Professional Documents
Culture Documents
OFPPT
Sommaire
Sommaire :
Sommaire : ................................................................................................................................................. 2 Chapitre I : Protocole DHCP ................................................................................................................... 4 Leon 1 : Prsentation du protocole DHCP ............................................................................................ 5 Vue d'ensemble de DHCP ................................................................................................................... 5 Fonctionnement de DHCP .................................................................................................................. 7 Installation d'un serveur DHCP ........................................................................................................ 10 Agent de relais DHCP ....................................................................................................................... 10 Rsum de la leon ........................................................................................................................... 11 Leon 2 : Configuration d'un serveur DHCP ........................................................................................ 12 Installation et configuration d'un serveur DHCP .............................................................................. 12 Gestion des tendues DHCP ............................................................................................................. 15 Configuration d'options supplmentaires .......................................................................................... 15 Activation d'une tendue ................................................................................................................... 15 Mise en uvre de plusieurs serveurs DHCP ..................................................................................... 16 Rsum de la leon ............................................................................................................................ 16 Leon 3: Rsolution de problmes lis DHCP ................................................................................... 17 Prvention des problmes DHCP ...................................................................................................... 17 Rsolution des problmes des clients DHCP .................................................................................... 18 Rsolution des problmes des serveurs DHCP ................................................................................. 19 Rsum de la leon ............................................................................................................................ 22 CHAPITRE II : Service WINS de rsolution de noms ........................................................................ 23 Leon 1 : Prsentation du service WINS de rsolution de noms .......................................................... 24 Prsentation du cache de noms NetBIOS ......................................................................................... 25 Prsentation de la rsolution de noms par diffusion ......................................................................... 25 Utilisation des fichiers LMHOSTS ................................................................................................... 26 Prsentation du service WINS .......................................................................................................... 27 Rsum de la leon ........................................................................................................................... 29 Leon 2 : Utilisation de WINS .............................................................................................................. 30 Introduction WINS ......................................................................................................................... 30 Installation d'un serveur WINS ......................................................................................................... 32 Configuration d'un client WINS sous Windows 2003 ...................................................................... 33 Prise en charge des clients dpourvus de WINS ............................................................................... 33 Rsum de la leon ........................................................................................................................... 35 Chapitre III : DNS (Domain Name Server) .......................................................................................... 36 Leon 1 : Prsentation de DNS ............................................................................................................. 37 Introduction DNS ........................................................................................................................... 37 Vue d'ensemble du processus de rsolution de noms ....................................................................... 41 Installation du service DNS .............................................................................................................. 44 Rsum de la leon ........................................................................................................................... 45 Leon 2 : Cration de zones .................................................................................................................. 46 Planification de zones ....................................................................................................................... 46 Cration d'une zone ........................................................................................................................... 46 Cration de zones intgres Active Directory ................................................................................ 48 Dlgation de zones .......................................................................................................................... 49 Configuration de DNS dynamique .................................................................................................... 50 Rsum de la leon ........................................................................................................................... 51 Leon 3 Gestion des enregistrements de ressources ............................................................................. 52 Prsentation des types d'enregistrements de ressources .................................................................... 53 2
Sommaire
Affichage des enregistrements de ressources.................................................................................... 53 Cration d'enregistrement de ressource ............................................................................................ 54 Rsum de la leon ........................................................................................................................... 54 Leon 4 : Rsolution de problmes lis DNS .................................................................................... 55 Surveillance de serveurs DNS........................................................................................................... 55 Scnarios de dpannage de DNS ...................................................................................................... 56 Rsum de la leon ........................................................................................................................... 59 Chapitre IV : Service Internet IIS ......................................................................................................... 60 Leon 1 : Cration de sites Web et de sites FTP ................................................................................... 61 Installation des Services Internet ...................................................................................................... 61 Mise en route ..................................................................................................................................... 63 Cration de sites ................................................................................................................................ 64 Administration de sites Web et de sites FTP .................................................................................... 66 Rsum de la leon ........................................................................................................................... 69 Leon 2 : Cration de rpertoires virtuels ............................................................................................. 70 Cration de rpertoires virtuels ......................................................................................................... 70 Utilisation du partage Web ............................................................................................................... 71 Redirection des demandes ................................................................................................................. 72 Rsum de la leon ........................................................................................................................... 73 Leon 3 : Gestion de la scurit de site ................................................................................................. 74 Utilisation des attributions de port .................................................................................................... 74 Utilisation de l'authentification ......................................................................................................... 75 Authentification anonyme ................................................................................................................. 75 Utilisation des restrictions par adresse IP et nom de domaine .......................................................... 78 Utilisation des autorisations d'accs.................................................................................................. 78 Utilisation de SSL ............................................................................................................................. 79 Rsum de la leon ........................................................................................................................... 79 Leon 4 : Rsolution de problmes lis aux Services Internet (IIS) ..................................................... 80 Rsum de la leon ........................................................................................................................... 81
Chapitre I : DHCP
Leon 1 : Prsentation du protocole DHCP ............................................................................................ 5 Leon 2 : Configuration d'un serveur DHCP ........................................................................................ 12 Leon 3: Rsolution de problmes lis DHCP ................................................................................... 17
propos de ce chapitre Dans ce chapitre, vous apprenez utiliser le protocole DHCP (Dynamic Host Configuration Protocol) pour configurer automatiquement les paramtres requis par les clients TCP/IP (Transmission Control Protocol/Internet Protocol) et liminer quelques problmes de configuration courants. Au cours des leons, vous installez et configurez un serveur DHCP, vous testez la configuration de DHCP et obtenez ensuite une adresse IP (Internet Protocol) auprs d'un serveur DHCP.
Chapitre I : DHCP
Chapitre I : DHCP
Chapitre I : DHCP
L'allocation manuelle est l'quivalent fonctionnel de l'attribution d'adresse par BOOTP. Cette option rduit assez peu le travail administratif, mais elle est ncessaire pour les ordinateurs qui requirent des adresses IP permanentes, comme les serveurs Internet dont les noms DNS sont associs des adresses spcifiques. Les administrateurs pourraient videmment configurer directement les clients TCP/IP de ces ordinateurs, mais l'utilisation du serveur DHCP pour l'attribution empche les adresses IP d'tre dupliques accidentellement. L'allocation automatique est une solution adapte aux rseaux sur lesquels les administrateurs dplacent rarement les postes de travail entre des sous-rseaux. L'attribution d'adresses IP prises dans une tendue rend inutile la fourniture d'une adresse spcifique chaque ordinateur et empche la duplication d'adresse. L'attribution permanente de ces adresses rduit le trafic rseau gnr par des communications client/serveur DHCP. Une fois le serveur configur, l'allocation dynamique automatise compltement le processus de configuration du client TCP/IP et permet aux administrateurs d'ajouter, supprimer et dplacer les ordinateurs en fonction de leurs besoins. Quand un ordinateur dmarre, le serveur loue une adresse l'ordinateur pour une priode donne, renouvelle le bail si l'ordinateur reste actif, reprend l'adresse si elle n'est plus utilise et la renvoie au pool. La plupart des installations DHCP utilisent l'allocation dynamique.
Fonctionnement de DHCP
Une transaction typique entre un client et un serveur DHCP comporte quatre phases, comme le montre la figure I.2. La communication entre le client et le serveur DHCP utilise des datagrammes UDP (User Datagram Protocol) sur les ports 67 et 68. Le protocole DHCP utilise huit types de message diffrents: DHCPDISCOVER. Utilis par les clients pour demander leurs paramtres de configuration un serveur DHCP. DHCPOFFER. Utilis par les serveurs pour offrir des adresses IP la requte de clients. DHCPREQUEST. Utilis par les clients pour accepter ou renouveler l'attribution d'une adresse IP. DHCPDECLINE. Utilis par les clients pour rejeter une adresse IP qui leur t propose. DHCPACK. Utilis par les serveurs pour accuser rception de l'acceptation par le client de l'adresse IP qui lui a t propose. DHCPNAK. Utilis par les serveurs pour rejeter l'acceptation par le client d'une adresse IP qui lui a t propose. DHCPRELEASE. Utilis par les clients pour terminer un bail d'adresse IP. DHCPINFORM. Utilis par les clients pour obtenir des paramtres de configuration TCP/IP auprs d'un serveur DHCP.
Chapitre I : DHCP
Communications DHCP
Les clients DHCP amorcent la communication avec les serveurs quand ils dmarrent pour la premire fois. Le client gnre une srie de messages DHCPOISCOVER, qu'il transmet sous la forme de diffusions. Jusque-l, le client ne dispose pas encore d'une adresse IP : on dit qu'il est dans l'tat init, Comme toutes les diffusions, ces transmissions sont limites au rseau local du client, mais les administrateurs peuvent installer un service d'Agent de relais DHCP sur un ordinateur du rseau local, qui retransmet les messages aux serveurs DHCP prsents sur d'autres rseaux. Cela permet un seul serveur DHCP de servir les clients de plusieurs rseaux locaux. De nombreux routeurs proposent galement cette fonctionnalit. Lorsqu'un serveur DHCP reoit un message DHCPDISCOVER manant d'un client, il gnre un message DHCPOFFER contenant une adresse IP et tout autre paramtre facultatif qu'il est suppos fournir au regard de sa configuration. Dans la plupart des cas, le serveur transmet directement ce message au client en monodiffusion. Comme le client utilise des diffusions pour ses messages DHCPDISCOVER, il peut recevoir des rponses DHCPOFFER en provenance de plusieurs serveurs. Aprs une priode de temps prdfinie, le client interrompt sa diffusion et accepte l'une des adresses IP offertes. Pour signifier son accord, le client gnre un message DHCPREQUEST, qui contient la fois l'adresse du serveur duquel il accepte l'offre et l'adresse IP qui lui a t propose. Comme le client n'a pas encore t configur avec les paramtres proposs, il transmet le message DHCPREQUEST comme une diffusion. Cette diffusion prvient le serveur que le client a accept l'adresse propose, en mme temps qu'elle prvient les autres serveurs du rseau que le client rejette leurs offres. Ds la rception du message DHCPREQUEST, le serveur enregistre l'adresse IP propose et les autres paramtres dans sa base de donnes, et il identifie cette attribution de manire unique en crant un identificateur (ID), qui combine l'adresse matrielle du client et l'adresse IP qui lui a t propose. C'est l'identificateur unique du client. Pour conclure sa part de la transaction, le serveur envoie un message DHCPACK au client, accusant rception de l'achvement du processus. Si le serveur ne peut pas terminer l'attribution (parce qu'il a dj attribu un autre systme l'adresse IP propose, par exemple), il transmet un message DHCPNAK au client et le processus entier recommence. la fin, le client excute un test ARP pour s'assurer qu'aucun autre systme du rseau n'utilise l'adresse IP attribue. Si aucune rponse n'est reue au message ARP, la transaction DHCP est acheve et le client entre dans ce que l'on appelle l'tat attach. Si un autre systme rpond au message ARP, le client ne peut pas utiliser l'adresse IP et transmet un message DHCPDECLINE au serveur, annulant la transaction. Le client peut ensuite rditer une srie de messages DHCPDISCOVER, redmarrant le processus entier.
Bail DHCP
Le processus par lequel un serveur DHCP attribue des paramtres de configuration un client est le mme, que le serveur utilise l'allocation manuelle, automatique ou dynamique. Avec l'allocation manuelle et l'allocation automatique, ce processus est la fin des communications DHCP client-serveur. Le client conserve les paramtres attribus par le serveur jusqu' ce que quelqu'un les modifie explicitement ou force une nouvelle attribution. Cependant, quand le serveur alloue des paramtres dynamiquement, le client loue son adresse IP pendant une certaine dure (configure sur le serveur) et doit renouveler ce bail pour continuer l'utiliser. La dure d'un bail d'adresse IP est mesure en jours et dpend gnralement de la frquence de dplacement des ordinateurs dans le rseau ou de la raret des adresses IP. Les baux courts accroissent le trafic rseau, mais ils permettent aux serveurs de rclamer plus rapidement les adresses inutilises. Pour un rseau relativement stable, les baux longs rduisent le trafic rseau imputable DHCP. 8
Chapitre I : DHCP
Le processus de renouvellement du bail, reprsent sur la figure I.3, commence lorsqu'un client attach atteint la valeur de renouvellement, ou valeur T1, de son bail. Par dfaut, cette valeur de renouvellement est fixe 50 % de la dure de bail. Quand un client atteint ce point, il entre dans l'tat renouvellement et commence gnrer des messages DHCPREQUEST. Le client transmet les messages sous la forme d'une monodiffusion vers le serveur dtenteur du bail, la diffrence de la diffusion DHCPREQUEST des messages gnre par le client en tat init. Si le serveur est disponible, il rpond par un message DHCPACK, qui renouvelle le bail et redmarre la dure du bail, ou par un message DHCPNAK, qui termine le bail et force le client recommencer le processus d'attribution d'adresse partir du dbut.
Si le serveur ne rpond pas au message monodiffusion DHCPREQUEST, le client continue envoyer un jusqu' ce qu'il atteigne la valeur de renouvellement, ou valeur T1, fixe par dfaut 87,5 % de la dure du bail. A ce moment-l, le client commence transmettre des messages DHCPREQUEST sous la forme de diffusions, sollicitant une attribution d'adresse de la part de n'importe quel serveur DHCP du rseau. Cette fois encore, un serveur peut rpondre par un message DHCPACK ou DHCPNAK. Si la dure du bail expire sans rponse d'un serveur DHCP, l'adresse IP du client est libre et l'ensemble de sa communication de TCP/IP cesse, l'exception de la transmission de diffusions DHCPDISCOVER.
Chapitre I : DHCP
Une fois que le client DHCP possde une adresse IP, il l'utilise pour configurer son interface rseau. Le client continue rechercher un serveur DHCP en arrire-plan toutes les cinq minutes. Si un serveur DHCP est trouv ultrieurement, le client abandonne ses informations d'auto configuration. Il utilise alors l'adresse propose par le serveur DHCP (et toutes les autres informations DHCP optionnelles fournies) pour mettre jour ses paramtres de configuration IP.
