## Mission 2 : Administration et gestion des accès utilisateurs
### Introduction
Cette mission implique la consolidation des serveurs hébergés au stade et sur les sites distants. Les services tels que l'Active Directory, le DHCP, et le DNS seront optimisés et sécurisés. La sécurité des accès à Internet sera renforcée, avec une attention particulière portée à la mise en place d'une DMZ pour héberger les serveurs web accessibles depuis l'extérieur.
### Mission
StadiumCompany possède le nom de domaine stadiumcompany.com
Les principaux serveurs sont hébergés au stade au centre d'hébergement informatique. Selon les cas, certains services sont répliqués sur les sites eux-mêmes. Par exemple, les services d'annuaire Active Directory sont généralement répliqués sur le site de stade.
Le réseau de magasin et le réseau de billetterie sont tous composés de la même manière :
- X Postes pour les employés
- Le site de stade dispose d'un service Active Directory, d'un service DHCP, et d'un DNS primaire sur une machine sous Windows 2022 Server. Celle-ci permet aussi le stockage des fichiers utilisateurs. Un serveur RSync et DNS Secondaire sous Windows serveur 2022 et Linux Debian.
**Annuaire du site de stade :**
Les utilisateurs sont authentifiés via le serveur Active Directory du
domaine stadiumcompany.local. Il est configuré en regroupant les utilisateurs par service.
**Les UO suivantes sont présentes sur le serveur :**
Administrateur, Equipe, Restaurant, Fournisseur,VIP-Presse, WIFI et Camara-IP
Chaque UO contient les utilisateurs du service concerné, un groupe d'utilisateurs dont le nom est au format G_xxxx où xxxx=le nom du service, un groupe regroupant les utilisateurs avec pouvoir du service GP_Admin (directeurs et responsables notamment) et une GPO permettant d'imposer des contraintes d'utilisation et d'habilitations sur les machines du réseau.
**Extrait d'une GPO :**
Service équipes **→** gpo_equipes
- L’accès au panneau de configuration, aux paramètres réseau est interdit
- Un script de démarrage Equipesstart.bat permet la connexion des lecteurs réseaux accédant aux dossiers partagés.
- Les utilisateurs démarrent avec un bureau imposé (barre de menu, fond d’écran...)
Les utilisateurs ont des logins construits sur la base suivante - pnom – p=première lettre du prénom et nom=nom de famille. S’il y a homonymie un chiffre de 1 à 10 sera ajouté.
Chaque utilisateur possède un dossier personnel et un profil centralisé.
Une stratégie de complexité des mots de passe est définie au niveau domaine.
**Service DNS :**
Les serveurs DNS sont configurés pour résoudre la zone directe stadiumcompany.local et la zone inverse du 172.20.1.x/24
Les deux serveurs DNS sont hébergé sur une machine Windows 2022 Server et le
**Service DHCP :**
Une plage est définie sur le 172.20.0.x/24 avec des options de routeur renvoyant vers la passerelle/pare-feu. Les serveurs DNS sont aussi transmis via les options DHCP.
### Réalisation de la mission
**Mise en place du service d'annuaire Active Directory**
**preérequis :**
1. Vmware workstation
2. 2 Go de Ram
3. 30 Go HDD
4. Une carte en Lan avec comme nom Administration
**Configuration de la machine sur vmware**
Créer votre machine virtuel dans Vmware de façon habituel.
Une fois la machine créer rendez vous dasn les settings de la VM et cliquer sur Network adaptater pour changer les configuration réseau de la VM. placer la en LAN et choisissez le LAN Administration (qu'il faut créer auparavant).
Cliquez sur Edit virtual machine settings
Cliquez sur Network Adaptater pour changer les paramètre de la carte réseau LAN segment et cliquez sur le boutton LAN segments pour créer des nouveau LAN.
ajoutez les LAN suivant :
Choisissez le LAN Administration pour la VM :
Validez en cliquant sur OK.
Indiquez maintenant l'image ISO sur laquel la VM doit démarrer. Toujours dans les settings cliquez sur CD/DVD(SATA) et choisissez Use ISOP image file et cliquez sur browse pour aller chercher l'image ISO de Windows seerveur 2022 sur votre machine.
Validez et puis sorter pour aller démarrer la VM.
Une fois la VM démarrer installer Windows serveur 2022 en suivant l'assistant d'installation.
Une fois l'installation terminer nous allons configurer les paramètres réseau.
maintenant nous allons modifier le nom de notre serveur :
Pour débuter l'installation , nous devons d'abord ajouter un rôle. Pour cela se rendre dans "Gestionnaire de Serveur" et accéder à l'option "Ajouter des Rôles". Ensuite, nous sélectionnons "Services de domaine Active Directory". Nous procédons ensuite à l'installation et ajoutons les fonctionnalités qui nous manquent, comme suggéré par l'assistant d'installation.
Sélectionner la case Service AD DS
Ensuite suivre l'assistant d'installation et cliquer sur installer pour installer le rôle.
Retourner dans "Gestionnaire de Serveur" et accéder à l'option "Ajouter des Rôles". Ensuite, nous sélectionnons "Service DNS".
Cliquer maintenant sur l'alerte en haut à droite de l'écran (sur le drapeau avec un point d'exclamation) et cliquer sur "Promouvoir ce serveur en contrôleur de domaine".
Sélectionnez ajouter une nouvelle forêt, le nom de domaine est stadiumcompany.local
Indiquez le mot de passe du domaine. Le mot de passe sera Bts2024@
Passer l’option DNS car le rôle a déjà été installer et faire suivant.
Confirmer le nom NetBIOS et faire suivant.
Garder le chemin d’accès par défauts et faire suivant.
Confirmer la sélection et faire suivant :
une fois la vérification de la configuration requise terminé et que vous n'avez aucune erreur vous pouvez lancer l'installation.
Une fois l'installation terminé vous pouvez fermer l’Assistance du domaine Active Directory ce qui redémarre la machine.
**Configuration du DNS**
Vérifications de zones de recherche directe :
* Rendez vous dans Gestionnaire de serveur **-->** Outils **-->** DNS.
Rendez vous maintenant dans DNS **-->** DC1 **-->** Zones de recherches directes et Vérifier que la zone stadiumcompany.com a bien été créé.
**Création de la zone inversé**
Les zones directes et inversées dans le service DNS sont des concepts clés pour la résolution des noms de domaine.
