Formation
Administration Réseau NT 4.0


03 Juillet - 01 Septembre 2000

DIVERS ET INTRODUCTION

Ordre << logique >> de passation des tests

  1. WorkStation
  2. NetServeur *
  3. TCP/IP *
  4. Networking essentials (bachoter...)
  5. NT serveur en entreprise (les relations d'approbation)
  6. Proxy ou IIS *
NB : l'étoile indique les certifications les plus prisées par les entreprises.

Part I
ADMINISTATION RÉSEAU

Chapitre 1   TYPES DE RÉSEAUX

1.1   Poste à poste

Est appelé aussi <<peer-to-peer>>.

Dans un tel réseau, chacun doit créer un compte pour tous ceux qui pourraient vouloir travailler sur la bécane.

On déclarent partagées les ressources, ou les imprimantes et on donne un mot de passe (en fait, souvent plusieurs mots de passe, pour limiter les accès selon divers niveaux de permissions).

1.2   Réseau avec serveur

1.2.1   Le CPD

Un réseau NT comprend nécessairement un Contrôleur Principal de Domaine (CPD)

Il stocke les noms et les mots de passe des utilisateurs dans ce qu'on appelle l'ACL (Access Control List). L'ACL stocke aussi les droits et permissions des différents utilisateurs.

Cela faut que l'utilisateur peut ouvrir une session depuis n'importe quelle machine. Lorsqu'il se connecte, il obtient un <<jeton>>>, attribué par le serveur et qui contient ses diverses autorisations.

Domaine
: c'est un groupe logique d'ordinateurs.

1.2.2   Le CSD

Pour sécuriser le PDC (acronyme anglais du CPD), on crée un Contrôleur Secondaire de Domaine qui gère la base de données d'annuaire en synchronisation avec le PDC. La base est régulièrement recopiée (toutes les 5 mn par défaut) du CPD vers le CSD.

1.2.3   Serveur membre

On l'appelle parfois serveur autonome. Il s'agit d'une machine qui sert à partager des ressources. Elle est en général dédiée à une fonction particulière : serveur d'impression, d'application...

1.2.4   Notion de segment

Ce sont les parties du réseau séparées par un routeur.

On met en général le PDC/CPD et le BDC/CSD sur des segments différents :



Pour ouvrir une sessions : Ctrl + Alt + Suppr. Si on le fait deux fois, on ouvre une boîte de dialogue de sécurité (pour verrouiller l'écran par exemple).

Lorsqu'un poste Windows 95/98 est client, il faut activer les services de partage : IPConfig sous NT, WINIPCFG sous DOS, qui donnent les infos sur les configurations réseau, notamment l'adresse MAC des cartes réseau.

1.3   Les outils d'administration

Citons notamment le :

Gestionnaire des utilisateurs

et le

Gestionnaire des ressources

ainsi que

Diagnostic windows nt (qui permet d'accéder aux caractéristiques des périphériques).

Il existe des outils d'administrations dont certains sont communs à NTServeur et WKS.

Chapitre 2   LES COMPTES UTILISATEURS

Pour les créer et les gérer, il faut définir une stratégie de nomenclature.

Certains sont pré-définis (par exemple, le compte invité).

Les caractéristiques des utilisateurs sont traitées par la SAM (Sécurity Account Manager).

Des outils comme

Regedit permet d'ouvrir la base de registre (BdR) de Windows 95/98

Regedt32 doit être utilisé pour la BdR de NT.

2.1   Stratégie de nommage

Le nom d'utilisateur peut contenir 20 caractères

Le mot de passe jusqu'à 14 caractères

Astuce : pour localiser facilement les utilisateurs temporaires, on peut utiliser des noms tels que T-machin, T-chose, etc...

Ne pas oublier de fixer les dates d'expiration pour les utilisateurs, surtout les temporaires.

2.1.1   Répertoire de base d'utilisateur

On ne peut pas (avec W2K on peut) limiter la taille des fichiers que l'utilisateur peut stocker sur le serveur ou sur la machine locale.

Dans gestion des utilisateurs du domaine -> chemin du dossier de base, il faut rentrer un nom UNC : \ \ nom-de-l'ordinateur\ nom-du-dossier-partagé (NB : il faut qu'il soit déjà créé).

regedt32 : HKEY_USERS donne l'identifiant et le nom des utilisateurs enregistrés.

Pour créer un répertoire de base pour les utilisateurs, on peut utiliser la variable %username%

Synchronisation

Pour synchroniser PDC et CSD : Gestionnaire de serveur, choisir l'ordinateur->menu ordinateur->synchroniser tout le domaine.