Chapitre I : DHCP
servir les clients de plusieurs rseaux locaux. La plupart des routeurs ddis du march peuvent fonctionner comme agents de relais DHCP ou BOOTP. La fonctionnalit d'agent de relais est identique pour DHCP et BOOTP ; si votre routeur peut fonctionner comme agent de relais BOOTP, vous pouvez galement l'utiliser avec le protocole DHCP. Le composant Agent de relais DHCP fourni avec Windows 2003 est un agent de relais BOOTP, qui retransmet des messages DHCP entre des clients et des serveurs DHCP sur des rseaux diffrents. Remarque Vous ne pouvez pas configurer un serveur excutant le service DHCP pour fonctionner aussi comme agent de relais DHCP. Pour ajouter l'Agent de relais DHCP un routeur Windows 2003, procdez de la faon suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console Routage et accs distant. 2. Dans l'arbre de la console, cliquez sur Nom de serveur\Routage IP\Gnral. 3. Cliquez avec le bouton droit de la souris sur Gnral et, dans le menu contextuel, slectionnez Nouveau protocole de routage pour afficher la bote de dialogue Nouveau protocole de routage. 4. Dans la bote de dialogue Nouveau protocole de routage, cliquez sur Agent de relais DHCP, puis sur OK.
Rsum de la leon
Le protocole DHCP (Dynamic Host Configuration Protocol) combine un service et un protocole qui permettent aux postes clients de rcuprer automatiquement les paramtres de configuration TCP/IP (Transmission Control Protocol/Internet Protocol) auprs d'un serveur du rseau. Le service DHCP peut allouer des adresses IP de trois faons: en fournissant une adresse prconfigure un ordinateur spcifique (allocation manuelle) ; en fournissant aux ordinateurs des adresses permanentes prises dans un pool (allocation automatique) ; en louant aux ordinateurs les adresses d'un pool et en les rclamant aprs expiration du bail (allocation dynamique). Les clients DHCP demandent une attribution d'adresse en diffusant des messages aux serveurs DHCP sur le rseau. Les serveurs rpondent par des offres d'adresse, et le client accepte une de ces offres. Les clients DHCP renouvellent priodiquement leurs baux d'adresses en amorant une nouvelle transaction avec le serveur DHCP. Si le bail expire sans renouvellement, les communications TCP/IP du poste client cessent ( l'exception des messages DHCP). Un agent la relais DHCP propage les massages DHCP aux serveurs d'autres rseaux, ce qui permet un seul serveur DHCP de prendre en charge des clients de plusieurs sous rseaux locaux.
11
Chapitre I : DHCP
12
Chapitre I : DHCP
Serveur membre. L'ordinateur ne joue pas le rle de contrleur de domaine, mais s'est joint un domaine dont il est membre avec un compte dans la base de donnes du service Active Directory. Serveur autonome. L'ordinateur n'est ni contrleur de domaine, ni serveur membre d'un domaine. Tous les ordinateurs fonctionnant en serveurs DHCP doivent tre soit des contrleurs de domaines, soit des serveurs membres de domaines avant de pouvoir tre autoriss dans le service d'annuaire et fournir le service DHCP aux clients. Pour autoriser un serveur DHCP dans le service Active Directory, procdez de la manire suivante: 1. Ouvrez une session sur le rseau partir de l'ordinateur serveur DHCP en utilisant soit un compte qui possde des privilges d'administration d'entreprise, soit un compte qui a reu autorit pour autoriser les serveurs DHCP de votre entreprise. Gnralement, vous pouvez utiliser un compte qui appartient au groupe Administrateurs d'entreprise. Le compte que vous utilisez doit avoir l'autorisation Contrle total pour l'objet conteneur NetServices, stock dans la racine d'entreprise du service Active Directory. 2. Installez le service DHCP sur l'ordinateur. 3. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, slectionnez DHCP pour ouvrir la console DHCP. 4. Dans le menu Action, slectionnez Grer les serveurs autoriss pour afficher la bote de dialogue Grer les serveurs autoriss. . 5. Cliquez sur Autoriser pour ouvrir la bote de dialogue Autoriser le serveur DHCP. 6. Saisissez le nom ou l'adresse IP du serveur DHCP autoriser, puis cliquez sur OK. La console affiche un message DHCP vous invitant confirmer l'autorisation du serveur DHCP que vous avez indiqu. 7. Cliquez sur Oui pour fermer le message. 8. Cliquez sur' Fermer pour fermer la bote de dialogue Grer les serveurs autoriss. Quand le service DHCP dmarre sur un serveur Windows 2003. Lordinateur accde au service Active Directory pour voir s'il figure dans la liste des serveurs DHCP autoriss. Si le serveur est autoris, il envoie des messages DHCPINFORM pour dcouvrir s'il y a d'autres serveurs DHCP en cours d'excution et s'assurer qu'ils sont galement autoriss. Si le serveur ne parvient pas se connecter au service Active Directory, il suppose qu'il n'est pas autoris et ne l'pand pas aux demandes des clients. De mme, si le serveur se connecte au service Active Directory, mais ne se trouve pas dans la liste des serveurs autoriss, il ne rpond pas aux clients. Si le serveur se trouve dans la liste des serveurs autoriss, il commence servir les demandes des clients.
13
Chapitre I : DHCP
6. En fonction des adresses IP de dbut et de fin de votre tendue, la console DHCP propose un masque de sous-rseau par dfaut applicable la plupart des rseaux. Si vous savez que votre rseau requiert un masque de sous-rseau diffrent, vous pouvez, au besoin, modifier la valeur propose. Pour crer une nouvelle tendue, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, slectionnez DHCP pour ouvrir la console DHCP. 2. Dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur le serveur DHCP sur lequel vous voulez crer l'tendue. Dans le menu contextuel, slectionnez Nouvelle tendue pour lancer l'Assistant Nouvelle tendue. 3. Cliquez sur Suivant pour passer la page d'accueil et afficher la page Nom de J'tendue 4. Saisissez un nom pour identifier l'tendue dans la zone de texte Nom, ainsi qu'une description. Cliquez sur Suivant, pour passer la page Plage d'adresses IP. 5. Dans les zones de texte Adresse IP de dbut et Adresse IP de fin, entrez J'intervalle d'adresses que vous souhaitez que J'tendue attribue aux clients DHCP. L'intervalle doit comporter toutes les adresses que vous voulez attribuer au sous-rseau. Vous pourrez exclure des adresses spcifiques de cet intervalle plus tard. 6. Indiquez le masque de sous-rseau utiliser avec les adresses IP de l'intervalle que vous avez slectionn, en indiquant le nombre de bits d'identificateur de rseau dans la zone Longueur, ou en saisissant le masque dans la zone de texte Masque de sous-rseau. Le fait de modifier la valeur dans la zone Longueur modifie automatiquement la valeur de la zone Masque de sousrseau. 7. Cliquez sur Suivant pour passer la page Ajout d'exclusions. 8. Dans les zones de texte Adresse IP de dbut et Adresse IP de fin, entrez l'intervalle des adresses que vous dsirez exclure de l'tendue que vous avez cre auparavant et cliquez sur Ajouter pour insrer "intervalle dans la liste Plage d'adresses exclue. Pour exclure une seule adresse de l'tendue, entrez la mme adresse tant dans les zones de texte Adresse IP de dbut qu'Adresse IP de fin. 9. Rptez l'tape 8 pour exclure de l'tendue autant d'adresses que vous le souhaitez. Cliquez sur Suivant pour passer la page Dure du bail. 10. Indiquez dans les zones Jours, Heures et Minutes la dure pour laquelle les clients DHCP utilisant cette tendue doivent louer les adresses IP qui leur sont attribues par le serveur. Utilisez une dure de bail courte si les adresses IP sont rares; utilisez une dure de bail longue pour rduire le trafic rseau gnr par DHCP. Cliquez sur Suivant pour passer la page Configuration des paramtres DHCP. 11. Slectionnez Non, je configurerai ces options ultrieurement et cliquez sur Suivant pour passer la page Fin de l'Assistant Nouvelle tendue. Remarque Si vous slectionnez Oui, je veux configurer ces options maintenant, l'assistant affiche quatre pages supplmentaires, qui vous permettent de configurer les options concernant le routeur, le nom du domaine, le serveur DNS et le serveur WINS et d'activer l'tendue. Vous avez galement la possibilit de configurer ces options et plusieurs autres aprs avoir cr l'tendue, comme le dcrit la section suivante. 12. Cliquez sur Terminer pour crer l'tendue.
14
Chapitre I : DHCP
Chapitre I : DHCP
Une fois l'tendue active, vous pouvez la dsactiver tout moment, de la mme manire. Cela vous permet d'arrter une tendue sans interrompre le serveur.
Rsum de la leon
Les serveurs DHCP doivent tre autoriss dans le service Active Directory avant de pouvoir servir des clients. Le service DHCP doit tre install sur un contrleur de domaine ou sur un serveur membre pour tre autoris. Pour crer une tendue, vous indiquez un intervalle d'adresses IP que vous souhaitez attribuer aux clients. Vous pouvez exclure d'une tendue une seule adresse ou des intervalles d'adresses pour l'attribution d'adresses statiques. Vous pouvez configurer des options DHCP, comme les routeurs et les serveurs DNS, pour une tendue ou pour un serveur. Aprs la cration d'une tendue, vous devez l'activer pour qu'elle puisse servir des clients.
16
Chapitre I : DHCP
17
Chapitre I : DHCP
Intgrez DHCP d'autres services, comme WINS et DNS. Les services WINS et DNS peuvent tous deux tre utiliss pour l'enregistrement dynamique des correspondances nom-versadresse de votre rseau. Pour fournir des services de rsolution de noms, vous devez prvoir l'interoprabilit de DHCP avec ces services. La plupart des administrateurs rseau qui mettent en uvre DHCP prvoient galement une stratgie pour les serveurs DNS et WINS. Utilisez le nombre de serveurs DHCP appropri au nombre de clients DHCP de votre rseau. Sur un petit rseau, comme un rseau local unique, un serveur DHCP peut servir tous les clients DHCP. Pour les rseaux routs, le nombre de serveurs ncessaires augmente en fonction de plusieurs facteurs: le nombre de clients DHCP, la vitesse de transmission entre les segments du rseau, la vitesse des liaisons WAN, la classe d'adresses IP du rseau, l'utilisation du service DHCP sur la totalit de votre rseau d'entreprise ou uniquement sur certains rseaux physiques slectionns.
18
Chapitre I : DHCP
Chapitre I : DHCP
3. Le serveur loue une adresse au client, mais celui-ci rencontre d'autres problmes de configuration rseau, comme l'incapacit inscrire ou rsoudre des noms DNS ou NetBIOS, ou dtecter des ordinateurs au-del de son rseau local. La premire tche de dpannage consiste vrifier que le service DHCP s'excute bien. Vous pouvez le vrifier en ouvrant la console DHCP et en essayant d'accder au serveur, ou en ouvrant la console Gestion de l'ordinateur et en regardant la liste des services prsents sous Services et applications. Si le service Serveur DHCP n'est pas dmarr, vous pouvez essayer de le dmarrer manuellement l'aide du bouton Dmarrer le service de la barre d'outils de la console. Cependant, assurez vous de prendre en compte le type de dmarrage du service. Si le type de dmarrage est rgl sur Manuel, il est tout fait possible que l'ordinateur serveur ait t redmarr et que personne n'ait dmarr le service Serveur DHCP. Si le type de dmarrage est automatique et que le service ne s'excute pas, il doit y avoir une raison. Soit le service n'a pas russi s'excuter au dmarrage de l'ordinateur, soit quelqu'un l'a arrt manuellement, soit il s'est interrompu de lui-mme. Vrifiez les journaux de l'Observateur des vnements pour dterminer si le serveur a chou dmarrer ou s'il s'est arrt cause d'un autre problme, par exemple un manque de mmoire.
Le serveur DHCP utilise des diffusions pour rpondre tous les messages clients
Le serveur DHCP utilise des transmissions par diffusion pour rpondre tous les messages de demande de configuration clients, que le client DHCP ait ou non dfini l'indicateur de bit de diffusion. Les clients DHCP peuvent dfinir l'indicateur de diffusion (le premier bit du champ sur 16 bits de l'en-tte de message DHCP) en envoyant des messages DHCPDISCOVER pour indiquer au serveur DHCP qu'il devrait adresser ses messages DHCPOFFER l'adresse de diffusion limite (255.255.255.255). Par dfaut, le serveur DHCP de Microsoft Windows NT Server 3.51 et des versions antrieures ignorait l'indicateur de diffusion des messages DHCPDISCOVER et envoyait toutes les rponses DHCPOFFER sous la forme de diffusions. Ce comportement est implment sur le serveur pour viter les problmes qui peuvent rsulter de l'incapacit des clients recevoir ou traiter une rponse en monodiffusion sans une configuration TCP/IP complte. Depuis Microsoft Windows NT Server 4, le service DHCP essaie toujours de transmettre toutes les rponses DHCP l'adresse de diffusion limite, moins que la prise en charge des rponses en monodiffusion soit explicitement active en dfinissant la valeur de l'entre de registre IgnoreBroadcastFlag 1. Cette entre de registre se trouve l'adresse 20
Chapitre I : DHCP
HKEY_LOCAL_MACHINE\System\CurrentControISet\Services\DHCPServer\Parameters\Igno reBroadcastFlag. Lorsqu'elle est dfinie l, l'ordinateur ignore l'indicateur de diffusion des demandes client et diffuse toutes les rponses DHCPOFFER. Quand l'entre de registre est dfinie 0, le serveur diffuse ou non ses messages en fonction de la valeur de l'indicateur de bit de diffusion dans la demande DHCPDISCOVER du client. Si cet indicateur est dfini dans la demande, le serveur transmet ses rponses l'adresse de diffusion locale limite. Si cet indicateur n'est pas dfini dans la demande, le serveur transmet ses rponses directement au client, en monodiffusion.