**Zone Directe :** Une zone directe dans le service DNS associe les noms de domaine aux adresses IP. Elle permet de traduire les noms de domaine (comme www.example.com) en adresses IP (comme 192.0.2.1). Les enregistrements A (ou AAAA pour IPv6) sont utilisés pour associer les noms de domaine à leurs adresses IP dans une zone directe.
**Zone Inversée :** Une zone inversée dans le service DNS fait l'inverse des zones directes. Elle permet de traduire les adresses IP en noms de domaine. Par exemple, elle associe une adresse IP (comme 192.0.2.1) à un nom de domaine (comme www.example.com). Les enregistrements PTR (Pointer) sont utilisés pour associer les adresses IP à leurs noms de domaine dans une zone inversée.
En résumé, les zones directes permettent de traduire les noms de domaine en adresses IP, tandis que les zones inversées permettent de traduire les adresses IP en noms de domaine. Ces deux types de zones sont essentiels pour le bon fonctionnement du système de noms de domaine (DNS).
Pour créer une nouvelle zone inversé faite clic droit sur Zones de recherche inversée **-->** Nouvelle zones…
Passer l’intro de la création de la nouvelle zone, faire suivant.
Sélectionner « Zone principale », faire suivant.
Sélectionner « Vers tous les serveurs DNS exécutés sur des contrôleurs de domaine dans ce domaine : stadiumcompany.com », faire suivant.
Sélectionner « Zone de recherche inversée IPv4 », puis suivant.
Sélectionné « L’ID réseau 172.20.1.X »
Sélectionner « N’autoriser que les mises à jour dynamiques sécurisées », faire suivant.
Finaliser la création de la nouvelle zone, faire terminer.
### Configuration des outils d’Active Directory
**Création des unités d’organisation et groupes**
Sur le gestionnaire de serveur **-->** Outils **-->** Cliquer sur Utilisateurs et ordinateurs Active Directory.
Dans Utilisateurs et ordinateurs Active Directory **-->** Domaine (stadiumcompany.local) **-->** Clic droit **-->** Nouveau **-->** Unité d’organisation.
Création des UO services (Administration, Equipe, Wifi, Caméra-IP, VIP-Presse, Fournisseurs et Restaurant).
Une fois les unités d’organisation créées, il faut créer un groupe dans chacune d’elle dont le nom est au format G_xxxx où xxxx=le nom du service.
**Installation et configuration du service DHCP**
Dans le Gestionnaire de serveur, cliquez sur "Gérer" dans le coin supérieur droit, puis sélectionnez "Ajouter des rôles et fonctionnalités". Cela ouvrira l'Assistant Ajout de rôles et de fonctionnalités.
Sélectionnez "Installation basée sur un rôle ou une fonctionnalité" et cliquez sur "Suivant".
Choisissez le serveur sur lequel vous souhaitez installer le service DHCP. Assurez-vous que le bon serveur est sélectionné, puis cliquez sur "Suivant".
**Sélection du rôle :** Dans la liste des rôles, cochez la case à côté de "Service DHCP", puis cliquez sur "Suivant".
**Confirmation de l'installation :** Lisez les informations sur le rôle DHCP, puis cliquez sur "Suivant" pour passer à l'écran de confirmation.
Installation du rôle : Cliquez sur "Installer" pour lancer l'installation du service DHCP. L'assistant affichera la progression de l'installation.
**Validation de l'installation :** Une fois l'installation terminée, vous verrez un écran vous indiquant que l'installation du rôle DHCP est terminée avec succès. Cliquez sur "Fermer" pour quitter l'assistant.
**Configuration du service DHCP :** Après l'installation, vous devez configurer le service DHCP en définissant les paramètres réseau, les plages d'adresses IP disponibles, les options de configuration, etc. Cela se fait via l'outil "DHCP" dans le Gestionnaire de serveur.
L'assistant de configuration de post-installation DHCP nous affiche les differentes étapes de la configuration du service DHCP. Cliquer sur suivant :
Spécifiez les informations d'identification à utiliser pour autoriser le serveur DHCP dans les services AD DS.
Résumé des étapes de configuration du service DHCP; Cliquez sur Fermer pour terminer la configuration.
**Configuration des étendu DHCP**
rendez vous à Gestionnaire de serveur **-->** Outils **-->** DHCP
Dérouler DHCP **-->** dc1.stadiumcompany.local **-->** Clic droit IPv4 **-->** Nouvelle étendue…
Renseigner le nom et la description du nom de l'étendu.
Renseigner les paramètre de configuration IP souhaiter. Ici nous demandons au serveur DHCP de distribuer des adresses IP automatique sur plage d'adresse allant de 172.20.1.50 jusqu'à 172.20.1.100.
Pour rappel le plan d'adressage de stadium company est le suivant :
|Service|User|Vlan|Réseau|MSR|1<sup>ère</sup>adresse|Dern. adresse|Broadcast|
| ---- | ---- | --- | --- | --- | --- | --- | --- |
|Administration|250|10|1.0|/24|0.1|0.254|0.255|
|Equipes|164|20|2.0|/24|2.1|2.254|2.255|
|VIP Presse|70|30|3.0|/24|3.1|3.254|3.255|
|Fournisseur|46|40|4.0|/26|4.1|4.62|4.63|
|Restaurant|18|50|4.64|/27|4.65|4.94|4.95|
|WIFI|126|100|5.0|/24|5.1|5.254|5.255|
|Caméra IP|80|200|6.0|/24|6.1|6.254|6.255|
|SD1 Billetterie|2|x|0.248|/30|0.249|0.250|0.251|
|SD2 Magasin|2|x|0.252|/30|0.253|0.254|0.255|
Ici l'ssitant de configuration nous demande si l'on souhaite exclure des adresses. Dans notre cas nous n'excluons pas d'adresse du pool donc faites suivant pour continuer.
Ensuite est demander la durée du bail qui correspond à la durée pendant laquelle un client peut utiliser adresse IP de cette étendu. Faites suivant pour laisser par défaut la proposition d'un bail de 8 jours.
L'assistant d'installation nous demande ensuite si l'on souhaite configurer les options DHCP pour cette étendu. Cochez Oui, je veux configurer ces options mainteant et faites suivant.
renseignez l'adresse de la passerelle par défaut de votre étendu, cliquer sur ajouter une fois l'adresse indiquer et faites suivant:
renseigner le domaine et l'adresse du serveur DNS à indiquer aux client.