Généralité sur les noms UNC

On peut taper un nom UNC dans Démarrer->exécuter, ça permet d'accéder à l'ordi et/ou au dossier partagé.

2.1.2   Les profils d'utilisateur

On rend le dossier Winnt\ profiles partagé, accessible en modification aux utilisateurs. Leurs profils seront ainsi accessibles et récupérables, quelle que soit la machine via laquelle l'utilisateur se connectera.

Rendre le profil errant : dans gestionnaire des utilisateurs du domaine on indique le chemin du profil

Profil errant obligatoire

Il existe une méthode indiquée par Microsoft (livre page 52).

Les fichiers de stockage des profils errants personnels : NTUSER.DAT et NTUSER.DAT.LOG

Si on renomme NTUSER.DAT en NTUSER.MAN, ça devient un profil errant obligatoire.

On peut écrire des scripts en .bat ou .exe qui seront exécutés dans le profil.

Par exemple : Net use X: \ \ pdc\ user\ %username%

Profil obligatoire : faire pointer le chemin de profil vers un profil existant qui sert de profil obligatoire. Cf aussi le fait de renomme NTUSER.DAT en NTUSER.MAN

Chapitre 3   DÉFINITION DE COMPTES DE GROUPE

Groupe global : collection d'utilisateurs, créés sur le CPD

Groupe local : créé sur la machine qui détient la ressource à utiliser. On met un ou plusieurs groupe global dans le groupe local pour accorder les permissions d'accès aux ressources que l'on veut partager.

3.1   Stratégie d'administration des groupes

On crée un compte modèle désactivé. Ensuite on clique et on copie ; ça permet de créer rapidement des utilisateurs.

3.1.1   Groupe local (20 caractères)

Réside dans l'ordinateur où se trouve la ressource

Un gpe local créé sur un PDC est bien évidemment possible...

Un groupe local peut contenir des utilisateurs et des groupes d'un domaine différent

En principe, on ne met pas de permissions au niveau des groupe locaux.

L'affectation des droits se fait au niveau des groupes locaux.

Notamment : donner des droits système ici ne permet que de gérer la machine, et elle seule.

3.1.2   Groupe global (256 caractères)

Est créé NÉCESSAIREMENT sur le PDC

Ne contient que des utilisateurs d'un même domaine.

Les groupes locaux contiennent les groupes globaux (mais pas le contraire)

Alors que si je donne des droits système à un groupe global, il l'aura sur tout le domaine puisqu'il est créé au niveau du PDC.

Chapitre 4   STRATÉGIE DE CRÉATION DES GROUPES

  1. Organiser les utilisateurs selon leurs besoins communs
  2. Créer d'abord les groupes globaux et insérer les utilisateurs ensuite.
  3. Créer ensuite les groupes locaux et affectez-leur les permissions
  4. Ajouter ensuite les groupes globaux aux groupes locaux.

4.1   Les groupes prédéfinis

Certains sont spécifiques aux PDC

4.2   Stratégie d'administration des comptes

Créer un (en fait, en général, plusieurs) compte modèle désactivé. Ensuite on clique dessus et on copie, ça permet de créer rapidement des utilisateurs ayant les mêmes caractéristiques. Les paramètres (pas tous, notamment ceux concernant les passwords) sont conservés par la copie.

4.3   Contrôleurs de domaine

mercredi 05 juillet 2000

Si on doit déconnecter un PDC, on promeut le contrôleur secondaire au rôle de contrôleur principal.

On synchronise tout de suite. L'ancien PDC devient contrôleur secondaire.

Et roule ma poule...

Si un CPD s'arrête, le CSD doit être promu CPD.

Lorsque l'ancien CPD est reconnecté, il redevient CPD. Il faut le rétrograder en CSD, resynchroniser et le repromouvoir en CPD.

Chapitre 5   PERMISSIONS RÉSEAUX ET NTFS

mercredi 5 juillet 2000

5.1   Les droits de partage (permissions réseaux)

L'administrateur peut accéder aux dossiers des machines via le réseau alors que l'utilisateur ne peut donner des permissions que sur la machine sur laquelle il est connecté.

On clique sur un dossier et on choisit propriétés -> permissions

A travers le voisinage réseau, on ne voit que les dossiers partagés.

L'utilisateur à le droit le plus élevé des groupes auxquels il appartient.