Le serveur DHCP n'met pas de baux d'adresse pour une nouvelle tendue
Il existe des situations dans lesquelles vous pourriez vouloir attribuer de nouvelles adresses IP tous les clients DHCP d'un rseau particulier. Par exemple, vous avez obtenu une classe enregistre d'adresses IP pour votre rseau, ou vous modifiez la classe d'adresses pour accueillir plus d'ordinateurs, ou plus de rseaux. Pour cela, vous crez une nouvelle tendue sur votre serveur DHCP contenant un intervalle de nouvelles adresses. Dans cette situation, vous souhaitez que les clients obtiennent des baux dans la nouvelle tendue au lieu d'utiliser l'ancienne tendue pour obtenir ou renouveler leurs baux. Une fois que tous les clients auront obtenu des baux dans la nouvelle tendue, vous avez l'intention de supprimer l'tendue existante. Cependant, quand vous activez la nouvelle tendue, vous vous apercevez que les clients DHCP n'obtiennent pas de baux partir de la nouvelle tendue. Quand les super-tendues ne sont pas disponibles ou ne sont pas utilises, une seule tendue DHCP simple peut tre active la fois sur le rseau. S'il existe plusieurs tendues dfinies et actives sur le serveur DHCP, le serveur n'en utilise qu'une seule pour fournir des baux aux clients. L'tendue active que le serveur DHCP utilise est dtermine par l'identificateur de rseau de la premire adresse IP attribue l'adaptateur rseau du serveur DHCP. Le serveur DHCP utilise toujours l'tendue ayant le mme identificateur de rseau que sa propre adresse IP. Vous pouvez configurer des adresses IP supplmentaires pour une interface rseau avec l'onglet Paramtres IP, de la bote de dialogue Paramtres TCP/IP avancs, mais ces adresses n'ont aucun effet sur la slection de l'tendue par le serveur DHCP. Vous pouvez rsoudre ce problme de l'une des manires suivantes : Configurer le serveur DHCP pour utiliser une super-tendue qui runit l'ancienne tendue et. la nouvelle. Modifiez l'adresse IP principale, attribue dans la bote de dialogue Proprits de Protocole Internet (TCP/IP), de l'adaptateur rseau du serveur DHCP et donnez-lui une adresse IP qui a le mme identificateur de rseau que la nouvelle tendue. Si ncessaire, vous pouvez conserver l'adresse antrieure, qui a t attribue comme adresse IP active de l'ordinateur serveur, en la dplaant dans la liste des adresses IP de l'onglet Paramtres TCPIIP avancs.
21
Chapitre I : DHCP
Rsum de la leon
La plupart des problmes DHCP se manifestent par d'chec de clients DHCP obtenir leur adresse IP et d'autres paramtres de configuration TCP/IP auprs du serveur DHCP. Un client DHCP ayant une adresse IP du type l68.254.x.x a chou contacter le serveur DHCP et a reu la place une adresse attribue par la fonctionnalit d'adressage IP priv automatique de Windows 2003. Un serveur DHCP ne peut honorer que les demandes d'une tendue disposant d'un ID rseau identique l'ID rseau de son adresse IP. Le service Serveur DHCP de Microsoft rpond toujours aux messages DHCPDISCOVER par des transmissions en diffusion, moins que vous ne modifiez son comportement par dfaut en ditant le Registre de Windows 2003. Un serveur DHCP configur avec plusieurs tendues utilise l'identificateur de rseau de sa propre adresse IP pour dterminer quelle tendue utiliser pour servir les clients.
22
Chapitre II : WINS
Leon 1 : Prsentation du service WINS de rsolution de noms .......................................................... 24 Leon 2 : Utilisation de WINS .............................................................................................................. 30
propos de ce chapitre
Pendant le processus d'installation de Microsoft Windows, vous indiquez un nom permettant d'identifier votre ordinateur sur le rseau. Le programme d'installation de Windows s'y rfre comme nom de l'ordinateur, mais il s'agit en ralit d'un nom NetBIOS (Pour utiliser des noms NetBIOS sur un rseau TCP/IP, il doit exister lin mcanisme qui rsolve les noms en adresses IP, ces dernires tant ncessaires la communication TCP/IP). Ce chapitre traite des diffrents types de mcanismes de rsolution des noms NetBIOS fournis par les systmes d'exploitation Windows, ainsi que la manire de les utiliser sur votre rseau.
23
Chapitre II : WINS
Chapitre II : WINS
moyens d'enregistrement et de rsolution de leurs noms NetBIOS, de sorte qu'ils puissent fonctionner en harmonie avec les ordinateurs Windows 2003. Les sections suivantes dcrivent les diffrents mcanismes de rsolution de noms NetBIOS pouvant tre utiliss par des ordinateurs excutant des systmes d'exploitation antrieurs Windows 2003.
Remarque Il est galement possible de prcharger des entres dans le cache de noms NetBIOS en utilisant le tag #PRE dans un fichier LMHOSTS, comme cela est indiqu plus loin dans cette leon. Les entres prcharges n'expirent pas, mais doivent tre recharges chaque redmarrage du systme.
Chapitre II : WINS
d'o elles proviennent, ce qui fait que les ordinateurs sous Windows ne peuvent pas utiliser cette mthode pour rsoudre les noms d'ordinateurs d'autres rseaux locaux, mme s'ils sont relis au moyen de routeurs. Avant que l'utilisation de WINS ne devienne courante, les administrateurs rseau utilisaient des diffusions combines avec un fichier LMHOSTS, ce dernier tant ddi la rsolution de noms NetBIOS uniquement sur des rseaux locaux diffrents. Le second problme vient du fait que cette mthode peut gnrer un nombre excessif de diffusions sur le rseau, obligeant les adaptateurs rseau de tous les ordinateurs du rseau accepter, examiner et mettre de ct un grand nombre de messages destins d'autres ordinateurs. La solution ce problme est d'installer un serveur WINS qui utilise uniquement des transmissions en mono-diffusion.
Vous pouvez galement crer diffrents types d'entres, avec des mots cls qui excutent des fonctions spciales, comme ceux prsents dans le tableau II.1. Mot cl \0xnn Description Assure la prise en charge des caractres non imprims dans les noms NetBIOS. Incluez le nom NetBIOS dans des doubles guillemets et utilisez la notation \Oxnn pour indiquer une valeur hexadcimale pour le caractre. Cela active les applications personnalises qui utilisent des noms spciaux pour fonctionner correctement dans des topologies routes. Remarque que la notation hexadcimale ne peut s'appliquer qu' un caractre du nom. Le nom doit tre complt avec des formulaires. de sorte que le caractre spcial soit le dernier de la chane de caractres (le caractre 16). Utilis pour grouper des instructions #INCLUDE multiples. N'importe quelle instruction #INCLUDE russie entrane la russite du groupe. Utilis pour marquer la fin d'un groupement d'instructions #INCLUDE. 26
#BEGIN_ALTERNATE
#END_ALTERNATE
Chapitre II : WINS
#MH
#PRE
#SG
Partie de l'entre de mappage nom de l'ordinateur-vers-adresse-IP, qui indique que l'adresse IP appartient un contrleur du domaine <domaine>. Ce mot cl influe sur la faon dont les services de navigateur et d'ouverture de session se comportent dans un environnement TCP/IP rout. Pour prcharger une entre #DOM. vous devez d'abord ajouter le mot cl #PRE la ligne. Les groupes #DOM sont limits 25 membres. Oblige le systme rechercher le <nom de fichier> indiqu et l'analyser comme s'il tait en local. La spcification d'un <nom de fichier> respectant la convention de dnomination universelle (UNC) vous permet d'utiliser un fichier LMHOSTS centralis sur un serveur. Si le serveur sur lequel se situe le <nom de fichier> indiqu est situ sur un autre rseau local, vous devez ajouter une entre prcharges pour le serveur (en utilisant le mot cl #PRE) avant lentre de la section #INCLUDE. Partie de l'entre de mappage nom de l'ordinateur-vers-adresse-IP qui dfinit l'entre comme un nom unique pouvant comporter plus d'une adresse. Le nombre maximal d'adresses pouvant tre affectes un nom unique s'lve 25. Le nombre d'entres est gal au nombre d'adaptateurs d'interface rseau d'un ordinateur multi-hberg. Partie de l'entre de mappage nom de l'ordinateur-vers-adresse-IP qui provoque le prchargement de cette entre dans le cache de nom (par dfaut, les entres ne sont pas prcharges dans le cache de nom, mais sont analyses seulement une fois que WINS et les requtes de noms par diffusion ont chou dans la rsolution d'un nom.) Le mot cl #PRE doit tre ajout dans le cas d'entres qui s'affichent galement dans des instructions #INCLUDE, faute de quoi l'entre de cette instruction risque d'tre ignore. Partie de l'entre de mappage nom de l'ordinateur-vers-adresse-IP, qui associe cette entre avec un groupe utilisateur spcial dfini par <nom> Le mot cl #SG dfinit des groupes Internet en utilisant un nom NetBIOS dot de la valeur Ox20 dans son seizime octet. Un groupe spcial est limit 25 membres.
Tableau II. 1:Les mots cls LMHOSTS et leurs fonctions
Chapitre II : WINS
diffuser des messages au rseau tout entier. Pour plus d'informations sur WlNS, reportez-vous la leon 2 de ce chapitre.
Enregistrement de noms
L'enregistrement de noms est le processus qui rend la rsolution de noms possible. Tous les mcanismes de rsolution de noms NetBIOS inclus dans les systmes d'exploitation Windows sont en mesure d'tablir les noms NetBIOS des ordinateurs du rseau et de les associer des adresses IP spcifiques. Dans le cas d'un fichier LMHOSTS, le processus d'enregistrement de noms a lieu quand l'utilisateur ou l'administrateur crent manuellement les entres dans le fichier. Sur un rseau qui utilise des diffusions pour la rsolution de noms, le processus d'enregistrement de noms a lieu quand chaque ordinateur du rseau dmarre, transmet et diffuse une srie de messages NAME REGISTRATION REQUEST . L'ordinateur est programm pour annoncer son nom et vrifier qu'aucun autre ordinateur ne porte le mme. S'il existe un double de ce nom, l'ordinateur qui l'utilise envoie un message NEGATIVE NAME REGISTRATION RESPONSE en retour l'expditeur, et l'utilisateur est oblig de slectionner un autre nom NetBIOS. Si l'ordinateur ne reoit aucune rponse, il s'attribue le nom. Le processus d'enregistrement de noms WINS s'effectue galement pendant le dmarrage du systme, comme le dcrit la leon 2 de ce chapitre. Voici quelque' exemples d'entres LMHOSTS utilisant ces mots cls:
Chapitre II : WINS
revient ensuite vers les serveurs de noms NetBIOS ds qu'ils sont disponibles. C'est le type de nud par dfaut d'un ordinateur Windows paramtr pour utiliser WINS. H-nud amlior par Microsoft. Il s'agit d'une variation du type H-nud, qui ajoute le fichier LMHOSTS, les requtes DNS et les fichiers HOSTS comme alternatives aux serveurs de noms NetBIOS et aux diffusions dfinies dans le type de nud H. Les ordinateurs Windows NT et Windows 2000/2003 peuvent utiliser l'ensemble de ces mthodes de rsolution de noms.
Rsum de la leon
Les ordinateurs sous Windows utilisent des noms NetBIOS pour s'identifier sur le rseau. Pour utiliser des noms NetBIOS sur un rseau TCP/IP, il doit exister un mcanisme de rsolution de noms NetBIOS en adresses IP. Les versions de Windows antrieures Windows 2003 peuvent utiliser diffrents mcanismes de rsolution de noms, parmi lesquelles les diffusions, les fichiers LMHOSTS et le service WINS. Les ordinateurs sous Windows 2003 utilisent le service Active Directory et le systme DNS pour la rsolution de noms. Windows 2003 Server inclut un serveur WINS uniquement ddi la prise en charge des clients excutant des versions de Windows antrieures Windows 2003.
29
Chapitre II : WINS
la fin de cette leon, vous pourrez Expliquer le but et les fonctions de WINS, dont l'enregistrement de noms, la rsolution de noms, le renouvellement de noms et la libration de noms; Installer WINS sur un serveur Windows 2003 ; Crer des mappages statiques; Apprhender le fonctionnement d'un agent proxy WINS.
Introduction WINS
Dans un environnement de rseau composite, certains clients, comme ceux excutant Windows 98 ou Windows NT 4, utilisent des noms NetBIOS pour communiquer. Par consquent, un rseau Windows 2003 excutant TCP/IP et comportant des clients de ce type impose la rsolution des noms NetBIOS en adresses IP. WINS est un serveur de noms NetBIOS amlior, qui enregistre les noms NetBIOS des ordinateurs et les rsout en adresses IP, elles-mmes ncessaires la communication TCP/IP. WINS fournit galement une base de donnes dynamique qui conserve les mappages des noms des ordinateurs vers leurs adresses IP.
Chapitre II : WINS
les transmissions diffusion unique ne sont pas soumises aux limites d'un rseau local, comme le sont les diffusions multiples, un client WlNS peut communiquer avec un serveur WINS situ n'importe o sur l'inter-rseau.
Chapitre II : WINS
de la valeur TTL. Si la priode TTL expire sans que le client ait reu de rponse d'un serveur WINS, le client retourne un enregistrement de nom par diffusion.
Quand vous installez WINS sur un ordinateur excutant Windows 2003, le composant logiciel enfichable WINS, est ajout au groupe de programmes Outils d'administration. Le composant logiciel enfichable WINS vous donne l'accs des informations dtailles concernant les serveurs WINS d'un rseau, il vous permet de visualiser le contenu de la base de donnes WINS et d'y rechercher des entres spcifiques, et enfin d'excuter l'ensemble des tches de gestion et de configuration de WINS. Vous pouvez accder au composant logiciel enfichable WINS soit par le biais d'une console de gestion MMC autonome, soit via la console Gestion de l'ordinateur, en cliquant sur Services et applications.