Ils vous est demander d'entrer l'adresse IP d'un serveur WINS. Faites simplement suivant pour ignorer ceci.
L'assistant de configuration vous demande si l'étendu doit être activer maintenant. Répondez oui et faites suivant.
Terminer la configuration :
La liste des différents étendu à configurer :
### Configuration des stratégies de groupe
**Forcer le fond d’écran (GPO)**
Pour commencer nous allons créer un dossier qui sera partagé avec tous les ordinateurs de l’Active Directory en lecture seule.
Aller sur ordinateur sur le Deuxième disque (Partages E pour moi).
Sur ce disque créer un nouveau dossier que vous aller nommer Background et glisser l'image que vous souhaiter utiliser comme fond d'écran pour vos utilisateurs.
maintenant nous allons faire clic droit sur le dossier Background **-->** Propriétés.
Dans l’onglet partage **-->** Partage avancé **-->** Cocher « Partager ce dossier » et aller sur Autorisations **-->** Supprimer le groupe Tout le monde.
Cliquer sur Ajouter…
Ajouter : « Ordinateurs du domaine ; Admins du domaine ; Administrateurs ; Système »
**Ajouter les Autorisation : **
* Contrôle total pour Admins du domaine
* Modification pour Administrateurs
* Lecture pour Ordinateurs du domaine et Système
**Création d’un paramètre pour copier le fichier sur l’ordinateur.**
Ainsi l’ordinateur récupèrera le fond d’écran directement en local ce qui empêcheras les ordinateurs de récupérer l’image depuis l’AD à chaque démarrage, pouvant entrainer un temps de traitement supplémentaire.
Se rendre donc dans Gestionnaire de serveur Outils **-->** Gestion des stratégies de groupe.
Gestion de Stratégie de groupe **-->** Forêt : stadiumcompany.com **-->** Domaines **-->** Stadiumcompany.local **-->** Créer un objet GPO dans ce domaine, et le lier ici…
Nommer la GPO (Copier et déployer le fond d’écran).
Clic droit sur la GPO Copier et déployer le fond d’écran à Modifier…
Déplier Stratégie Copier et déployer le fond d’écran **-->** Configuration ordinateur **-->** Préférences **-->** Paramètres Windows **-->** Fichiers **-->** Clic droit **-->** Nouveau **-->** Fichier
Action à Créer (puisque ce fichier n’existe pas)
Fichier(s) source à Z:\Fond d’écran\Fonf.png
Fichier de destination à C:\windows\Web\Wallpaper\StadiumCompany\background.png
Aller à l'onglet Commun **-->** Appliquer une fois et ne pas réappliquer
Retrouner à Stratégie Copier et déployer le fond d’écran **-->** Configuration utilisateur **-->** Stratégies **-->** Modèles d’administration **-->** Bureau **-->** Bureau **-->** Papier peint du Bureau.
Activé et renseigner le chemin (C:\windows\Web\Wallpaper\StadiumCompany\background.png)
Revenez au panneau de Gestion de stratégie de Groupe et appliquer la GPO (clic droit sur Copier et déployer le fond d’écran à Appliqué.
**Création d’un script de démarrage permettant aux utilisateurs une connexion aux dossiers partagés**
Sur le deuxième disque dur nous allons créer un dossier qui sera partagé avec tous les utilisateurs en lecture.
Aller sur ordinateur à Deuxième disque (Partages E pour moi).
Clic droit **-->** Nouveau **-->** Dossier **-->** Nommer le (Map) Clic droit sur le dossier Map **-->** Propriétés.
Dans l’onglet partage à Partage avancé… Cocher Partager ce dossier et aller sur Autorisations à Supprimer Tout le monde.
Aller sur Ajouter…
Ajouter : Admins du domaine ; Administrateurs ; Système ; Utilisateurs
**Ajouter les Autorisation :**
* Contrôle total pour Admins du domaine
* Modification pour Administrateurs
* Lecture pour Utilisateurs et Système
Rendez vous dans Gestionnaire de serveur **-->** Outils **-->** Gestion des stratégies de groupe.
Gestion de Stratégie de groupe **-->** Forêt : stadiumcompany.local **-->** Domaines **-->** Stadiumcompany.local **-->** Créer un objet GPO dans ce domaine, et le lier ici…
Nommer la GPO (Partage Map).
Clic droit sur la GPO Copier et déployer le fond d’écran à Modifier…
Aller à Configuration utilisateur **-->** Préférences **-->** Paramètres Windows à Mappages de lecteurs **-->** Clic droit **-->** Nouveau **-->** Lecteur Mappé.
* Action à Mettre à jour
* Emplacement à \\HERMES\Map
* Libeller à Map
* Lettre de lecteur à M
* Afficher ce lecteur et Afficher tous les lecteurs
Fermer et retourner sur la console de gestion des Startégie de Groupe pour appliquer la GPO (clic droit sur Partage Map) à Appliqué.
Pour prendre en compte la GPO ouvrez un Powershell et taper la commande suivante pour mettre à jour les GPO:
```powershell=
gpupdate /force
```
Le lecteur Map (M :) est maintenant bien présent dans ordinateur.
**Empêcher l’accès au panneau de configuration**
Pour interdire l'accès au panneau de configuration aux utilisateurs non admin rendez vous dans Gestionnaire de serveur **-->** Outils **-->** Gestion des stratégies de groupe.
Gestion de Stratégie de groupe à Forêt : stadiumcompany.com **-->** Domaines **-->** Stadiumcompany.com **-->** Equipes **-->** Créer un objet GPO dans ce domaine, et le lier ici…
Nommer la GPO (Empêcher l'accès au panneau de configuration).
Clic droit sur la GPO Empêcher l'accès au panneau de configuration à Modifier…
Rendez vous à Stratégie Empêcher l’accès au panneau de configuration **-->** Configuration utilisateurs **-->** stratégies **-->** Modèles d’administration **-->** Panneau de configuration **-->** Interdire l’accès au Panneau de configuration et à l’application paramètre du PC.
Activé et Appliquer
Appliquer la GPO (clic droit sur Empêcher l’accès au panneau de configuration) à Appliqué
### Vérification du fonction des configuration
**Vérifier le fonctionnement du DHCP**
* Créer une VM cliente Windows 10 qui aura comme carte LAN (Administration).
