quils contiennent ni des modifications ou mises jour
qui leur sont apportes. Microsoft nest pas responsable du Webcasting ou de toute autre forme de
transmission reue dun site tiers. Microsoft fournit ces liens vers des sites tiers pour votre commodit
uniquement et linsertion de tout lien nimplique pas lapprobation du site en question par Microsoft.
10. INTGRALIT DES ACCORDS. Le prsent contrat et les ventuelles conditions supplmentaires
pour le Contenu du Formateur, les mises jour et les supplments constituent lintgralit des accords
en ce qui concerne le Contenu Concd sous Licence, les mises jour et les supplments.
11. RGLEMENTATION APPLICABLE.
a. tats-Unis. Si vous avez acquis le Contenu Concd sous Licence aux tats-Unis, les lois de ltat
de Washington, tats-Unis dAmrique, rgissent linterprtation de ce contrat et sappliquent
en cas de rclamation ou dactions en justice pour rupture dudit contrat, sans donner deffet aux
dispositions rgissant les conflits de lois. Les lois du pays dans lequel vous vivez rgissent toutes
les autres rclamations, notamment les rclamations fondes sur les lois fdrales en matire
de protection des consommateurs, de concurrence dloyale et de dlits.
b. En dehors des tats-Unis. Si vous avez acquis le Contenu Concd sous Licence dans un autre
pays, les lois de ce pays sappliquent.
12. EFFET JURIDIQUE. Le prsent contrat dcrit certains droits lgaux. Vous pouvez bnficier
dautres droits prvus par les lois de votre tat ou pays. Vous pouvez galement bnficier de certains
droits lgard de la partie auprs de laquelle vous avez acquis le Contenu Concd sous Licence.
Le prsent contrat ne modifie pas les droits que vous confrent les lois de votre tat ou pays si celles-ci
ne le permettent pas.
13. EXCLUSIONS DE GARANTIE. LE CONTENU CONCD SOUS LICENCE EST FOURNI

EN LTAT ET TEL QUE DISPONIBLE . VOUS ASSUMEZ TOUS LES RISQUES
LIS SON UTILISATION. MICROSOFT ET SES AFFILIS RESPECTIFS NACCORDENT
AUCUNE GARANTIE OU CONDITION EXPRESSE. VOUS POUVEZ BNFICIER DE DROITS
SUPPLMENTAIRES RELATIFS AUX CONSOMMATEURS EN VERTU DU DROIT DE VOTRE
PAYS, QUE CE CONTRAT NE PEUT MODIFIER. LORSQUE CELA EST AUTORIS PAR LE
DROIT LOCAL, MICROSOFT ET SES AFFILIS RESPECTIFS EXCLUENT TOUTES GARANTIES
IMPLICITES DE QUALIT, DADQUATION UN USAGE PARTICULIER ET DABSENCE
DE VIOLATION.
14. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR

DE MICROSOFT, DE SES AFFILIS RESPECTIFS ET DE SES FOURNISSEURS UNE
INDEMNISATION EN CAS DE DOMMAGES DIRECTS LIMITE U.S. $5.00. VOUS NE
POUVEZ PRTENDRE AUCUNE INDEMNISATION POUR LES AUTRES DOMMAGES,
Y COMPRIS LES DOMMAGES SPCIAUX, INDIRECTS, INCIDENTS OU ACCESSOIRES
ET LES PERTES DE BNFICES.
Cette limitation concerne :

o toute affaire lie au Contenu Concd sous Licence, au logiciel, aux services ou au contenu
(y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et
o les rclamations pour rupture de contrat ou violation de garantie, les rclamations en cas
de responsabilit sans faute, de ngligence ou autre dlit dans la limite autorise par la loi
en vigueur.
Elle sapplique galement mme si Microsoft connaissait lventualit dun tel dommage. La limitation
ou lexclusion ci-dessus peut galement ne pas vous tre applicable si votre pays nautorise pas
lexclusion ou la limitation de responsabilit pour les dommages incidents, indirects ou de quelque
nature que ce soit.
Dernire mise jour : septembre 2012.

Module 1
Implmentation des services rseau avancs
Table des matires :
Leon 1: Configuration des fonctionnalits DHCP avances 12
Leon 2: Configuration des paramtres DNS avancs 14
Leon 3: Implmentation de la rplication IPAM 17

Contrle des acquis et lments retenir 20
Questions et rponses de contrle des acquis de l'atelier pratique 22

Leon 1
Configuration des fonctionnalits DHCP avances
Table des matires :
Dmonstration 13
Dmonstration
Dmonstration : Configuration du basculement DHCP
Procdure de dmonstration
Configurer une relation de basculement DHCP

1. Connectez-vous LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DHCP dans la liste droulante. Notez que
le serveur est autoris, mais qu'aucune tendue n'est configure.
3. Basculez vers LON-DC1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DHCP dans la
liste droulante.
4. Dans la console DHCP, dveloppez lon-dc1.adatum.com, slectionnez puis cliquez avec le bouton
droit sur IPv4, puis cliquez sur Configurer un basculement.
5. Dans l'Assistant Configurer un basculement, cliquez sur Suivant.

6. Sur la page Spcifier le serveur partenaire utiliser pour le basculement, dans le champ Serveur
partenaire, entrez dans 172.16.0.21, puis cliquez sur Suivant.
7. Sur la page Crer une relation de basculement, dans le champ Nom de la relation,
entrez Adatum.
8. Dans le champ Dlai de transition maximal du client (MCLT), dfinissez les heures sur zro, puis
dfinissez les minutes sur 15.
9. Vrifiez que le champ Mode est dfini sur quilibrage de charge.
10. Vrifiez que le champ Pourcentage d'quilibrage de charge est dfini sur 50 %.
11. Activez la case cocher Intervalle de basculement d'tat. Laissez la valeur par dfaut de
60 minutes.
12. Dans le champ Activer l'authentification du message Secret partag, saisissez Pa$$w0rd, puis
cliquez sur Suivant.
13. Cliquez sur Terminer, puis sur Fermer.
14. Basculez vers LON-SVR1. Notez que le nud IPv4 est actif.
15. Actualisez le nud IPv4, dveloppez le nud IPv4, puis dveloppez

tendue [172.16.0.0.] Adatum.
16. Cliquez sur Pool d'adresses, et notez que le pool d'adresses est configur.
17. Cliquez sur Options d'tendue, et notez que les options d'tendue sont configures.
18. Fermez la console DHCP surLON-DC1 et LON-SVR1.
19. Rtablissez LON-SVR1.

Leon 2
Configuration des paramtres DNS avancs
Table des matires :
Dmonstration 15
Dmonstration
Dmonstration : Configuration de DNSSEC
Configurer DNSSEC
1. Connectez-vous LON-DC1 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur DNS dans la liste droulante.
3. Dans DNS, dveloppez successivement LON-DC1 et Zones de recherche directes, puis cliquez avec
le bouton droit sur Adatum.com.
4. Dans le menu, cliquez sur DNSSEC>Signer la zone.

5. Dans l'Assistant Signature de zone, cliquez sur Suivant.
6. Cliquez sur Personnalisez les paramtres de signature de zone, puis sur Suivant.
7. Sur la page Matre des cls, cliquez sur Le serveur DNS LON-DC1 est le matre des cls. Cliquez
sur Suivant.
8. Sur la page Cl KSK, cliquez sur Suivant.
9. Sur la page Cl KSK, cliquez sur Ajouter.

10. Sur la page Nouvelle cl KSK, cliquez sur OK.
11. Sur la page Cl KSK, cliquez sur Suivant.
12. Sur la page Cl ZSK, cliquez sur Suivant.
13. Sur la page Cl ZSK, cliquez sur Ajouter.
14. Sur la page Nouvelle cl ZSK, cliquez sur OK.
15. Sur la page Cl ZSK, cliquez sur Suivant.

16. Sur la page Next Secure (NSEC), cliquez sur Suivant.
17. Sur la page Ancres d'approbation, activez la case cocher Activer la distribution des ancres
d'approbation pour cette zone, puis cliquez sur Suivant.
18. Sur la page Paramtres de signature et d'interrogation, cliquez sur Suivant.
19. Sur la page Extensions de scurit DNS (DNSSEC), cliquez sur Suivant, puis sur Terminer.
20. Dans le Gestionnaire DNS, dveloppez successivement Points d'approbation et com, puis cliquez
sur Adatum. Assurez-vous que les enregistrements de ressource de DNSKEY existent, et que leur tat
est valide.
21. Dans le Gestionnaire de serveur, cliquez sur Outils puis, dans la liste droulante, cliquez sur Gestion
des stratgies de groupe.
22. Dans la Console de gestion des stratgies de groupe (GPMC), dveloppez successivement Fort :
Adatum.com, dveloppez Domaines, dveloppez Adatum.com, cliquez avec le bouton droit sur
Default Domain Policy, puis cliquez sur Modifier.
23. Dans l'diteur de gestion des stratgies de groupe, sous Configuration ordinateur, dveloppez
successivement Stratgies et Paramtres Windows, puis cliquez sur le dossier Stratgie de
rsolution de noms.
24. Dans la section Crer des rgles, dans le champ Suffixe, tapez Adatum.com pour appliquer la rgle
au suffixe de l'espace de noms.
25. Activez la case cocher Activer DNSSEC dans cette rgle.
26. Activez la case cocher Demander aux clients DNS de vrifier que les donnes de nom
et d'adresse ont t valides par le serveur DNS, puis cliquez sur Crer.
27. Fermez toutes les fentres.

Leon 3
Implmentation de la rplication IPAM
Table des matires :
Dmonstration 18
Dmonstration
Dmonstration : Installation et configuration du systme IPAM
Installer les services IPAM

1. Connectez-vous LON-SVR2 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd.
2. Dans le Gestionnaire de serveur, cliquez sur Ajouter des rles et des fonctionnalits.
3. Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez sur Suivant.
4. Sur la page Slectionner le type d'installation, cliquez sur Suivant.
5. Sur la page Slectionner le serveur de destination, cliquez sur Suivant.
6. Sur la page Slectionner des rles de serveurs, cliquez sur Suivant.
7. Sur la page Slectionner des fonctionnalits, activez la case cocher Serveur de gestion
des adresses IP (IPAM).
8. Dans la fentre contextuelle Ajouter les fonctionnalits requises pour Serveur de gestion
des adresses IP (IPAM) ?, cliquez sur Ajouter des fonctionnalits, puis cliquez sur Suivant.
9. Sur la page Confirmer les slections d'installation, cliquez sur Installer.

10. Quand l'Assistant Ajout de rles et de fonctionnalits a termin, fermez l'Assistant.
Configurer les services IPAM

1. Dans le volet de navigation Gestionnaire de serveur, cliquez sur IPAM.
2. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Se connecter au serveur IPAM. Cliquez
sur LON-SVR2.Adatum.com, puis cliquez sur OK.
3. Cliquez sur Configurer le serveur IPAM.

4. Dans l'Assistant Approvisionnement IPAM, cliquez sur Suivant.
5. Sur la page Slectionner la mthode d'approvisionnement, vrifiez que l'option Base sur
une stratgie de groupe est slectionne, dans la zone Prfixe du nom d'objet de stratgie
de groupe, saisissez IPAM, puis cliquez sur Suivant.
6. Sur la page Confirmer les paramtres, cliquez sur Appliquer. La configuration prendra quelques
instants.
7. Une fois la configuration termine, cliquez sur Fermer.
8. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Configurer la dcouverte de serveurs.
9. Dans la bote de dialogue Configurer la dcouverte de serveur, cliquez sur Ajouter pour ajouter le
domaine adatum.com, puis cliquez sur OK.
10. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Dmarrer la dcouverte de serveurs. Le processus
de dcouverte peut durer 5 10 minutes. La barre jaune indique quand la dcouverte est termine.
11. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Slectionner ou ajouter des serveurs grer et
vrifier l'accs IPAM. Notez que l'tat de l'accs IPAM est bloqu. Faites dfiler l'cran jusqu'au
volet Dtails, et notez le rapport d'tat. Le serveur IPAM n'a pas encore obtenu l'autorisation de grer
LON-DC1 par l'intermdiaire de la stratgie de groupe.
12. Dans la barre des tches, cliquez avec le bouton droit sur l'icne Windows PowerShell, puis cliquez
sur Excuter en tant qu'administrateur.
13. Sur invitation de Windows PowerShell saisissez la commande suivante et appuyez sur Entre :
Invoke-IpamGpoProvisioning Domain Adatum.com GpoPrefixName IPAM IpamServerFqdn

LON-SVR2.adatum.com DelegatedGpoUser Administrateur
14. Quand vous tes invit confirmer l'action, saisissez O, puis appuyez sur Entre. Cette commande
demande quelques minutes pour s'excuter.
15. Fermez Windows PowerShell.
16. Basculez vers Gestionnaire de serveur. Dans le volet d'informations sur IPv4, cliquez avec le bouton
droit sur LON-DC1, puis cliquez sur Modifier le serveur.
17. Dans la bote de dialogue Ajouter ou modifier un serveur, dfinissez le champ tat de grabilit
sur Gr, puis cliquez sur OK.
18. Basculez vers LON-DC1.
19. Dans la barre des tches, cliquez sur l'icne Windows PowerShell.
20. l'invite de Windows PowerShell, saisissez Gpupdate /force et appuyez sur Entre.
21. Fermez Windows PowerShell.
22. Retournez sur LON-SVR2 et, dans le Gestionnaire de serveur, cliquez avec le bouton droit sur LON-
DC1, puis cliquez sur Actualiser l'tat de l'accs serveur. Le processus de dcouverte peut durer 5
10 minutes. La barre jaune indique quand la dcouverte est termine. Une fois la dcouverte
termine, actualisez IPv4 en cliquant sur l'icne Actualiser. La modification de l'tat peut prendre
jusqu' 5 minutes.
23. Dans le volet Vue d'ensemble d'IPAM, cliquez sur Rcuprer les donnes des serveurs grs.
L'excution de cette action prendra quelques minutes.
Contrle des acquis et lments retenir

Mthode conseille
Implmentez le basculement DHCP pour vous assurer que les ordinateurs clients peuvent continuer
recevoir les informations de configuration IP en cas de dfaillance du serveur.
Assurez-vous qu'au moins deux serveurs DNS hbergent chaque zone.
Utilisez IPAM pour contrler la distribution d'adresses IP et les affectations d'adresses statiques.
Questions de contrle des acquis

Question : Quel est l'un des inconvnients lis l'utilisation d'IPAM ?
Rponse : Si vous utilisez IPAM, vous ne pouvez pas grer les priphriques rseau compatibles
avec DHCP (tels que les passerelles et les protocoles WAP de la console de gestion IPAM).
Problmes rels et scnarios

Certains clients rseau reoivent une configuration DHCP incorrecte. Quel outil devriez-vous utiliser
pour commencer le processus de rsolution des problmes ?
Rponse : Certains clients rseau reoivent une configuration DHCP incorrecte. Quel outil devriez-vous
utiliser pour commencer le processus de rsolution des problmes ?
Quelles sont les causes possibles des configurations incorrectes ?
Rponse : Un serveur DHCP non autoris pourrait tre prsent sur le rseau. Recherchez la prsence de
passerelles, telles que des modems cbles ou des systmes Private Branch Exchange (PBX), sur lesquelles
un composant DHCP est activ. Il est galement possible que quelqu'un ait configur manuellement
l'adresse IP sur le client.
Outils
Outil Utilisation Emplacement
Dnscmd Configurer tous les aspects %systemroot%\System32\dnscmd.exe

de gestion de DNS
Console DHCP Contrler tous les aspects de %systemroot%\System32\dhcpmgmt.msc

gestion de DHCP d'une
interface utilisateur
Console DNS Contrler tous les aspects de %systemroot%\System32\dnsmgmt.msc

gestion de DNS d'une
interface utilisateur
Console de gestion des Contrler tous les aspects de Gestionnaire de serveur

services Internet (IPAM) gestion d'IPAM
Problmes courants et conseils relatifs la rsolution des problmes

Problme courant Conseil relatif la rsolution des problmes
Les utilisateurs ne peuvent plus accder au L'adresse IP du site Web a peut-tre chang, mais le
site Web d'un fournisseur auquel ils ont verrouillage de cache DNS ne met pas jour l'adresse IP
dj pu accder. en mmoire cache pour ce nom de domaine complet
parce que la dure de vie de l'enregistrement n'a pas
encore expir. Vous devez vider le cache sur le serveur
DNS manuellement.
Les serveurs grs ne peuvent pas se Vrifiez que le service de base de donnes interne
connecter au serveur IPAM. Windows et le service d'activation des processus Windows
s'excutent sur le serveur IPAM.
Questions et rponses de contrle des acquis

de l'atelier pratique
Atelier pratique : Implmentation des services rseau avancs
Question : Les ordinateurs clients cesseront-ils immdiatement de communiquer sur le rseau
s'il n'y a aucun serveur DHCP en fonctionnement ?
Rponse : Non, les ordinateurs clients continueront fonctionner normalement sur le rseau jusqu'
ce que le bail de leur adresse IP expire.
Question : Quelle est la taille du pool de sockets DNS par dfaut ?
Rponse : La taille par dfaut du pool de sockets DNS est de 2 500.
Question : Quelle valeur le verrouillage de cache DNS utilise-t-il pour dterminer quand mettre
une adresse IP jour dans le cache DNS ?
Rponse : La valeur est dtermine par la dure de vie de l'enregistrement d'adresse compter du dbut
de l'enregistrement de ressource SOA.
Module 2
Implmentation des services de fichiers avancs
Table des matires :
Leon 1: Configuration du stockage iSCSI 24
Leon 2: Configuration de la fonctionnalit BranchCache 28
Leon 3: Optimisation de l'utilisation du stockage 31


Leon 1
Configuration du stockage iSCSI
Table des matires :
Questions et rponses 25
Documentation supplmentaire 25
Dmonstration 25
Questions et rponses
Qu'est-ce qu'iSCSI ?
Question : Pouvez-vous utiliser le rseau TCP/IP interne de votre organisation pour fournir une
communication iSCSI ?
Rponse : Oui, vous pouvez. Il est toutefois conseill d'avoir un rseau TCP/IP ddi la communication
iSCSI, afin qu'un autre trafic rseau n'interfre pas avec la communication iSCSI et que celle-ci n'interfre
pas avec le trafic rseau.
Serveur cible iSCSI et initiateur iSCSI

Question : Quand devez-vous penser implmenter le dmarrage sans disque sur les cibles iSCSI ?
Rponse : La rponse varie selon l'exprience, mais vous pouvez surtout y penser pour implmenter
des technologies de virtualisation telles que VDI (Virtual Desktop Infrastructure) dans votre organisation.
Documentation supplmentaire
Serveur cible iSCSI et initiateur iSCSI
Documentation supplmentaire : Pour plus d'informations sur l'introduction

des cibles iSCSI dans Windows Server 2012, reportez-vous :
http://go.microsoft.com/fwlink/?LinkId=270038
(Certains de ces sites adresses dans ce cours sont en anglais.)
Dmonstration
Dmonstration : Configuration d'une cible iSCSI
Ajouter le service de rle de serveur cible iSCSI
1. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Grer puis sur Ajouter des rles
et fonctionnalits.
2. Dans l'Assistant Ajout de rles et de fonctionnalits, sur la page Avant de commencer, cliquez
sur Suivant.

4. Sur la page Slectionner le serveur de destination, vrifiez que Slectionner un serveur du pool
de serveurs est slectionn, puis cliquez sur Suivant.
5. Sur la page Slectionner des rles de serveurs, dveloppez Service de fichiers

et de stockage (Install), dveloppez Services de fichiers et iSCSI (Install), activez la case
cocher Serveur cible iSCSI, puis cliquez sur Suivant.
6. Sur la page Slectionner des fonctionnalits, cliquez sur Suivant.
8. Une fois l'installation termine, cliquez sur Fermer.