32
Chapitre II : WINS
Chapitre II : WINS
Unique. Un nom unique qui identifie une seule adresse IP. Groupe. Un nom qui mappe un groupe. Lorsque vous ajoutez une entre un groupe en utilisant le composant logiciel enfichable WINS, entrez le nom de l'ordinateur et son adresse IP. Les adresses IP des membres d'un groupe ne sont pas stockes dans la base de donnes WINS, et vous pouvez ainsi ajouter autant de membres que vous le voulez. Nom de domaine. Un mappage nom NetBIOS-vers-adresse-IP, avec OxlC comme seizime octet. Un groupe de domaine stocke jusqu' 25 adresses de membres. Pour procder des enregistrements une fois cette limite atteinte, WINS remplace une adresse prsente en doublon ou, s'il n'en existe aucune, efface l'enregistrement le plus ancien. Groupe Internet. Des groupes dfinis que vous utilisez pour regrouper des ressources, par exemple des imprimantes, des fins de rfrencement et de navigation. Un groupe Internet peut stocker jusqu' 25 adresses de membres. Cependant, un membre dynamique ne remplace pas un membre statique que vous ajoutez en utilisant le composant logiciel enfichable WINS ou en important le fichier LMHOSTS. Multi-hbergement. Un nom unique qui peut avoir plus d'une adresse. Utilisez cette option pour des ordinateurs comportant des cartes rseau multiples, Vous pouvez enregistrer jusqu'il 25 adresses muhi-hberges, Pour procder il des enregistrements une fois cette limite atteinte, WINS remplace une adresse prsente en doublon ou, s'il n'en existe aucune, efface l'enregistrement le plus ancien. 6. Dans la zone de texte Adresse IP, saisissez l'adresse IP dont vous dsirez rappel le nom NetBIOS que vous avez slectionn. 7. Cliquez sur 0 K pour crer le mappage statique. Remarque Le composant logiciel enfichable WINS ajoute un mappage statique il la base de donnes WINS quand vous cliquez sur OK. Si vous entrez des informations errones concernant un mappage statique, vous devez le supprimer et en crer un nouveau.
34
Chapitre II : WINS
Rsum de la leon
Le service WINS (Windows Internet Name Service) est une application serveur de nom NetBIOS (Network Basic Input/Output System) qui peut fournir des services d'enregistrement et de rsolution de noms NetBIOS pour l'ensemble d'un rseau Windows. WINS reprsente une amlioration par rapport la mthode de rsolution de nom par diffusion, parce qu'il utilise des transmissions diffusion unique, qui rduisent le trafic rseau gnr par le processus de rsolution de nom. Windows 2003 n'utilise plus WINS pour rsoudre les noms d'autres ordinateurs Windows 2003, mais il est toujours inclus avec Windows 2003 Server pour prendre en charge des clients excutant des versions antrieures de Windows. Les mappages statiques permettent aux clients WINS de rsoudre les noms NetBIOS d'ordinateurs dpourvus de WINS. Un agent proxy WINS retransmet les messages d'enregistrement de nom par diffusion et de rsolution vers un serveur WINS.
35
Leon 1 : Prsentation de DNS ............................................................................................................. 37 Leon 2 : Cration de zones .................................................................................................................. 46 Leon 3 Gestion des enregistrements de ressources ............................................................................. 52 Leon 4 : Rsolution de problmes lis DNS .................................................................................... 55
propos de ce chapitre
DNS (Domain Name System) est une base de donnes distribue utilise sur les rseaux TCP/IP pour traduire des noms d'ordinateurs (ou noms d'htes) en adresses IP. Pour Microsoft Windows 2003 Server, le service DNS a t soigneusement intgr dans la conception et l'implmentation du service Active Directory. Lors du dploiement conjoint du service Active Directory et de Windows 2003 Server, la rsolution de nom DNS permet de retrouver les contrleurs de domaine Windows 2003. Le service Netlogon utilise la prise en charge par le serveur DNS des enregistrements de ressources de service (SRV) pour inscrire les contrleurs de domaine dans votre espace de noms de domaine DNS. Le service Active Directory peut galement tre utilis pour stocker, intgrer et rpliquer des zones. Ce chapitre vous prsente la rsolution de noms et les zones DNS. Il explore aussi les avantages de l'utilisation des zones intgres au service Active Directory et indique comment installer DNS et configurer les zones en pratique. Enfin, ce chapitre" fournit des informations de dpannage d'une configuration DNS Active Directory.
36
Introduction DNS
DNS est plus gnralement associ Internet. Cependant, les rseaux privs utilisent largement DNS pour rsoudre des noms d'hte et situer des ordinateurs dans leurs rseaux locaux et sur Internet. La rsolution de noms DNS est diffrente de la rsolution de noms fournie par WINS (Windows Internet Naming Service). WINS rsout les noms NetBIOS en adresses IP utilises sur des rseaux Windows, tandis que DNS rsout en adresses IP les noms d'hte utiliss sur tous les types de rseaux TCP/IP. Les noms d'hte rsolus avec DNS ou d'autres moyens prsentent les avantages suivants: Les noms d'hte sont faciles utiliser et plus faciles mmoriser que des adresses IP. Les noms d'hte sont plus constants que les adresses IP. L'adresse IP d'un serveur peut tre modifie, mais son nom restera le mme. Les noms d'hte permettent aux utilisateurs de se connecter aux serveurs locaux en utilisant la convention de dnomination Internet.
37
Remarque : Le terme domaine, dans le contexte de DNS, a une signification diffrente de celle des
services d'annuaire de Microsoft Windows 2000/2003 et Microsoft Windows NT. Un domaine Windows 2003 est un groupement d'ordinateurs et de priphriques Windows administrs comme une unit. Pour DNS, un domaine est un groupe d'htes et de sous-domaines qui reprsentent une division de la base de donnes DNS.
Domaine racine
Le domaine racine se situe au sommet de la hirarchie DNS et est reprsent par un point (.). Bien qu'il soit rarement dsign de cette faon, chaque nom de domaine entirement qualifi (FQDN, Fully Qualified Domain Name) devrait techniquement finir par un point, reprsentant le domaine racine, comme dans l'exemple suivant: sales.microsoft.com.
Noms d'hte :
Les noms d'hte se rfrent aux ordinateurs spcifiques ou d'autres priphriques TCP/IP sur Internet ou sur un rseau priv. Par exemple, sur la figure III.1, Ordinateurl est un nom d'hte. Le nom d'hte est la partie situe l'extrme gauche d'un FQDN, qui dcrit la position exacte d'un hte dans la hirarchie de domaine. Sur la figure, Ordinateurl.sales.microsoft.com. (Y compris le point final, qui reprsente le domaine racine) est un FQDN. DNS utilise le FQDN, ou nom de domaine entirement qualifi, pour rsoudre un nom en adresse IP.
Remarque : Le nom d'hte DNS attribu un ordinateur Windows ne doit pas tre le mme que son
nom d'ordinateur NetBIOS (bien que cela semble plus simple). Par dfaut, Windows 2003 utilise le nom NetBIOS de l'ordinateur comme nom d'hte et remplace les caractres non valides, comme le soulign (_ ), par un trait d'union (-).
39
Zones
Une zone reprsente une partie discrte de l'espace de noms pour un domaine particulier. Les zones reprsentent une faon de partitionner l'espace de noms du domaine en sections grables. Vous pouvez crer plusieurs zones dans l'espace de noms d'un domaine pour distribuer des tches administratives diffrents utilisateurs ou groupes. Par exemple, la figure III.2 dcrit l'espace de noms du domaine microsoft.com divis en deux zones. Les deux zones permettent un administrateur de grer les domaines microsoft.com et sales.microsoft.com, et un autre administrateur de grer le domaine development.microsoft.com. Une zone doit englober une rgion contigu de l'espace de noms d'un domaine. Par exemple, comme le montre la figure III.2, vous pouvez crer une zone pour sales.microsoft.com et le domaine parent microsoft.com, parce que ces zones sont contigus. Cependant, vous ne pouvez pas crer une zone qui contiendrait la fois le domaine sales.microsoft.com et le domaine development.microsoft.com, parce qu'ils ne sont pas contigus.
Les mappages nom-vers-adresse-IP d'une zone sont stocks dans le fichier base de donnes de la zone. Chaque zone est ancre un domaine spcifique, mentionn comme le domaine racine de la zone. Le fichier base de donnes de la zone ne contient pas ncessairement d'information pour tous les sousdomaines du domaine racine de la zone, mais seulement pour ceux de la zone. Sur la figure III.2, le domaine racine de la zone 1 est microsoft.com, et son fichier de zone contient les mappages nom-vers-adresse-IP pour les domaines microsoft.com et sales.microsoft.com. Le domaine racine de la zone 2 est developement.microsoft.com, et son fichier de zone contient les mappages nom-vers-adresse-IP du domaine development.microsoft.com seulement. Le fichier de zone de la zone 1 ne contient pas les mappages nom-vers-adresse-IP du domaine development.microsoft.com, bien que development soit un sous-domaine du domaine microsoft.com.
Serveurs de noms
Un serveur de noms DNS stocke le fichier base de donnes de la zone. Les serveurs de noms peuvent stocker des donnes pour une zone ou pour plusieurs. Un serveur de noms a autorit pour l'espace de noms de domaines que la zone englobe. Il doit y avoir au moins un serveur de noms pour une zone. Cependant, une zone peut tre associe plusieurs serveurs de noms. L'un de ces serveurs contient le fichier base de donnes de zone matre, qui est aussi appel le fichier base de donnes de zone principal, pour cette zone. Lorsque vous apportez des modifications une zone, par exemple des ajouts de sous-domaines ou d'htes, vous modifiez le fichier base de donnes de zone principal. Les autres serveurs de noms associs la zone agissent comme des copies de sauvegarde du serveur de noms contenant le fichier de base de donnes de zone principal. Ces serveurs de nom contiennent un fichier de base de donnes de zone secondaire. Disposer de plusieurs serveurs de noms procure plusieurs avantages: 40
Excution de transferts de zone. Les serveurs de noms supplmentaires obtiennent une copie du fichier base de donnes de zone du serveur de noms, qui contient le fichier de zone de base de donnes principal. Cela s'appelle un transfert de zone. Ces serveurs de noms demandent priodiquement les mises jour des donnes de zone au serveur de noms contenant le fichier base de donnes de zone principal. Redondance. Si le serveur de noms contenant le fichier de base de donnes de zone principal est victime d'une panne, les serveurs de noms supplmentaires peuvent fournir au rseau le service de rsolution de noms. Amlioration de la vitesse des accs pour les emplacements distants. Si un certain nombre de clients se situent distance, vous pouvez utiliser des serveurs de noms supplmentaires pour rduire le trafic de requte qui passe par les liaisons WAN lentes. Rduction de la charge. Les serveurs de noms supplmentaires rduisent la charge du serveur de noms contenant le fichier de base de donnes de zone principal. Windows 2003 prend galement en charge le stockage de zone intgr l'annuaire en utilisant la base de donnes Active Directory pour stocker l'information de zone. Les zones ainsi stockes sont situes dans l'arborescence Active Directory, sous le conteneur d'objet domaine. Chaque zone intgre l'annuaire est stocke dans un objet conteneur de zone DNS, identifi par le nom attribu la zone au moment de sa cration.
41
1. Le client DNS (appel rsolveur) envoie une requte de recherche directe pour www.microsoft.com son serveur de noms local, dont l'adresse est indique dans sa configuration TCP/IP. 2. Le serveur de noms local contrle son fichier base de donnes de zone peur dterminer s'il contient le mappage nom-vers-adresse-IP correspondant la requte du client. Comme le serveur de noms local n'a pas autorit pour le domaine microsoft.com, il passe la requte l'un des serveurs DNS racine et lui demande la rsolution du nom d'hte. Le serveur de noms racine renvoie une rponse aux serveurs de noms de rfrence du domaine de niveau suprieur com. 3. Le serveur de noms local envoie une requte un serveur de noms com, qui rpond par une rfrence aux serveurs de noms de rfrence pour le domaine microsoft.com. 4. Le serveur de noms local envoie une requte au serveur de microsoft.com, Comme le serveur de noms Microsoft a autorit pour cette partie de l'espace de noms de domaines, il renvoie l'adresse IP de www.microsoft.com au serveur de noms local. 5. Le serveur de noms local renvoie l'adresse IP de www.microsoft.com au client. 6. La rsolution de nom est termine, et le client peut dsormais accder www.microsoft.com au moyen de son adresse IP. Remarque Dans de nombreux cas, la procdure de recherche directe est considrablement rduite, soit par l'utilisation d'Informations DNS mises en cache (comme le dcrit la section suivante), soit par la combinaison des rles des serveurs de noms. Par exemple, les serveurs de noms racine de DNS sont aussi les serveurs de rfrence pour com et plusieurs autres domaines de niveau suprieur. Cela signifie que la requte initiale envoye au serveur de noms racine aboutit une rponse simple contenant l'adresse du serveur de noms microsoft.com, plutt que de ncessiter deux changes spars.
Quand un serveur de noms reoit le rsultat d'une requte, il le met en cache pour un certain temps, appel dure de vie (TTL). La zone qui fournit les rsultats de la requte indique la longueur de l'intervalle TTL. Sur le serveur DNS de Microsoft, vous configurez le TTL l'aide de la console DNS. La valeur par dfaut de TTL est de 60 minutes. La mise en cache du rsultat de la requte dclenche le compte rebours du champ TTL. Lorsque le TTL expire. Le serveur de noms supprime de son cache le rsultat de la requte. La mise en cache des rsultats de requtes permet un serveur de noms de rsoudre rapidement d'autres requtes dans la mme partie de l'espace de noms de domaines. Remarque L'utilisation de valeurs TTL infrieures contribue garantir la mise jour des donnes de l'espace de noms de domaines sur le rseau. Bien que des valeurs TTL faibles augmentent la charge des serveurs de noms, alors que des valeurs TTL leves la diminuent, le client ne reoit pas d'information jour avant J'expiration du champ TTL et avant qu'une nouvelle requte soit rsolue dans la mme partie de l'espace de noms de domaines.
43
44
Rsum de la leon
La rsolution de noms DNS est le processus de conversion des noms d'hte ou des noms de domaine en adresses IP. L'espace de noms DNS consiste en plusieurs niveaux de domaine, chacun pouvant contenir des sous-domaines et des htes. Un serveur de noms DNS contient une ou plusieurs zones, dont chacune est un segment de J'espace de noms DNS consistant en un ou plusieurs domaines. Les serveurs de DNS peuvent excuter deux types de rsolution de nom: des requtes de recherche directe, qui sont des rsolutions de noms en adresses IP, et des requtes de recherche inverses, qui sont des rsolutions d'adresses IP en noms. Vous pouvez installer manuellement le serveur DNS de Microsoft avec le Panneau de configuration de Windows, ou automatiquement, soit en mme temps que le systme d'exploitation, soit l'aide du service Active Directory.