* Configurer la avec une IP attribué automatiquement par DHCP
* Vérifier qu'elle récupère bien une adresse IP
* Intégrer Le poste au domaine
* Mettre à jour les GPO et vérifier qu'elle sont bien appliqué
**Vérifier que la VM cliente récupère bien une adresse IP**
**Intégrer Le poste au domaine**
Pour intégrer le poste client au domaine il faut dans un premier temps changer le nom de la machine pour lui donner un nom plus significatif (ici ça sera la machine de Jhon Doe donc on va appeler ce poste JDOE)
Pour cela faire clique droit sur le bouton démarrer **-->** Système **-->** Renommer ce PC.
Lorsque vous changez le nom du cposte il vous demande de redémarrer le poste. Faite le.
Une fois que le poste à redémarrer faites de nouveau clique droit sur le menu démarrer **-->** Système **-->** paramètre avancé du système **-->** Nom de l'ordinateur **-->** Modifier.
Cliquer sur modifier et choisissez Membre d'un Domaine et entrer le nom de domaine stadiumcompany.local
Entrer le nom d'utilisateur et le mot de passe d'un utilisateur administrateur sur le domaine.
Un message de bienvenu dans le domaine s'affiche. Votre poste est bien intégré au domaine.
On peut voir que la GPO de montage du lecteur est bien appliqué sur le client.
### Intégrer nos VM à notre infrastructure GNS3
Nos machines virtuelle fonctionne et nus avons réussi à distribué une IP automatiquement à notre poste client, à l'intégrer dans le domaine et appliqué dessus nos GPO. Maintenant nous allons voir comment intégrer ces VM dans GNS3.
Pour intégrer nos VM à notre infrastructure sur GNS3 nous allons nous rendre sur GNS3 dans Edit **-->** Préférences **-->** VMware VMs **-->** New
cliquez sur Next
Dans le menu déroulant VM list chosissez la VM que vous souhaitez importer dasn GNS3, ici nous voulons importer le serveur DC1 et le client W10.
Et pour finir cliquer sur Finish.
Faite la même chose pour importer la VM client Windows 10.
Une fois cela ait vous pouvez retrouver les deux VMs importer dans le panneau latéral de gauche dasn GNS3 les deux VMs ajouter dasn la catégories Browse End Devices
Nous allons donc ajouter le DC1 sur le switch COMM1 dans le vlan Administration (port G1/1) et le client dans le vlan Equipe (port G1/2) et voir si il reçoit une adresse IP du serveur DHCP.
A ce stade vous pouvez ajouter les VMs DC1 et CLIENT1 à l'infrastructure réseau. Cependant vous riquez d'avoir l'erreur suivante :
```sql=
No VMnet interface available between vmnet2 and vmnet19. Go to preferences VMware / Network / Configure to add more interfaces.
No VMnet interface available between vmnet2 and vmnet19. Go to preferences VMware / Network / Configure to add more interfaces.
```
cela est dû au fait que des carte vmnet sont manquante.
Pour cela rendez dans Eddit Préférences VMware Advanced local Settings et cliquer sur configure pour que GNS3 configure les carte réseau
Une fois terminer vous pouvez start la VM dans GNS3 ce qui aura pour effet de démarrer la VM dans VMware aussi.
maintenant voyons si notre client à pu récupérer une adresse IP automatiquement via le DHCP.
Sur la machine CLIENT1 on lance powershell et voyons si nous avons une adresse IP qui nous est attribué.
Nous reamarquons que le DHCP n'a pas fournis d'adresse au client mais qu'à la place nous avons une adresse 169.254.x.x avec un masque 255.255.0.0.
Cela s'appel une adresse APIPA lorsqu'un poste n'arrive pas à récupérer une adresse IP de façons automatique (dhcp) ou manuellement le système lui attribue automatiquement une adresse dans le 16.254.0.0/16.
:::warning
Pourquoi nous n'avons pas d'adresse IP Alors que nous avions réussi à en avoir une lorsque l'on était uniquement sur Vmware ?
:::
:::info
Très bonne question !
:::
Ici nous ne récupèrons pas une adresse automatiquement car cela est dû au fonctionnement du protocole DHCP.
Lorsque vous avez un réseau avec plusieurs sous-réseaux et qu'un serveur DHCP est situé sur un sous-réseau différent de celui des clients qui doivent obtenir une adresse IP (dans notre Vlan administration et Vlan Equipes), les requêtes DHCP des client qui sont en broadcast ne peuvent pas atteindre le sous réseau du serveur car le routeur se charge de bloquer toute requête broadcast sur une de ces interfaces.
Pour autorisé les requêtes/réponse DHCP (broadcast) à traverser une interface d'un routeur vers une autre et vers un serveur DHCP précisément nous pouvons utilisé la commande `ip helper-address` pour permettre aux demandes DHCP provenant des clients d'atteindre le serveur DHCP situé sur un autre sous-réseau.
Le routeur (ou le commutateur) sur le sous-réseau des clients sera configuré avec la commande `ip helper-address` pour spécifier l'adresse IP du serveur DHCP. Lorsqu'un client envoie une demande DHCP, le routeur intercepte cette demande et la redirige vers le serveur DHCP en utilisant la commande `ip helper-address`
**Configuration du routeur R-Stade**
Comme les différentes interface de notre réseau local se trouve sur le routeur R-Stade, nous allons le configurer sur chacune de ces interface en lui indiquant l'adresse du serveur DHCP. Pour cela nous utiliserons la commande `ip helper-address`
```cisco=
R-Stade(config)#int GigabitEthernet0/0.20
R-Stade(config-subif)#ip helper-address 172.20.1.2
```
Une fois cela réaliser sur le routeur nous allons nous rendre sur le CLIENT1 et demander un renouvellement d'adresse.
On peux vérifier l'adresse du serveur DHCP et aussi vois si nou snous touvons bien dans le domaine avec la commande `ipconfig /all` sur le client.