Le droit <<aucun accès>> verrouille ce droit, même si l'utilisateur, par ailleurs appartient à un groupe qui a des permissions. Donc <<aucun accès>> donné à un utilisateur lui interdit tout accès, quelque que soit son apparttenance à des groupes par ailleurs.

Attention : le nom de partage ne correspond pas forcément au nom << réel >> du dossier, tel qu'il est stocké physiquement sur le disque dur. On peur créer plusieurs noms de partage.

Faire gaffe, lorsqu'on partage un dossier, par défaut les droits sont << tout le monde - contrôle total >>.

Il faut changer cela systématiquement.

Ne pas oublier aussi que les droits << fins >> ne peuvent se gérer que sur des partitions NTFS.

5.1.1   Notion de partage administratif

Il est destiné au syst d'exp. Il ne faut pas donc, le changer (ce qui est de toute façon, impossible).

5.1.2   Partages multiples

On peut donner plusieurs noms de partage au même dossier. Ce qui fait qu'on peut s'y connecter de plusieurs manières. Si je partage le dossier machin sous les noms de machin1 et machin2, dans le voisinage réseau il apparaîtra sous les deux noms.

Un partage caché s'obtient avec le suffixe $. Par exemple le nom de partage machin$ fera que machin sera partagé, mais il n'apparaîtra pas dans le voisinage réseau.

5.2   Droits locaux avec NTFS

Avec les partitions NTFS, on peut sécuriser aussi en local, affecter des droits aux fichiers même pour les utilisateurs connectés directement sur la machine.

Utilisation des guillemets dans les noms de chemin avec espace : ils encadrent tout le chemin. Par exemple :

<< \ \ nom-de-l'ordi\ nom espace suitedunom >>

5.2.1   Permissions NTFS

Ces permissions s'appliquent en local sur les fichiers et les dossier

Les permissions de base :

R lire (read)

W écrire (write)

X exécuter

S supprimer

P changer des permissions

O prendre possession (owner)

Il y a ensuite des permissions standards qui sont des combinaisons types de ces permissions de base.

5.2.2   Permissions de dossier

Les permissions sont classées en deux : la 1° série s'applique au dossier et sous-dossiers, la seconde aux fichiers qui seront créés à l'intérieur.

NB
: il existe aussi les permissions spéciales, qui ne sont pas les combinaisons standards des permissions de base
NB
: Comme dans le partage réseau, l'utilisateur hérite des droits du groupe auquel il appartient.
NB
: << aucun accès >> verrouille, comme d'habitude.

5.2.3   Permissions NTFS et permissions de partage

Entre les permissions NTFS et réseau, c'est la plus restrictive qui s'appliquent

En principe on fixe les permissions les plus restrictives sont au niveau NTFS.

5.2.4   Devenir des permissions NTFS

Si un fichier est copié, il prend les permissions du dossier de destination.

S'il est seulement déplacé dans un autre dossier, il conserve ses droits initiaux s'il est copié sur le même volume.

S'il est déplacé sur un autre volume, il hérite des permissions du dossier parent dans lequel il arrive.

NB : il existe unbe différence entre <<contrôle total>> et ajouter, à la main, toutes les permissions possibles.

<<contrôle total>> est compatible Posix, donc accéder à un dossier permet d'accéder à ses sous-dossiers. En revanche, ajouter tous les droits à la main n'a pas tout à fait les mêmes effets.

Conseils :

Chapitre 6   IMPRIMANTES ET IMPRESSION

jeudi 6 juillet 2000

6.1   Principes

Le serveur d'impression contient le pilote d'imprimante, nécessaire au périphérique d'impression.

Attention : il faut installer autant de pilotes (ex. pour W95/98, NT, Mac, PowerPC, etc... etc...) qu'il y a de types différents de stations de travail sur le réseau.

Chaque
poste de travail NT, Win 98 et 95 rapatriera en local ce pilote lors de sa première connection. C'est fait ensuite une bonne fois pour toute.
NB
: pour MS-DOS il faut installer le pilote sur la machine user
NB
: pour Novell il faut installer le pilote localement + le service pour novell
NB
: pour Macinstosh il faut installer le pilote localement + le service pour Mac
NB
: pour Unix il faut installer le pilote localement + le service
Les mises à jour se font automatiquement pour les WorkStations, mais pas pour les clients W95/98.

A fortiori pour les autres types de machines.

6.2   Les permissions pour l'impression

contrôle total, gestion de document, imprimer, aucun accès.