Crer deux disques virtuels iSCSI et une cible iSCSI

1. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez dans le volet de navigation sur Services
de fichiers et de stockage.
2. Dans le volet Services de fichiers et de stockage, cliquez sur iSCSI.
3. Dans le volet DISQUES VIRTUELS iSCSI, cliquez sur TCHES puis, dans la zone de liste droulante
TCHES, cliquez sur Nouveau disque virtuel iSCSI.
4. Dans l'Assistant Nouveau disque virtuel iSCSI, sur la page Slectionner l'emplacement du disque
virtuel iSCSI, sous Emplacement de stockage, cliquez sur le lecteur C, puis sur Suivant.
5. Sur la page Indiquer le nom du disque dur virtuel iSCSI, saisissez iSCSIDisk1, puis cliquez sur
Suivant.
6. Sur la page Indiquer la taille du disque dur virtuel iSCSI, dans la case Taille, saisissez 5, assurez-
vous que Go est slectionn dans zone de liste droulante, puis cliquez sur Suivant.
7. Sur la page Affecter la cible iSCSI, cliquez sur Nouvelle cible iSCSI, puis cliquez sur Suivant.
8. Sur la page Indiquer le nom de la cible, dans la zone Nom, saisissez LON-SVR2, puis cliquez sur
Suivant.
9. Sur la page Indiquer les serveurs d'accs, cliquez sur Ajouter.
10. Dans la bote de dialogue Slectionnez une mthode pour identifier l'initiateur, cliquez sur Entrer
une valeur pour le type slectionn, dans la zone de liste droulante Type, cliquez sur Adresse IP,
dans le champ Valeur, saisissez 172.16.0.22, puis cliquez sur OK.
11. Sur la page Indiquer les serveurs d'accs, cliquez sur Suivant.
12. Sur la page Activer l'authentification, cliquez sur Suivant.
13. Sur la page Confirmer les slections, cliquez sur Crer.
14. Sur la page Afficher les rsultats, attendez que la cration soit termine, puis cliquez sur Fermer.
15. Dans le volet DISQUES VIRTUELS iSCSI, cliquez sur TCHES puis, dans la zone de liste droulante
TCHES, cliquez sur Nouveau disque virtuel iSCSI.
16. Dans l'Assistant Nouveau disque virtuel iSCSI, sur la page Slectionner l'emplacement du disque
virtuel iSCSI, sous Emplacement de stockage, cliquez sur le lecteur C, puis sur Suivant.
17. Sur la page Indiquer le nom du disque dur virtuel iSCSI, saisissez iSCSIDisk2, puis cliquez
sur Suivant.
18. Sur la page Indiquer la taille du disque dur virtuel iSCSI, dans la case Taille, saisissez 5, assurez-
vous que Go est slectionn dans zone de liste droulante, puis cliquez sur Suivant.
19. Sur la page Affecter la cible iSCSI, cliquez sur lon-svr2, puis cliquez sur Suivant.
20. Sur la page Confirmer les slections, cliquez sur Crer.
21. Sur la page Afficher les rsultats, attendez que la cration soit termine, puis cliquez sur Fermer.
Dmonstration : Connexion au stockage iSCSI

Procdure de prparation
Avant de commencer cette dmonstration, effectuez les tapes suivantes :
1. Sur l'ordinateur hte, cliquez sur l'icne Gestionnaire Hyper-V sur la barre des tches.
2. Dans la console Gestionnaire Hyper-V, cliquez avec le bouton droit sur 22412B-LON-SVR2, puis
cliquez sur Paramtres.
3. Dans le volet de gauche de la fentre Paramtres pour 22412B-LON-SVR2, assurez-vous que

les deux cartes rseau hrites sont connectes Private Network.
4. Si l'tat d'une carte rseau hrite est dfini sur Non connect, cliquez sur Carte rseau hrite
puis, dans la liste droulante Network du volet de droite, slectionnez Private Network et cliquez
sur OK.
Se connecter la cible iSCSI

1. Sur LON-SVR2, dans le Gestionnaire de serveur, cliquez sur me menu Outils, puis sur Initiateur iSCSI.
2. Dans la bote de message Microsoft iSCSI, cliquez sur Oui.
3. Dans la bote de dialogue Proprits de : Initiateur iSCSI, dans l'onglet Cibles, saisissez LON-DC1,
puis cliquez sur Connexion rapide.
4. Dans la fentre Connexion rapide, dans la section Cibles dcouvertes, cliquez sur
iqn.1991-05.com.microsoft:lon-dc1-lon-svr2-target, puis sur Terminer.
5. Dans la bote de dialogue Proprits de : Initiateur iSCSI, cliquez sur OK pour fermer la bote
de dialogue.
Vrifier la prsence du disque iSCSI

1. Sur LON-SVR2, dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestion de l'ordinateur.
2. Dans la console Gestion de l'ordinateur, sous Stockage, cliquez sur Gestion des disques. Notez
que les nouveaux disques sont ajouts. Ils sont toutefois tous hors connexion et non formats
pour le moment.
3. Fermez la console Gestion de l'ordinateur.
Remarque : Laissez les ordinateurs allums car vous en aurez besoin pour la dmonstration
suivante.
Leon 2
Configuration de la fonctionnalit BranchCache
Table des matires :
Dmonstration 29
Dmonstration
Dmonstration : Configuration de la fonctionnalit BranchCache
Ajouter BranchCache pour le service de rle Fichiers rseau

1. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Ajouter des rles et des fonctionnalits.
2. Dans l'Assistant Ajout de rles et de fonctionnalits, sur la page Avant de commencer, cliquez sur
Suivant.
5. Sur la page Slectionner des rles de serveurs, dveloppez Service de fichiers et de stockage
(Install), dveloppez Services de stockage (Install), activez la case cocher BranchCache pour
fichiers rseau, puis cliquez sur Suivant.

Activez BranchCache pour le serveur

1. Sur LON-DC1, cliquez sur l'cran Accueil.
2. Sur l'cran Accueil, saisissez gpedit.msc, puis appuyez sur ENTRE.
3. Dveloppez Configuration ordinateur, dveloppez Modles d'administration, dveloppez Rseau,

cliquez sur Serveur Lanman et double-cliquez sur Publication de hachages pour BranchCache.
4. Dans la bote de dialogue Publication de hachages pour BranchCache, cliquez sur Activ.
5. Dans la zone Options, sous Actions de la publication de hachages, slectionnez Autoriser la

publication de hachages uniquement pour les dossiers partags dans lesquels BranchCache est
activ, puis cliquez sur OK.
6. Fermez l'diteur de stratgie de groupe locale
Activer BranchCache pour un partage de fichiers

1. Dans la barre des tches, cliquez sur l'icne de l'Explorateur de fichiers.
2. Dans l'Explorateur de fichiers, cliquez sur Disque local (C:).
3. Dans la barre d'accs rapide situe du ct suprieur gauche de la fentre, cliquez sur
Nouveau dossier, saisissez Partage, puis appuyez sur Entre.
4. Cliquez avec le bouton droit sur Partage, puis cliquez sur Proprits.
5. Dans la bote de dialogue Proprits de : Partage, cliquez sur l'onglet Partage, puis cliquez sur
Partage avanc.
6. Dans la bote de dialogue Partage avanc, cliquez sur Partager ce dossier, puis sur Mise en cache.
7. Dans la bote de dialogue Paramtres hors connexion, activez la case cocher

Activer BranchCache, puis cliquez sur OK.
8. Dans la bote de dialogue Partage avanc, cliquez sur OK, puis sur Fermer.
9. Fermez toutes les fentres.

Leon 3
Optimisation de l'utilisation du stockage
Table des matires :
Dmonstration 32
Qu'est-ce que le Gestionnaire de ressources du serveur de fichiers ?
Question : Utilisez-vous actuellement le Gestionnaire de ressources du serveur de fichiers dans
Windows Server 2008 R2 ? Si oui, pour quels domaines l'utilisez-vous ?
Rponse : Les rponses varieront selon l'exprience des stagiaires avec le Gestionnaire de ressources
du serveur de fichiers dans Windows Server 2008 R2. Le Gestionnaire de ressources du serveur de fichiers
est utilis dans les domaines suivants :
Infrastructure de classification des fichiers
Tches de gestion de fichiers
Gestion des quotas
Gestion du filtrage des fichiers
Qu'est-ce que le Gestionnaire de ressources du serveur de fichiers ?
Documentation supplmentaire : Pour plus d'informations sur FSRM, consultez

la page Nouveauts du Gestionnaire de ressources du serveur de fichiers l'adresse
http://go.microsoft.com/fwlink/?LinkId=270039.
Dmonstration
Dmonstration : Configuration de la classification des fichiers
1. Sur LON-SVR1, la console Gestionnaire de serveur doit s'ouvrir automatiquement. Dans le coin
suprieur droit de la console Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire
de ressources du serveur de fichiers.
2. Dans le Gestionnaire de ressources du serveur de fichiers, dveloppez Gestion de la classification,
cliquez puis cliquez avec le bouton droit sur Proprits de classification, puis cliquez sur Crer
une proprit locale.
3. Dans la fentre Crer la proprit de classification locale, dans le champ Nom, saisissez Corporate
Documentation puis, dans la zone de liste droulante Type de proprit, vrifiez que Oui/Non est
slectionn, et cliquez sur OK.
4. Dans le Gestionnaire de ressources du serveur de fichiers, dveloppez Gestion de la classification,

cliquez sur Rgles de classification puis, dans le volet Action, cliquez sur Crer une rgle de
classification.
5. Dans la fentre Crer une rgle de classification, sur l'onglet Gnral, dans le champ Nom
de la rgle, saisissez Corporate Documents Rule et vrifiez que la case cocher Activer est
slectionne.
6. Dans la fentre Crer une rgle de classification fentre, dans l'onglet Porte, cliquez sur Ajouter.
7. Dans la fentre Rechercher un dossier, dveloppez Allfiles (E:), dveloppez Labfiles, cliquez
sur le dossier Corporate Documentation, puis sur OK.
8. Dans la fentre Crer une rgle de classification, sur l'onglet Classification, dans la zone de liste
droulante Mthode de classification, cliquez sur Classificateur de dossiers. Dans la zone de liste
droulante Proprit-Choisissez une proprit attribuer aux fichiers, cliquez sur Corporate
Documentation puis, dans la zone de liste droulante Proprit-Spcifier une valeur, cliquez
sur Oui.
9. Dans la fentre Crer une rgle de classification, sur l'onglet Type d'valuation, cliquez sur
Rvaluer les valeurs de proprit existantes, vrifiez que la case d'option Agrger les valeurs
est slectionn, puis cliquez sur OK.
10. Dans le Gestionnaire de ressources du serveur de fichiers, dans le volet Action, cliquez sur Excuter
la classification avec toutes les rgles maintenant.
11. Dans la fentre Excuter la classification, slectionnez la case d'option Attendre la fin
de la classification, puis cliquez sur OK.
12. Examinez le Rapport de classification automatique qui s'affiche dans Windows Internet Explorer
et vrifiez que le rapport affiche le mme nombre de fichiers classs que dans le dossier
Documentation d'entreprise.
13. Fermez Internet Explorer.
Dmonstration : Configuration de la dduplication des donnes

Ajouter le service de rle de dduplication des donnes

1. Sur LON-SVR1, dans le Gestionnaire de serveur, cliquez sur le menu Grer, puis sur Ajouter des rles
et fonctionnalits.
sur Suivant.
5. Sur la page Slectionner des rles de serveurs, dveloppez Service de fichiers et de stockage
(Install), dveloppez Services de fichiers et iSCSI (Install), activez la case cocher
Dduplication des donnes, puis cliquez sur Suivant.

Activer la dduplication des donnes

1. Dans Gestionnaire de serveur, cliquez dans le volet de navigation sur Services de fichiers
et de stockage.
2. Dans le volet Services de fichiers et de stockage, cliquez sur Volumes.
3. Dans le volet Volumes, cliquez avec le bouton droit sur le lecteurE: puis, dans la zone de liste
droulante, cliquez sur Configurer la dduplication des donnes.
4. Dans la bote de dialogue Paramtres de dduplication Allfiles (E:\), activez la case cocher
Activer la dduplication des donnes et, dans la zone Ddupliquer les fichiers de plus
de (en jours), saisissez 3, puis cliquez sur Dfinir la planification de la dduplication.
5. Dans la bote de dialogue LON-SVR1 Planification de la dduplication, cliquez sur Activer

l'optimisation du dbit, dans la zone de liste droulante Heure de dbut, cliquez sur l'heure
actuelle, puis cliquez sur OK.
6. Dans la bote de dialogue Paramtres de dduplication Allfiles (E:\), cliquez sur OK.
Tester la dduplication des donnes

1. Sur LON-SVR1, ouvrez une fentre de l'explorateur de fichiers, naviguez jusqu'au lecteur E:, cliquez
avec le bouton droit sur le fichier OBSInstaller.exe, puis cliquez sur Copier.
2. Collez le fichier OBSInstaller.exe dans les dossiers Labfiles.

3. Sur LON-SVR1, ouvrez le dossier E:\LabFiles, cliquez avec le bouton droit sur OBSInstaller.exe, puis
cliquez sur Proprits.
4. Dans la bote de dialogue Proprits, notez les valeurs pour Taille et Taille sur le disque.
5. Rptez les tapes 5 7 pour OBSInstaller.exe dans le dossier racine du lecteur E: .
6. Sur LON-SVR1, ouvrez la fentre de Windows PowerShell.
7. l'invite Windows PowerShell, saisissez l'applet de commande suivante, puis appuyez sur Entre :
Start-DedupJob Type Optimization Volume E:
8. Saisissez Get-DedupJob, puis appuyez sur Entre. Vrifiez que le processus s'excute.
9. Attendez une minute ou deux, puis rptez la commande Get-Dedupjob.
10. Si vous n'obtenez aucun rsultat, cela signifie que la tche de dduplication est termine.
11. Dans le dossier racine du lecteur E:, cliquez avec le bouton droit sur OBSInstaller.exe, puis cliquez
sur Proprits.
12. Dans la bote de dialogue Proprits, notez les valeurs pour Taille et Taille sur le disque. La taille
sur le disque devrait tre beaucoup plus petite qu'elle l'tait prcdemment.

Mthode conseille
Lorsque vous envisagez une solution de stockage iSCSI pour votre organisation, consacrez la
plus grande partie de votre temps au processus de conception. Le processus de conception est
essentiel parce qu'il vous permet d'optimiser la solution pour toutes les technologies qui utiliseront
le stockage iSCSI, comme les services de fichier, Exchange Server ou SQL Server. La conception
doit galement s'adapter la croissance future des donnes d'entreprise de votre organisation.
Les processus de conception russis garantissent un dploiement russi de la solution, qui rpondra
aux exigences stratgiques de votre organisation.
Lorsque vous planifiez un dploiement de BranchCache, assurez-vous de travailler en troite

collaboration avec vos administrateurs rseau, afin de pouvoir optimiser le trafic sur le rseau WAN.
En planifiant la classification des fichiers, veillez commencer par les exigences stratgiques de votre
organisation. Identifiez les classifications que vous appliquerez aux documents, puis dfinissez une
mthode que vous utiliserez pour identifier des documents pour la classification. Avant de dployer
l'infrastructure de classification des fichiers, crez un environnement de test et testez les scnarios
pour vous assurer que la solution se traduira par un dploiement russi, et que les exigences
stratgiques de votre organisation seront satisfaites.

Question : En quoi la fonctionnalit BranchCache diffre-t-elle du systme de fichiers distribus (DFS) ?
Rponse : BranchCache ne met en cache que les fichiers que des utilisateurs distants ont consults.
La technologie DFS rplique les fichiers entre le sige social et un emplacement distant pour que tous
les fichiers existent dans les deux emplacements.
Question : Pourquoi prfreriez-vous implmenter BranchCache en mode de cache hberg plutt qu'en
mode de cache distribu ?
Rponse : Lorsque vous utilisez le mode de cache distribu, le cache est distribu tous les ordinateurs
excutant Windows 8. Cependant, il peut arriver que des ordinateurs de bureau ou portables qui
excutent Windows 8 soient teints ou retirs du bureau. Cela signifie qu'un fichier mis en cache peut ne
pas tre disponible, ce qui forcera le fichier tre nouveau tlcharg via la liaison WAN. Il est toutefois
probable que le mode de cache hberg soit utilis lorsqu'un ordinateur qui excute le systme
d'exploitation Windows Server 2012 est disponible dans la succursale.
Question : Pouvez-vous configurer la dduplication des donnes sur un volume de dmarrage ?

Rponse : Non. Il n'est pas possible de configurer la dduplication des donnes sur un volume de
dmarrage. Il n'est possible de configurer la dduplication des donnes que sur les volumes qui ne sont ni
des volumes systme, ni des volumes de dmarrage. La dduplication des donnes n'est pas non plus
prise en charge par le systme ReFS (Resilient File System).
Question : Pourquoi implmenteriez-vous une infrastructure de classification des fichiers ?
Rponse : L'infrastructure de classification des fichiers vous permet de grer des groupes de fichiers selon
divers attributs de fichier et dossier. Avec la technologie de classification des fichiers, vous pouvez
automatiser les tches de maintenance des fichiers et des dossiers (par ex. : le nettoyage les donnes
primes ou la protection des informations confidentielles).

Votre organisation envisage de dployer une solution iSCSI. Vous tes l'administrateur
Windows Server 2012 responsable de la conception et du dploiement de la nouvelle solution.
Cette nouvelle solution sera utilise par diffrents types de technologies, dont le serveur de fichiers
Windows Server 2012, Exchange Server et SQL Server. Vous devez relever le dfi de concevoir une
solution iSCSI optimale, mais en mme temps vous n'tes pas sr si la solution que vous allez proposer
votre organisation rpondra aux exigences de toutes les technologies qui accderont au stockage iSCSI.
Que devez-vous faire ?
Rponse : vous devriez inclure dans l'quipe qui concevra et dploiera la solution iSCSI des experts issus
de diffrents domaines de spcialisation. Les membres de l'quipe impliqus dans le projet devraient
inclure des administrateurs Windows Server 2012, des administrateurs rseau, des administrateurs de
stockage et des administrateurs de scurit. C'est en effet ncessaire pour que la solution de stockage
iSCSI bnficie de performances et d'une scurit optimales et pour que les procdures de gestion et
d'excution soient homognes.
Votre organisation envisage de dployer une solution BranchCache. Vous tes l'administrateur
Windows Server 2012 responsable de la conception et du dploiement de la nouvelle solution dans
votre organisation. Les directeurs commerciaux de l'organisation sont proccups par la scurit
des donnes qui seront stockes dans les succursales. Ils s'inquitent galement de la faon dont
l'organisation grera les risques de scurit tels que l'altration des donnes, la divulgation d'informations
et les attaques par dni de service. Que devez-vous faire ?
Rponse : vous devriez inclure un expert de la scurit dans votre quipe de conception. Vous devriez
galement songer au modle de dfense en profondeur pour l'analyse des risques de scurit.
BranchCache aborde les risques de scurit comme suit :
Falsification des donnes. La technologie de BranchCache utilise des hachages pour confirmer que,
pendant la communication, l'ordinateur client et le serveur n'ont pas modifi les donnes.
Divulgation d'informations. BranchCache envoie un contenu chiffr aux clients, qui doivent avoir
la cl de chiffrement pour le dchiffrer. Comme les utilisateurs malveillants n'ont pas la cl de
chiffrement, toute tentative de surveiller le trafic rseau pour accder aux donnes durant leur transit
entre clients est voue l'chec.
Dni de service. Si une personne malveillante tente de surcharger le client avec des demandes de
donnes, la technologie de BranchCache inclut des compteurs et des minuteurs de gestion de file
d'attente pour empcher les clients d'tre surchargs.
Votre organisation utilise de grandes quantits d'espace disque pour le stockage des donnes et
rencontre des difficults pour organiser et grer ces donnes. Votre organisation doit par ailleurs
rpondre certaines exigences en matire de scurit, de conformit et de prvention des vols de
donnes pour les informations confidentielles. Que devez-vous faire ?
Rponse : vous devriez dployer une infrastructure de classification des fichiers. Selon la classification des
fichiers, vous pouvez configurer des tches de gestion qui vous permettront de grer des groupes de
fichiers en fonction des attributs des fichiers et des dossiers. Vous pouvez galement automatiser les
tches de maintenance des fichiers et des dossiers, comme de nettoyer les donnes primes ou protger
les informations confidentielles.
Outils
Serveur cible iSCSI Configurer des cibles iSCSI Dans le Gestionnaire de serveur,
sous Serveurs de fichiers et de
stockage
Initiateur iSCSI Configurer un client pour se Dans le Gestionnaire de serveur,

connecter un disque virtuel de dans la zone de liste droulante
cible iSCSI Outils
Outil d'valuation Analyser un volume pour dcouvrir C:\windows\system32

de la dduplication les gains potentiels de la
(DDPEval.exe) dduplication des donnes
Gestionnaire de Ensemble de fonctionnalits qui Gestionnaire de serveur

ressources du serveur de vous permettent de grer et classer
fichiers les donnes stockes sur des
serveurs de fichiers

Atelier pratique : Implmentation de la fonctionnalit BranchCache
Question : Dans cet atelier pratique, vous avez dplac LON-SVR1 dans sa propre unit
d'organisation (OU). Pourquoi ?
Rponse : Les paramtres de configuration client ont t configurs dans la Stratgie de domaine
par dfaut, qui est lie la racine du domaine. Ces paramtres de Stratgie de groupe empchent le
mode de cache hberg d'tre configur sur LON-SVR1. En dplaant LON-SVR1 dans sa propre unit
d'organisation, vous pourriez bloquer l'hritage de la Stratgie de groupe vers cette unit d'organisation
et empcher ces paramtres de s'appliquer LON-SVR1.
Question : Quand envisageriez-vous d'implmenter BranchCache dans votre propre organisation ?
Rponse : Les rponses varieront, mais BranchCache n'est important que si vous avez une succursale
ou un site connect au sige de votre organisation avec une liaison de bande passante faible dbit.
Module 3
Implmentation du contrle d'accs dynamique
Table des matires :


Mthode conseille
Utilisez des stratgies d'accs centralis au lieu de configurer des expressions conditionnelles sur les
ressources.
Activez les paramtres d'assistance en cas d'accs refus.
Testez toujours les modifications que vous avez apportes aux rgles d'accs centralises et aux
stratgies d'accs centralis avant de les implmenter.
Utilisez les classifications de fichiers pour attribuer des proprits aux fichiers.