Nous pouvons maintenant faire de même pour les autre interface (vlan) du routeur
```cisco=
R-Stade(config)#int GigabitEthernet0/0.30
R-Stade(config-subif)#ip helper-address 172.20.1.2
R-Stade(config-subif)#int GigabitEthernet0/0.40
R-Stade(config-subif)#ip helper-address 172.20.1.2
R-Stade(config-subif)#int GigabitEthernet0/0.50
R-Stade(config-subif)#ip helper-address 172.20.1.2
R-Stade(config-subif)#int GigabitEthernet0/0.100
R-Stade(config-subif)#ip helper-address 172.20.1.2
R-Stade(config-subif)#int GigabitEthernet0/0.200
R-Stade(config-subif)#ip helper-address 172.20.1.2
```
Chaque sous réseau (vlan) de notre infrastructure réseau est maintenant en mesure de recevoir une adresse IP automatique de la part du serveur DHCP.
## La redondance des services
Dans le cadre de cette mission, nous abordons un aspect essentiel de la fiabilité et de la disponibilité des services réseau : la redondance. La redondance des services est une stratégie visant à garantir la continuité des opérations et à minimiser les interruptions potentielles en cas de défaillance d'un composant critique du réseau.
Dans ce chapitre, nous allons nous concentrer sur la mise en place d'une redondance pour les trois services clés que nous vennons de mettre en oeuvre, à savoir : le DHCP (Dynamic Host Configuration Protocol), le DNS (Domain Name System) et Active Directory.
**Le DHCP**
Le DHCP est chargé d'attribuer automatiquement des adresses IP et des paramètres de configuration réseau aux périphériques clients.
**Le DNS**
Le DNS, quant à lui, est responsable de la résolution des noms de domaine en adresses IP, permettant ainsi aux utilisateurs d'accéder aux ressources réseau via des noms conviviaux.
**Active Dyrectory**
Active Directory est le service d'annuaire centralisé qui stocke les informations sur les utilisateurs, les groupes, les ordinateurs et d'autres objets du réseau, facilitant la gestion des ressources et des autorisations.
La redondance de ces services revêt une importance cruciale pour assurer la continuité des activités de StadiumCompany. En mettant en place des mécanismes de redondance, nous nous assurons que ces services critiques restent disponibles même en cas de défaillance matérielle, de pannes logicielles ou d'autres événements imprévus.
Nous explorerons donc les différentes stratégies et technologies utilisées pour établir la redondance des services DHCP, DNS et Active Directory. Nous examinerons les architectures, les configurations et les bonnes pratiques nécessaires pour garantir une redondance efficace et fiable, tout en assurant la stabilité et la sécurité du réseau StadiumCompany.
En mettant en œuvre une redondance des services DHCP, DNS et Active Directory, nous renforçons l'infrastructure réseau de StadiumCompany, offrant ainsi une expérience utilisateur optimale et une continuité opérationnelle ininterrompue, même face aux défis les plus complexes et aux incidents les plus critiques.
### Redondance du service DHCP
La redondance du service DHCP représente un aspect crucial de l'infrastructure réseau. Le DHCP, ou Dynamic Host Configuration Protocol, est un protocole essentiel pour la gestion automatique des adresses IP et des configurations réseau au sein d'un environnement informatique. Cependant, la défaillance d'un serveur DHCP unique peut entraîner une interruption du service et perturber les opérations normales de l'entreprise.
La redondance du service DHCP vise à pallier cette vulnérabilité en mettant en place des mécanismes de sauvegarde et de disponibilité élevée pour le service DHCP. Cette redondance permet de garantir la continuité des opérations réseau même en cas de défaillance d'un serveur DHCP principal.
C'est pourquoi afin de mettre en place une infrastructure sécurisé et résilliant au sein de stadiumcompany, nous avons décidé de redondé le service DHCP de l'entreprise.
Pour cela nous allons donc créer une nouvelle VM Windows Serveur 2022 que nous appelerons sentinel. Ce serveur ce chargera de la redondance des trois service mentionné plus haut.
**Prérequis**
1. VM Windows serveur
2. 2G de RAM
3. Une carte réseau en custom : Specific virtual Network
4. Le serveur doit être intégrer au domaine
La carte réseau Custom de la VM dans VMware doit être identique à celle du DC-1 car faisant toute les deux partie du réseau Administration.
la configuration de base du serveur est la suivante :
Maintenant nous allons installer le service DHCP.
On sélectionne le rôle Serveur DHCP
On coche la case Redémarrer automatiquement et oon clique sur installer :
Une fois cela fait nous allons terminer la configuration post-deploiement
Ensuite nous allons autoriser le serveur dans les services AD DS
Cliquer sur Terminer
une fois le service DHCP installer sur le serveur Sentinel, nous allons nous rendre sur le serveur DC-1 **-->** Outils **-->** DHCP **-->** IPv4 et nous allons configurer un basculement
Choisir le serveur partenaire sur lequel sera configurer le basculement.
Nous allons maintenant choisir les configurations de la relation du basculement.
**Quelques explication s'impose**
**Nom de la relation :** Choisissez un nom pour la relation entre les deux serveurs, ce nom est réutilisable pour d'autres relations.
**MCLT (Maximum Client Lead Time) :** Ce paramètre spécifie la durée pendant laquelle un bail DHCP peut être renouvelé par l'un des partenaires de basculement sans contacter l'autre partenaire. Il joue également un rôle crucial en spécifiant la durée pendant laquelle le serveur actif restera dans l'état "partenaire en panne" avant de prendre le contrôle complet de la plage d'adresses IP de l'étendue, garantissant ainsi une continuité de service en cas de panne prolongée.
**Mode :** Nous choisissons le mode "Équilibrage de charge" où les deux serveurs sont actifs. Nous devons définir le pourcentage de cet équilibrage, par exemple 50/50 ou 70/30. Cette valeur correspond au pourcentage d'adresses IP de la plage de l'étendue que chaque serveur doit gérer.
**Mode "Serveur de secours" :** Ce mode met en place une configuration actif/passif. Le mode "Veille" assure que le serveur passif distribuera des adresses IP uniquement lorsque le partenaire sera hors service.
**Intervalle de basculement d'état :** Cette option indique au bout de combien de temps le partenaire est considéré hors service si la communication est perdue. Si cette option n'est pas activée, le serveur DHCP considérera que la communication est interrompue sans connaître la raison, et deviendra actif pour assurer la continuité sans délai.
**Activation de l'authentification du message **: Un "Secret partagé" complexe doit être saisi pour chiffrer les échanges entre les serveurs DHCP du cluster, assurant ainsi que la synchronisation de la configuration ne transite pas en clair sur le réseau.