HCL : hardware compatiblity list. Liste les matériels compatibles avec NT

6.3   Installation d'une imprimante

Utiliser l'agent de configuration

Une fois l'imprimante installée elle devient accessible via le réseau.

Le plus simple pour les clients c'est de créer un lecteur réseau qui pointe vers elle.

Pour cela, aller sur ajout d'imprimante et choisir installer serveur d'imprimante réseau.

6.3.1   Création de pool d'imprimantes

Il s'agit de plusieurs imprimantes identifiques ou dont les pilotes sont compatibles.

Il faut cocher la case activer le pool d'impression

6.4   Définition de priorités

Via ajout d'imprimante, on réinstalle la même imprimante. Dans les propriétés de l'imprimante, on choisit l'onglet planification et on règle le niveau de priorité.

Ensuite, on fait pointer les raccourcis réseau du client vers l'imprimante qui a la priorité désirée.

Il y a aussi, dans l'onglet planification des possibilités de fixer des horaires d'impression.

6.5   Redirection d'impressions

Choisir l'imprimante, clic droit, propriétés, ports, ajouter un port.

On ajoute un port local vers lequel on peut rediriger l'impression en donnant son chemin UNC.

Il faut que le périphérique de redirection soit compatible avec l'ancien (par exemple ne pas rediriger vers une Canon une impression destinée à l'origine vers une Hewlett-Packard).

6.6   Déblocage

Un blocage de spooler se gère grâce à panneau de configuration -> services pour redémarrer les services.

Chapitre 7   AUDIT

jeudi 6 juillet 2000

7.1   Principe

Il s'agit d'observer les évènements se déroulant sur le réseau.

Mise en place d'une stratégie d'audit :

  1. Aller dans Gestionnaire des utilisateurs pour le domaine¨, menu Stratégies -> audit
  2. Aller sur chaque machine pour spécifier les ressources à auditer. Propriétés ->sécurité->audit

Chapitre 8   GESTION DES RESSOURCES

Via le programme Gestionnaire de serveur

Il faut se définir comme destinataire des alertes administratives.

Fichier de swap : pagefile.sys

L'application diagnostic NT permet d'avoir les infos sur la machine et les ressources.

On peut imprimer ces informations ou les stocker sous forme de fichier.

On peut consulter ces informations pour un autre ordinateur (menu choisir un ordinateur dans gestionnaire de serveur).

Chapitre 9   SAUVEGARDE ET RESTAURATION DE DONNÉES

On n'utilise guère les seuls outils fournis par défaut. On utilise en général des applications tierces telle que ArcServ.

NB :
le droit << lire >> permet de sauvegarder.
On sauvegarde :

Tous les jours
les fichiers vitaux, les registres du contrôleur de domaine
Pour lancer le programme de backup Ntbackup.exe automatiquement on utilise un programme en ligne de commande :

At.exe programme de type cron (sur Linux) pour lancer le programme à intervalles donnés.

Part II
SUPPORT TECHNIQUE DE NT 4

Chapitre 10   L'ENVIRONNEMENT NT4

Vendredi 7 juillet

Les OS Microsoft, configurations minimales

Windows 95/98 orientés bureautique

NT WorkStation

NT 4 serveur

Détails sur NT 4 serveur

Le sytème est organisé en couches (voir schéma page 228)

Le mode utilisateur (priorité 1 à 15)

Le mode noyau (priorités 16 à 31)

SAP : sécurity account manager

LSA : local security authority; C'est elle qui délivre un jeton d'identité aux machines qui se connectent.

Mécanisme : lors d'une connection, la SAM du domaine interroge le PDC du domaine. Si tout est OK, la LSA attribue le jeton d'identité.

Notion de compte d'ordinateur

Si je veux rejoindre un domaine, il faut créer un compte d'ordinateur : Voisinage réseau->propriétés->identification.

Si on est déjà identifié sur le domaine (ça se crée avec le Gestionnaire de serveur), il n'est pas nécessaire de créer le compte d'ordinateur.

Les clients Windows95/98 n'ont pas de compte d'ordinateur.