Question : Qu'est-ce qu'une revendication ?
Rponse : Une revendication dsigne les informations qu'AD DS nonce au sujet d'un objet,
gnralement un utilisateur ou un ordinateur.
Question : Quel est le rle des stratgies d'accs centralis ?

Rponse : Les stratgies d'accs centralis permettent aux administrateurs de crer des stratgies qui
sont appliques un ou plusieurs serveurs de fichiers d'une entreprise. Les stratgies d'accs centralis
contiennent une ou plusieurs rgles de stratgie d'accs centralise. Chaque rgle contient les paramtres
qui dterminent l'applicabilit et les autorisations.
Question : Qu'est-ce que l'assistance en cas d'accs refus ?
Rponse : L'assistance en cas d'accs refus est une nouvelle fonctionnalit de Windows Server 2012
qui aide les utilisateurs rsoudre les problmes d'accs refus avant d'appeler l'assistance technique.
L'assistance en cas d'accs refus fournit des informations au sujet du problme et dirige les utilisateurs
vers l'adresse approprie pour obtenir de l'aide.
Outils
Centre d'administration Administrer et crer des revendications, Outils d'administration

Active Directory des proprits de ressource, des rgles
et des stratgies
Console de gestion Grer une stratgie de groupe Outils d'administration

des stratgies de groupe
(GPMC, Group Policy
Management Console)
diteur de gestion des Modifier des objets de stratgie GPMC

stratgies de groupe de groupe (GPO)

Les revendications ne sont pas remplies Vrifiez que l'attribut appropri est slectionn pour
avec les valeurs appropries. la revendication. En outre, vrifiez que la valeur
d'attribut est remplie pour un objet spcifique.
Une expression conditionnelle bloque l'accs. Vrifiez que l'expression est dfinie correctement.
En outre, essayez d'utiliser l'onglet Accs effectif
pour rsoudre le problme.

Atelier pratique : Implmentation du contrle d'accs dynamique
Question : Y a-t-il des revendications par dfaut qui sont dfinies pour des utilisateurs ?
Rponse : Non, vous devez dfinir des revendications pour les utilisateurs.
Question : Comment les classifications des fichiers amliorent-elles le contrle d'accs dynamique ?
Rponse : l'aide des classifications de fichiers, vous pouvez dfinir des attributs sur des fichiers
automatiquement, puis utiliser ces attributs dans des expressions conditionnelles en implmentant
le contrle d'accs dynamique.
Question : Pouvez-vous implmenter le contrle d'accs dynamique sans utiliser une stratgie
d'accs centralis ?
Rponse : Oui, vous pouvez dfinir des expressions conditionnelles directement sur les ressources.
Module 4
Implmentation des dploiements de services
de domaine Active Directory distribus
Table des matires :
Leon 1: Vue d'ensemble des dploiements AD DS distribus 44
Leon 2: Dploiement d'un environnement AD DS distribu 46

Leon 3: Configuration d'approbations AD DS 49

Leon 1
Vue d'ensemble des dploiements AD DS distribus
Table des matires :
Discussion : Vue d'ensemble des composants AD DS
Question : Qu'est-ce qu'un domaine AD DS ?
Rponse : Un domaine AD DS est un regroupement logique d'utilisateurs, ordinateurs et objets collectifs

dans un but de gestion et de scurit. Tous ces objets sont enregistrs dans la base de donnes AD DS, et
une copie de ces donnes est enregistre sur chaque contrleur de domaine dans le domaine AD DS.
C'est pour cela que la base de donnes AD DS est tolrance de panne, et les clients peuvent accder aux
informations de domaine AD DS partir de n'importe quel contrleur de domaine AD DS du domaine
AD DS. AD DS fournit un rpertoire hirarchis interrogeable et une infrastructure pour l'application de la
configuration et des paramtres de scurit aux objets de l'entreprise. Vous pouvez utiliser AD DS et les
objets de stratgie de groupe (GPO) pour appliquer la configuration et les paramtres de scurit aux
comptes d'utilisateur et d'ordinateur.
Question : Qu'est-ce qu'une arborescence de domaine AD DS ?
Rponse : Une arborescence de domaine AD DS est un ensemble d'un ou plusieurs domaines AD DS qui
forment un espace de noms contigus. Par exemple, si le premier domaine de la fort est adatum.com,
vous pouvez crer un domaine supplmentaire en tant que domaine enfant dans cet espace de noms.
Exemple : atl.adatum.com.
Parfois il est bon d'avoir plus d'un domaine dans la fort. Quand vous ajoutez un domaine une fort
existante, vous pouvez l'ajouter en tant que domaine enfant un domaine existant. Ainsi, vous ajoutez le
domaine l'arborescence de domaine. Vous pouvez galement crer le domaine en tant que nouvelle
arborescence de domaine dans la fort. Exemple : A. Datum Corporation est une socit tablie avec une
fort AD DS appele adatum.com. Cette socit acquiert une socit du nom de Fabrikam, Inc. Une
arborescence supplmentaire appele fabrikam.com pourrait tre cre dans la fort d'adatum.com. Bien
que le nouveau domaine soit une nouvelle arborescence de domaine, il est tout de mme intgr la
fort existante.
Question : Qu'est-ce qu'une fort AD DS ?
Rponse : Une fort AD DS est une collection d'une ou de plusieurs arborescences AD DS. Chaque
arborescence AD DS contient un ou plusieurs domaines AD DS. La fort AD DS est la toute dernire limite
pour la scurit et l'administration AD DS.
Question : Que sont les relations d'approbation ?

Rponse : Les relations d'approbation (approbations) sont des pipelines d'authentification entre diffrents
domaines. Certaines approbations sont gnres automatiquement dans le cadre de la procdure
d'installation de domaine ; d'autres peuvent tre cres manuellement. Les relations d'approbation
forment l'infrastructure qui permet le partage de ressources entre les domaines. Elles fournissent
galement la structure qui prend en charge l'authentification entre les domaines.
Question : Qu'est-ce que le catalogue global ?
Rponse : Le catalogue global fournit un rpertoire central de chaque objet dans la fort. Il est unique
dans chaque fort AD DS. la diffrence des partitions individuelles de domaine qui stockent un jeu
d'attributs accessibles en criture pour tous les objets du domaine, le catalogue global est une liste en
lecture seule de certains attributs pour chaque objet de la fort. Le catalogue global facilite la localisation
des objets de diffrents domaines dans une fort multi domaine. Par exemple, Microsoft Exchange
Server 2000 et les versions plus rcentes utilisent le catalogue global pour localiser tous les destinataires
de courrier lectronique dans une fort.
Leon 2
Dploiement d'un environnement AD DS distribu
Table des matires :
Dmonstration 47
Niveaux fonctionnels de domaine AD DS
Documentation supplmentaire : Pour en savoir plus au sujet des niveaux fonctionnels

de domaine AD DS, rfrez-vous Comprendre les niveaux fonctionnels des services de domaine
Active Directory l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=270028.
Faire la migration vers Windows Server 2012 AD DS partir

d'une version antrieure
Documentation supplmentaire :
Vous pouvez tlcharger la version 3.2 de loutil de migration Active Directory sur
Vous pouvez tlcharger le manuel de loutil de migration Active Directory sur

Dmonstration
Dmonstration : Installer un contrleur de domaine dans
un nouveau domaine d'une fort
Configurez LON-SVR1 en tant que contrleur de domaine AD DS

dans atl.adatum.com
1. Ouvrez une session sur LON-DC1 en tant qu' ADATUM\Administrateur avec le mot de passe
Pa$$w0rd.
2. Dans le Gestionnaire de serveurs, dans la colonne de gauche, cliquez sur Tous les serveurs.
3. Cliquez avec le bouton droit sur Tous les serveurs, puis cliquez sur Ajouter des serveurs.
4. Dans la fentre du nom (CN) :, saisissez LON-SVR1, puis cliquez sur Rechercher maintenant.
5. Slectionnez LON-SVR1, cliquez sur la flche d'ajout, puis cliquez sur OK.
6. Dans le Gestionnaire de serveurs, dans la fentre Serveurs, cliquez avec le bouton droit
sur LON-SVR1, puis cliquez sur Ajouter des rles et fonctionnalits.
7. Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez sur Suivant.
8. Dans la page Slectionner le type d'installation, assurez-vous que l'option Installation base
sur un rle ou une fonctionnalit est slectionne, puis cliquez sur Suivant.
9. Sur la page Slectionner le serveur de destination, confirmez que l'option Slectionner

un serveur du pool de serveurs est slectionne. Dans la page Pool de serveurs, vrifiez
que LON-SVR1.Adatum.com est mis en surbrillance puis cliquez sur Suivant.
10. Dans la page Slectionner des rles de serveurs activez la case cocher Services AD DS, cliquez
sur Ajouter des fonctionnalits, puis cliquez sur Suivant.
12. Sur la page Services de domaine Active Directory, examinez le message, puis cliquez sur Suivant.
13. Sur la page Confirmer les slections d'installation, examinez le message, puis cliquez sur Installer.
L'installation dure quelques minutes.
14. Sur la page Rsultats, cliquez sur Promouvoir ce serveur en contrleur de domaine.
L'assistant continue.
Accdez LON-SVR1 en tant qu'Adatum\Administrateur

1. Sur la page Configuration de dploiement, slectionnez l'option Ajouter un nouveau domaine
une fort existante, puis, ct de Slectionnez le type du domaine, vrifiez que l'option
Domaine enfant est slectionne.
2. Dans le champ Nom du domaine parent, vrifiez que Adatum.com est list.
3. Dans la zone Nouveau nom de domaine, saisissez atl, puis cliquez sur Modifier.
4. Lorsque vous tes invit donner les informations d'identification pour excuter cette opration,
utilisez le nom d'utilisateur Adatum\Administrateur et le mot de passe Pa$$w0rd, puis cliquez
sur OK.
5. Dans la fentre Configuration de dploiement, cliquez sur Suivant.
6. Sur la page Options du contrleur de domaine, vrifiez que Windows Server 2012 est slectionn
en tant que Niveau fonctionnel du domaine, que Serveur DNS (Domain Name System) est
slectionn, et que Catalogue global (GC) est slectionn.
7. Dans les zones de texte Taper le mot de passe du mode de restauration des services
d'annuaire (DSRM) saisissez Pa$$w0rd dans les deux zones, puis cliquez sur Suivant.
8. Sur la page Options DNS, cliquez sur Suivant.
9. Dans les trois fentres suivantes (Options supplmentaires, chemins d'accs, et Options d'examen),
cliquez sur Suivant. Dans la fentre Vrification de la configuration requise, cliquez sur Installer.
10. Vrifiez les informations, et laissez LON-SVR1 redmarrer en tant que contrleur de domaine AD DS
dans le nouveau domaine AD DS que vous avez cr dans la fort AD DS.
11. Dans l'Assistant de configuration des services de domaine Active Directory, cliquez sur Fermer.
12. Dans l'Assistant d'ajout de rles et de fonctionnalits, cliquez sur Fermer.
13. Connectez-vous LON-SVR1 en tant qu'ADATUM\Administrateur avec le mot de passe Pa$$w0rd,

et vrifiez quelques outils AD DS avant de confirmer l'installation du nouveau domaine.
Leon 3
Configuration d'approbations AD DS
Table des matires :
Dmonstration 50
Configuration des paramtres avancs d'approbation AD DS
Documentation supplmentaire :
Pour plus d'informations sur la configuration du filtre SID mettant en quarantaine les approbations
externes, voir http://go.microsoft.com/fwlink/?LinkId=270030.
Pour plus d'informations sur l'activation de l'authentification slective d'une approbation de fort,
voir http://go.microsoft.com/fwlink/?LinkId=270046.
Pour plus d'informations sur le routage de suffixe de nom, voir

Dmonstration
Dmonstration : Configurer une approbation de fort
Configurez la rsolution de nom DNS l'aide d'un redirecteur conditionnel.
1. Sur LON-DC1, dans le Gestionnaire de Serveurs, cliquez sur le menu Outils et dans la liste droulante,
cliquez sur DNS. Le Gestionnaire DNS s'ouvre.
2. Dans le Gestionnaire DNS, dveloppez LON-DC1, cliquez et cliquez avec le bouton droit sur
Redirecteurs conditionnels, puis cliquez sur Nouveau redirecteur conditionnel.
3. Dans la nouvelle fentre de redirecteur conditionnel, dans le champ Domaine DNS : saisissez
treyresearch.net.
4. Dans la zone de texte Adresses IP des serveurs matres : saisissez 172.16.10.10. Cliquez dans
l'espace ouvert, puis cliquez sur OK. (Si un message d'erreur s'affiche, n'en tenez pas compte).
5. Fermez le Gestionnaire DNS.
6. Basculez vers MUN-DC1, et rptez les tapes 1 5. Utilisez le nom de domaine d'Adatum.com avec
l'adresse IP 172.16.0.10.
Configurez une approbation de fort slective bidirectionnelle.

1. Dans LON-DC1, dans le menu Outils cliquez sur Domaines et approbations Active Directory.
2. Quand la fentre Domaines et approbations Active Directory s'ouvre, cliquez avec le bouton droit
sur Adatum.com, puis cliquez sur Proprits.
3. Dans la bote de dialogue Proprits de : Adatum.com, sous l'onglet Approbations, cliquez sur
Nouvelle approbation.
4. Dans l'assistant de nouvelle approbation, cliquez sur Suivant.
5. Sur la page Nom d'approbation, dans le champ Nom , saisissez treyresearch.net, puis cliquez
sur Suivant.
6. Dans l'Assistant de nouvelle approbation, cliquez sur Approbation de fort, puis cliquez sur Suivant.
7. Sur la page Direction de l'approbation cliquez sur Bidirectionnel, puis cliquez sur Suivant.
8. Sur la page Sens de l'approbation cliquez sur Ce domaine et le domaine spcifi, puis cliquez
sur Suivant.
9. Dans la zone de texte Nom d'utilisateur : saisissez Administrateur. Dans la zone de texte
Mot de passe saisissez Pa$$w0rd, puis cliquez sur Suivant.
10. Sur la page Niveau d'authentification d'approbations sortantes - Fort locale cliquez sur
Authentification slective, puis cliquez sur Suivant,
11. Sur la page Niveau d'authentification d'approbations sortantes - Fort spcifie cliquez sur
Authentification slective, puis cliquez sur Suivant,
12. Sur la page Fin de la slection des approbations cliquez sur Suivant.
13. Sur la page Fin de la cration de l'approbation cliquez sur Suivant.
14. Sur la page Confirmer l'approbation sortante cliquez sur Oui, confirmer l'approbation sortante,
puis sur Suivant.
15. Sur la page Confirmer l'approbation entrante cliquez sur Oui, confirmer l'approbation entrante,
puis sur Suivant.
16. Sur la page Fin de l'assistant de nouvelle approbation cliquez sur Terminer.
17. Dans la bote de dialogue Proprits de : Adatum.com, cliquez sur OK.


Vous recevez des messages d'erreur Habituellement ces erreurs sont provoques par un chec de
comme : chec de recherche DNS, recherche d'enregistrement DNS. Assurez-vous qu'il y a au
serveur RPC non disponible, le moins deux serveurs DNS fonctionnels disponibles sur le
domaine n'existe pas, le contrleur rseau. Assurez-vous que chaque ordinateur a au moins
de domaine n'a pas t trouv. deux serveurs DNS qui sont configurs en configuration
rseau. Vrifiez que les serveurs DNS peuvent rsoudre
avec succs des requtes pour des enregistrements DNS en
dehors de leur domaine DNS (par exemple adresses Internet).
Utilisez diffrents outils de dpannage tels que nslookup,
dnslint, DCdiag, netdiag, repadmin, replmon, et Observateur
d'vnements.
L'utilisateur ne peut pas tre Utilisez la console de domaines et d'approbations

authentifi pour accder Active Directory (Domain.msc), ou netdom pour valider
des ressources sur un autre les relations d'approbation. S'il y a lieu, rinitialisez le
domaine AD DS ou Kerberos. mot de passe d'approbation. Vrifiez que les relations
d'approbation sont configures dans la bonne direction.
Vrifiez que tous les contrleurs de domaine AD DS ont
inscrit tous les enregistrements SRV corrects dans la base
de donnes DNS. (Vous pouvez redmarrer le service de
netlogon sur un contrleur de domaine AD DS pour le forcer
enregistrer de nouveau les enregistrements SRV dans la
base de donnes DNS).

Atelier pratique: Implmentation de dploiements AD DS distribus
Question : Pourquoi avez-vous configur un enregistrement dlgu de sous-domaine dans le DNS
sur LON-DC1 avant dajouter le domaine enfant na.adatum.com ?
Rponse : Pour que le DNS sexcutant sur LON-DC1 puisse localiser un serveur DNS pour
le domaine DNS de na.adatum.com.
Question : Quelles sont les solutions alternatives pour crer un enregistrement dlgu de sous-domaine
dans la question prcdente ?
Rponse : Sur LON-DC1, il est possible de crer une zone de stub pour que na.adatum.com fournisse
une liste jour des serveurs DNS pour le domaine DNS de na.adatum.com. Il est galement possible de
configurer sur LON-DC1 un fichier de zone DNS secondaire pour na.adatum.com, mais cela entranerait
plus de trafic de rplication DNS.
Question : Lors de la cration dune approbation de fort, pourquoi creriez-vous une approbation
slective au lieu dune approbation totale ?
Rponse : Si vous naviez pas besoin dun lien complet entre deux forts, mais souhaitiez une quantit
strictement contrle dinteractivit.
Module 5
Implmentation des sites et de la rplication
Active Directory Domain Services (AD DS)
Table des matires :
Leon 2: Configuration des sites AD DS 55
Leon 3: Configuration et contrle de la rplication AD DS 57


Leon 2
Configuration des sites AD DS
Table des matires :
Dmonstration 56
Comment les ordinateurs client localisent des contrleurs de domaine
dans les sites
Documentation supplmentaire : Pour plus d'informations sur la faon dont la

couverture de site est value, consultez http://go.microsoft.com/fwlink/?LinkId=168550.
Dmonstration
Dmonstration : Configuration des sites AD DS
1. Dans LON-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Sites et services
Active Directory.
2. Dans sites et services Active Directory, dveloppez Sites puis cliquez sur Default-First-Site-Name.
3. Cliquez avec le bouton droit sur Default-First-Site-Name, puis cliquez sur Renommer.
4. Tapez LondonHQ, puis appuyez sur Entre.
5. Dans le volet de navigation, cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site.
6. Dans la bote de dialogue Nouvel objet - Site dans la zone de texteNom, tapez Toronto.
7. Slectionnez DEFAULTIPSITELINK, puis cliquez OK.
8. Dans la bote de dialogue Services de domaine Active Directory cliquez sur OK.
9. Dans le volet de navigation, cliquez avec le bouton droit de Subnets, puis cliquez sur
Nouveau sous-rseau.
10. Dans la bote de dialogue Nouvel objet Sous-rseau, dans la zone de texte Prfixe
tapez 172.16.0.0/24.
11. Dans la catgorie Slectionnez un objet du site pour ce prfixe, cliquez sur LondonHQ, puis
cliquez sur OK.
12. Dans le volet de navigation, cliquez avec le bouton droit de Subnets, puis cliquez sur
Nouveau sous-rseau.
13. Dans la bote de dialogue Nouvel objet Sous-rseau, dans la zone de texte Prfixe
tapez 172.16.1.0/24.
14. Dans la catgorie Slectionnez un objet du site pour ce prfixe, cliquez sur Toronto, puis cliquez
sur OK.
15. Dans le volet de navigation, dveloppez LondonHQ, puis dveloppez Servers.
16. Cliquez avec le bouton droit sur TOR-DC1, puis cliquez sur Dplacer.
17. Dans la bote de dialogue Dplacer un serveur, slectionnez Toronto, puis cliquez sur OK.
18. Dans le volet de navigation, dveloppez Toronto, puis dveloppez Servers.
19. Vrifiez que TOR-DC1 est maintenant situ dans le site de Toronto.
Leon 3
Configuration et contrle de la rplication AD DS
Table des matires :
Dmonstration 58
Dmonstration
Dmonstration : Configurer la rplication Active Directory DS intersite
1. Sur TOR-DC1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Sites et services
Active Directory.
2. Dans Sites et services Active Directory, dveloppez Sites, puis dveloppez Inter-Site Transports.
3. Cliquez sur IP, cliquez avec le bouton droit sur DEFAULTIPSITELINK, puis cliquez sur Renommer.
4. Tapez LON-TOR puis appuyez sur Entre.
5. Cliquez avec le bouton droit sur LON-TOR, puis cliquez sur Proprits. Dcrivez le Cot,
Rplication toutes les et les options Modifier la planification.
6. Dans la bote de dialogue Proprits de : LON-TOR, ct de Rplication toutes les, configurez

la valeur 60 minutes.
7. Cliquez sur Modifier la planification.
8. Mettez la plage en surbrillance depuis Lundi 12h Vendredi 16h, cliquez sur Rplication
non disponible, puis sur OK.
9. Cliquez sur OK pour fermer la bote de dialogue Proprits de LON-TOR.
10. Dans le volet de navigation, cliquez avec le bouton droit sur IP, puis cliquez sur Proprits.
11. Dans la bote de dialogue Proprits de : IP, indiquez et expliquez l'option Relier tous les liens
de sites.
12. Cliquez sur OK pour que la bote de dialogue Proprits de : IP se ferme.
Dmonstration : Configurer les stratgies de rplication du mot de passe

1. Sur LON-DC1, depuis le Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs
et ordinateurs Active Directory.
2. Dans l'arborescence de la console, dveloppez le domaine Adatum.com, puis cliquez sur l'unit
d'organisation de Domain Controllers.
3. Cliquez avec le bouton droit sur Domain Controllers, puis cliquez sur Crer au pralable
un compte de contrleur de domaine en lecture seule.
4. Dans l'Assistant Installation des services de domaine Active Directory, sur la page Assistant
Installation des services de domaine Active Directory cliquez sur Suivant.
5. Dans la page Informations d'identification rseau, cliquez sur Suivant.