On peut voir que les étendus DHCP on bien été recopié sur le serveur secondaire :
Maintenant sur le routeur R-Stade nous devons configurer le relay DHCP comme précédent en ajoutant l'adresse du second serveur DHCP.
```cisco=
R-Stade(config)#int GigabitEthernet0/0.30
R-Stade(config-subif)#ip helper-address 172.20.1.3
R-Stade(config-subif)#int GigabitEthernet0/0.40
R-Stade(config-subif)#ip helper-address 172.20.1.3
R-Stade(config-subif)#int GigabitEthernet0/0.50
R-Stade(config-subif)#ip helper-address 172.20.1.3
R-Stade(config-subif)#int GigabitEthernet0/0.100
R-Stade(config-subif)#ip helper-address 172.20.1.3
R-Stade(config-subif)#int GigabitEthernet0/0.200
R-Stade(config-subif)#ip helper-address 172.20.1.3
```
**Vérification du basculement DHCP**
Pour vérifier le bon fonctionnement de notre redondance DHCP nous allons éteindre le serveur DHCP principal DC-1 et demander un nouveau bail DHCP et voir si notre client reçoit une adresse IP et quel est le serveur qui lui fournit cette adresse.
**Renouvellement du bail DHCP**
**Vérification du serveur DHCP**
Nous allons vérifier quel est le serveur qui fournit l'adresse IP à notre client grâce à la commande `ipconfig /all`.
On peut voir que le serveur ayant fournit l'adresse IP est bien le serveur secondaire 172.20.1.3.
### Redondance du service DNS
Dans le cadre de la gestion d'un réseau informatique, la disponibilité et la fiabilité des services DNS (Domain Name System) sont d'une importance capitale. Le DNS est responsable de la résolution des noms de domaine en adresses IP, facilitant ainsi l'accès aux ressources réseau et Internet.
Pour garantir une continuité de service et minimiser les interruptions potentielles, la mise en place d'un DNS secondaire, également connu sous le nom de DNS redondant, est une stratégie incontournable. Le DNS secondaire agit comme un relais ou une sauvegarde du DNS principal, assurant ainsi une disponibilité continue des services DNS en cas de défaillance du serveur DNS principal.
Dans cette optique, nous souhaitosn mettre en lumière les principaux avantages et objectifs de la mise en place d'un DNS secondaire :
**Redondance et Disponibilité :** La configuration d'un DNS secondaire permet d'assurer une redondance et une disponibilité accrues des services DNS. En cas de panne ou de maintenance du serveur DNS principal, le DNS secondaire prend le relais pour assurer la résolution des noms de domaine et maintenir la connectivité réseau.
**Répartition de la Charge :** En répartissant la charge entre le DNS principal et le DNS secondaire, la mise en place d'un DNS secondaire permet de réduire la charge de travail sur chaque serveur DNS, optimisant ainsi les performances et la réactivité du système.
**Résilience et Tolérance aux Pannes :** La présence d'un DNS secondaire renforce la résilience de l'infrastructure DNS en offrant une protection contre les pannes matérielles, les pannes logicielles et autres événements imprévus susceptibles d'interrompre les services DNS.
**Synchronisation et Cohérence :** Les serveurs DNS secondaires se synchronisent régulièrement avec le serveur DNS principal pour garantir la cohérence des données. Cette synchronisation assure que toutes les mises à jour et modifications apportées au DNS principal sont répliquées de manière fiable sur le DNS secondaire.
En somme, la mise en place d'un DNS secondaire représente une stratégie proactive pour renforcer la disponibilité, la fiabilité et la résilience des services DNS au sein d'un réseau informatique. Nous explorerons donc les étapes concrètes pour configurer et maintenir efficacement un DNS secondaire, tout en assurant une gestion optimale de l'infrastructure DNS de l'organisation.
**Installation du DNS Secondaire**
Nous allons installer notre DNS secondaire sur notre serveur sentinel
**Prérequis**
1. **Mettre une adresse IP statique**
2. **Nom Machine : Sentinel**
1. **Rôles : DNS / DHCP**
1. **Adresse IP : 172.20.1.3**
1. **Masque de sous-réseau : 255.255.255.0**
1. **Passerelle par défaut : 172.20.1.254**
1. **Serveur DNS préféré : 172.20.0.2**
**Installation du rôle DNS**
Depuis le Gestionnaire de serveur, cliquer sur gérer puis «Ajouter des rôles et des fonctionnalités»
Sur l’Assistant Ajout de rôles et de fonctionnalités, passer l’introduction avec suivant.
Sélectionné le type d’installation basée sur un rôle ou une fonctionnalité. Sélectionner le serveur Sentinel pour installer les rôles et suivant.
Sélectionner les rôles DNS puis suivant.
Ne pas sélectionner de fonctionnalités et suivant.
Passer les explications du DNS et suivant.
Confirmer l’installation en cliquant sur installer.
Fermer la fenêtre d’Assistant Ajout de rôles et de fonctionnalités.
Apres l’installation du service DNS, un répertoire Dns va être créer dans `c:\windows\system32`, ce répertoire va stoker les bases DNS ainsi que le fichier cache qui répertorié les 13 serveur root
### Configuration DNS
**Creation de la zone de recherche directe :**
Gestionnaire de serveur à Outils à DNS.
**Nouvelle Zone Directe :**
Clic droit sur Zones de recherche directe à Nouvelle zones…
Indiquez Zone secondaire comme type de zone dns
Indiquez stadiumcompany.local comme nom de la zone dns
Indiquez l’adresse ip du serveur maitre (DC-1)
Cliquez sur terminer pour finir la création de la zone direct:
Nous allons nous rendre sur le serveur DNS maître afin de lui indiquer les serveur de nom secondaire à notifier et vers lesquels transférer les enregistrement de la zone DNS en question.
**Autorisation des transfer de zone**
**Spécification des serveurs à notifier**
On peut maintenant voir que la zone de recherche direct est mise à jour sur le serveur secondaire.
Une fois le suffixe dns renseigné redémarrer la machine, vous vérifiez l’existence de l’enregistrement de type A
**Nouvelle Zone inversé :**
Clic droit sur Zones de recherche inversée à Nouvelle zones…
Sélectionner « Zone secondaire », faire suivant.
Sélectionner « Zone de recherche inversée IPv4 », puis suivant.