45
Planification de zones
Quand vous installez un serveur DNS pour servir un domaine, vous devez toujours crer au moins une zone. Vous pouvez crer une seule zone, qui contient la zone entire de l'espace DNS pour lequel vous tes l'autorit, ou choisir de diviser votre domaine en crant plusieurs sous-domaines et en les plaant dans diffrentes zones. Vous pouvez vouloir diviser votre domaine en zones pour les raisons suivantes: Dlgation administrative. Quand vous crez plusieurs zones, vous pouvez accorder l'autorisation de les grer plusieurs utilisateurs, partageant ainsi les tches d'administration de DNS. Amlioration des performances. La cration de plusieurs zones et leur stockage sur diffrents serveurs DNS peut rduire la charge du trafic de rsolution de noms sur vos ordinateurs ou vos rseaux locaux. Tolrance de panne. Diviser votre domaine en zones stockes sur des serveurs diffrents permet DNS de continuer servir des clients, mme quand un serveur tombe en panne. Extension de l'espace de noms. La cration de sous-domaines dans diffrentes zones est une manire simple de grer, sur le plan administratif, l'ouverture d'une nouvelle succursale ou d'un nouveau site.
zone sparment si vous souhaitez que des clients puissent excuter des recherches directes et inverses. Plus tard, quand vous crez des enregistrements de ressources dans la zone de recherche directe, la console DNS vous permet de crer en mme temps des enregistrements de recherche inverss, pourvu que vous ayez dj cr la zone de recherche inverse approprie. Remarque Quand vous installez le service Active Directory avec l'Assistant Installation d'Active Directory et que vous lui permettez d'installer et de configurer votre serveur DNS, il cre automatiquement une zone de recherche directe base sur le nom DNS que vous avez indiqu pour le serveur. 4. Cliquez sur Suivant pour contourner la page d'accueil de l'assistant et afficher la page Type de zone. 5. Indiquez le type de zone que vous dsirez crer en slectionnant l'option approprie. Cliquez ensuite sur Suivant pour passer la page Nom de la zone. Les types de zones disponibles sont les suivants: Intgre Active Directory. Une zone intgre Active Directory est la copie principale d'une nouvelle zone. La zone utilise la base de donnes Active Directory pour stocker et rpliquer les fichiers de zone. Zone principale standard. Une zone principale standard est la copie principale d'une nouvelle zone stocke dans un fichier texte standard. Vous administrez et maintenez une zone principale sur l'ordinateur o vous avez cr la zone. ZONE secondaire standard Une zone secondaire standard est une rplique dune zone existante. Les zones secondaires standards sont en lecture seule et sont stockes dans des fichiers texte standards. Vous devez crer une zone principale avant de pouvoir crer une zone secondaire. Lorsque vous crez une zone secondaire, vous indiquez le serveur DNS, appel serveur matre, qui transfrera l'information de zone au serveur de noms contenant la zone secondaire standard. Vous crez une zone secondaire des fins de tolrance de panne et pour rduire la charge du trafic sur le serveur de noms contenant le fichier base de donnes principal de la zone. 6. Dans la zone de texte Nom, saisissez le nom que vous voulez attribuer la zone. Cliquez ensuite sur Suivant pour passer la page Fichier zone. D'ordinaire, une zone est nomme d'aprs le domaine le plus lev de la hirarchie gre par la zone: c'est--dire d'aprs le domaine racine de la zone. Par exemple, pour une zone qui englobe les domaines microsoft.com et sales.microsoft.com, le nom de zone serait microsoft.com. Remarque Si vous avez choisi de crer une zone intgre Active Directory, le processus de configuration vous amne directement la page Fin de l'Assistant Nouvelle zone. Dans ce cas, continuez en allant directement l'tape 9. 7. Si vous avez choisi de crer une zone principale standard, vous devez indiquer le nom du fichier texte dans lequel vous dsirez stocker la base de donnes de zone. Par dfaut, J'Assistant Nouvelle zone propose de crer un fichier nomm comme la zone, avec une extension .DNS. Quand vous migrez une zone partir d'un autre serveur, vous pouvez importer le fichier de zone existant. Pour utiliser un fichier base de donnes DNS existant au lieu d'en crer un nouveau, slectionnez Utiliser un fichier existant et saisissez dans la zone de texte le nom du fichier que vous voulez utiliser. Le fichier dont vous saisissez le nom doit dj figurer dans le dossier \systemroot\System32\DNS (C:\Winnt\ System32\DNS, par dfaut). Cette page ne s'affiche pas si vous avez choisi de crer une zone secondaire standard ni une zone intgre Active Directory parce que, dans ce cas, l'information DNS est stocke dans la base de donnes Active Directory et qu'aucune information n'est ncessaire. Cliquez sur Suivant pour passer la page suivante.
47
8. Si vous avez choisi de crer une zone secondaire standard, la page Serveurs DNS matres s'affiche. Saisissez dans la zone de texte Adresse IP J'adresse IP du serveur DNS contenant le fichier base de donnes de zone matre pour la zone, ou cliquez sur Parcourir pour slectionner un serveur, et cliquez ensuite sur Ajouter. Vous pouvez rpter ce processus pour ajouter plusieurs serveurs DNS la liste. Cliquez sur Suivant pour continuer. 9. Dans la page Fin de l'Assistant Nouvelle zone, cliquez sur Terminer pour fermer l'assistant et crer la zone avec les paramtres que vous avez fournis. Quand vous crez une zone de recherche inverse, la procdure est en grande partie identique, hormis l'addition d'une page Zone de recherche inverse, o vous indiquez l'identificateur rseau pour la zone de recherche inverse que vous dsirez crer. Quand vous saisissez la partie identificateur de rseau de l'adresse IP, l'assistant inverse automatiquement l'ordre des octets et ajoute le nom de domaine inaddr.arpa, comme dans la zone de texte Nom de la zone de recherche inverse.
sont dj stockes sur chaque contrleur de domaine. Le stockage et la gestion des zones ne ncessitent donc aucune ressource supplmentaire. De mme, les mthodes utilises pour synchroniser les informations stockes dans l'annuaire offrent de meilleures performances par rapport aux mthodes standards de mise jour des zones, qui exigent parfois le transfert de la zone entire. Planification et administration simplifies des services DNS et Active Directory. Quand les espaces de noms sont stocks et rpliqus sparment (pur exemple. un pour le stockage el la rplication de DNS el un autre pour le service Active Directory), un niveau de complexit administrative supplmentaire s'ajoute au processus de planification et de conception de votre rseau. En intgrant le stockage de DNS au service Active Directory, vous pouvez unifier la gestion du stockage et de la rplication pour DNS et pour Active Directory en une seule entit administrative. La rplication d'annuaire est plus rapide et plus efficace que la rplication DNS standard. Comme le traitement de la rplication Active Directory est excut sur la base des proprits, seules les modifications appropries sont propages vers les autres contrleurs de domaine. Cela permet aux mises jour des zones stockes dans l'annuaire de se faire en transmettant moins de donnes sur le rseau.
Dlgation de zones
Au dpart, une zone est une base de donnes de stockage pour un seul nom de domaine DNS. Si vous ajoutez des sous-domaines au domaine utilis pour crer la zone, ces sous-domaines peuvent indiffremment faire partie de la mme zone ou d'une autre. Quand vous ajoutez un sous-domaine, vous pouvez le configurer pour qu'il soit gr et intgr comme une partie des enregistrements de zone d'origine, ou pour qu'il soit dlgu une autre zone cre pour prendre en charge le sous-domaine. Par exemple, la figure III.5 dcrit le domaine microsoft.com. Lors de sa cration sur un serveur particulier, le domaine microsoft.com est configur en tant que zone unique pour l'ensemble de l'espace de noms DNS de Microsoft. Si, plus tard, le domaine microsoft.com est dvelopp par l'addition de sous-domaines, ces sous-domaines doivent soit tre intgrs la zone microsoft.com, soit tre dlgus une autre zone. Sur la figure. Le sous-domaine exemple a t ajout au domaine microsoft.com, et la zone excmple.rnicrosoft.com a t cre pour prendre en charge le sous-domaine exemple.microsoft.com.
Quand vous dlguez des zones l'intrieur d'un espace de noms, vous devez galement crer les enregistrements de ressources SOA (Start Of Authority) pour pointer vers le serveur DNS de rfrence de la nouvelle zone. Cela est ncessaire pour transfrer l'autorit et pour fournir aux autres serveurs et 49
clients DNS une rfrence correcte sur les nouveaux serveurs de rfrence de la nouvelle zone. L'Assistant Nouvelle dlgation vous assiste dans la procdure de dlgation de zones. Remarque Pour en savoir plus sur la cration de SOA et celle des autres enregistrements de ressources, reportez-vous la leon 3 de ce chapitre. Pour crer une dlgation de zone, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console DNS. 2. Dans l'arborescence de la console DNS, cliquez avec le bouton droit de la souris sur le sousdomaine pour lequel vous souhaitez crer une dlgation de zone et, dans le menu contextuel, slectionnez Nouvelle dlgation pour lancer l'Assistant Nouvelle dlgation. 3. Cliquez sur Suivant pour contourner la page d'accueil de l'Assistant et afficher la page Nom du domaine dlgu. 4. Entrez le nom du sous-domaine que vous dsirez crer. L'assistant affiche automatiquement le FQDN du nom que vous indiquez. 5. Cliquez sur Suivant pour passer la page Serveurs de noms. 6. Cliquez sur Ajouter pour afficher la bote de dialogue Nouvel enregistrement de ressource. 7. Dans la zone de texte Nom du serveur, Saissisiez le nom du serveur qui accueille la zone dlgue et cliquez sur Rsoudre pour obtenir son adresse IP, ou cliquez sur Parcourir pour slectionner un serveur. Cliquez ensuite sur OK pour fermer la bote de dialogue. 8. Cliquez sur Suivant dans la page Serveurs de noms, puis cliquez sur Terminer. Remarque Vous devez crer tous les domaines (ou sous-domaines) qui s'intgrent la dlgation de zone applicable la zone actuelle avant d'excuter la dlgation.
Non. N'autorise pas les mises jour dynamiques pour cette zone. Oui. Autorise toutes les demandes de mise jour DDNS pour la zone. Uniquement les mises jour scurises. N'autorise pour cette zone que les mises jour DDNS qui utilisent le DNS scuris. Il s'agit de l'option privilgie. L'option Uniquement les mises jour scurises ne s'affiche que si la zone est intgre au service Active Directory. Si vous slectionnez l'option Uniquement les mises jour scurises, l'autorisation de mise jour des enregistrements de la base de donnes de zone accorde au demandeur est teste l'aide de mcanismes spcifis dans un protocole de mise jour de DNS scuris ultrieur. 4. Cliquez sur OK.
Rsum de la leon
Les serveurs DNS (Domain Naine System) vous permettent de diviser l'espace de noms DNS en zones, ce qui permet de stocker les informations de noms concernant un ou plusieurs domaines DNS. Les serveurs DNS peuvent avoir des zones ces recherches directes pour ses mappages nom-vers-adresse-IP et cls zones de recherches inverses pour des mappages adresse-IPvers-nom. Vous pouvez crer trois types des zones: des zones intgres Active Directory, des zones principales standards et des zones secondaires standards. Le DNS dynamique, DDNS, permet aux ordinateurs du rseau de modifier automatiquement leurs enregistrements de ressource, ce qui permet d'viter aux administrateurs de les modifier manuellement. La dlgation de zones vous permet de vous adapter la cration de nouveaux sousdomaines en les ajoutant des zones diffrentes.
51
L'information d'un fichier base de donnes de zone DNS est stocke dans des units appeles des enregistrements de ressources. Ces enregistrements de ressources sont des entres du fichier base de donnes de zone, qui associent des noms de domaine DNS aux donnes d'une ressource rseau prcise, comme une adresse IP. Cette leon examine les divers types d'enregistrements de ressources utiliss dans la base de donnes DNS et leur processus de cration avec le serveur DNS de Microsoft.
A la fin de cette leon, vous pourrez Indiquer les enregistrements de ressources DNS les plus utiliss, Afficher le contenu d'un enregistrement de ressource, Crer un enregistrement de ressource.
52
seulement l'adresse IP associe au nom d'hte de l'enregistrement. En revanche, la bote de dialogue Proprits d'un enregistrement SOA contient un grand nombre de paramtres de configuration, y compris le TTL pour la zone. 5. Une fois votre consultation de l'enregistrement termine, cliquez sur OK.
Rsum de la leon
Un fichier base de donnes de zone DNS peut contenir de nombreux types diffrents d'enregistrements de ressources, comme les enregistrements A (Host), PTR (Pointer) et CNAME (Alias). L'information stocke dans les enregistrements de ressources varie en fonction de leur type. Les enregistrements A (Host) contiennent des mappages nom-vers-adresse-IP de base que DNS utilise pour rsoudre les noms. Les enregistrements PTR (Pointer) contiennent des mappages adresse-IP-vers-nom utiliss pour les recherches de nom inverses. Les enregistrements MX (Mail Exchanger) et SRV (Service) identifient les serveurs de messagerie lectronique et les contrleurs de domaine d'un rseau de Windows.
54
la fin de celle leon, vous serez mme de surveiller le serveur DNS, rsoudre les problmes de configuration DNS d'un service Active Directory.