6. Dans la page Spcifiez le nom de l'ordinateur, tapez LON-RODC1, puis cliquez sur Suivant.
7. Dans la page Slectionnez un site, cliquez sur Toronto, puis cliquez sur Suivant.
8. Sur la page Options supplmentaires pour le contrleur de domaine, cliquez sur Suivant.
Remarque : Notez que l'option Contrleur de domaine en lecture seule est slectionne
et ne peut pas tre dsactive. La raison est que vous avez lanc l'Assistant en choisissant de
prcrer un compte de contrleur de domaine en lecture seule.
9. Sur la page Dlgation de l'installation et de l'administration du RODC, cliquez sur Suivant.
10. Vrifiez vos slections sur la page Rsum, puis cliquez sur Suivant.
11. Sur la page Fin de l'Assistant Installation des services de domaine Active Directory, puis cliquez
sur Terminer.
12. Dans la console, cliquez sur l'unit d'organisation Domain Controllers.
13. Cliquez avec le bouton droit sur LON-RODC1, puis cliquez sur Proprits.
14. Cliquez sur l'onglet Stratgie de rplication de mot de passe, puis affichez la stratgie par dfaut.
15. Cliquez sur Annuler pour fermer la section LON-RODC1 concernant les Proprits.
16. Dans la console Utilisateurs et ordinateurs Active Directory cliquez sur le conteneur Users.
17. Double-cliquez sur Groupe de rplication dont le mot de passe RODC est autoris, puis cliquez
sur l'onglet Membres.
18. Examinez les membres par dfaut du groupe autoris de rplication de mot de passe de contrleur
de domaine en lecture seule, puis cliquez sur OK. Il ne devrait y avoir aucun membre par dfaut.
19. Double-cliquez sur Groupe de rplication dont le mot de passe RODC est refus.
20. Slectionnez l'onglet Membres.
21. Cliquez sur Annuler pour fermer Proprits de : Groupe de rplication dont le mot de passe.

Mthode conseille
Mettez en uvre les recommandations suivantes quand vous grez les sites et la rplication
Active Directory dans votre environnement :
Fournissez toujours au moins un ou plusieurs serveurs de catalogue global par site.
Assurez-vous que tous les sites ont des sous-rseaux associs appropris.
Ne paramtrez pas de longs intervalles sans rplication quand vous configurez des planifications
de rplication pour la rplication intersite.
vitez d'utiliser SMTP comme protocole pour la rplication.

Question : Pourquoi est-il important que tous les sous-rseaux soient identifis et associs un site dans
une entreprise multi sites ?
Rponse : Il est possible de rendre le processus de localisation des contrleurs de domaine et d'autres
services plus efficaces en rfrant les clients au site correct en fonction de leur adresse IP et en fonction de
la dfinition des sous-rseaux. Si un client a une adresse IP qui n'appartient pas un site, le client lancera
une requte pour tous les contrleurs de domaine dans le domaine. Ce n'est pas une stratgie efficace.
En fait, un client unique peut effectuer des actions sur des contrleurs de domaine de diffrents sites,
ce qui peut mener des rsultats tranges si ces modifications n'ont pas encore t rpliques. Par
consquent, il est crucial que chaque client sache dans quel site il se trouve, et pour cela il vous faut vous
assurez que les contrleurs de domaine sont capables d'identifier quel est l'emplacement d'un client.
Question : Quels sont les avantages et les inconvnients de rduire l'intervalle de rplication intersite?
Rponse : Rduire l'intervalle de rplication intersite amliore la convergence. Les modifications

effectues dans un site sont rpliques plus rapidement d'autres sites. Il y a peu, voire aucun
inconvnient. Si vous considrez que ces modifications doivent tre rpliques, qu'elles attendent
15 minutes ou trois heures, il s'agit l d'une question de temps de rplication plutt qu'une question
de quantit de rplication. Cependant, dans quelques situations extrmes, il est possible que permettre
un plus petit nombre de modifications de se produire plus frquemment pourrait tre moins prfrable
que de permettre un grand nombre de modifications de se rpliquer moins frquemment.
Question : Quelle est la fonction d'un serveur tte de pont ?
Rponse : Le serveur tte de pont est responsable de toute la rplication dans le site et en dehors. Au lieu
de rpliquer tous les contrleurs de domaine d'un site avec tous les contrleurs de domaine dans un autre
site, vous pouvez utiliser des serveurs tte de pont pour grer la rplication intersite.

Le client ne peut pas localiser Vrifiez que tous les enregistrements de ressource de service (SRV)
le contrleur de domaine dans pour le contrleur de domaine sont prsents dans le DNS.
son site. Vrifiez que le contrleur de domaine a une adresse IP
du sous-rseau qui est associ avec ce site.
Vrifiez que le client est un membre du domaine et a l'horaire
correct.
La rplication entre les sites Vrifiez que les liens de sites sont correctement configurs.
ne fonctionne pas. Vrifiez la planification de rplication.
Vrifiez que le pare-feu entre les sites permet le trafic pour
la rplication Active Directory.
La rplication entre deux Vrifiez que les deux contrleurs de domaine apparaissent dans
contrleurs de domaine dans le le mme site.
mme site ne fonctionne pas. Vrifiez que AD DS fonctionne correctement sur les contrleurs
de domaine.
Vrifiez la communication rseau, et vrifiez que l'heure sur
chaque serveur est correct.

Questions de contrle des acquis : Implmentation des sites
et de la rplication AD DS
Question : Vous dcidez dajouter un nouveau contrleur de domaine au site de LondonHQ nomm
LON-DC2. Comment pouvez-vous vrifier que LON-DC2 est utilis pour passer tout le trafic de rplication
au site de Toronto ?
Rponse : Il vous faudrait configurer ce nouveau contrleur de domaine en tant que serveur tte de pont
par dfaut pour le site de LondonHQ.
Question : Vous avez ajout un nouveau contrleur de domaine nomm LON-DC2 au site de LondonHQ.
Quelles partitions AD DS seront modifies en consquence ?
Rponse : Il est probable que toutes les partitions except la partition de schma soient modifies. Vous
ajoutez le nouveau contrleur de domaine la partition de domaine et la partition de configuration
pour vrifier que le rplication AD DS est configur correctement. Si vous utilisez le DNS avec AD DS
intgr, alors les enregistrements de contrleur de domaine se mettront galement jour dans les
partitions dapplication DNS.
Question : Dans latelier pratique, vous avez cr un lien de sites distinct pour les sites Toronto et TestSite.
Que pourriez-vous galement devoir faire pour vrifier que LondonHQ ne cre pas automatiquement un
objet de connexion directement avec le site TestSite ?
Rponse : Vous pourriez galement devoir arrter la liaison automatique de sites afin de dsactiver
la transitivit de site entre LondonHQ, Toronto, et TestSite.
Module 6
Implmentation des services de certificats Active Directory
Table des matires :
Leon 1: Prsentation de l'infrastructure cl publique (PKI) 64
Leon 2: Dploiement d'autorits de certification 66
Leon 3: Dploiement et gestion des modles de certificats 69

Leon 4: Implmentation de la distribution et de la rvocation de certificats 71
Leon 5: Gestion de la rcupration de certificats 75

Leon 1
Prsentation de l'infrastructure cl publique (PKI)
Table des matires :
Qu'est-ce qu'une hirarchie de certification croise ?
Question : Votre socit acquiert une autre socit. Les deux socits excutent leur propre PKI.
Que pourriez-vous faire pour rduire le temps d'arrt et continuer fournir des services de PKI
de manire transparente ?
Rponse : Vous pourriez implmenter une hirarchie de certification croise.

Leon 2
Dploiement d'autorits de certification
Table des matires :
Dmonstration 67
Dmonstration
Dmonstration : Dploiement d'une AC racine
Dploiement d'une AC racine

1. Sur LON-SVR1, dans le Gestionnaire de serveur, cliquez sur Ajouter des rles et des fonctionnalits.
2. Sur la page Avant de commencer, cliquez sur Suivant.
5. Sur la page Slectionner des rles de serveurs, slectionnez Services de certificats

Active Directory. Dans l'Assistant Ajouter des rles et des fonctionnalits, cliquez sur Ajouter
des fonctionnalits, puis sur Suivant.

7. Sur la page Services de certificats Active Directory, cliquez sur Suivant.
8. Sur la page Slectionner des services de rle, vrifiez que l'option Autorit de certification est
slectionne, puis cliquez sur Suivant.
10. Sur la page Progression de l'installation, aprs l'installation, cliquez sur le texte Configurer
les services de certificats Active Directory sur le serveur de destination.
11. Dans l'Assistant de configuration AD CS, sur la page Informations d'identification, cliquez
sur Suivant.
12. Sur la page Services de rle, slectionnez Autorit de certification, puis cliquez sur Suivant.
13. Sur la page Type d'installation, slectionnez Autorit de certification d'entreprise, puis cliquez
sur Suivant.
14. Sur la page Type d'autorit de certification, cliquez sur l'option Autorit de certification racine,
puis sur Suivant.
15. Sur la page Cl prive, vrifiez que l'option Crer une cl prive est slectionne, puis cliquez sur
Suivant.
16. Sur la page Chiffrement pour l'autorit de certification, conservez les slections par dfaut
pour CSP et l'algorithme de hachage, mais dfinissez la Longueur de la cl sur 4 096, puis cliquez
sur Suivant.
17. Sur la page Nom de l'autorit de certification, dans la zone Nom commun de cette AC,
tapez AdatumRootCA, puis cliquez sur Suivant.
18. Sur la page Priode de validit, cliquez sur Suivant.

19. Sur la page Base de donnes de l'autorit de certification, cliquez sur Suivant.
20. Sur la page Confirmation, cliquez sur Configurer.
21. Sur la page Rsultats, cliquez sur Fermer.
22. Sur la page Progression de l'installation, cliquez sur Fermer.

Leon 3
Dploiement et gestion des modles de certificats
Table des matires :
Dmonstration 70
Dmonstration
Dmonstration : Modification et activation d'un modle de certificat
Modifier et activer un modle de certificat

1. Sur LON-SVR1, cliquez sur l'icne du Gestionnaire de serveur dans la barre des tches.
2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Autorit de certification.
3. Dans la console Autorit de certification (Local), dveloppez AdatumRootCA,, cliquez avec

le bouton droit sur Modles de certificats, puis cliquez sur Grer.
4. Passez en revue la liste des modles par dfaut. Examinez les modles et leurs proprits.
5. Dans le volet Dtails, double-cliquez sur IPSec.
6. Dans la bote de dialogue Proprits de : IPSec, passez sur les onglets et notez ce que vous pouvez
modifier sous chaque onglet. Notez que sous l'onglet Scurit, vous pouvez dfinir des autorisations
pour l'inscription. Cliquez sur Annuler pour fermer le modle.
7. Dans la Console des modles de certificat, dans le volet Dtails, cliquez avec le bouton droit sur
le modle de certificat Utilisateur Exchange, puis cliquez sur Dupliquer le modle.
8. Dans la bote de dialogue Proprits du nouveau modle, passez en revue les options sous
l'onglet Compatibilit.
9. Cliquez sur l'onglet Gnral, puis dans la zone de texte Nom complet du modle, tapez
Exchange User Test1.
10. Cliquez sur l'onglet Modles obsoltes, puis sur Ajouter.
11. Cliquez sur le modle Utilisateur Exchange, puis sur OK.

12. Cliquez sur l'onglet Scurit, puis sur Utilisateurs authentifis.
13. Dans le nud Autorisations pour Utilisateurs authentifis, activez les cases cocher Autoriser
pour les options Lecture, Inscrire et Inscription automatique, puis cliquez sur OK.
14. Fermez la Console des modles de certificat.
15. Dans la console Autorit de certification (Local), cliquez avec le bouton droit sur Modles
de certificats,, pointez sur Nouveau, puis cliquez sur Modle de certificat dlivrer.
16. Dans la bote de dialogue Activer les modles de certificat, slectionnez le certificat
Exchange User Test1 et cliquez sur OK.
Leon 4
Implmentation de la distribution et de la rvocation
de certificats
Table des matires :
Dmonstration 72
Dmonstration
Dmonstration : Configuration de l'agent d'inscription restreint
Configurer l'agent d'inscription restreint

2. Dans la console Gestionnaire de serveur, cliquez sur Outils, puis ouvrez l'Autorit de certification.
3. Dans la console certsrv, dveloppez AdatumRootCA, cliquez avec le bouton droit sur Modles
de certificats, puis cliquez sur Grer.
4. Dans la console Modles de certificats, double-cliquez sur Agent d'inscription, cliquez sur l'onglet
Scurit, puis cliquez sur Ajouter.
5. Dans la fentre Slectionner les utilisateurs, ordinateurs, comptes de service ou groupes, tapez Allie,
cliquez sur Vrifier les noms, puis sur OK.
6. Sous l'onglet Scurit, cliquez sur Allie Bellew (Allie@adatum.com), slectionnez Autoriser pour
les autorisations Lecture et Inscrire, puis cliquez sur OK.
7. Fermez la console Modles de certificats.

8. Dans la console certsrv, cliquez avec le bouton droit sur Modles de certificats, pointez sur
Nouveau, puis cliquez sur Modle de certificat dlivrer.
9. Dans la liste de modles, cliquez sur Agent d'inscription, puis sur OK.
10. Basculez vers LON-CL1, puis ouvrez une session avec le nom d'utilisateur Adatum\Allie et le mot
de passe Pa$$w0rd.
11. Dans l'cran Accueil, tapez mmc.exe et appuyez sur Entre.
12. Dans Console1, ouvrez le menu Fichier, puis cliquez sur Ajouter/Supprimer un composant
logiciel enfichable.
13. Cliquez sur Certificats, sur Ajouter, puis sur OK.
14. Dveloppez Certificats - Utilisateur actuel, puis cliquez sur Personnel.
15. Cliquez avec le bouton droit sur Personnel, pointez sur Toutes les tches, puis cliquez sur
Demander un nouveau certificat.
16. Dans l'Assistant Inscription de certificat, sur la page Avant de commencer, cliquez sur Suivant.
17. Sur la page Slectionner la stratgie d'inscription de certificat, cliquez sur Suivant.
18. Sur la page Demander des certificats, slectionnez Agent d'inscription, cliquez sur Inscription,
puis sur Terminer.
19. Basculez vers LON-SVR1.
20. Dans la console Autorit de certification, cliquez avec le bouton droit AdatumRootCA, puis cliquez
sur Proprits.
21. Dans la bote de dialogue Proprits de : AdatumRootCA, cliquez sur l'onglet Agents
d'inscription.
22. Sous l'onglet Agents d'inscription, cliquez sur Restreindre les agents d'inscription.
23. Dans la fentre contextuelle, cliquez sur OK.
24. Sous l'onglet Agents d'inscription, sous Agents d'inscription, cliquez sur Ajouter.
25. Dans la fentre Slectionner les utilisateurs, les ordinateurs ou les groupes, tapez Allie, cliquez sur
Vrifier les noms, puis sur OK.
26. Cliquez sur Tout le monde, puis sur Supprimer.
27. Dans la section Modles de certificats, cliquez sur Ajouter.
28. Dans la liste de modles, slectionnez Utilisateur, puis cliquez sur OK.
29. Dans la section Modles de certificats, cliquez sur <Tous>, puis cliquez sur Supprimer.
30. Dans la section Autorisation, cliquez sur Ajouter.
31. Dans la fentre Slectionner les utilisateurs, les ordinateurs ou les groupes, tapez Marketing, cliquez
sur Vrifier les noms, puis sur OK.
32. Dans la section Autorisation, cliquez sur Tout le monde, sur Supprimer, puis sur OK.
Dmonstration : Configuration d'un rpondeur en ligne

Configurer un rpondeur en ligne

2. Dans le Gestionnaire de serveur, cliquez sur Ajouter des rles et des fonctionnalits.
3. Cliquez sur Suivant trois reprises.
4. Sur la page Slectionner des rles serveur, dveloppez Services de certificats Active Directory
(Install), puis slectionnez Rpondeur en ligne.
5. Cliquez sur Ajouter des fonctionnalits.
6. Cliquez sur Suivant deux reprises, puis cliquez sur Installer.
7. Lorsque le message affiche que l'installation a russi, cliquez sur Configurer les services
de certificats Active Directory sur le serveur de destination.
8. Dans l'Assistant Configuration AD CS, cliquez sur Suivant.
9. Slectionnez Rpondeur en ligne, puis cliquez sur Suivant.
10. Cliquez sur Configurer, puis cliquez deux reprises sur Fermer.
11. Dans la console Gestionnaire de serveur, cliquez sur Outils, puis sur la console Autorit de
certification dans LON-SVR1.
12. Dans la console Autorit de certification, cliquez avec le bouton droit AdatumRootCA, puis cliquez
sur Proprits.
13. Dans la bote de dialogue Proprits de : AdatumRootCA, sous l'onglet Extensions, dans la liste
Slectionner l'extension, cliquez sur Accs aux informations de l'Autorit (AIA), puis sur Ajouter.
14. Dans la bote de dialogue Ajouter un emplacement, tapez http://LON-SVR1/ocsp, puis cliquez
sur OK.
15. Activez la case cocher Inclure dans l'extension AIA des certificats mis.
16. Activez la case cocher Inclure dans l'extension OCSP (Online Certificate Status Protocol), puis
cliquez sur OK.
17. Dans la zone Autorit de certification, redmarrez Active Directory Certificate Services en cliquant
sur Oui.
18. Dans la console certsrv, dveloppez AdatumRootCA, cliquez avec le bouton droit sur le dossier
Modles de certificats, puis cliquez sur Grer.
19. Dans la console Modles de certificats, double-cliquez sur le modle Signature de rponse OCSP.
20. Dans la bote de dialogue Proprits de : Signature de rponse OCSP, cliquez sur l'onglet Scurit.
Sous Autorisations pour Utilisateurs authentifis, activez la case cocher Autoriser pour Inscrire,
puis cliquez sur OK.
22. Dans la console Autorit de certification, cliquez avec le bouton droit sur le dossier Modles
de certificats, pointez sur Nouveau, puis cliquez sur Modle de certificat dlivrer.
23. Dans la bote de dialogue Activer les modles de certificat, slectionnez le modle Signature
de rponse OCSP, puis cliquez sur OK.
24. Sur LON-SVR1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion des rpondeurs
en ligne.
25. Dans la console Gestion des rpondeurs en ligne, cliquez avec le bouton droit sur Configuration
de rvocation, puis cliquez sur Ajouter une configuration de rvocation.
26. Dans l'Assistant Ajouter une configuration de rvocation, cliquez sur Suivant.
27. Sur la page Nom de la configuration de rvocation, dans la zone de texte Nom, tapez Rpondeur
en ligne AdatumCA, puis cliquez sur Suivant.
28. Sur la page Slectionner un emplacement de certificat d'autorit de certification, cliquez

sur Suivant.
29. Sur la page Choisir un certificat d'autorit de certification, cliquez sur Parcourir, sur le certificat
AdatumRootCA, sur OK, et sur Suivant.
30. Sur la page Slectionner le certificat utilis pour la signature, vrifiez que les options
Slectionner automatiquement un certificat de signature et Inscription automatique
pour un certificat de signature OCSP sont slectionnes, puis cliquez sur Suivant.
31. Sur la page Fournisseur de rvocation, cliquez sur Terminer. L'tat de la configuration de
rvocation est En cours de calcul.
32. Fermez la console Rpondeur en ligne.