Sélectionné « L’ID réseau 172.20.1.X »
indiquez l'adresse IP du serveur DNS primaire depuis lequel copier la zone.
Finaliser la création de la nouvelle zone, faire terminer.
Nous allons nous rendre sur le serveur DNS maître afin de lui indiquer les serveur de nom secondaire à notifier et vers lesquels transférer les enregistrement de la zone DNS en question.
Faire la même chose pour les autres zone inversé.
### Redondance du service ADDS
Au cœur de toute infrastructure réseau basée sur Windows se trouve le service Active Directory (AD), une composante essentielle pour la gestion centralisée des ressources, des utilisateurs et des autorisations au sein d'un environnement informatique. La disponibilité et la fiabilité du service AD sont donc cruciales pour garantir le bon fonctionnement des opérations quotidiennes d'une organisation.
Pour répondre à ces impératifs de disponibilité et de continuité opérationnelle, la mise en place d'un service Active Directory secondaire, également connu sous le nom de réplication AD, se révèle être une mesure stratégique. Le service AD secondaire agit comme une sauvegarde ou une relève du contrôleur de domaine principal, assurant ainsi une disponibilité continue des services AD en cas de défaillance du contrôleur de domaine principal.
Dans cette optique, nous souhaitosn mettre en lumière les principaux avantages et objectifs de la mise en place d'un service Active Directory secondaire :
**Redondance et Disponibilité :** La configuration d'un service Active Directory secondaire garantit une redondance et une disponibilité accrues des services AD. En cas de panne ou de maintenance du contrôleur de domaine principal, le contrôleur de domaine secondaire prend le relais pour assurer la continuité des opérations liées à l'authentification, à l'autorisation et à la gestion des ressources.
**Tolérance aux Pannes et Récupération d'Urgence :** La présence d'un service Active Directory secondaire renforce la résilience de l'infrastructure AD en offrant une protection contre les pannes matérielles, les pannes logicielles et autres événements imprévus susceptibles d'interrompre les services AD. Cette redondance permet également de faciliter la récupération d'urgence en cas de sinistre.
**Synchronisation et Réplication :** Les contrôleurs de domaine secondaires se synchronisent régulièrement avec le contrôleur de domaine principal pour garantir la cohérence des données et assurer une réplication fiable des informations relatives aux utilisateurs, aux groupes et aux politiques d'entreprise. Cette synchronisation assure que toutes les mises à jour effectuées sur le contrôleur de domaine principal sont répliquées de manière cohérente sur le contrôleur de domaine secondaire.
**Répartition de la Charge et Optimisation des Performances :** La mise en place d'un contrôleur de domaine secondaire permet de répartir la charge de travail sur plusieurs serveurs AD, ce qui contribue à optimiser les performances du réseau et à garantir une réactivité accrue aux demandes d'authentification et d'accès.
En conclusion, la mise en place d'un service Active Directory secondaire constitue une mesure préventive et proactive pour renforcer la disponibilité, la fiabilité et la résilience des services AD au sein d'une organisation. Dans le cadre de notre projet nous explorerons donc les étapes pratiques pour configurer et maintenir efficacement un service Active Directory secondaire, tout en assurant une gestion optimale de l'infrastructure AD de l'organisation.
### Configuration de l'AD secondaire
:::info
À partir du moment où le domaine Active Directory existe, la procédure sera la même pour ajouter le second contrôleur de domaine, ou le troisième, le quatrième, etc...
:::
**Prérequis et vérification**
1. **Mettre une adresse IP statique**
2. **Nom Machine : Sentinel**
1. **Rôles : DNS / DHCP**
1. **Adresse IP : 172.20.1.3**
1. **Masque de sous-réseau : 255.255.255.0**
1. **Passerelle par défaut : 172.20.1.254**
**Vérifier l'état de santé de l'Active Directory**
Il est recommandé de vérifier l'état de santé de l'annuaire Active Directory avant d'ajouter un nouveau contrôleur de domaine, surtout dans le cadre d'une infrastructure comprenant plusieurs contrôleurs de domaine. Si des erreurs de réplication ou de cohérence sont détectées, il est préférable de les corriger avant d'ajouter un nouveau contrôleur de domaine, afin de garantir un environnement sain.
Dans ce contexte, il est conseillé de consulter les événements enregistrés dans l'Observateur d'événements de Windows Server, notamment les journaux spécifiques tels que Directory Service, DNS Server et Réplication DFS. Cette étape permet de détecter toute anomalie ou tout problème pouvant affecter la santé de l'annuaire Active Directory, et de prendre les mesures nécessaires pour assurer sa stabilité et sa fiabilité avant d'effectuer toute modification ou ajout dans l'infrastructure.
Avant d'ajouter un nouveau contrôleur de domaine, il est essentiel d'évaluer l'état de santé de l'annuaire Active Directory. Cette étape revêt une importance capitale, particulièrement dans le cadre d'une infrastructure comprenant plusieurs contrôleurs de domaine. La détection et la résolution préalable des éventuelles erreurs de réplication ou de cohérence sont cruciales pour garantir la stabilité de l'environnement.
Pour ce faire, il est recommandé d'utiliser des outils tels que dcdiag et repadmin, qui demeurent indispensables malgré l'existence de commandes PowerShell plus récentes. L'outil dcdiag offre une gamme étendue d'options. Par exemple, pour obtenir un rapport détaillé sur l'état d'un contrôleur de domaine (DC), vous pouvez utiliser la syntaxe suivante :
```powershell=
dcdiag /s:dc1 > rapport.txt
```
Exécutez aussi la commande suivante pour effectuer un test basique du bon fonctionnement du DNS (la sortie est envoyée vers un second fichier texte) :
```powershell=
dcdiag /v /s:dc1 /test:dns /DnsBasic /f:c:\dcdiag-dc1-dns.txt
```
**Installer le rôle ADDS**
Commencez par ouvrir le "Gestionnaire de serveur" afin de cliquer sur "Gérer" puis "Installer des rôles et fonctionnalités" dans le but d'installer le rôle "Services AD DS".
Passez l'étape "Avant de commencer" et choisissez "Installation basée sur un rôle ou une fonctionnalité" comme "Type d'installation".
Passez l'étape "Sélection du serveur" puisque l'on agit sur le serveur local.