Options de dbogage
La console DNS vous permet galement de dfinir des options d'enregistrement supplmentaires pour crer un journal de traage temporaire des activits du serveur DNS, des fins de dbogage, sous la forme d'un fichier texte. Pour cela, cliquez avec le bouton droit de la souris sur un serveur DNS dans la console el, dans le menu contextuel, slectionnez Proprits. Dans la bote de dialogue 55
Proprits, cliquez sur l'onglet Enregistrement. L'information correspondant aux options que vous slectionnez est stocke dans le fichier Dns.log, dans le dossier \systemroot\System32\dns (C:\WinntlSystem32\ dns, par dfaut). Vous pouvez slectionner l'une des options suivantes, ou plusieurs, pour contrler les activits traces. Par le journal: Effectuer une requte. Enregistre les requtes reues par le service Serveur DNS en provenance de clients. Notifier. Enregistre les messages de notification reus par le service Serveur DNS en provenance d'autres serveurs. Mettre jour, Enregistre les mises il jour dynamiques reues par le service Serveur DNS en provenance d'autres ordinateurs. Questions. Enregistre le contenu de la question pour chaque message de requte DNS trait par le service Serveur DNS. Rponses. Enregistre le contenu de la rponse pour chaque message de requte DNS trait par le service Serveur DNS. Envoyer. Enregistre le nombre de messages de requte DNS envoys par le service Serveur DNS. Recevoir. Enregistre le nombre de messages de requte DNS reus par le service Serveur DNS. UDP. Enregistre le nombre de requtes DNS reues par le service Serveur DNS sur un port UDP. TCP. Enregistre le nombre de requtes DNS reues par le service Serveur DNS sur un port Tep. Paquets entiers. Enregistre le nombre de paquets complets crits et envoys par le service Serveur DNS. crire en continu. Enregistre le nombre de paquets crits en continu par le service Serveur DNS et renvoys la zone. Par dfaut, toutes les options d'enregistrement de dbogage sont dsactives. Lorsqu'elles sont actives de manire slective. Le serveur DNS peut enregistrer des informations de suivi supplmentaires pour les types d'vnements ou de messages slectionns, des fi ns de rsolution de problmes et de dbogage du serveur. L'enregistrement des vnements de dbogage peut utiliser intensivement les ressources, ce qui nuit aux performances gnrales du serveur et consomme de l'espace disque. Vous ne devez par consquent l'utiliser que temporairement, lorsque vous avez besoin d'informations plus dtailles sur les performances du serveur.
Administration dun Serveur Informatique intermdiaires. Le numro de srie SOA est identique sur les serveurs de destination et source. Comme la valeur est identique sur les deux serveurs, aucun transfert de zone ne se produit entre eux. Le serveur matre (source) et son serveur secondaire cibl (destination) ont des problmes d'inter-fonctionnement. La zone a des enregistrements de ressources ou d'autres donnes qui ne peuvent pas tre interprtes par le serveur DNS.
Avec la console DNS, excutez les tches suivantes: dans l'onglet SOA, augmentez la valeur du numro de srie de la zone sur le serveur matre (source) un nombre suprieur la valeur du serveur secondaire (destination). Amorcez le transfert de zone depuis le serveur secondaire.
Recherchez les causes possibles des problmes lis l'inter fonctionnement entre les serveurs DNS de Windows 2003 et d'autres serveurs DNS excutant des implmentations diffrentes, comme une ancienne version de la distribution BIND (Berkeley Internet Name Domain). Vrifiez que la zone ne contient pas de donnes incompatibles, comme des types d'enregistrements de ressources non pris en charge ou des erreurs de donnes. Vrifiez aussi que le serveur n'a pas t configur d'avance pour empcher le chargement d'une zone quand de mauvaises donnes sont identifies, et vrifiez sa mthode de contrle des noms. Ces paramtres peuvent tre configurs avec la console DNS. Si un transfert de zone continue chouer, vrifiez que la zone ne contient pas de donnes non standards. Pour dterminer si de fausses donnes de zone sont la source d'un chec de transfert de zone, regardez dans les messages du journal des vnements du serveur DNS.
Symptme: La dlgation de zone ne fonctionne pas correctement Cause Solution Les dlgations de zone ne sont pas configures tudiez la manire dont les dlgations de zones correctement. sont utilises et apportez-leur les modifications ncessaires.
Le tableau III.2 dcrit quelques-uns des problmes de mise jour dynamiques que vous pouvez rencontrer, ainsi que les solutions qui peuvent tre envisages pour les rsoudre.
Tableau III.2 Scnarios de dpannage des mises jour dynamiques
Symptme: Le client n'effectue pas les mises jour dynamiques Cause Solution Le client (ou le serveur DHCP) ne Vrifiez que vos clients ou vos serveurs prennent en charge le prend pas en charge l'utilisation du protocole de mise jour DDNS avec les options de prise en protocole de mise jour DDNS. charge des mises jour dynamiques fournies par Windows 2003. Pour que des postes clients soient enregistrs et mis jour dynamiquement par un serveur DNS, installez ou mettez niveau Windows 2003 sur les postes clients, ou installez et utilisez un serveur DHCP Windows 2003 sur votre rseau pour louer des adresses aux postes clients. Le client n'a pas t capable Vrifiez que le client est entirement et correctement d'enregistrer et de mettre jour le configur pour DNS, et mettez jour sa configuration si serveur DNS cause d'une ncessaire. Pour mettre jour la configuration DNS d'un 57
Le client DNS a essay de mettre jour son information avec le serveur DNS, mais a chou cause d'un problme li au serveur.
Le serveur DNS prend en charge les mises jour dynamiques, mais n'est pas configur pour les accepter.
client, configurez le suffixe DNS principal du client pour des clients TCP/IP statiques, ou configurez un suffixe DNS de connexion spcifique comme connexion rseau installe sur le client. Si un client peut contacter son serveur DNS prfr et secondaire, il est probable que la cause de l' chec de ses mises jour se situe ailleurs. Sur les postes clients Windows 2003, utilisez l'Observateur des vnements et recherchez, dans le journal Systme, des messages d'vnements qui expliquent l'chec de ses tentatives de mise jour dynamique des enregistrements de ressource A (Host) ou P'TR (Pointer). Vrifiez que le serveur DNS utilis par le client peut prendre en charge le protocole de mise jour DDNS. Pour ce qui concerne Windows. seuls les serveurs DNS Windows 2003 prennent en charge les mises jour dynamiques. Le serveur DNS de Microsoft Windows NT Server 4 nassure pas cette prise en charge. Vrifiez que la zone principale, o les clients requirent des mises jour, est configure pour permettre des mises jour dynamiques. Pour les serveurs DNS de Windows 2003, les nouvelles zones principales ne doivent pas accepter par dfaut les mises jour dynamiques. Sur le serveur DNS, qui charge la zone principale applicable, modifiez les proprits de zone pour autoriser les mises jour. Vrifiez que la zone existe. Vrifiez que la zone est disponible pour la mise jour. Dans le cas d'une zone principale standard, vrifiez que le fichier de zone existe sur le serveur et que la zone n'est pas suspendue. Les zones secondaires ne prennent pas en charge les mises jour dynamiques. Pour les zones intgres Active Directory, vrifiez que le serveur DNS s'excute comme contrleur de domaine et qu'il a accs la base de donnes Active Directory o sont stockes les donnes de zone.
58
Rsum de la leon
L'onglet Analyse de la bote de dialogue Proprits du serveur DNS vous permet d'envoyer des requtes simples et rcursives au serveur. L'Observateur des vnements contient un journal spar pour le serveur DNS sur les ordinateurs Windows 2003 Server sur lesquels le service Serveur DNS est install. L'onglet Enregistrement de la bote de dialogue Proprits du serveur DNS vous permet de slectionner les activits spcifiques contrler dans un fichier journal spar. Les transferts de zone peuvent chouer pour une multitude de raisons, parmi lesquelles des dficiences de rseau et la prsence dans la base de donnes de zone de donnes non prises en charge. L'une des causes les plus courantes d'chec de la mise jour dynamique est l'absence de prise en charge de ce protocole de mise jour dynamique par tous les ordinateurs impliqus.
59
Chapitre IV : IIS
propos de ce chapitre Microsoft Windows 2003 Server inclut une version mise jour des Services Internet (IIS version 6). IIS s'excute sous la forme d'un service d'entreprise l'intrieur de Windows 2003, et emploie d'autres services fournis par Windows 2003, comme les services de scurit et Active Directory. Il amliore la fiabilit, la performance, la gestion, la scurit et les services d'application du serveur Web. La plupart de ces amliorations rsultent de la manire dont il enrichit le systme d'exploitation Windows 2003 de nouvelles fonctionnalits. Ce chapitre explique comment installer, configurer et dpanner IIS.
60
Chapitre IV : IIS
Chapitre IV : IIS
6. Dans la bote de dialogue Services Internet (IIS), dans la liste sous-composants de Services Internet, slectionnez les cases cocher places gauche des composants que vous dsirez installer. Les composants disponibles sont les suivants: Composant logiciel enfichable des services Internet (IIS). Un composant logiciel enfichable de console MMC qui fournit l'interface d'administration principale de IIS ; Documentation. Les fichiers d'aide et de documentation sur l'administration des serveurs IIS et le dveloppement d'applications Web; Extensions serveur FrontPage 2000. Vous permet de crer et de grer de,' sites Web avec des outils de dveloppement, comme Microsoft FrontPage et Visual InterDev ; Fichiers communs. Les fichiers dont IIS a besoin pour excuter les autres composants; Gestionnaire des services Internet (HTML). Une interface dadministration fonde sur le langage HTML, qui vous permet de grer IIS avec tout navigateur Web pris en charge; Serveur FTP (File Transfer Protocol), Vous permet de crer des sites FTP partir desquels et destination desquels les utilisateurs peuvent tlcharger des fichiers; Serveur World Wide Web. Vous permet de crer des sites Web auxquels peuvent accder les utilisateurs partir d'un navigateur comme Microsoft, Internet Explorer; Service NNTP. Fournit la prise en charge du protocole NNTP (Ne Mark News Transfer Protocol), que vous pouvez utiliser pour fournir aux utilisateurs de liS les changes de news Usenet ; Service SMTP. Fournit la prise en charge du protocole SMTP (Simple Mail Transfer Protocol), utilis pour l'envoi de messages lectroniques; Support de dplacement RAD distance Visual InterDev, Active le dploiement d'application distance sur le serveur Web IIS. En vue d'une installation fonctionnelle des services IIS, vous devez slectionner nu minimum les fichiers communs, le composant logiciel enfichable Services Internet (IIS) et le serveur World Wide Web. 7. Cliquez sur OK, puis sur Suivant. Si vous y tes invit, tapez le chemin d'accs complet des fichiers de distribution de Windows 2003, puis cliquez sur Continuer. Il est possible que vous deviez insrer le CD-ROM de Windows 2003. Les fichiers requis sont copis sur votre disque dur. 8. Cliquez sur Terminer pour fermer l'Assistant Composants de Windows.
Astuce Par dfaut, Windows 2003 n'installe pas le service FTP dans IIS. Si vous souhaitez excuter un site FTP sur votre serveur, vous devez utiliser cette procdure pour ajouter le composant Serveur FTP.
62
Chapitre IV : IIS
Aprs une installation de IIS par dfaut, quand vous lancez le composant logiciel enfichable Services Internet (IIS), vous pouvez voir trois composants qui ont t ajouts l'arborescence de la console: Site Web par dfaut, Site Web d'administration et Serveur virtuel SMTP par dfaut. L'icne Site Web par dfaut reprsente le site Web public principal hberg par votre serveur. Si vous avez l'intention de n'accueillir qu'un seul site, vous pouvez utiliser celui-ci; mais vous pouvez galement crer des icnes de site Web supplmentaires pour accueillir plusieurs sites sur un seul serveur. Le site Web par dfaut est configur pour un accs anonyme: n' importe quel utilisateur peut s'y connecter, quel que soit le navigateur qu'il utilise, et qu'il dispose ou non d'un compte d'utilisateur Windows 2003. Vous pouvez galement utiliser le composant logiciel enfichable Services Internet (IIS) pour modifier les proprits de scurit du site et restreindre l'accs certains utilisateurs. L'icne Site Web d'administration reprsente un site protg, que vous pouvez utiliser pour configurer IIS partir d'un navigateur sur un ordinateur distant. Ce site est un exemple de la faon dont IIS peut accueillir plusieurs sites sur un serveur, puisqu'il est compltement indpendant du site par dfaut, avec son contenu et ses paramtres de scurit propres. la diffrence du site par dfaut, le site d'administration est protg de diffrentes faons pour empcher les utilisateurs non autoriss d'accder l'Interface de configuration de IIS. Pour en savoir plus sur les mcanismes de scurit que vous pouvez utiliser pour limiter l'accs vos sites Web, reportez-vous la leon 3 de ce chapitre.
Mise en route
Que votre site soit sur un intranet ou sur Internet, les principes de fourniture de contenu avec IIS sont identiques. Vous placez vos fichiers Web dans des dossiers de votre serveur, de sorte que les utilisateurs puissent tablir une connexion HTTP (HyperText Transfer Protocol) et afficher vos fichiers avec un navigateur Web. Mais au-del du simple stockage des fichiers sur votre serveur, vous devez grer la faon dont votre site est dploy et, plus important encore, l'volution de votre site. Vous devez installer vos sites Web en indiquant quels dossiers contiennent les documents que vous voulez publier. Le serveur Web ne peut pas publier les documents qui ne sont pas dans ces dossiers. La premire tape du dploiement d'un site Web est donc de dterminer l'organisation de vos fichiers et leur hirarchisation. Vous utilisez le composant logiciel enfichable Services Internet (IIS) ou le Gestionnaire des services Internet (HTML) pour identifier quels dossiers (nomms rpertoires dans le composant logiciel enfichable et dans l'interface HTML) font partie du site. Si vous dsirez dmarrer tout de suite sans crer une structure de dossiers spciale, et que vos fichiers soient tous situs sur le mme disque dur de l'ordinateur excutant IIS, vous pouvez publier vos documents immdiatement en copiant vos fichiers Web dans le dossier de base du site Web par dfaut. Lorsque vous installez IIS, le dossier de base du site Web par dfaut est \lnetpub\wwwroot (C:\lnetpub\wwwroot par dfaut). Quand vous copiez des fichiers Web dans ce dossier, ils deviennent disponibles la racine du site. Les utilisateurs de l'intranet peuvent alors accder ces fichiers en utilisant l'une des URL (Uniform Resource Locators) suivantes: http://computer _name/file_name http://fully_qualified_domain_name/file_name http://IP_address/file_name O computer _name, fully_qualified_domain_name et IP_address identifient le serveur Web. Si vous copiez un fichier nomm Default.htm ou Default.asp dans le dossier de base, ce fichier devient la page d'accueil du site Web par dfaut. Vous pouvez galement modifier la configuration du site pour utiliser un autre nom de fichier par dfaut.