Leon 5
Gestion de la rcupration de certificats
Table des matires :
Dmonstration 76
Dmonstration
Dmonstration : Configuration d'une autorit de certification
pour l'archivage de cl
Configurer l'archivage de cl automatique

1. Sur LON-SVR1, ouvrez la console Autorit de certification.
2. Dans la console Autorit de certificat, dveloppez le nud AdatumRootCA, cliquez avec le bouton
droit sur le dossier Modles de certificats, puis cliquez sur Grer.
3. Dans le volet Dtails, cliquez avec le bouton droit sur le certificat Agent de rcupration de cl,
puis cliquez sur Proprits.
4. Dans la bote de dialogue Proprits de : Agent de rcupration de cl, sous l'onglet Conditions
d'mission, dsactivez la case cocher Approbation du gestionnaire de certificat de l'Autorit
de certification.
Remarque : Cet onglet est propos titre de test uniquement. Dans un environnement de
production, vous ne devez pas modifier cette valeur.
5. Sous l'onglet Scurit, notez que les Admins du domaine et les administrateurs de l'entreprise sont
les seuls groupes qui ont l'autorisation Inscrire, puis cliquez sur OK. N'apportez aucune modification.
7. Dans la console Autorit de certificat, cliquez avec le bouton droit sur Modles de certificats, cliquez
sur Nouveau, sur Modle de certificat dlivrer, sur Agent de rcupration de cl et sur OK.
Ce processus configure une autorit de certification pour qu'elle dlivre des certificats selon le
modle d'agent de rcupration de cl.
8. Cliquez sur l'cran Accueil, tapez mmc.exe, puis appuyez sur Entre.
9. Dans la fentre Console 1, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant
logiciel enfichable.
10. Sur la page Ajouter ou supprimer des composants logiciels enfichables, slectionnez Certificats,
puis cliquez sur Ajouter.
11. Slectionnez Mon compte d'utilisateur, cliquez sur Terminer, puis sur OK.
12. Dveloppez Certificats - Utilisateur actuel, puis cliquez sur Personnel. Cliquez avec le bouton droit
sur Personnel, slectionnez Toutes les tches, puis cliquez sur Demander un nouveau certificat.
13. Dans l'Assistant Inscription de certificat, cliquez sur Suivant deux reprises.
14. Sur la page Demander des certificats, slectionnez Agent de rcupration de cl et cliquez
sur Inscription.
15. Cliquez sur Terminer.

16. Confirmez que le nouveau certificat s'affiche dans la banque de certificats. S'il s'affiche, vous avez
inscrit l'administrateur comme KRA. Rduisez la console Certificats.
17. Ouvrez les proprits d'AdatumRootCA.
18. Sous l'onglet Agents de rcupration, cliquez sur Archiver la cl, puis sur Ajouter, puis choisissez
le certificat d'administrateur. Cliquez sur OK.
19. Cliquez sur OK et sur Oui pour redmarrer AD CS.
20. Cliquez avec le bouton droit sur Modles de certificats, puis cliquez sur Grer.
21. Double-cliquez sur le certificat Exchange User Test1 pour ouvrir la bote de dialogue Proprits
de : Exchange User Test1. Sous l'onglet Traitement de la demande, cliquez sur Archiver la cl
prive de chiffrement du sujet et sur Inclure des algorithmes symtriques autoriss par le sujet.
Si la fentre contextuelle s'affiche, cliquez sur OK.
22. Cliquez sur OK pour fermer le modle.
Dmonstration : Rcupration d'une cl prive perdue (en option)

Rcuprer une cl prive perdue

1. Sur LON-SVR1, cliquez sur l'cran Accueil, tapez mmc.exe, puis appuyez sur Entre.
2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
3. Slectionnez Certificats, puis cliquez sur Ajouter.
4. Cliquez sur Mon compte d'utilisateur, puis sur Terminer et sur OK.
5. Dveloppez Certificats - Utilisateur actuel et Personnel, puis cliquez avec le bouton droit sur
Certificats, slectionnez Toutes les tches et cliquez sur Demander un nouveau certificat.
6. Inscrivez-vous pour le certificat Exchange User Test1 l'aide de l'Assistant. Quand vous slectionnez
le modle Exchange User Test1 dans l'Assistant, cliquez pour ouvrir les paramtres dans une note
pour entrer le nom du sujet. Dans la liste Type, cliquez sur Adresse de messagerie, dans le champ
de valeur, tapez administrateur@adatum.com, cliquez sur Ajouter, sur OK et sur Inscription.
7. Vrifiez que le certificat s'affiche dans le magasin de certificats personnels.
8. Simulez une cl prive perdue en supprimant le certificat administrateur@adatum.com du magasin

de certificats personnels. Pour ce faire, cliquez avec le bouton droit sur
administrateur@adatum.com, cliquez sur Supprimer, puis sur Oui. Rduisez la console Certificats
(Console1).
9. Dans la console Autorit de certification, dans le dossier Certificats dlivrs, double-cliquez sur le
certificat avec le nom de modle Exchange User Test1. C'est le certificat que vous avez publi lors
d'une tape prcdente. Depuis l'onglet Dtails, enregistrez le numro de srie. (Vous pouvez le
copier et le coller dans le Bloc-notes, puis supprimer les espaces entre les numros.)
10. Ouvrez une fentre d'invite de commandes avec des privilges levs. (Dans le menu Accueil, tapez
cmd, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Excuter en tant
qu'administrateur.)
11. Dans la fentre d'invite de commandes, basculez vers la racine du lecteur C en tapant cd., puis
appuyez sur Entre. (Vous pourriez devoir le faire deux fois.)
12. Slectionnez le numro de srie de certificat dans le Bloc-notes, cliquez avec le bouton droit sur
le numro, puis choisissez Copier.
13. Repassez la fentre d'invite de commandes et tapez la commande suivante :
Certutil -getkey <numro de srie> outputblob
o <numro de srie> est un numro que vous collez depuis le Bloc-notes. Appuyez
sur Entre.
Remarque : Si un point d'interrogation s'affiche au dbut du numro aprs son collage,

supprimez-le. Veillez galement supprimer tous les espaces du numro de srie, ou entourer
le numro de srie de guillemets.
14. Lorsque la commande a russi, ouvrez le lecteur C et vrifiez que le fichier Outputblob s'affiche.
15. Repassez la fentre d'invite de commandes. l'invite de commandes, tapez ce qui suit et appuyez
sur Entre :
Certutil -recoverkey outputblob recover.pfx
16. l'invite, tapez Pa$$w0rd comme nouveau mot de passe, puis confirmez le mot de passe.
17. Accdez au lecteur C, puis vrifiez que le fichier Recover.pfx, la cl rcupre, est cr.
18. Double-cliquez sur recover.pfx.
19. Cliquez deux fois sur Suivant.

20. Entrez le mot de passe Pa$$w0rd, cliquez sur Suivant deux reprises, cliquez sur Terminer, puis
sur OK.
21. Restaurez la console Certificats (Console 1). Actualisez le magasin de certificats.

22. Vrifiez que le certificat administrateur@adatum.com s'affiche maintenant.

Mthode conseille
En dployant l'infrastructure d'autorit de certification, dployez une autorit de certification racine
autonome (non joint au domaine) et une autorit de certification d'entreprise secondaire (autorit
de certification de publication). Aprs que l'autorit de certification secondaire d'entreprise reoit un
certificat d'autorit de certification racine, mettez l'autorit de certification racine hors connexion.
Dlivrez un certificat pour l'autorit de certification racine pendant une longue priode,
comme 15 ou 20 ans.
Utilisez l'inscription automatique pour les certificats qui sont trs utiliss.
Utilisez un agent d'inscription restreint ds que possible.
Utilisez les cartes puce virtuelles pour amliorer la scurit de l'ouverture de session.

Question : Quelles sont certaines raisons pour lesquelles une organisation utiliserait la PKI ?
Rponse : Amlioration de la scurit, contrle d'identit et signature numrique de code.
Question : Quelles sont certaines raisons pour lesquelles une organisation utiliserait une autorit de
certification racine d'entreprise ?
Rponse : Si une organisation souhaite utiliser une seule autorit de certification et des modles de
certificats et l'inscription automatique, alors une autorit de certification racine d'entreprise est le seul
choix possible.
Question : Citez les conditions pour utiliser l'inscription automatique pour des certificats.
Rponse : Pour utiliser l'inscription automatique pour des certificats, vous devez avoir une AC
d'entreprise et vous devez configurer des options de stratgie de groupe. En outre, vous devez activer
l'inscription automatique pour les certificats souhaits et vous devez configurer des objets de stratgie
de groupe.
Question : Quelles sont les tapes pour configurer un rpondeur en ligne ?

Rponse : Pour configurer un rpondeur en ligne, vous devez crer la configuration de rpondeur et
vous devez vous inscrire pour un certificat de signature OCSP. Vous devez galement ajouter une URL
de rpondeur AIA.

Contoso, Ltd souhaite dployer la PKI pour prendre en charge et scuriser plusieurs services. Elle
a dcid d'utiliser des services de certificats Windows Server 2012 comme plateforme pour la PKI.
Les certificats seront principalement utiliss pour EFS, la signature numrique et des serveurs Web.
Puisque les documents qui seront chiffrs sont importants, il est crucial d'avoir une stratgie de
rcupration aprs sinistre en cas de perte de cl. En outre, les clients qui auront accs aux parties
scurises du site Web de la socit ne doivent recevoir aucun avertissement sur leurs navigateurs.
1. Quel type de dploiement Contoso devrait-elle choisir ?
2. Quel type de certificats Contoso devrait-elle utiliser pour EFS et la signature numrique ?
3. Quel type de certificats Contoso devrait-elle utiliser pour un site Web ?
4. Comment Contoso vrifiera-t-elle que les donnes chiffres par EFS ne sont pas perdues si un
utilisateur perd un certificat ?
Outils
Console Autorit de certification
Console Modles de certificats

Console Certificats
Certutil.exe

L'emplacement du certificat d'Autorit de Le composant logiciel enfichable de l'autorit de

certification qui est spcifi dans l'extension certification permet de configurer l'extension d'accs
d'accs l'information d'autorit n'est pas l'information d'autorit pour inclure le suffixe de
configur pour inclure le suffixe de nom de nom de certificat dans chaque emplacement.
certificat. Les clients peuvent ne pas pouvoir
localiser la version correcte du certificat
d'autorit de certification de publication pour
gnrer une chane de certificats, et la
validation de certificat peut chouer.
(suite)
L'autorit de certification n'est pas configure Utilisez le composant logiciel enfichable d'autorit de
pour inclure des emplacements de point de certification pour configurer l'extension de point de
distribution de liste de rvocation de certificats distribution de liste de rvocation de certificats et
dans les extensions des certificats mis. Les pour spcifier l'emplacement rseau de la liste de
clients peuvent ne pas pouvoir localiser une rvocation de certificats.
liste de rvocation de certificats pour contrler Les emplacements par dfaut de la liste de rvocation
l'tat de rvocation d'un certificat, et la de certificats sont ajouts aux paramtres d'extension
validation de certificat peut chouer. de point de distribution de liste de rvocation de
certificats pendant l'installation de l'autorit de
certification, et l'autorit de certification est
configure pour inclure les emplacements par dfaut
dans les extensions de tous les certificats mis.
L'autorit de certification a t installe Utilisez la console GPMC pour configurer des

comme AC d'entreprise, mais des paramtres paramtres de stratgie d'inscription automatique
de stratgie de groupe pour l'inscription d'utilisateur et utilisez le composant logiciel
automatique d'utilisateur n'ont pas t activs. enfichable de modles de certificats pour configurer
Une AC d'entreprise peut utiliser l'inscription des paramtres d'inscription automatique sur le
automatique pour simplifier l'mission et le modle de certificat.
renouvellement de certificats. Si l'inscription
automatique n'est pas active, l'mission et le
renouvellement de certificats peuvent ne pas
se produire comme prvu.

Atelier pratique A : Dploiement et configuration de la hirarchie
d'autorits de certification
Question : Pourquoi nest-il pas recommand dinstaller seulement une AC racine dentreprise ?
Rponse : Pour des raisons de scurit, les AC racine doivent tre hors connexion, sans accs au rseau.
Les AC racines dentreprise ne peuvent pas tre mises hors connexion. Par consquent, il nexiste pas
de protection maximale pour cette cl.
Atelier pratique B : Dploiement et gestion de certificats

Question : Quel est le principal avantage dOCSP par rapport la liste de rvocation de certificats ?
Rponse : OCSP fournit ltat dun seul certificat que les clients demandent, au lieu de tlcharger
lensemble de la liste de rvocation de certificats et des listes CRL delta. En outre, les rponses sont
beaucoup plus rapides et plus fiables, parce que les clients ne les mettent pas en cache.
Question : Que devez-vous faire pour rcuprer des cls prives ?

Rponse : Pour rcuprer des cls prives, vous devez configurer lautorit de certification pour quelle
archive des cls prives pour des modles spcifiques, et vous devez dlivrer un certificat dagent de
rcupration de cl.
Module 7
Implmentation des services AD RMS
(Active Directory Rights Management Services)
Table des matires :
Leon 2: Dploiement et gestion d'une infrastructure d'AD RMS 84
Leon 3: Configuration de la protection du contenu AD RMS 87

Leon 4: Configuration d'un accs externe AD RMS 90

Leon 2
Dploiement et gestion
d'une infrastructure d'AD RMS
Table des matires :
Dmonstration 85
Dmonstration
Dmonstration : Installation du premier serveur d'un cluster AD RMS
Configurer un compte de service

1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Centre d'administration
Active Directory.
2. Slectionnez puis cliquez avec le bouton droit sur Adatum (local), cliquez sur Nouveau, puis sur
Unit d'organisation.
3. Dans la bote de dialogue Crer Unit d'organisation :, dans le champ Nom, saisissez Comptes
de service, puis cliquez sur OK.
4. Cliquez avec le bouton droit sur l'unit d'organisation (OU) Comptes de service, cliquez sur
Nouveau, puis sur Utilisateur.
5. Dans la bote de dialogue Crer un utilisateur, entrez les dtails suivants, puis cliquez sur OK :
o Prnom : ADRMSSVC
o Nom d'ouverture de session de l'utilisateur principal : ADRMSSVC

o Mot de passe : Pa$$w0rd
o Confirmer le mot de passe : Pa$$w0rd
o Le mot de passe n'expire jamais : Activ

o L'utilisateur ne peut pas changer de mot de passe : Activ
Prparer un DNS
1. Dans le Gestionnaire de serveurs, cliquez sur Outils, puis sur DNS.
2. Dans le Gestionnaire DNS, dveloppez successivement LON-DC1, et Zones de recherche directes.
3. Slectionnez Adatum.com, puis cliquez dessus avec le bouton droit et cliquez sur Nouvel hte
(A ou AAAA).
4. Dans la bote de dialogue Nouvel hte, entrez les informations suivantes, puis cliquez sur Ajouter
un hte:
o Nom : adrms
o Adresse IP : 172.16.0.21
5. Cliquez sur OK, puis sur Termin et fermez la console du Gestionnaire DNS.
Installer le rle AD RMS

1. Connectez-vous LON-SVR1 l'aide du compte ADATUM\Administrateur et du mot de passe
Pa$$w0rd.
2. Dans le Gestionnaire de serveur, cliquez sur Grer, puis sur Ajouter des rles et fonctionnalits.
3. Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez trois fois sur Suivant.
4. Dans la page Slectionner des rles de serveurs, cliquez sur Services AD RMS (Active Directory
Rights Management Services).
5. Dans la bote de dialogue Assistant Ajout de rles et de fonctionnalits, cliquez sur Ajouter
des fonctionnalits, puis cliquez quatre fois sur Suivant.
6. Cliquez sur Installer, puis cliquez sur Fermer.
Configurer AD RMS
1. Dans le Gestionnaire de serveur, cliquez sur le nud AD RMS.
2. ct de Configuration requise pour Active Directory Rights Management Services au niveau

de LON-SVR1, cliquez sur Autres.
3. Sur la page Dtails de la tche Tous les serveurs, cliquez sur Effectuer une configuration
supplmentaire.
4. Dans la bote de dialogue Configuration AD RMS : LON-SVR1.Adatum.com, cliquez sur Suivant.
5. Sur la page Cluster AD RMS, cliquez sur Crer un nouveau cluster racine AD RMS, puis cliquez
sur Suivant.
6. Sur la page Base de donnes de configuration, cliquez sur Utiliser la base de donnes interne
de Windows sur ce serveur, puis cliquez sur Suivant.
7. Dans la page Compte de service, cliquez sur Spcifier.
8. Dans la bote de dialogue Scurit de Windows, entrez les dtails suivants, cliquez sur OK puis
sur Suivant :
o Nom d'utilisateur : ADRMSSVC
o Mot de passe : Pa$$w0rd
9. Sur la page Mode de chiffrement, cliquez sur Mode de chiffrement 2, puis cliquez sur Suivant.
10. Sur la page Stockage de cl de cluster, cliquez sur Utiliser le stockage de cl AD RMS gr
de manire centralise, puis cliquez sur Suivant.
11. Sur la page Mot de passe de cl de cluster, entrez le mot de passe Pa$$w0rd deux fois, puis cliquez
sur Suivant.
12. Dans la page Default Web Site, vrifiez que Site Web par dfaut est slectionn, puis cliquez
sur Suivant.
13. Sur la page Adresse du cluster, fournissez les informations suivantes, puis cliquez sur Suivant:
o Type de connexion : Utiliser une connexion non chiffre (http://)
o Nom de domaine complet : adrms.adatum.com

o Port : 80
14. Sur la page Certificat de licence, saisissez Adatum AD RMS, puis cliquez sur Suivant.
15. Dans la page Inscription du SCP, cliquez sur Enregistrer le point de connexion de service
maintenant, puis cliquez sur Suivant.
16. Cliquez sur Installer, puis cliquez sur Fermer.
17. Dans l'cran Accueil, cliquez sur Administrateur, puis cliquez sur Se dconnecter.
Remarque : Vous devez vous dconnecter avant de pouvoir grer AD RMS.

Leon 3
Configuration de la protection du contenu AD RMS
Table des matires :
Dmonstration 88
Que sont les stratgies d'exclusion ?
Documentation supplmentaire : Pour en savoir plus au sujet de l'activation des

stratgies d'exclusion, consultez la rubrique Activation des stratgies d'exclusion l'adresse
Dmonstration
Dmonstration : Cration d'un modle de stratgie de droits
1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Services AD RMS.
2. Dans la console Active Directory Rights Management Services, cliquez sur le nud
LON-SVR1\Modles de stratgie de droits.
3. Dans le volet Actions, cliquez sur Crer un modle de stratgie de droits distribu.
4. Dans l'Assistant Crer un modle de stratgie de droits distribu., sur la page Ajouter
des informations d'identification du modle, cliquez sur Ajouter.
5. Sur la page Ajouter des informations d'identification du modle, entrez les informations
suivantes, puis cliquez sur Ajouter, puis cliquez sur Suivant :
o Langue : franais (France)
o Nom : ReadOnly
o Description : Accs en lecture seule. Aucune copie ou impression.
6. Dans la page Ajouter des droits d'utilisateur, cliquez sur Ajouter.
7. Sur la page Ajouter un utilisateur ou un groupe, saisissez executives@adatum.com, puis cliquez

sur OK.
8. Quand executives@adatum.com est slectionn, sous Droits, cliquez sur Afficher. Vrifiez que
l'option Octroyer le contrle total au propritaire (auteur) sans date d'expiration est
slectionne, puis cliquez sur Suivant.
9. Dans la page Spcifier la stratgie d'expiration, choisissez les paramtres suivants, puis cliquez sur
Suivant :
o Expiration du contenu : Expire aprs (jours) : 7

o Expiration de la licence d'utilisation : Expire aprs (jours) : 7
10. Sur la page Spcifier la stratgie tendue, cliquez sur Demander une nouvelle licence d'utilisation
chaque accs au contenu (dsactiver la mise en cache ct client), cliquez sur Suivant, puis
cliquez sur Terminer.
Dmonstration : Cration d'une stratgie d'exclusion pour exclure

une application
1. Sur LON-SVR1, basculez sur la console AD RMS.
2. Cliquez sur le nud Stratgies d'exclusion, puis cliquez sur Grer la liste
d'exclusions d'applications.
3. Dans le volet Actions, cliquez sur Activer l'exclusion d'applications.
4. Dans le volet Actions, cliquez sur Exclure l'application.
5. Dans la bote de dialogue Exclure l'application, saisissez les informations suivantes, puis cliquez
sur Terminer :
o Nom de fichier d'application : Powerpnt.exe
o Version minimale : 14.0.0.0
o Version maximale : 16.0.0.0

Leon 4
Configuration d'un accs externe AD RMS
Table des matires :
Options d'activation des utilisateurs externes ayant accs AD RMS
Documentation supplmentaire : Pour en savoir plus au sujet des stratgies

d'approbation AD RMS, consultez la page http://go.microsoft.com/fwlink/?LinkId=270032.
Implmentation de la rplication TPD
Documentation supplmentaire : Pour en savoir plus au sujet de l'importation

des TPD, consultez la rubrique Ajouter un domaine de publication approuv l'adresse
Partage de documents protgs par AD RMS l'aide de Windows Live ID
Documentation supplmentaire : Pour en savoir plus au sujet de l'utilisation de

Windows Live ID tablir des certificats de compte des droits pour les utilisateurs, consultez
la page http://go.microsoft.com/fwlink/?LinkId=270034.