Lorsque l'étape "Rôles de serveurs" s'affiche, cochez le rôle "Services AD DS" et validez avec "Ajouter des fonctionnalités" pour que tout soit installé, y compris les consoles de gestion.
Poursuivez jusqu'à l'étape "Confirmation" et cliquez sur "Installer"
Cette première étape est identique que ce soit le tout premier contrôleur de domaine du domaine Active Directory ou un contrôleur de domaine supplémentaire.
Un nouvel assistant s'exécute. Sélectionnez "Ajouter un contrôleur de domaine à un domaine existant" et spécifiez le nom du domaine, ici "stadiumcompany.local".
Vous devez aussi disposer de permissions pour réaliser cette opération importante : l'utilisation du compte "Administrateur" du domaine est nécessaire. Cliquez sur le bouton "Modifier" et indiquez l'identifiant (avec le nom du domaine) ainsi que le mot de passe. Validez.
A l'étape suivante, vous devez sélectionner les options de ce contrôleur de domaine :
Cochez "Serveur DNS" afin qu'il soit aussi serveur DNS, ce qui permettra de redonder ce service au niveau de l'infrastructure
Cochez "Catalogue global (GC)" afin d'avoir deux catalogues globaux
Ne cochez pas "Contrôleur de domaine en lecture seule", car nous avons besoin d'un DC en lecture et écriture
Laissez le nom du site par défaut, sauf si votre infrastructure se situe sur plusieurs sites et que vous avez déjà fait la déclaration de vos sites AD
Indiquez un mot de passe complexe pour la restauration des services d'annuaire (qui n'a rien à voir avec le mot de passe pour se connecter au serveur)
Faites suivant concernant le choix des options DNS.En ce qui concerne les options supplémentaires, vous avez la possibilité de maintenir la valeur par défaut "Tout contrôleur de domaine".
Cependant, si vous préférez utiliser un contrôleur de domaine spécifique pour la réplication des données sur ce nouveau contrôleur de domaine, vous pouvez le sélectionner ici.
Cette fonctionnalité est particulièrement utile lorsque plusieurs contrôleurs de domaine existent sur différents sites géographiques. Dans cet exemple, étant donné que nous n'avons qu'un seul contrôleur de domaine, il est superflu de s'attarder sur cette option.
Faite suivant en gardant les chemin par défaut et faites de nouveau suivant.
Attendez la vérification de la configuration requise et faites Installer
Lorsque l'opération est terminée, le serveur va redémarrer automatiquement.
**Vérification de la réplication**
Comment s'assurer que l'opération s'est bien passée ? Tout d'abord, à partir de la console "Utilisateurs et ordinateurs Active Directory", l'OU "Domain Controllers" doit désormais contenir l'objets ordinateurs Sentinel en plus de DC1, comme ceci :
De plus comme vous pouvez le voir sur la capture ci-dessus, les OU créer sur le DC1 se trouve désormais sur le serveur Sentinel.
Il est aussi possibel de vérifier cela avec PowerShell afin d'obtenir des informations sur le contrôleur de domaine avec cette commande :
```powershell=
Get-ADDomainController -Identity
```
Ce qui devrait donner le résultat suivant :
```powershell=
PS C:\Users\Administrateur.STADIUMCOMPANY> Get-ADDomainController -Identity Sentinel
ComputerObjectDN : CN=SENTINEL,OU=Domain Controllers,DC=stadiumcompany,DC=local
DefaultPartition : DC=stadiumcompany,DC=local
Domain : stadiumcompany.local
Enabled : True
Forest : stadiumcompany.local
HostName : Sentinel.stadiumcompany.local
InvocationId : 436416f9-b620-48ac-a819-a467cefdcba0
IPv4Address : 172.20.1.3
IPv6Address : ::1
IsGlobalCatalog : True
IsReadOnly : False
LdapPort : 389
Name : SENTINEL
NTDSSettingsObjectDN : CN=NTDS Settings,CN=SENTINEL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurati
on,DC=stadiumcompany,DC=local
OperatingSystem : Windows Server 2022 Standard Evaluation
OperatingSystemHotfix :
OperatingSystemServicePack :
OperatingSystemVersion : 10.0 (20348)
OperationMasterRoles : {}
Partitions : {DC=ForestDnsZones,DC=stadiumcompany,DC=local,
DC=DomainDnsZones,DC=stadiumcompany,DC=local,
CN=Schema,CN=Configuration,DC=stadiumcompany,DC=local,
CN=Configuration,DC=stadiumcompany,DC=local...}
ServerObjectDN : CN=SENTINEL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=stadiumcomp
any,DC=local
ServerObjectGuid : 8faddf75-f164-498b-8d72-7b7c23b4d462
Site : Default-First-Site-Name
SslPort : 636
```
### Conclusion de la mission 2
En conclusion de la Mission 2 de notre projet StadiumCompany, axée sur l'administration et la gestion des accès utilisateurs, nous avons franchi des étapes significatives pour renforcer la robustesse et la fiabilité de notre infrastructure informatique.
Nous avons débuté par la mise en place d'un serveur Active Directory (AD) pour la gestion centralisée des utilisateurs, des groupes et des unités d'organisation. En déployant des stratégies de groupe, nous avons pu standardiser et contrôler efficacement les configurations système des ordinateurs et des utilisateurs dans notre réseau.
En parallèle, nous avons configuré des serveurs DHCP et DNS pour assurer la distribution dynamique des adresses IP et la résolution des noms de domaine, simplifiant ainsi la connectivité des périphériques et des services au sein de notre réseau.
Pour accroître la disponibilité et la résilience de nos services essentiels, nous avons mis en place une redondance pour les services AD, DNS et DHCP. En établissant des services AD, DNS et DHCP secondaires, nous avons créé une architecture robuste permettant de garantir une continuité de service en cas de panne ou de maintenance sur nos serveurs principaux.
Cette redondance offre à StadiumCompany une tranquillité d'esprit supplémentaire, sachant que notre infrastructure est conçue pour résister aux interruptions imprévues tout en maintenant la productivité et la connectivité des utilisateurs.
En combinant une gestion proactive des accès utilisateurs, une administration efficace des stratégies de groupe et une architecture réseau redondante, nous posons les bases d'un environnement informatique stable, sécurisé et fiable pour répondre aux besoins présents et futurs de StadiumCompany.
Sign in with Wallet
Connect another wallet