63
Chapitre IV : IIS
Cration de sites
l'origine, chaque nom de domaine, comme www.microsoft.com, reprsentait un seul ordinateur individuel. Aujourd'hui, de nombreux logiciels serveurs Web, parmi lesquels IIS 6, peuvent accueillir simultanment plusieurs sites Web ou plusieurs sites FTP sur un seul ordinateur, chaque site Web hbergeant un ou plusieurs noms de domaine. Comme chaque site reproduit le comportement d'un ordinateur unique pour les clients Web, ces sites sont parfois mentionns comme des serveurs virtuels, Que votre serveur Windows 2003 soit sur un intranet ou sur Internet, vous pouvez crer plusieurs sites Web et plusieurs sites FTP sur un ordinateur, en choisissant l'une des trois mthodes suivantes: utiliser un numro de port non standard avec l'adresse IP ; utiliser plusieurs adresses IP, chacune disposant de sa propre carte rseau, ou toutes dsignant la mme carte rseau; attribuer plusieurs Sites Web une seule carte rseau en utilisant des noms d'en-tte d'hte, La figure IV.1 prsente un intranet o l'administrateur systme a install Windows 2003 Server avec IIS sur le serveur de la socit, aboutissant un site Web par dfaut: http//ServeurEntreprise. L'administrateur systme cre ensuite deux sites Web supplmentaires, un pour chacun des deux services: marketing et ressources humaines. Bien qu'ils soient hbergs sur le mme ordinateur, ServeurEntreprise, Marketing et RessourcesHumaines s'affichent chacun comme des sites Web uniques. Ces sites relatifs un service ont les mmes options de scurit que s'ils se trouvaient sur des ordinateurs spars, parce que chaque site a son propre accs et ses propres paramtres d'autorisation d'administration. En outre, vous pouvez rpartir les tches administratives des diffrents sites entre les membres de chaque service.
Chapitre IV : IIS
1. Ouvrez une session sur un serveur Windows 2003 en tant qu'Administrateur. 2. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, cliquez sur Gestionnaire des services Internet pour ouvrir le composant logiciel enfichable Services Internet. 3. Cliquez avec le bouton droit de la souris sur l'icne de votre serveur dans l'arborescence de la console, pointez sur Nouveau et, dans le menu contextuel, slectionnez Site Web pour lancer l'Assistant Cration de site Web. 4. Cliquez sur Suivant pour passer la page d'accueil et afficher la page Description du site Web. 5. Dans la zone de texte Description, saisissez le nom par lequel vous dsirez identifier le site dans l'arborescence de la console Services Internet, puis cliquez sur Suivant pour passer la page Adresse IP et port. 6. Dans la zone de liste Entrez l'adresse IP utiliser pour ce site Web, slectionnez l'adresse IP que les navigateurs clients utiliseront pour se connecter au site. Cette zone de liste contient les adresses IP que votre serveur peut utiliser, plus une option Toutes non attribues. Pour utiliser les adresses IP afin de faire la distinction entre les diffrents sites Web qui s'excutent sur votre serveur IIS, slectionnez l'une des adresses. Si vous prvoyez d'utiliser un autre mcanisme pour faire la distinction entre les sites, slectionnez Toutes non attribues. 7. Dans la zone de texte Port TCP que ce site Web doit utiliser, indiquez un numro de port pour le site. Par dfaut, HTTP utilise le port TCP 80 et tous les navigateurs utilisent automatiquement ce port lorsqu'ils se connectent un serveur Web. Pour utiliser les numros les port afin de faire la distinction entre plusieurs sites s'excutant sur un serveur, attribuez un numro un port diffrent chaque site et indiquez vos clients de spcifier le numro de port dans leur URL, par exemple : http://ServeurEntreprise:82. 8. Dans la zone de texte En-tte de l'hte pour ce site, tapez si vous le souhaitez le nom d'en-tte de l'hte que vous voulez que ce site utilise. En indiquant un nom d'en-tte de l'hte pour un site, vous pouvez faire la distinction entre plusieurs sites Web s'excutant sur le mme serveur mme s'ils utilisent tous la mme adresse IP et un seul numro de port. Par exemple, si Marketing est le nom d'en-tte de l'hte, les clients peuvent accder au site avec lURL http://Marketing. Si vous ne voulez pas utiliser les en-ttes d'htes pour faire la distinction entre vos sites, laissez cette zone vide. 9. Cliquez sur Suivant pour passer la page Rpertoire de base du site Web. 10. Dans la zone de texte Chemin d'accs, saisissez le chemin d'accs du dossier que vous voulez utiliser comme rpertoire de base du site Web. Vous pouvez indiquer un chemin d'accs contenant une lettre de lecteur, par exemple C:\Documents, ou utiliser la convention UNC (convention de dnomination universelle), par exempLe \\serveurl\Documenls. Si le chemin que vous entrez est situ sur un autre ordinateur, l'Assistant affiche la page Informations d'identification de scurit du site Web, dans laquelle vous devez entrer un nom d'utilisateur et un mot de passe permettant au serveur d'accder au dossier. Si vous souhaitez empcher les accs anonymes au nouveau site, dsactivez la case cocher Autoriser les accs anonymes ce site Web. Cliquez sur Suivant pour passer la page Autorisations d'accs au site Web. 11. Indiquez l'aide des cases cocher les autorisations vous dsirez accorder aux utilisateurs pour les fichiers du rpertoire de base. Cliquez sur Suivant pour terminer l'Assistant. 65
Administration dun Serveur Informatique 12. Cliquez sur Terminer pour crer le nouveau site Web.
Chapitre IV : IIS
Chapitre IV : IIS
Vous pouvez dfinir les proprits au niveau du site, des dossiers ou des fichiers. Les paramtres du niveau le plus lev (comme le niveau site) sont automatiquement hrits par les niveaux infrieurs (comme le niveau dossier), selon le mme schma que l'hritage des autorisations Windows 2003. Une fois que vous avez modifi une proprit sur un site, un dossier ou un fichier individuel, les ventuelles modifications ultrieures des paramtres par dfaut de l'objet parent n'craseront pas la dfinition individuelle. En revanche, vous recevrez un message d'avertissement, vous demandant si vous voulez modifier les paramtres du site, du dossier ou du fichier afin qu'ils correspondent aux nouveaux paramtres par dfaut. Les proprits d'un site s'affichent dans sa bote de dialogue Proprits, et sont stockes dans une base de donnes nomme mtabase (la version IIS du Registre). Certaines proprits ont une valeur qui prend la forme d'une liste. Par exemple, la valeur du document par dfaut peut tre une liste de documents charger quand les utilisateurs n'indiquent pas de fichier dans l'URL. Les messages d'erreur personnaliss, les autorisations de contrle d'accs TCP/IP, les mappages de scripts et les rnappages MIME (Multipurpose Internet Mail Extensions) sont d'autres exemples de proprits stockes sous forme de liste. Bien que ces listes aient plusieurs entres, IIS traite l'ensemble de la liste comme une seule proprit. Si vous modifiez une liste au niveau du dossier et que vous fassiez ensuite une modification globale au niveau du site, la liste au niveau du dossier est compltement remplace par la nouvelle liste de niveau site; les deux listes ne sont pas fusionnes. Vous accdez aux proprits principales, aux extensions serveur, la limitation de la bande passante et aux mappages MIME d'un serveur IIS partir de la bote de dialogue Proprits d'un ordinateur dans le composant logiciel enfichable Services Internet (IIS). La figure IV.6 prsente la bote de dialogue Proprits principales.
Chapitre IV : IIS
de serveur dans l'arborescence de la console et, dans le menu contextuel, slectionnez Redmarrage de ns pour afficher la bote de dialogue Arrter/Dmarrer/Redmarrer. Dans la zone de liste Quelle opration voulez-vous excuter, slectionnez Redmarrer les services Internet (IIS) sur votre serveur. Vous pouvez aussi dmarrer ou arrter tous les services IIS, ou slectionner Redmarrer pour arrter et redmarrer l'ordinateur. Remarque Mieux vaut utiliser le composant logiciel enfichable Services Internet (IIS) pour redmarrer les services IIS, plutt que l'objet Services situ sous Services et applications dans le composant logiciel enfichable Gestion de l' ordinateur. Comme plusieurs services Internet sont excuts dans le mme processus, les services Internet s'arrtent et redmarrent diffremment des autres services Windows.
Chapitre IV : IIS
rpertoire de base du site, le serveur Web le transmet automatiquement aux clients qui n'indiquent pas de nom de fichier dans leur URL. S'il n'y a aucun fichier Default.htm, le serveur cherche un fichier Default.asp. Si aucun des fichiers indiqus comme document par dfaut n'existe, le serveur renvoie au client une erreur ou le contenu du rpertoire de base, selon que le site est configur pour prendre en charge ou non l'exploration de rpertoires. L'exploration de rpertoires est dsactive par dfaut. Pour configurer les documents par dfaut d'un site Web, ouvrez la bote de dialogue Proprits du site et cliquez sur l'onglet Documents. Pour ajouter un nouveau nom de fichier la liste, cliquez sur Ajouter et entrez un nom de fichier dans la bote de dialogue Ajout d'un document par dfaut, puis cliquez sur OK. Vous pouvez aussi supprimer un fichier de la liste en le slectionnant et en cliquant sur Supprimer. Pour modifier l'ordre dans lequel le serveur recherche les documents par dfaut, utilisez les flches directionnelles vers le haut et vers le bas. Remarque Tous les produits serveur Web de Microsoft utilisent Default.htm et Default.asp comme documents par dfaut pour leurs sites Web, tandis que les serveurs UNIX utilisent gnralement index.html ou index.htm. Quand vous crez vos propres sites Web, le nom de fichier que vous utilisez comme page d'accueil est sans importance, du moment que le serveur est configur pour utiliser ce nom comme document par dfaut. L'utilisation d'un autre nom de document par dfaut que ceux accepts en standard ajoute une petite touche de scurit, dans l'ventualit o le site ne devrait pas tre publiquement disponible.
Rsum de la leon
IIS 6 est install par dfaut avec Windows 2003 Server, dans une configuration standard qui comporte un site Web par dfaut. Vous pouvez installer des composants IIS supplmentaires, comme le Serveur FTP (File Transfer Protocol), l'aide de l'outil Ajout/Suppression de programmes du Panneau de configuration. Pour crer des sites Web supplmentaires, vous utilisez l'Assistant Cration de site Web du composant logiciel enfichable Services Internet (IIS). Vous pouvez faire la distinction entre des sites en utilisant des adresses IP, des numros de port ou des en-ttes d'hte diffrents. Chaque site IIS dispose d'une bote de dialogue Proprits que vous pouvez utiliser pour configurer divers paramtres oprationnels pour le site.
69
Chapitre IV : IIS
la fin de celle leon, vous pourrez Crer un rpertoire virtuel l'aide du composant logiciel enfichable Services Internet (IIS), Crer un rpertoire virtuel en utilisant le partage Web, Rediriger une demande Web vers une autre URL.
70
Chapitre IV : IIS
2. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, cliquez sur Gestionnaire des services Internet pour ouvrir le composant logiciel enfichable Services Internet. 3. Cliquez avec le bouton droit de la souris sur l'icne d'un site Web ou d'un site FTP dans]' arborescence de la console, pointez sur Nouveau et, dans le menu contextuel, slectionnez Rpertoire virtuel pour lancer l'Assistant Cration de rpertoire virtuel. 4. Cliquez sur Suivant pour passer la page d'accueil et afficher la page Alias du rpertoire virtuel. 5. Tapez dans la zone de texte Alias le nom de rpertoire que les clients verront s'afficher. Cliquez sur Suivant pour passer la page Rpertoire de contenu du site Web. 6. Dans la zone de texte Rpertoire, tapez le chemin d'accs au dossier qui contient les fichiers que vous dsirez publier. Vous pouvez indiquer un chemin d'accs contenant une lettre de lecteur, par exemple C:\Documents, ou utiliser la convention UNC, par exemple \\serveurllDocuments. Si le chemin que vous entrez est plac sur un autre ordinateur, l'Assistant affiche la page Nom d'utilisateur et mot de passe, dans laquelle vous devez entrer un nom d'utilisateur et un mot de passe permettant au serveur d'accder au dossier. 7. Cliquez sur Suivant pour passer la page Autorisations d'accs. 8. Indiquez l'aide des cases cocher les autorisations vous voulez accorder aux utilisateurs sur les fichiers du rpertoire de base. Cliquez sur Suivant pour terminer l'Assistant. 9. Cliquez sur Terminer pour crer le rpertoire virtuel.
71
Chapitre IV : IIS
Remarque Quand vous partagez un dossier avec le partage Web, l'icne du dossier n'est pas modifie dans l'Explorateur Windows comme elle l'est quand vous crez un partage rseau. La seule faon de voir dans l'Explorateur Windows qu'un dossier est partag est de regarder l'onglet Partage Web de la bote de dialogue Proprits du dossier. Une fois celle procdure acheve, dans l'arborescence de la console Services Internet, vous voyez s'afficher les alias que vous avez crs dans le site Web, comme si ces rpertoires virtuels avaient t crs l'aide du composant logiciel enfichable.
Chapitre IV : IIS
Rsum de la leon
Un rpertoire virtuel est un moyen de mapper un dossier partag n'importe o sur le rseau un alias sur un serveur IIS, de sorte que le dossier semble faire partie d'un site Web ou d'un site FTP. Les rpertoires virtuels sont identifis par des alias, qui s'affichent comme des sousrpertoires placs sous le rpertoire de base d'un site Web ou d'un site FTP. Pour crer un rpertoire virtuel avec le composant logiciel enfichable Services Internet, vous utilisez l'Assistant Cration de rpertoire virtuel. Pour crer un rpertoire virtuel dans l'Explorateur Windows, vous utilisez l'onglet Partage Web de la bote de dialogue Proprits du dossier. La redirection de demande est une fonctionnalit des services Internet IIS qui vous permet d'expdier des demandes client d'une URL particulire vers une autre URL, ce qui peut viter que votre site Web contienne des liens hypertextes morts ou briss.
73
Chapitre IV : IIS
74
Chapitre IV : IIS
site qui requiert une protection srieuse, moins que vous ne l'utilisiez combine d'autres mcanismes de scurit. Le site Web d'administration cr par dfaut quand vous installez IIS utilise un autre numro de port pour se distinguer du site Web par dfaut et fournir un niveau de scurit relatif. IIS slectionne un numro de port au hasard lorsqu'il cre le site. Vous pouvez visualiser le numro de port en ouvrant la bote de dialogue Proprits du site et en regardant la valeur de la zone Port TCP dans l'onglet Site Web. Cette zone de texte vous permet galement de modifier le numro de port de n'importe quel site. Remarque L'Assistant Cration de site Web et l' Assistant Cration de site FTP vous permettent d'indiquer un autre numro de port pour les sites que vous crez; pour en savoir plus, reportez-vous la leon 1 de ce chapitre.