Mthode conseille
Avant de dployer AD RMS, vous devez analyser les exigences stratgiques de votre organisation et
crer les modles ncessaires. Vous devez rencontrer les utilisateurs pour les informer de la
fonctionnalit AD RMS et pour demander galement des commentaires sur les types de modles
dont ils aimeraient disposer.
Contrlez strictement l'appartenance au groupe de super utilisateurs. Les utilisateurs prsents dans ce
groupe peuvent accder tout le contenu protg. Accorder l'appartenance ce groupe un
utilisateur lui donne un accs complet tout le contenu protg par AD RMS.

Question : Quels sont les avantages d'avoir un certificat SSL install sur le serveur AD RMS quand
vous effectuez la configuration AD RMS ?
Rponse : Vous pouvez protger la connexion entre les clients et le serveur AD RMS avec SSL.
Question : Vous devez permettre d'accder au contenu protg par les services AD RMS
cinq utilisateurs qui sont des entrepreneurs indpendants et qui ne sont pas des membres
de votre organisation. Quelle mthode devez-vous utiliser pour fournir cet accs ?
Rponse : Utilisez Windows Live ID pour fournir un certificat de compte de droits aux entrepreneurs
indpendants.
Question : Vous souhaitez empcher des utilisateurs de protger le contenu Office PowerPoint en
utilisant des modles AD RMS. Quelles mesures devez-vous prendre pour accomplir cet objectif ?
Rponse : Vous devez configurer une exclusion d'applications pour l'application Office PowerPoint.

Atelier pratique : Implmentation AD RMS
Question : Quelles mesures pouvez-vous prendre pour vrifier que vous pouvez utiliser la Gestion
des droits relatifs l'information avec le rle AD RMS ?
Rponse : Vous devez configurer un certificat du serveur pour le serveur AD RMS avant de
dployer AD RMS.
Module 8
Implmentation des services AD FS
(Active Directory Federation Services)
Table des matires :
Leon 1: Vue d'ensemble d'AD FS 95
Leon 2: Dploiement d'AD FS 97

Leon 3: Implmentation d'AD FS pour une seule organisation 100
Leon 4: Dploiement d'AD FS dans un scnario de fdration B2B 103

Leon 1
Vue d'ensemble d'AD FS
Table des matires :
Qu'est-ce qu'AD FS ?
Documentation supplmentaire : Pour obtenir des informations sur les diffrents

produits de fdration d'identit qui peuvent interagir avec AD FS et des guides tape par
tape sur la faon de configurer les produits, consultez le guide tape par tape et le guide
pratique AD FS 2.0 l'adresse http://go.microsoft.com/fwlink/?LinkId=270035.
Leon 2
Dploiement d'AD FS
Table des matires :
Dmonstration 97
Dmonstration
Dmonstration : Installation du rle serveur AD FS
Installer le rle serveur AD FS

1. Sur LON-DC1, dans le Gestionnaire de serveur, cliquez sur Grer, puis sur Ajouter des rles
et fonctionnalits.
2. Sur la page Avant de commencer, cliquez sur Suivant.

5. Sur la page Slectionner des rles de serveurs, activez la case cocher Services AD FS
(Active Directory Federation Services), cliquez sur Ajouter des fonctionnalits, puis cliquez
sur Suivant.
7. Sur la page Services AD FS (Active Directory Federation Services), cliquez sur Suivant.
8. Sur la page Slectionner les services de rle, cliquez sur Suivant.
9. Sur la page Confirmer les slections d'installation, cliquez sur Installer et patientez jusqu' la fin
de l'installation. Ne fermez pas la fentre.
Configurer le rle serveur AD FS

1. Sur la page Progression de l'installation, cliquez sur Excuter le composant logiciel enfichable
Gestion AD FS.
2. Dans le volet Vue d'ensemble, cliquez sur le lien Assistant Configuration du serveur
de fdration AD FS.
3. Sur la page Bienvenue, vrifiez que l'option Crer un service de fdration est slectionne, puis
4. Sur la page Slectionner un dploiement autonome ou de batterie, cliquez sur Serveur
de fdration autonome, puis cliquez sur Suivant.
5. Sur la page Spcifier le nom du service de fdration, vrifiez les paramtres suivants, puis cliquez
sur Suivant :
o Certificat SSL : LON-DC1.Adatum.com ;
o port : 443
o nom du service de fdration : LON-DC1.Adatum.com.

6. Sur la page Prt appliquer les paramtres, vrifiez que les paramtres de configuration corrects
sont rpertoris, puis cliquez sur Suivant.
7. Patientez jusqu' la fin de la configuration, puis cliquez sur Fermer.
8. Ouvrez Windows Internet Explorer, puis connectez-vous l'adresse

https://lon-dc1.adatum.com/federationmetadata/2007-06/federationmetadata.xml.
9. Dcrivez les informations de mtadonnes aux stagiaires.
10. Fermez Internet Explorer.

Leon 3
Implmentation d'AD FS pour une seule organisation
Table des matires :
Dmonstration 101
Dmonstration
Dmonstration : Configuration des approbations de fournisseur
de revendications et de partie de confiance
Configurer une approbation de fournisseur de revendications

1. Sur LON-DC1, dans la console AD FS, dveloppez Relations d'approbation, puis cliquez sur
Approbations de fournisseur de revendications.
2. Dans le volet central, cliquez avec le bouton droit sur Active Directory, puis cliquez sur Modifier
les rgles de revendication.
3. Dans la bote de dialogue Modifier les rgles de revendication pour Active Directory, sur l'onglet
Rgles de transformation d'approbation, cliquez sur Ajouter une rgle. L'Assistant Ajouter une
rgle de revendication de transformation s'ouvre.
4. Sur la page Slectionner un modle de rgle, sous Modle de rgle de revendication, cliquez sur
Envoyer les attributs LDAP en tant que revendications, puis sur Suivant.
5. Sur la page Configurer la rgle, dans la zone Nom de la rgle de revendication, saisissez Rgle
d'attributs LDAP sortants.
6. Dans la liste droulante Magasin d'attributs, cliquez sur Active Directory.

7. Dans la section Mappage des attributs LDAP aux types de revendications sortantes, slectionnez
les valeurs suivantes pour l'attribut LDAP et le type de revendication sortante :
o Adresses de messagerie = Adresse de messagerie

o Nom d'utilisateur principal = UPN
8. Cliquez sur Terminer, puis sur OK.
Configurer une application Windows Identity Foundation pour AD FS

1. Sur LON-SVR1, basculez vers l'cran d'accueil, puis cliquez sur l'Utilitaire de fdration
Windows Identity Foundation.
2. Sur la page Bienvenue dans l'Assistant Utilitaire de fdration, dans Emplacement de

configuration de l'application, saisissez C:\inetpub\wwwroot\AdatumTestApp\web.config
pour l'emplacement du fichier d'exemple web.config.
3. Dans URI d'application, pour indiquer le chemin d'accs l'exemple d'application qui approuvera
les revendications entrantes du serveur de fdration, saisissez https://lon-
svr1.adatum.com/AdatumTestApp/, puis cliquez sur Suivant.
4. Sur la page Service d'mission de jeton de scurit, slectionnez l'option Utiliser un STS
existant, pour l'emplacement du document de mtadonnes WS-Federation du STS, saisissez
https://lon-dc1.adatum.com/federationmetadata/2007-06/federationmetadata.xml,
puis cliquez sur Suivant.
5. Sur la page Erreur de validation de la chane de certificat de signature du STS, slectionnez

l'option Dsactiver la validation de la chane de certificat, puis cliquez sur Suivant.
6. Sur la page Chiffrement de jeton de scurit, slectionnez l'option Aucun chiffrement, puis
7. Sur la page Revendications offertes, vrifiez les revendications qui seront offertes par le serveur
de fdration, puis cliquez sur Suivant.
8. Sur la page Rsum, vrifiez les modifications qui seront apportes l'exemple d'application par
l'Assistant Utilitaire de fdration, faites dfiler les lments pour comprendre ce que fait chaque
lment, cliquez sur Terminer, et sur OK.
Configurer une approbation de partie de confiance

1. Sur LON-DC1, dans la console AD FS, cliquez sur AD FS.
2. Dans le volet central, cliquez sur Requis : Ajouter une approbation de partie de confiance.
3. Dans l'Assistant Ajouter une approbation de partie de confiance, sur la page Bienvenue, cliquez
sur Dmarrer.
4. Sur la page Slectionner les sources de donnes, slectionnez l'option Importer les donnes
relatives la partie de confiance publies en ligne ou sur un rseau local, puis saisissez
https://lon-svr1.adatum.com/adatumtestapp.
5. Pour continuer, cliquez sur Suivant. Cette action invite l'Assistant vrifier les mtadonnes
de l'application que le rle serveur Web hberge.
6. Sur la page Indiquer le nom complet, dans la zone Nom complet, saisissez ADatum Test App,
7. Sur la page Choisir les rgles d'autorisation d'mission, vrifiez que l'option Autoriser tous
les utilisateurs accder cette partie de confiance est slectionne, puis cliquez sur Suivant.
8. Sur la page Prt ajouter l'approbation, vrifiez les paramtres d'approbation de partie de
confiance, puis cliquez sur Suivant.
9. Sur la page Terminer, cliquez sur Fermer. La bote de dialogue Modifier les rgles
de revendication pour Adatum Test App s'ouvre.
Leon 4
Dploiement d'AD FS dans un scnario
de fdration B2B
Table des matires :
Dmonstration 104
Fonctionnement de la dcouverte du domaine d'accueil
Documentation supplmentaire : Pour en savoir plus sur RelayState, reportez-vous

au site Web Supporting Identity Provider Initiated RelayState (en anglais) l'adresse suivante :
Dmonstration
Dmonstration : Configuration des rgles de revendication
Configurer les rgles de revendication

1. Sur LON-DC1, si ncessaire, ouvrez la console AD FS.
2. Sous Relations d'approbation, cliquez sur Approbations de partie de confiance.
3. Slectionnez ADatum Test App et dans le volet Actions, cliquez sur Modifier les rgles
de revendication.
4. Sur l'onglet Rgles de transformation d'mission, cliquez sur Ajouter une rgle.
5. Sous Modle de rgle de revendication, cliquez sur Passer ou filtrer une revendication entrante,
6. Sous le nom de la Rgle de revendication, saisissez Envoyer la rgle du nom de groupe.
7. Dans la liste droulante Type de revendication entrante, cliquez sur Groupe, puis sur Terminer.
8. Dans la bote de dialogue Modifier les rgles de revendication pour ADatum Test App, sur
l'onglet Rgles d'autorisation d'mission, slectionnez la rgle nomme Autoriser l'accs tous
les utilisateurs, puis cliquez sur Supprimer une rgle. Cliquez sur Oui pour confirmer. Sans rgle,
l'accs est refus aux utilisateurs.
9. Sur l'onglet Rgles d'autorisation d'mission, cliquez sur Ajouter une rgle.
10. Sur la page Slectionner un modle de rgle, sous Modle de rgle de revendication, slectionnez
Autoriser ou refuser l'accs des utilisateurs en function d'une revendication entrante, puis
11. Sur la page Configurer la rgle, dans la zone Nom de la rgle de revendication, saisissez
Autoriser la rgle du groupe Production et dans la liste droulante Type de revendication
entrante, slectionnez Groupe. Dans le champ Valeur de revendication entrante, saisissez
Production, slectionnez l'option Autoriser l'accs aux utilisateurs avec cette revendication
entrante, puis cliquez sur Terminer.
12. Sur l'onglet Rgles d'autorisation d'mission, cliquez sur Ajouter une rgle.
13. Sur la page Slectionner le modle de rgle, sous Modle de rgle de revendication, slectionnez
Autoriser ou refuser l'accs des utilisateurs en function d'une revendication entrante, puis
14. Sur la page Configurer la rgle, dans la zone Nom de la rgle de revendication, saisissez
Autoriser les utilisateurs A. Datum et dans la liste droulante Type de revendication entrante,
slectionnez UPN. Dans le champ Valeur de revendication entrante, saisissez @adatum.com,
slectionnez l'option Autoriser l'accs aux utilisateurs avec cette revendication entrante, puis
cliquez sur Terminer.
15. Cliquez sur la rgle Autoriser les utilisateurs A. Datum, puis cliquez sur Modifier une rgle.
16. Dans la bote de dialogue Modifier la rgle Autoriser les utilisateurs A. Datum, cliquez sur
Afficher le langage de rgles. Notez que les stagiaires modifieront le langage des rgles au cours
de l'atelier pratique.
17. Cliquez sur OK, puis sur Annuler.


Mthode conseille
Question : Quels sont les avantages du dploiement d'AD FS avec une application ou un service de bass
sur le cloud ?
Rponse : Les principaux avantages rsident dans le fait que les organisations doivent uniquement grer
les comptes d'utilisateurs dans le domaine AD DS local et les utilisateurs doivent mmoriser un seul jeu
d'informations d'identification. En outre, seule l'organisation sur site doit grer les comptes d'utilisateurs,
pendant que seule socit d'hbergement de l'application du cloud doit grer ses applications.
Question : Dans quelles circonstances choisiriez-vous de dployer un serveur proxy de fdration ?
Dans quelles circonstances n'avez-vous pas besoin de dployer un serveur proxy de fdration ?
Rponse : Vous devez dployer un serveur proxy de fdration lorsque les utilisateurs qui sont en
dehors du rseau ont besoin d'accder au dploiement d'AD FS. Si les seuls utilisateurs qui ont accs
au dploiement d'AD FS sont internes au rseau, vous n'avez donc pas besoin d'un serveur de proxy
de fdration.

Question : Tailspin Toys dploie une nouvelle application Web prenant en charge les revendications, qui
doit tre accessible la fois aux utilisateurs de Tailspin Toys et aux utilisateurs de Trey Research. Quels
composants AD FS devez-vous dployer au sein de Tailspin Toys pour permettre ce niveau d'accs ?
Rponse : Vous devez dployer un serveur proxy de fdration. En outre, sur le serveur de fdration
de Tailspin Toys, vous devez configurer l'approbation de fournisseur de revendications Active Directory
et crer une approbation de fournisseur de revendications pour Trey Research. Vous devez galement
configurer une approbation de partie de confiance sur le serveur de fdration de Tailspin Toys pour
l'application Web.
Question : Fabrikam, Inc. examine les configurations requises pour AD FS. La socit souhaite utiliser un
serveur proxy de fdration pour garantir une scurit maximale. Fabrikam bnficie actuellement d'un
rseau interne avec des serveurs DNS internes et son DNS Internet est hberg par une socit
d'hbergement. Le rseau de primtre utilise les serveurs DNS de la socit d'hbergement pour la
rsolution DNS. Que doit faire la socit pour prparer le dploiement ?
Rponse : Le serveur proxy de fdration doit pouvoir rsoudre les adresses IP pour le serveur AD FS
interne. Par consquent, vous devez ajouter les serveurs AD FS internes un fichier Htes sur le serveur
proxy de fdration ou modifier la faon dont les serveurs du rseau de primtre rsolvent les noms.

Erreurs de certificat sur le serveur Vrifiez si le certificat se trouve dans le magasin

de fdration de certificats.
Vrifiez si le certificat a expir ou est rvoqu.
Vrifiez si le certificat a une cl prive associe.
Vrifiez pour garantir la validit des autorisations
figurant sur le certificat.
Vrifiez que le certificat est approuv.
Erreurs de certificat sur le client Vrifiez que tous les certificats ncessaires l'interaction
des clients sont approuvs.
chec de l'authentification avec AD FS Validez la configuration des rgles de revendication

de l'application cliente et des revendications.
Demandez l'utilisateur de tenter de se connecter
d'autres applications.
Vrifiez que le compte n'a pas expir ou n'est pas
verrouill.

Atelier pratique : Implmentation des services AD FS
(Active Directory Federation Services)
Question : Dans cet atelier pratique, vous avez implment l'accs un application prenant en charge
les revendications la fois pour les utilisateurs internes et externes. Quelles mesures supplmentaires
devez-vous prendre dans la partie de confiance pour autoriser l'accs aux utilisateurs externes ?
Rponse : Vous devez configurer une approbation de fournisseur de revendications dans la partie de
confiance. Les utilisateurs ont eu accs l'application ds que le serveur de fdration de la partie
de confiance a approuv les informations d'identification partir du fournisseur de revendications.
Vous remarquerez que vous devez galement configurer une approbation de partie de confiance sur
le fournisseur de revendications. En pratique, vous configurerez probablement des rgles d'approbation
supplmentaires pour limiter les utilisateurs qui peuvent accder l'application.
Question : Comment pouvez-vous identifier les revendications qui sont utilises pour autoriser
l'utilisateur accder l'exemple d'application Windows Identity Foundation que vous avez utilis
dans l'atelier pratique?
Rponse : Le site Web qui s'affiche lorsque l'utilisateur accde au site affiche les informations sur
les revendications prsentes par l'utilisateur pour accder au site.
Module 9
Implmentation de l'quilibrage de la charge rseau
Table des matires :
Leon 2: Configuration d'un cluster NLB 110
Leon 3: Planification d'une implmentation NLB 114

Leon 2
Configuration d'un cluster NLB
Table des matires :
Dmonstration 111
Dmonstration
Dmonstration : Dploiement NLB
Crer un cluster NLB dans Windows Server 2012

2. Dans la console Gestionnaire de serveur, cliquez sur le menu Outils, puis sur
Windows PowerShell ISE.
3. Dans la fentre Windows PowerShell ISE, entrez la commande suivante et appuyez sur Entre :
Invoke-Command -Computername LON-SVR1,LON-SVR2 -command {Install-

WindowsFeature NLB,RSAT-NLB}
4. Saisissez la commande suivante puis appuyez sur Entre :
New-NlbCluster -InterfaceName "Connexion au rseau local" -OperationMode Multicast -

ClusterPrimaryIP 172.16.0.42 -ClusterName LON-NLB
5. Saisissez la commande suivante puis appuyez sur Entre :
Add-NlbClusterNode -InterfaceName "Connexion au rseau local" -NewNodeName "LON-SVR2"

-NewNodeInterface "Connexion au rseau local"
6. Dans la console Gestionnaire de serveur, cliquez sur le menu Outils, puis cliquez sur Gestionnaire
d'quilibrage de la charge rseau.
7. Vrifiez que les nuds LON-SVR1 et LON-SVR2 s'affichent avec l'tat Converg pour
le cluster LON-NLB.
8. Cliquez avec le bouton droit sur le cluster LON-NLB, puis cliquez sur Proprits du cluster.
9. Dans la bote de dialogue Proprits de : LON-NLB(172.16.0.42), sous l'onglet Paramtres

de cluster, vrifiez que le cluster est dfini pour utiliser le mode d'oprations de multidiffusion.
10. Sous l'onglet Rgles de port, vrifiez qu'il n'y a qu'une seule rgle de port nomme
Tous qui commence au port 0 et se termine au port 65535 pour le protocole TCP
(Transmission Control Protocol) et le protocole UDP (User Datagram Protocol), et utilise
l'affinit unique.
11. Cliquez sur OK pour fermer la bote de dialogue Proprits de : LON-NLB(172.16.0.42).

Dmonstration : Configuration de l'affinit et des rgles de port NLB

Configurer l'affinit pour des nuds de cluster NLB

1. Sur LON-SVR2, dans la barre des tches, cliquez sur l'icne Windows PowerShell.
2. Dans l'invite Windows PowerShell, tapez les commandes suivantes, en appuyant sur Entre aprs
chaque commande :
Cmd.exe
Mkdir c:\porttest
Xcopy /s c:\inetpub\wwwroot c:\porttest
Exit
New-Website -Name PortTest -PhysicalPath "C:\porttest" -Port 5678
New-NetFirewallRule -DisplayName PortTest -Protocol TCP -LocalPort 5678
Configurer des rgles de port NLB

1. Sur LON-SVR1, dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire
d'quilibrage de la charge rseau.
2. Dans le Gestionnaire d'quilibrage de la charge rseau, cliquez avec le bouton droit sur LON-NLB,
puis cliquez sur Proprits du cluster.
3. Dans la bote de dialogue Proprits de : LON-NLB(172.16.0.42), sous l'onglet Rgles de port,

slectionnez la rgle Tous les ports, puis cliquez sur Supprimer.
4. Cliquez sur OK pour fermer la bote de dialogue Proprits du cluster.

5. Dans le Gestionnaire d'quilibrage de la charge rseau, cliquez avec le bouton droit sur LON-NLB,,
6. Dans la bote de dialogue Proprits de : LON-NLB(172.16.0.42), sous l'onglet Rgles de port,

cliquez sur Ajouter.
7. Dans la bote de dialogue Ajouter/Modifier une rgle de port, entrez les informations suivantes,
puis cliquez sur OK :
o tendue du port : 80 80
o Protocoles : Les deux
o Mode de filtrage : Hte multiple
o Affinit : Aucune
8. Cliquez sur OK pour fermer la bote de dialogue Proprits de : LON-NLB(172.16.0.42).
9. Dans le Gestionnaire d'quilibrage de la charge rseau, cliquez avec le bouton droit sur LON-NLB,
10. Sous l'onglet Rgles de port, cliquez sur Ajouter.

11. Dans la bote de dialogue Ajouter/Modifier une rgle de port, entrez les informations suivantes,
puis cliquez sur OK :
o tendue du port : 5678 5678
o Protocoles : Les deux
o Mode de filtrage : Hte unique

12. Cliquez sur OK pour fermer la bote de dialogue Proprits du cluster.
13. Dans le Gestionnaire d'quilibrage de la charge rseau, cliquez avec le bouton droit sur LON-SVR1,
puis cliquez sur Proprits de l'hte.
14. Sur l'onglet Rgles de port, cliquez sur la rgle de port qui a 5678 comme valeur de dbut et de fin,
puis cliquez sur Modifier.
15. Cliquez sur la valeur Priorit de traitement et modifiez-la avec la valeur 10.
16. Cliquez sur OK deux fois pour fermer la bote de dialogue Ajouter/Modifier une rgle de port et
la bote de dialogue Proprits de l'hte.
Leon 3
Planification d'une implmentation NLB
Table des matires :
Remarques relatives la mise niveau des clusters NLB
Rfrence liens : Pour plus d'informations sur la mise niveau des clusters NLB, consultez

Question : Vous avez cr un cluster NLB de Windows Server 2012 comportant quatre nuds. Le cluster
hberge un site Web qui est hberg sur IIS. Quels sont les consquences sur le cluster si vous arrtez le
service de publication World Wide Web sur l'un des nuds ?
Rponse : Rien ne se produira, car NLB dtecte uniquement la dfaillance de serveur et non la dfaillance
d'une application particulire.
Question : Vous souhaitez hberger les sites Web www.contoso.com, www.adatum.com et

www.fabrikam.com sur un cluster NLB de quatre nuds. L'adresse IP du cluster sera une adresse IP
publique et chaque nom de domaine complet est mapp dans le DNS l'adresse IP publique du cluster.
Quelles mesures devez-vous appliquer chaque nud pour vrifier que le trafic est dirig vers le site
appropri ?
Rponse : Vous devrez configurer des en-ttes d'hte pour chaque site sur chaque nud. En outre, vous
devez vrifier que la configuration d'en-tte d'hte est identique.
Question : Vous avez un cluster NLB de Windows de huit nuds qui hberge une application Web. Vous
souhaitez vous assurer que le trafic d'un client qui utilise le cluster demeure dans le mme nud au cours
de la session, mais que le trafic des clients distincts est distribu quitablement entre tous les nuds.
Quelle option configurez-vous pour atteindre cet objectif ?
Rponse : Pour cela, vous devez configurer les paramtres d'affinit.

Pour obtenir une vritable solution de haute disponibilit, utilisez une solution de surveillance avec NLB
qui dtectera la dfaillance d'application. Cela est li au fait que les clusters NLB continueront diriger le
trafic direct vers les nuds avec des applications dfaillantes si NLB, qui est indpendant de l'application,
continue envoyer le trafic de pulsation.

Atelier pratique : Implmentation de l'quilibrage de la charge rseau
Question : Combien de nuds supplmentaires pouvez-vous ajouter au cluster LON-NLB ?
Rponse : Le cluster LON-NLB peut accueillir jusqu' 32 nuds.
Question : Quelles tapes effectueriez-vous pour vrifier que LON-SVR1 gre toujours les demandes
du trafic web sur le port 5678, en tenant compte des rgles de port fournies la fin de cet exercice ?
Rponse : Vous configurez la priorit d'hte. Vous dfinissez galement la rgle permettant d'utiliser
le mode de filtrage hte unique.
Question : Quelle est la diffrence entre une action Arrter et Drainer et arrter ?
Rponse : L'action Arrter termine toutes les connexions actives immdiatement. L'action Drainer
et arrter bloque les nouvelles connexions, mais permet aux connexions existantes de se terminer
normalement.
Module 10
Implmentation du clustering avec basculement
Table des matires :
Leon 2: Implmentation d'un cluster de basculement 119
Leon 3: Configuration d'applications et de services hautement disponibles

sur un cluster de basculement 121
Leon 4: Maintenance d'un cluster de basculement 123

Leon 2
Implmentation d'un cluster de basculement
Table des matires :
Dmonstration 120
Dmonstration
Dmonstration : Validation et configuration d'un cluster de basculement
Valider et configurer un cluster

2. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire du cluster de basculement.
3. Dans le composant logiciel enfichable Gestionnaire du cluster de basculement, dans l'arborescence

de la console, vrifiez que Gestionnaire du cluster de basculement est slectionn, puis sous
Administration, cliquez sur Validez la configuration, puis cliquez sur Suivant.
4. Dans le champ Entrez un nom, tapez LON-SVR3, puis cliquez sur Ajouter.
5. Dans le champ Entrez un nom, tapez LON-SVR4.
6. Cliquez sur Ajouter, puis sur Suivant.

7. Vrifiez que l'option Excuter tous les tests (recommand) est slectionne, puis cliquez
sur Suivant.
8. Dans la fentre Confirmation, cliquez sur Suivant.
9. Attendez que les tests de validation se terminent, puis dans la fentre Rsum, cliquez sur Rapport.
10. Consultez les informations, puis fermez le rapport.
11. Dans l'Assistant Validation d'une configuration, dsactivez la case cocher en regard de Crer
le cluster maintenant en utilisant les nuds valids, puis cliquez sur Terminer.
12. Sur LON-SVR3, dans Gestionnaire du cluster de basculement, sous la section Administration du volet
central, cliquez sur Crer le cluster.
13. Consultez la page Avant de commencer.
14. Cliquez sur Suivant, tapez LON-SVR3, puis cliquez sur Ajouter. Tapez LON-SVR4, puis cliquez
sur Ajouter.
15. Vrifiez les entres, puis cliquez sur Suivant.
16. Sur la page Point d'accs pour l'administration du cluster, entrez Cluster1 comme Nom du
cluster. Sous Adresse, dans le champ Adresse IP, tapez 172.16.0.125, puis cliquez sur Suivant.
17. Dans la bote de dialogue Confirmation, vrifiez les informations, dsactivez la case cocher
en regard de Ajouter la totalit du stockage disponible au cluster, puis cliquez sur Suivant.
18. Sur la page Rsum, cliquez sur Terminer pour revenir au Gestionnaire du cluster de basculement.
Leon 3
Configuration d'applications et de services hautement
disponibles sur un cluster de basculement
Table des matires :
Dmonstration 122
Dmonstration
Dmonstration : Clustering d'un rle de serveur de fichiers
Mettre en cluster un rle de serveur de fichiers

1. Sur LON-SVR3, ouvrez le Gestionnaire du cluster de basculement.
2. Dveloppez Cluster1.Adatum.com, puis dveloppez Stockage et cliquez sur Disques.
3. Dans le volet Actions, cliquez sur Ajouter un disque.
4. Dsactivez les trois cases cocher.
5. Activez la case cocher en regard de Disque du cluster 2, puis cliquez sur OK.
6. Cliquez avec le bouton droit sur Rles, puis cliquez sur Configurer un rle.
7. Dans la page Avant de commencer, cliquez sur Suivant.
8. Sur la page Slectionner un rle, cliquez sur Serveur de fichiers, puis sur Suivant.
9. Sur la page Type de serveur de fichiers, cliquez sur Serveur de fichiers pour une utilisation
gnrale, puis sur Suivant.
10. Sur la page Point d'accs client, dans la zone Nom, saisissez Adatum-FS. Dans la zone Adresse,
tapez 172.16.0.55 et cliquez sur Suivant.
11. Sur la page Slectionner le stockage, cliquez sur la case cocher prcdant Disque de cluster 2,
12. Sur la page Confirmation, cliquez sur Suivant.
13. Sur la page Rsum, cliquez sur Terminer.

Leon 4
Maintenance d'un cluster de basculement
Table des matires :
Dmonstration 124
Dmonstration
Dmonstration : Configuration de CAU
Configurer les services CAU

1. Ouvrez une session sur LON-DC1 avec le nom d'utilisateur ADATUM\Administrateur et le mot
de passe Pa$$w0rd.
2. Dans Gestionnaire de serveur, cliquez sur Ajouter des rles et des fonctionnalits.
sur Suivant.
6. Sur la page Slectionner des rles de serveurs, cliquez sur Suivant.
7. Sur la page Slectionner des fonctionnalits, dans la liste de fonctionnalits, cliquez sur Clustering
avec basculement.
8. Dans la bote de dialogue Ajouter les fonctionnalits requises pour Clustering avec
basculement? cliquez sur Ajouter des fonctionnalits, puis cliquez sur Suivant.
11. Sur LON-DC1, dans Gestionnaire de serveur, cliquez sur Outils, puis sur Mise jour adapte
aux clusters.
12. Dans la fentre Mise jour adapte aux clusters, dans la liste droulante Se connecter un cluster
de basculement, cliquez sur Cluster1, puis sur Connecter.
13. Dans le volet Actions de cluster, cliquez sur Afficher un aperu des mises jour pour ce cluster.
14. Dans la fentre Afficher un aperu des mises jour-Cluster1, cliquez sur Gnrer la liste des aperus
de mises jour.
Remarque : Vous devez disposer d'une connexion Internet pour raliser cette tape.
15. Aprs quelques minutes, des mises jour apparaissent dans la liste. Examinez les mises jour, puis
cliquez sur Fermer.
16. Dans le volet Actions de cluster, cliquez sur Crer ou modifier un profil d'Excution de mise
jour.
17. Examinez et expliquez les options disponibles. N'effectuez aucune modification, puis lorsque vous
avez termin, cliquez sur Fermer.
18. Cliquez sur Appliquer les mises jour ce cluster.
19. Sur la page Mise en route, cliquez sur Suivant.
20. Sur la page Options de mise jour supplmentaires, examinez les options de mise jour, puis
21. Sur la page Options de mise jour supplmentaires, cliquez sur Suivant.
22. Sur la page Confirmation, cliquez sur Mettre jour, puis sur Fermer.
23. Dans le volet Nuds de cluster, vous pouvez examiner la progression de la mise jour.
Remarque : Soulignez qu'un nud du cluster est En attente, tandis que l'autre nud
redmarre une fois qu'il a t mis jour).
24. Patientez jusqu' la fin du processus. (Remarque : le redmarrage des deux nuds peut tre requis.)
25. Ouvrez une session sur LON-SVR3 avec le nom d'utilisateur ADATUM\Administrateur et le mot
de passe Pa$$w0rd.
26. Sur LON-SVR3, dans Gestionnaire de serveur, cliquez sur Outils, puis sur Mise jour adapte
aux clusters.
27. Dans la fentre Mise jour adapte aux clusters, dans la liste droulante Se connecter un cluster
de basculement, slectionnez Cluster1, puis cliquez sur Connexion.
28. Cliquez sur Configurer les options de mise jour automatique du cluster.
29. Sur la page Mise en route, cliquez sur Suivant.
30. Sur la page Ajouter le rle en cluster de la mise jour adapte aux clusters avec la mise jour
automatique active, cliquez sur Ajouter le rle en cluster de la mise jour adapte aux
clusters, avec le mode de mise jour automatique activ, ce cluster, puis sur Suivant.
31. Dans la zone Spcifier la planification de la mise jour automatique, cliquez sur Chaque
semaine, slectionnez 04:00 pour Heure du jour, puis slectionnez Dimanche pour Jour
de la semaine, puis cliquez sur Suivant.
34. Sur la page Confirmation, cliquez sur Appliquer.
35. Sur la page Achvement, cliquez sur Terminer.


Question : Pourquoi l'utilisation d'une configuration de quorum Pas de majorit : Disque uniquement
est-elle gnralement dconseille ?
Rponse : Lorsque vous utilisez une configuration de quorum Pas de majorit : Disque uniquement,
le cluster de basculement cesse de fonctionner si le numro d'unit logique qui est utilis en tant
que disque quorum choue. Mme si toutes les autres ressources (notamment les disques pour les
applications) sont disponibles, aucun des nuds ne fournit de service lorsque le disque quorum
n'est pas disponible.
Question : Quel est l'objectif de la mise jour adapte aux clusters ?
Rponse : La mise jour adapte aux clusters est une fonctionnalit qui permet aux administrateurs de
mettre jour automatiquement des nuds de cluster, en entranant peu ou pas de perte de disponibilit
pendant le processus de mise jour, ce qui garantit la mise jour de chaque nud du cluster.
Question : Quelle est la principale diffrence entre la rplication synchrone et asynchrone dans un
scnario de cluster multisite ?
Rponse : Lorsque vous utilisez la rplication synchrone, l'hte reoit une rponse criture termine
en provenance du systme de stockage principal, une fois que les donnes ont t correctement crites
sur les deux systmes de stockage. En cas d'chec de l'criture des donnes sur les deux systmes de
stockage, l'application doit tenter d'crire sur le disque une nouvelle fois. Avec la rplication synchrone,
les deux systmes de stockage sont identiques.
Lorsque vous utilisez la rplication asynchrone, le nud reoit une rponse criture termine en
provenance du systme de stockage principal, une fois que les donnes ont t correctement crites
sur le systme de stockage principal. Les donnes sont crites dans le systme de stockage secondaire
un autre moment, en fonction de l'implmentation du fournisseur de matriel ou de logiciels.
Question : Qu'est-ce qu'une fonctionnalit amliore dans les clusters multisites Windows Server 2012 ?
Rponse : Dans Windows Server 2012, vous pouvez rgler les paramtres de quorum du cluster de sorte
que lorsque le cluster dtermine s'il a le quorum, certains nuds ont un vote et d'autres non.

Question : Votre entreprise envisage d'utiliser un cluster gographiquement dispers qui inclut un centre
de donnes alternatif. Votre entreprise possde un seul site physique, ainsi qu'un centre de donnes
alternatif. Cette configuration vous permet-elle de fournir un basculement automatique ?
Rponse : Non, cette configuration ne vous permet pas de fournir un basculement automatique.
Pour fournir un basculement automatique, vous devez possder au moins trois sites.
Outils
Les outils d'implmentation du clustering avec basculement comprennent :
la console Gestionnaire du cluster de basculement ;
la console Mise jour adapte aux clusters ;

Windows PowerShell
Gestionnaire de serveur
Initiateur iSCSI
Gestion des disques


Atelier pratique : Implmentation du clustering avec basculement
Question : Quelles informations devez-vous collecter lors de la planification d'une implmentation
de cluster de basculement et la slection d'un mode de quorum ?
Rponse : Vous devez collecter les informations suivantes :
le nombre d'applications ou de services que vous dploierez sur le cluster ;.
les exigences en matire de performances et les caractristiques pour chaque application ou service ;
le nombre de serveurs qui doivent tre disponibles pour rpondre aux exigences en matire
de performances ;
l'emplacement des utilisateurs qui utilisent le cluster de basculement ;
le type de stockage utilis pour l'espace de stockage en cluster partag.
Question : Une fois l'Assistant Validation d'une configuration excut, comment pouvez-vous rsoudre
le point de dfaillance unique sur la communication rseau ?
Rponse : Vous pouvez rsoudre le point de dfaillance unique sur la communication rseau en ajoutant
des cartes rseau sur un rseau distinct. Cela garantira la redondance de la communication entre les
nuds du cluster.
Question : Dans quelles situations peut-il tre important d'activer la restauration automatique d'une
application en cluster pendant des priodes spcifiques uniquement ?
Rponse : Si vous devez garantir que la restauration automatique n'interfre pas avec des connexions
clientes, des fentres de sauvegarde ou toute autre opration de maintenance qu'une restauration
automatique interromprait, il est important de configurer la restauration automatique sur un nud favori
une heure spcifique.
Module 11
Implmentation du clustering avec basculement
l'aide d'Hyper-V
Table des matires :
Leon 2: Implmentation des ordinateurs virtuels d'Hyper-V sur des clusters
de basculement 130
Leon 3: Implmentation des dplacements d'ordinateurs virtuels Hyper-V 132

Leon 2
Implmentation des ordinateurs virtuels d'Hyper-V
sur des clusters de basculement
Table des matires :
Dmonstration 131
Dmonstration
Dmonstration : Implmentation des ordinateurs virtuels sur des groupes
(facultatif)
Dplacer le stockage de l'ordinateur virtuel vers la cible iSCSI

1. Sur LON-HOST1, ouvrez une fentre Explorateur de fichiers. Dans l'Explorateur de fichiers,
dveloppez le lecteur E, dveloppez Programmes, dveloppez Microsoft Learning, dveloppez
22412, dveloppez 22412B-LON-CORE, puis Virtual Hard Disks.
2. Dans le dossier Virtual Hard Disks, dplacez le fichier de disque dur virtuel 22412B-LON-CORE.vhd
l'emplacement C:\ClusterStorage\Volume1.
Configurer l'ordinateur en tant qu'ordinateur haut niveau de disponibilit

1. Dans la console Gestionnaire du cluster de basculement, cliquez sur Rles, et dans le volet Actions,
cliquez sur Ordinateurs virtuels.
2. Cliquez sur Nouvel ordinateur virtuel.

3. Cliquez sur LON-HOST2, puis sur OK.
4. Dans l'Assistant Nouvel ordinateur virtuel, cliquez sur Suivant.
5. Sur la page Spcifier le nom et l'emplacement, dans la zone de texte Nom, tapez TestClusterVM,
cliquez sur Stocker l'ordinateur virtuel un autre emplacement, puis sur Parcourir.
6. Accdez et slectionnez C:\ClusterStorage\Volume1, cliquez sur Slectionner un dossier, puis

sur Suivant.
7. Sur la page Affecter la mmoire, tapez 1536, puis cliquez sur Suivant.
8. Sur la page Configurer la mise en rseau, cliquez sur Rseau externe, puis sur Suivant.
9. Sur la page Connecter un disque dur virtuel, cliquez sur Utiliser un disque dur virtuel existant,
puis sur Parcourir.
10. Accdez C:\ClusterStorage\Volume1, slectionnez 22412B-LON-CORE.vhd, puis cliquez

sur Ouvrir.
11. Cliquez sur Suivant, puis sur Terminer.
12. Dans l'Assistant Haute disponibilit, sur la page Rsum, cliquez sur Terminer.
13. Cliquez avec le bouton droit sur TestClusterVM, puis sur Dmarrer.
14. Assurez-vous que l'ordinateur dmarre correctement.

Leon 3
Implmentation des dplacements d'ordinateurs
virtuels Hyper-V
Table des matires :
Dmonstration 133
Dmonstration
Dmonstration : Implmentation de la fonction Rplica Hyper-V
(facultatif)
Configurer un rplica
1. Sur LON-HOST2, ouvrez le Gestionnaire Hyper-V.
2. Dans le Gestionnaire Hyper-V, cliquez avec le bouton droit sur LON-HOST2, puis cliquez sur
Paramtres Hyper-V.
3. Dans Paramtres Hyper-V pour LON-HOST2, cliquez sur Configuration de la rplication.
4. Dans le volet Configuration de la rplication, cliquez sur Activer cet ordinateur en tant que serveur
de rplication.
5. Dans la section Authentification et ports, cliquez sur Utiliser Kerberos (HTTP).
6. Dans la section Autorisation et stockage, cliquez sur Autoriser la rplication partir de tout
serveur authentifi, puis cliquez sur Parcourir.
7. Cliquez sur Ordinateur, double-cliquez sur Disque local (E), cliquez sur Nouveau dossier, dans la
zone de texte Nom, entrez VMReplica, puis appuyez sur Entre.
8. cliquez sur le dossier E:\VMReplica\, puis cliquez sur Slectionner un dossier.