Utilisation de l'authentification
L'authentification est le mcanisme le plus courant de limitation des accs un site Web ou un site FTP. IIS prend en charge quatre types d'authentification, prsents dans les sections suivantes.
Authentification anonyme
Sur Internet, la plupart des sites Web et des sites FTP sont publics et fournissent un accs libre tous les utilisateurs. Bien que cela ne soit pas apparent quand vous vous connectez ce type de site, une authentification a lieu l'arrire-plan. Les sites IIS qui sont configurs en accs anonyme emploient un nom d'utilisateur et un mot de passe configurs sur le serveur pour fournir un accs tous les utilisateurs. Windows 2003 utilise pour cela un compte nomm IUSR_Ordinateur, o nomordinateur est remplac par le nom NetBIOS de l'ordinateur excutant IIS, et un mot de passe slectionn alatoirement. Il s'agit d'un compte spcial, conu pour fournir aux utilisateurs anonymes un accs limit aux ressources de Windows 2003. IIS active l'accs anonyme aux nouveaux sites Web que vous crez avec l'Assistant de cration de site Web par dfaut; mais vous pouvez cependant le dsactiver en effaant une case cocher lors de la cration du site. Pour contrler l'accs anonyme un site existant, procdez de la manire suivante: 1. Cliquez sur Dmarrer, et dans le groupe de programmes Outils d'administration, ouvrez la console Services Internet. 2. Cliquez avec le bouton droit de la souris sur le site Web que vous souhaitez grer, et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Scurit de rpertoire. 4. Dans la zone Accs anonyme et contrle d'authentification, cliquez sur Modifier pour ouvrir la bote de dialogue Mthodes d'authentification. 5. Slectionnez la case cocher Accs anonyme pour activer ou dsactiver l'accs anonyme au site. 6. Pour modifier le compte utilis pour l'accs anonyme, cliquez sur Modifier pour afficher la bote de dialogue Compte d'utilisateur anonyme. Remarque Il existe rarement une raison de modifier le compte utilis pour laccs anonyme, mais la console Services Internet le permet tout de mme.
75
Chapitre IV : IIS
7. Entrez un nom de compte d'utilisateur dans la zone de texte Nom d'utilisateur et, si vous le souhaitez, dsactivez la case cocher Autoriser la vrification de mot de passe par IIS et indiquez un mot de passe dans la zone de texte Mot de passe. Cliquez sur OK. Important : Si vous choisissez d'indiquer un nom d'utilisateur et un mot de passe diffrents pour l'accs anonyme, vous devez vrifier que les informations de rfrence que vous fournissez correspondent celles d'un compte existant rellement sur l'ordinateur excutant Windows 2003 ou dans le service Active Directory. 8. Cliquez sur OK pour fermer la bote de dialogue Mthodes d'authentification. 9. Cliquez sur OK pour fermer la boite de dialogue Proprit.
Authentification de base
L'authentification de base fournit plus de protection site que l'accs anonyme, mais elle engendre galement un srieux problme de scurit. Avec l'authentification de base, chaque client doit disposer d'un compte d'utilisateur sur le serveur Web, et doit fournir un nom d'utilisateur et un mot de passe pour accder au site. Le navigateur envoie ces informations d'identification, y compris le mot de passe, en texte clair au serveur Web. Cela signifie que le mot de passe est non crypt et peut tre intercept par quelqu'un excutant un analyseur de protocole, toute personne en possession du nom d'utilisateur et du mot de passe peut accder au site Web, et aussi ouvrir une session locale sur le serveur. L'avantage de l'authentification de base est qu'elle est prise en charge par tous les navigateurs s'excutant sur tous les systmes d'exploitation. L'inconvnient est, bien sr, la possibilit que les informations d'identification d'ouverture de session des utilisateurs peuvent tre compromises. Si vous activez l'authentification de base sur vos sites Web, il est important que vos utilisateurs accdent aux sites avec des comptes qui ne disposent pas d'autorisations de niveau lev, ou qu'ils utilisent un certificat de scurit pour crypter les transmissions. Par exemple, vous ne devez jamais utiliser un compte d'administrateur pour ouvrir une session sur un serveur Web avec l'authentification de base mais sans certificat, parce que ce n'est pas seulement le site Web que vous mettez en danger, mais le serveur tout entier. Pour activer l'authentification de base d'un site Web, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console Services Internet. 2. Cliquez avec le bouton droit de la souris sur le site Web que vous souhaitez grer, et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Scurit de rpertoire. 4. Dans la zone Accs anonyme et contrle d'authentification, cliquez sur Modifier pour ouvrir la bote de dialogue Mthodes d'authentification. 5. Slectionnez la case cocher Authentification de base (le mot de passe est envoy en texte clair). Un message Gestionnaire des services Internet affiche un avertissement au sujet de l'utilisation des mots de passe non crypts. 6. Cliquez sur Oui pour fermer le message. 7. Si vous dsirez que les utilisateurs s'authentifient sur un autre domaine que celui o rside le serveur, cliquez sur Modifier pour ouvrir la bote de dialogue Domaine d'authentification de base. Sinon, passez l'tape 8. 8. Tapez le nom du domaine dans lequel vous voulez authentifier les utilisateurs du site Web dans la zone de texte Nom du domaine, puis cliquez sur OK. 9. Cliquez sur OK pour fermer la bote de dialogue Mthodes d'authentification. 10. Cliquez sur OK pour fermer la bote de dialogue Proprits. 76
Chapitre IV : IIS
Authentification Digest
L'authentification Digest est fonde sur un projet de standard qui permet aux clients Web d'envoyer des informations d'identification d'ouverture de session au serveur IIS en cryptant le mot de passe. L'authentification Digest peut galement fonctionner avec un serveur proxy, contrairement l'authentification intgre de Windows. Pour utiliser l'authentification Digest avec IIS, votre configuration de serveur doit satisfaire aux exigences suivantes: Les comptes que les clients utilisent pour s'authentifier doivent tre situs dans un domaine Active Directory, pas sur un serveur autonome; l'option Enregistrer le mot de passe en utilisant un cryptage rversible doit tre active dans les proprits d'objet de chaque compte d'utilisateur. Vous configurez cette option dans l'onglet Compte de la bote de dialogue Proprits, dans la console Utilisateurs et ordinateurs Active Directory; les sites IIS doivent tre configurs pour utiliser l'authentification Digest. Pour configurer un site Web afin d'utiliser l'authentification Digest, procdez de la manire suivante: 1. Cliquez sur Dmarrer et, dans le groupe de programmes Outils d'administration, ouvrez la console Services Internet. 2. Cliquez avec le bouton droit de la souris sur le site Web que vous souhaitez grer, et, dans le menu contextuel, slectionnez Proprits pour afficher la bote de dialogue Proprits. 3. Cliquez sur l'onglet Scurit de rpertoire. 4. Dans la zone Accs anonyme et contrle d'authentification, cliquez sur Modifier pour ouvrir la bote de dialogue Mthodes d'authentification. 5. Slectionnez la case cocher Authentification Digest pour les serveurs de domaine Windows. Un message Configuration d'IIS WWW affiche un avertissement au sujet des conditions requises pour l'utilisation de l'authentification Digest. 6. Cliquez sur Oui pour fermer le message. 7. Cliquez sur OK pour fermer la bote de dialogue Mthodes d'authentification. 8. Cliquez sur OK pour fermer la bote de dialogue Proprits.
Chapitre IV : IIS
6. Cliquez sur OK pour fermer la bote de dialogue Mthodes d'authentification. 7. Cliquez sur OK pour fermer la bote de dialogue Proprits.
Chapitre IV : IIS
lecture et en criture, mais vous pouvez utiliser des autorisations IIS pour limiter un site FTP aux accs en lecture seule. Comme avec le systme de fichiers NT (NTFS), vous pouvez dfinir des autorisations n'importe quel niveau de la hirarchie de site IIS : au niveau du site, du rpertoire virtuel ou du rpertoire. Comme avec NTFS, les autorisations que vous dfinissez un niveau particulier sont hrites par les lments enfants placs en dessous de ce niveau. Pour dfinir des autorisations sur un site Web, vous ouvrez la bote de dialogue Proprits du site, du rpertoire virtuel ou du rpertoire avec lequel vous dsirez travailler. Puis vous cliquez respectivement sur l'onglet Rpertoire de base, Rpertoire virtuel ou Rpertoire. Pour dfinir des autorisations pour l'lment concern, slectionnez une ou plusieurs cases cocher parmi les suivantes: Accs la source du script. Permet aux utilisateurs d'accder au code source des scripts lorsque Lautorisation Lecture ou criture est active; Lecture. Permet aux utilisateurs de lire ou de tlcharger des fichiers ou des sous-rpertoires et leurs proprits associes; criture. Permet aux utilisateurs de tlcharger des fichiers et leurs proprits associes, ou de modifier le contenu d'un fichier activ en criture; Exploration de rpertoire. Permet aux utilisateurs d'afficher le contenu d'un rpertoire sous forme d'une liste en liens hypertextes de tous les fichiers et rpertoires qu'il contient, mais pas des rpertoires virtuels. En plus de ces autorisations, la liste droulante Excuter les autorisations vous permet de dfinir l'autorisation qui indique si les utilisateurs peuvent excuter des scripts, des scripts et des excutables, ou rien du tout.
Utilisation de SSL
Le protocole SSL vous permet de configurer vos sites IIS non seulement pour authentifier les utilisateurs, mais aussi pour crypter les donnes transfres entre les navigateurs clients et le serveur IIS. Ce protocole est gnralement utilis sur des sites Web bancaires ou de commerce lectronique, qui impliquent la transmission de donnes sensibles. Pour utiliser SSL sur vos sites IIS, vous devez d'abord obtenir un certificat de serveur, qui authentifie l'identit du serveur et contient les cls publiques utilises pour crypter les donnes transmises par le serveur. Vous pouvez vous procurer un certificat auprs de plusieurs socits tierces, comme VeriSign, ou vous pouvez en publier vousmme avec les services de certificats de Windows 2003 et l'Assistant Certificat de serveur Web dans IIS.
Rsum de la leon
L'utilisation d'un autre numro de port que 80 pour un site Web et 21 pour un site FTP fournit un peu plus de scurit. Les nouveaux sites Web IIS sont configurs pour utiliser par dfaut l'accs anonyme, qui permet n'importe quel utilisateur d'accder au site. L'authentification de base permet n'importe quel client d'accder un site Web en fournissant un nom d'utilisateur et un mot de passe, mais le mot de passe est transmis sur le rseau sous une forme non crypte (en texte clair). L'authentification Digest transmet les informations d'identification de l'utilisateur sous forme crypte et requiert que les utilisateurs possdent un compte dans un domaine Windows 2003. L'authentification intgre de Windows utilise les informations d'identification avec lesquelles l'utilisateur a ouvert une session sur l'ordinateur pour accder au site Web. SSL (Secure Sockets Layer) est un protocole de scurit qui fournit l'authentification et crypte galement les donnes transmises sur le rseau.
79
Chapitre IV : IIS
Le tableau IV.1 contient certaines des causes les plus courantes engendrant des problmes de connexion client avec IIS, ainsi que les solutions possibles. Tableau IV.1 Dpannage des problmes de connexion IIS Symptme : Les clients ne parviennent pas se connecter un site Web Cause Solution Un problme de communications Vrifiez les communications entre le client et le serveur, en rseau empche la connexion. utilisant Lutilitaire Ping pour vous connecter l'adresse IP du serveur, et en contrlant le mcanisme de rsolution de nom utilis pour rsoudre le nom d'ordinateur ou le nom DNS dans l'URL en adresse IP. Le site fonctionne avec un numro Ajoutez le numro de port correct au nom de domaine ou de port TCP autre que celui par d'ordinateur dans l'URL (par exemple, dfaut (80). http://www.microsoft.com:82). Le site Web n'est pas configur pour Activez l'accs anonyme dans la bote de dialogue Proprits du utiliser l'accs anonyme. site. Fournissez l'utilisateur les informations d'identification ncessaires pour se connecter au site avec un autre type d'authentification. Le compte d'accs anonyme est Vrifiez que: le compte utilis pour l'accs anonyme existe dans la base de incorrectement configur. donnes de comptes du serveur ou dans le service Active Directory, avec le mot de passe correct; le compte utilis pour l'accs anonyme dispose des autorisations Ouverture de session locale et Ouverture de session rseau. Le client ne possde pas de compte Si le site est configur pour n'utiliser que l'authentification Digest d'utilisateur appropri pour le type ou l'authentification intgre de Windows, le client doit possder d'authentification que le site est un compte d'utilisateur Windows 2003. Dans le cas d'une configur pour utiliser. authentification Digest, le client doit possder un compte d'utilisateur Active Directory. Le site, le rpertoire virtuel ou le Si le document par dfaut ou le fichier demand est un script ou un rpertoire contenant le fichier programme, le site, le rpertoire virtuel ou le rpertoire doit tre demand ne sont pas configurs avec configur avec l'autorisation d'excution Scripts seulement ou les autorisations correctes. Scripts et excutables, en plus de l'autorisation Lecture. Le site requiert une connexion SSL. Si le site est configur pour requrir une connexion scurise avec SSL, l'URL du navigateur doit utiliser le prfixe https://au lieu de http://. Il doit en outre comporter le numro de port SSL appropri, par exemple https://secure.microsoftcom:5000.
80
Chapitre IV : IIS
Rsum de la leon
Ne ngligez pas les lments les plus basiques lorsque vous dpannez des problmes de connexion de site Web. Vrifiez l'tat de la communication rseau et des quipements rseau matriels. Le type d'authentification que le site est configur pour utiliser est une source frquente d'checs d'ouverture de session. L'authentification Digest et l'authentification intgre de Windows requirent que tous les utilisateurs clients du Web possdent des comptes d'utilisateurs Windows 2003. Les sites qui utilisent des scripts ou des programmes doivent tre configur avec les autorisations appropries afin que les clients soient capables d'excuter ces scripts ou ces programmes. Les sites qui requirent une connexion SSL doivent prsenter le prfixe https:// et un numro de port SSL correct (qui diffre normalement du numro de port HTTP).
81