9. Dans Paramtres Hyper-V pour LON-HOST2, cliquez sur OK.
10. Dans la fentre Paramtres, lisez la notification et cliquez sur OK.
11. Cliquez sur Dmarrer, sur Panneau de configuration, sur Systme et Scurit, puis sur
Pare-feu Windows.
12. Cliquez sur Paramtres avancs, puis cliquez sur Rgles de trafic entrant.
13. Dans le volet droit, dans la liste de rgles, recherchez la rgle Port d'coute HTTP de rplica
Hyper-V (TCP/IN). Cliquez avec le bouton droit sur la rgle et cliquez sur Activer la rgle.
14. Fermez la console Pare-feu Windows Firewall avec fonctions avances de scurit, puis fermez
le Pare-feu Windows.
15. Rptez les tapes 1 14 sur LON-HOST1.
Configurer la rplication
1. Sur LON-HOST1, ouvrez le Gestionnaire Hyper-V, cliquez sur LON-HOST1, cliquez avec le bouton
droit sur 22412B-LON-CORE, puis cliquez sur Activer la rplication.
2. Dans la page Avant de commencer, cliquez sur Suivant.
3. Sur la page Spcifier le serveur de rplication, cliquez sur Parcourir.
4. Dans la fentre Slectionner l'ordinateur, saisissez LON-HOST2, cliquez sur Vrifier les noms, cliquez
sur OK, puis sur Suivant.
5. Sur la page Spcifier les paramtres de connexion, examinez les paramtres et assurez-vous que
l'option Utiliser l'authentification Kerberos (HTTP) est slectionne, puis cliquez sur Suivant.
6. Sur la page Choisir les disques durs virtuels de rplication, assurez-vous que le fichier
22412B-LON-CORE.vhd est slectionn, puis cliquez sur Suivant.
7. Sur la page Configurer l'historique de rcupration, cliquez sur Uniquement le dernier point
de rcupration, puis cliquez sur Suivant.
8. Sur la page Choisir la mthode de rplication initiale, cliquez sur Envoyer la copie initiale
sur le rseau, cliquez sur Dmarrer la rplication immdiatement, puis sur Suivant.
9. Sur la page Fin de l'Assistant Activation de la rplication, cliquez sur Terminer.
10. Patientez 10 15 minutes. Dans le Gestionnaire Hyper-V, dans la colonne tat, vous pouvez
suivre la progression de la rplication initiale. Quand la rplication est termine, assurez-vous que
22412B-LON-CORE s'affiche sur LON-HOST2 dans le Gestionnaire Hyper-V.

Mthode conseille
Dveloppez les configurations standard avant d'implmenter les ordinateurs virtuels haut niveau
de disponibilit. Les ordinateurs htes doivent tre configurs de la faon la plus proche possible.
Afin de vous assurer que vous avez une plateforme Hyper-V cohrente, configurez des noms rseau
standard et utilisez des normes d'affectation de noms cohrentes pour les volumes CSV.
Implmentez la protection VMM. VMM fournit une couche de gestion sur Hyper-V et le Gestionnaire
du cluster de basculement pouvant vous empcher de raliser des erreurs de gestion des ordinateurs
virtuels hautement disponible. Par exemple, cela vous empche de crer des ordinateurs virtuels sur
un stockage qui n'est pas accessible partir de tous les nuds du cluster.

Question : Dans Windows Server 2008 R2, devez-vous implmenter CSV afin de fournir une haute
disponibilit aux ordinateurs virtuels dans VMM ?
Rponse : Non vous ne devez pas implmenter CSV pour fournir la haute disponibilit. Toutefois,
CSV facilite beaucoup l'implmentation et la gestion d'un environnement o plusieurs htes Hyper-V
accdent plusieurs numros d'unit logique sur un stockage partag.

Le basculement d'ordinateur virtuel choue Le dossier de base de CSV se trouve sur le lecteur
aprs l'implmentation de CSV et la migration systme du serveur hte. Vous ne pouvez pas le
du stockage partag sur CSV dplacer. Si les ordinateurs htes utilisent des
lecteurs systme diffrents, les basculements
choueront car les htes ne peuvent pas accder au
mme emplacement de stockage. Tous les nuds
de cluster de basculement doivent utiliser la mme
configuration du disque dur.
Un ordinateur virtuel bascule vers un autre Tous les nuds dans un cluster hte doivent avoir
nud du cluster hte, mais perd toute la les mmes rseaux configurs. Si ce n'est pas le cas,
connectivit rseau les ordinateurs virtuels ne pourront pas ensuite se
connecter un rseau au moment du basculement
vers un autre nud.
Quatre heures aprs le redmarrage d'un hte Par dfaut, les ordinateurs virtuels ne sont pas
Hyper-V membre d'un cluster hte, aucun restaurs automatiquement sur un ordinateur hte
ordinateur virtuel ne s'excute encore sur l'issue de leur migration vers un autre hte. Vous
l'hte. pouvez activer la rcupration automatique dans
les proprits de l'ordinateur virtuel dans le
Gestionnaire du cluster de basculement ou
implmenter PRO dans VMM.

Atelier pratique : Implmentation du clustering avec basculement
l'aide d'Hyper-V
Question : Quel est le but principal de la technologie Rplica Hyper-V ?
Rponse : La technologie Rplica Hyper-V fournit principalement une copie de rserve d'un ordinateur
virtuel en cours d'excution sur un autre hte que vous pouvez activer la demande. Vous pouvez utiliser
cet ordinateur virtuel dans des scnarios de rcupration d'urgence.
Question : Quelle est la diffrence principale entre la migration dynamique et la migration de stockage ?
Rponse : Avec la migration dynamique, vous devez implmenter le clustering avec basculement avec
Hyper-V. Avec la migration dynamique, les nuds de cluster doivent possder un stockage partag
sur lequel sont enregistrs les fichiers de l'ordinateur virtuel. La migration de stockage peut migrer
des fichiers d'ordinateur virtuel sur un seul serveur, ou entre deux serveurs, sans stockage partag,
ni clustering.
Module 12
Implmentation de la rcupration d'urgence
Table des matires :
Leon 2: Implmentation de la Sauvegarde Windows Server 138
Leon 3: Implmentation de la rcupration de donnes et de serveurs 141

Leon 2
Implmentation de la Sauvegarde Windows Server
Table des matires :
Dmonstration 139
Qu'est-ce que Windows Azure Online Backup ?
Rfrence liens : Pour plus d'informations sur Windows Azure, consultez la page
Remarque : Pour l'instant, Windows Azure Online Backup n'est pas disponible
dans tous les pays. Pour obtenir des informations mises jour, consultez la page
Dmonstration
Dmonstration : Configuration d'une sauvegarde planifie
1. Basculez vers LON-SVR1.
2. Sur LON-SVR1, dans le Gestionnaire de serveurs, cliquez sur Outils, puis sur Sauvegarde
de Windows Server.
3. Cliquez sur Sauvegarde locale, puis dans le volet Actions, cliquez sur Planification de sauvegarde.
4. Dans l'Assistant Planification de sauvegarde, sur la page Modifier les paramtres de la sauvegarde
planifie, cliquez sur Suivant.
5. Sur la page Slectionner la configuration de la sauvegarde, cliquez sur Personnalis, puis cliquez
sur Suivant.
6. Sur la page Slectionner les lments sauvegarder, cliquez sur Ajouter des lments.
7. Dveloppez Disque local (C:), slectionnez la case cocher HR Data, puis cliquez sur OK.
8. Cliquez sur Paramtres avancs.

9. Cliquez sur Ajouter une exclusion, cliquez sur C:\HR Data\Old HR file.txt, puis cliquez sur OK.
10. Cliquez sur OK pour fermer la bote de dialogue Paramtres avancs.
11. Cliquez sur Suivant.
12. Sur la page Spcifier l'heure de sauvegarde, ct de Slectionner l'heure, slectionnez 01:00,
13. Sur la page Spcifier le type de destination, cliquez sur Sauvegarder sur un dossier rseau
partag, puis cliquez sur Suivant. Consultez l'avertissement, puis cliquez sur OK.
14. Sur la page Spcifier le dossier partag distant , dans la zone de texte Chemin,
tapez \\LON-DC1\Sauvegarde, puis cliquez sur Suivant.
15. Dans la bote de dialogue Enregistrer la planification de sauvegarde, dans la zone de texte Nom
d'utilisateur, tapez Administrateur, dans la zone de texte Mot de passe, tapez Pa$$w0rd, puis
cliquez sur OK.
16. Cliquez sur Terminer, puis sur Fermer.
17. Dans le volet Actions, cliquez sur Sauvegarde unique.
18. Dans l'Assistant Sauvegarde unique, sur la page Options de sauvegarde planifie, puis cliquez
sur Suivant.
19. Sur la page Confirmation, cliquez sur Sauvegarde.

20. Sur la page Progression de la sauvegarde, cliquez sur Fermer.
21. Fermez Sauvegarde Windows Server.

Leon 3
Implmentation de la rcupration de donnes
et de serveurs
Table des matires :
Dmonstration 142
Dmonstration
Dmonstration : Utilisation de l'utilitaire Sauvegarde Windows Server
pour restaurer un dossier
1. Sur LON-SVR1, ouvrez l'Explorateur de fichiers, accdez au lecteur C, puis supprimez le dossier
HR Data.
2. Dans le Gestionnaire de serveur, dmarrez Sauvegarde Windows Server, puis cliquez sur Rcuprer.
3. Dans l'Assistant Rcupration, sur la page Mise en route, slectionnez Un autre emplacement,
4. Sur la page Spcifier un type d'emplacement, cliquez sur Dossier partag distant, puis
sur Suivant.
5. Sur la page Spcifier un dossier distant, saisissez \\LON-DC1\Sauvegarde, puis cliquez
sur Suivant.
6. Sur la page Slectionner une date de sauvegarde, cliquez sur Suivant.

7. Sur la page Slectionner le type de rcupration, cliquez sur Suivant.
8. Sur la page Slectionner les lments rcuprer, dveloppez LON-SVR1, cliquez sur Disque
local (C:) et cliquez sur HR Data, dans le volet droit, puis cliquez sur Suivant.
9. Sur la page Spcifier les options de rcupration, sous Autre emplacement, saisissez C:\, puis
10. Sur la page Confirmation, cliquez sur Rcuprer.
11. Sur la page Statut de la rcupration, cliquez sur Fermer.
12. Dans l'Explorateur de fichiers, accdez au lecteur C et vrifiez que le dossier HR Data est restaur.

Mthode conseille
Analysez vos ressources en infrastructure importantes et vos donnes essentielles l'accomplissement
de votre mission et votre entreprise. En fonction de cette analyse, crez une stratgie de sauvegarde
qui protgera les ressources en infrastructure et les donnes commerciales essentielles de l'entreprise.
Avec l'aide des directeurs commerciaux de l'organisation, identifiez le temps de rcupration

minimum pour les donnes essentielles de l'entreprise. En fonction de ces informations, crez
une stratgie de restauration optimale.
Testez rgulirement les procdures de sauvegarde et de restauration. Ralisez l'essai dans
un environnement isol et non en cours de production.

Question : Vous souhaitez crer une stratgie pour sauvegarder diffrentes technologies qui sont utilises
dans votre organisation, telles que DHCP, DNS, AD DS et SQL Server. Que devez-vous faire ?
Rponse : Chaque technologie prsentant des recommandations spcifiques au niveau de la sauvegarde

et de la restauration, lisez la documentation sur la stratgie de sauvegarde optimale pour chaque
technologie spcifique. Puis, selon ces informations, crez la documentation et une liste de contrle
pour les procdures de sauvegarde et de restauration.
Question : quelle frquence devez-vous effectuer les sauvegardes des donnes essentielles ?
Rponse : La frquence laquelle vous effectuez une sauvegarde des donnes essentielles dpend des
exigences de votre organisation et de la cadence de modification des donnes. Vous devriez toujours
prvoir des stratgies de sauvegarde en fonction des valuations des risques. Si vos donnes essentielles
changent sensiblement au cours de la journe, alors vous devriez effectuer la sauvegarde au moins une
fois par jour, et envisager d'effectuer plusieurs captures instantanes VSS au cours de la journe.

Votre organisation a besoin d'informations sur les donnes sauvegarder, sur la frquence des
sauvegardes des diffrents types de donnes et technologies, sur le lieu de stockage des donnes
sauvegardes (sur site ou sur le cloud), et sur la vitesse laquelle elle peut restaurer les donnes
sauvegardes. Comment amlioreriez-vous la capacit de votre organisation restaurer efficacement
des donnes lorsque cela s'avre ncessaire ?
Rponse : Votre socit devrait dvelopper des stratgies de sauvegarde et de restauration selon
plusieurs paramtres, tels que les besoins de l'entreprise en matire de continuit, les procdures
d'valuation du risque, et l'identification des ressources et des donnes essentielles. Vous devez
dvelopper des stratgies qui devraient ensuite tre values et testes. Ces stratgies devraient prendre
en considration les modifications dynamiques conscutives l'adoption de nouvelles technologies et aux
modifications rsultant de la croissance de l'organisation.
Outils
Outil Utilisez Emplacement
Sauvegarde Excution de sauvegardes la demande ou planifies, Gestionnaire de serveur -

Windows Server et restauration des donnes et des serveurs Outils
Windows Azure Excution de sauvegardes la demande ou planifies Gestionnaire de serveur -

Online Backup vers le cloud, et restauration de donnes partir de la Outils
sauvegarde situe dans le cloud.

Des composants du serveur ont rencontr Effectuez une restauration complte sur un nouveau
une dfaillance importante. systme l'aide du jeu de sauvegarde que vous avez cr.
Utilisez la documentation et la liste de contrle que vous
avez cres dans le cadre de la stratgie et des procdures
de sauvegarde et de restauration de votre socit.

Atelier pratique : Implmentation des fonctionnalits de sauvegarde
et de restauration de Windows Server
Question : Vous vous proccupez des donnes essentielles qui se trouvent sur les serveurs de votre
entreprise. Vous souhaitez effectuer des sauvegardes quotidiennement, mais pas pendant les heures
de bureau. Que devez-vous faire ?
Rponse : Vous devriez effectuer une sauvegarde planifie qui s'excute chaque jour aprs les heures
de bureau, par exemple 1 h 00 du matin.
Question : Les utilisateurs signalent qu'ils ne peuvent plus n'accder aux donnes qui se trouvent sur le
serveur. Vous vous connectez au serveur, et vous vous rendez compte que le dossier partag dans lequel
les utilisateurs accdaient aux donnes est manquant. Que devez-vous faire ?
Rponse : Vous devriez restaurer le dossier l'aide de l'utilitaire Sauvegarde de Windows Server.
Question : Les serveurs stockant les donnes financires de l'organisation sont sauvegards l'aide de
Windows Azure Online Backup. Un des serveurs rencontre une dfaillance et doit tre remplac, ce qui
pourrait prendre une journe de travail. Les utilisateurs doivent accder aux donnes financires ds que
possible. Que devez-vous faire ?
Rponse : Vous devriez utiliser Windows Azure Online Backup pour restaurer les donnes financires
sur un autre serveur excutant le systme d'exploitation Windows Server 2012.
Envoyez-nous vos commentaires

Vous pouvez rechercher les problmes connus dans la Base de connaissances Microsoft sur le site
Aide et support Microsoft avant d'envoyer vos commentaires. Pour ce faire, utilisez soit le numro
et la version du cours, soit le titre du cours.
Remarque Tous les produits de formation n'ont pas forcment un article qui leur
correspond dans la Base de connaissances. Si tel est le cas, demandez votre instructeur
s'il existe un journal des erreurs.
Commentaires sur le cours

Envoyez tous vos commentaires sur le cours support@mscourseware.com. Nous vous sommes
reconnaissants du temps que vous y aurez consacr et de la peine que vous vous serez donne.
Nous tudions tous les courriers lectroniques reus et transmettons leur contenu l'quipe concerne.
Malheureusement, compte tenu du nombre important de courriers traits, nous ne sommes pas en
mesure de rpondre chaque courrier reu, mais soyez assur que nous utilisons vos commentaires
pour amliorer l'exprience que vous vivrez avec les prochains produits de formation Microsoft.
Cration de rapports d'erreurs

En envoyant vos commentaires, indiquez le nom et le numro du produit de formation dans l'objet
de votre message lectronique. Lorsque vous envoyez des commentaires ou signalez des bogues,
indiquez les lments suivants :
1. Numro de rfrence du document ou du CD-ROM
2. Numro de page ou emplacement
3. Description complte de l'erreur ou de la modification suggre
Veuillez fournir tous les dtails qui nous permettent de vrifier le problme.
Important Toutes les erreurs et suggestions sont values, mais seules celles valides sont
ajoutes l'article de la Base de connaissances du produit.

Configuration Des Services Avancés de Windows Server

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Configuration Des Services Avancés de Windows Server

Uploaded by

Copyright:

Available Formats

P R O D U I T O F F I C I E L D E F O R M A T I O N M I C R O S O F T

Microsoft et les marques commerciales figurant sur la page http://www.microsoft.com/about/legal/en/us/

Numro de produit : 22412B

Numro de rfrence : X18-86876

Date de publication : 3/2013

TERMES DU CONTRAT DE LICENCE MICROSOFT

EN ACCDANT AU CONTENU CONCD SOUS LICENCE, EN LE TLCHARGEANT OU EN

a. Centre de Formation Agr dsigne un Membre du Programme Microsoft IT Academy

c. Dispositif de la Classe dsigne un (1) ordinateur ddi et scuris quun Centre de

h. Membre du Programme Microsoft IT Academy dsigne un membre actif du Programme

i. Membre Microsoft Learning Competency dsigne un membre actif du programme

o. Contenu du Formateur dsigne la version du formateur du Cours Microsoft avec Formateur et

a. Si vous tes un Membre du Programme Microsoft IT Academy :

pour autant que vous vous conformiez ce qui suit :

b. Si vous tes un Membre du Microsoft Learning Competency :

c. Si vous tes un Membre MPN :

d. Si vous tes un Utilisateur Final :

e. Si vous tes un Formateur :

3. CONTENU CONCD SOUS LICENCE BAS SUR UNE TECHNOLOGIE PRCOMMERCIALE.

b. Commentaires. Si vous acceptez de faire part Microsoft de vos commentaires concernant

c. Dure de la Version Prcommerciale. Si vous tes un Membre du Programme Microsoft IT

11. RGLEMENTATION APPLICABLE.

13. EXCLUSIONS DE GARANTIE. LE CONTENU CONCD SOUS LICENCE EST FOURNI

14. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR

Cette limitation concerne :

Dernire mise jour : septembre 2012.

Leon 2: Configuration des paramtres DNS avancs 14

Leon 3: Implmentation de la rplication IPAM 17

Questions et rponses de contrle des acquis de l'atelier pratique 22

Configurer une relation de basculement DHCP

5. Dans l'Assistant Configurer un basculement, cliquez sur Suivant.

15. Actualisez le nud IPv4, dveloppez le nud IPv4, puis dveloppez

18. Fermez la console DHCP surLON-DC1 et LON-SVR1.

19. Rtablissez LON-SVR1.

4. Dans le menu, cliquez sur DNSSEC>Signer la zone.

8. Sur la page Cl KSK, cliquez sur Suivant.

9. Sur la page Cl KSK, cliquez sur Ajouter.

11. Sur la page Cl KSK, cliquez sur Suivant.

12. Sur la page Cl ZSK, cliquez sur Suivant.

13. Sur la page Cl ZSK, cliquez sur Ajouter.

14. Sur la page Nouvelle cl ZSK, cliquez sur OK.

15. Sur la page Cl ZSK, cliquez sur Suivant.

18. Sur la page Paramtres de signature et d'interrogation, cliquez sur Suivant.

25. Activez la case cocher Activer DNSSEC dans cette rgle.

27. Fermez toutes les fentres.

Installer les services IPAM

3. Dans l'Assistant Ajout de rles et de fonctionnalits, cliquez sur Suivant.

4. Sur la page Slectionner le type d'installation, cliquez sur Suivant.

5. Sur la page Slectionner le serveur de destination, cliquez sur Suivant.

6. Sur la page Slectionner des rles de serveurs, cliquez sur Suivant.

9. Sur la page Confirmer les slections d'installation, cliquez sur Installer.

Configurer les services IPAM

3. Cliquez sur Configurer le serveur IPAM.

Invoke-IpamGpoProvisioning Domain Adatum.com GpoPrefixName IPAM IpamServerFqdn

15. Fermez Windows PowerShell.

18. Basculez vers LON-DC1.

21. Fermez Windows PowerShell.

Contrle des acquis et lments retenir

Assurez-vous qu'au moins deux serveurs DNS hbergent chaque zone.

Questions de contrle des acquis

Problmes rels et scnarios

Quelles sont les causes possibles des configurations incorrectes ?

Dnscmd Configurer tous les aspects %systemroot%\System32\dnscmd.exe

Console DHCP Contrler tous les aspects de %systemroot%\System32\dhcpmgmt.msc