Chapitre 11   INSTALLATION DE NT ET DE WKS

Partition système
: elle contient les fichiers d'amorçage. Elle doit être en fat16 si on veut gérer du multiboot. Sinon, elle peut être en NTFS
Partition d'amorçage
: elle contient les fichiers système.
ATTENTION
Un PDC ne peut pas migrer vers un autre domaine. Une fois qu'il est PDC d'un domaine, il le reste définitivement. On peut changer le nom de la machine et le nom du domaine mais c'est tout. C'est idem pour le CSD. En revanche, les WKS et les serveurs membres peuvent migrer d'un domaine à l'autre (en gérant leur compte d'ordinateur).
L'installation de WKS comporte 4 options

L'installation de NT Serveur n'a pas d'option

Installation à partir d'un serveur

Avec Winnt.exe ou Winnt32.exe

Winnt.exe /u un-fichier
permet une installation sans surveillance (u renvoie à un fichier, typiquement unattend.txt) qui indique les paramètres de l'installation :
Winnt.exe /u unattend.txt
Il existe un fichier d'exemple unattend.
Il existe aussi des fichiers UDF qui personnalisent l'installation, notamment par l'utilisation d'incrémentations de certaines variables (par exemple, pour créer à la suite WKS1, WKS2, etc.)
Winnt.exe o/x
permet de créer les 3 disquettes de démarrage (mais n'installe pas NT)
Winnt.exe /b
installe NT sans demander de créer les 3 disquettes
Il existe aussi des produits tiers, tels Ghost, qui sont beaucoup plus performants (notion de création d'images).

Utilitaires : NTHQ teste la machine

Mise à jour

On ne peut pas faire une mise à jour de Windows 95/98 vers NT

On utilise l'application Winnt32.exe. Voir aussi l'application Sysdiff.exe

Suppression

Redémarrer sous Windows 95 (par exemple) et taper [sys C:]

Sinon, booter comme pour une install et choisir suppression

Convertir une partition fat en NTFS

convert c: /fs:NTFS /v

11.1   Gestion des licences d'accès client

Deux sortes : licence serveur et licence siège (par machine).

On peut, UNE SEULE FOIS, transformer ses licences serveur en licences siège.

Chapitre 12   LA BASE DE REGISTRE

Lundi 10 juillet 2000

En fait dans la BdR les deux seules réelles branches sont HKEY_LOCAL_MACHINE et HKEY_USERS, les autres sont des mappings de ces deux là.

Les fichiers correspondants sont stockés dans :

\ wintnt\ system32\ config

Hiérarchie de la Bdr :

arbre-->ruche-->clé-->sous-clé-->valeur-->données

Attention
: il faut accéder à la BdR avec regedt32 (et non pas avec regedit). Dans regedt32 on a la possibilité de n'accéder qu'en lecture seule. A l'inverse regedit permet des recherches beaucoup plus approfondies.
Par défaut les users n'ont accès à la Bdr qu'en lecture seule.

Chapitre 13   GESTION DES STATÉGIE SYSTEME

Livre p.121

13.1   Utilisation de poledit (gestionnaire de stratégie système)

Avec poledit on peut configurer à distance les machines. poledit s'attaque directement à la BdR.

Par exemple, on peut limiter l'accès au panneau de configuration, au registre, etc...

En pratique on se restreint à une seule config. pour l'ensemble des utilisateurs

13.1.1   Duplication de répertoire

Le pdc exporte envoie des copies de Netlogon vers les bdc. Il exporte vers des serveurs << importation >>.

Ca permet d'augmenter la vitesse de connection en authentification : si le pdc est trop chargé, on va s'authentifier vers les bdc.

<< Éxecuter au démarrage >> dans poledit n'est pas à utiliser !!!

13.2   Modèles de stratégie

On peut créer des fichiers modèles (.adm) qu'il suffit de charger pour modifier d'un coup les configs.

On choisit <<ouvrir>> dans le menu de poledit.

ATTENTION

Toujours cocher la case <<équilibrer la charge>>.

Le fichier est enregistré (doit être enregisré) sous le nom de ntconfig.pol dans le dossier par défaut de netlogon :

C:\ wint\ system32\ repl\ import\ scripts\ netconfig.pol

13.3   Intégration des stations Windows95/98

Il faut utiliser poledit sur une station 95/98.

Le fichier s'appelera config.pol. Il faudra le mettre ensuite sur le pdc pour que toutes les stations W95/98 puissent s'en servir.

NB : les comptes W98/95 n'ont pas de compte d'ordinateur sur le PDC. On peut donc les changer de domaine sans problème et sans supprimer/recréer les comptes d'ordinateurs.

Chapitre 14   SYSTÈMES DE FICHIERS PRIS EN COMPTE ET GESTION DES PARTITIONS

FAT 16 et NTFS, fichiers Mac et Posix 1.1

Possibilité de récupération de données

Il existe une corbeille par utilisateur

mardi 11 juillet 2000

Passer une paritition FAT en NTFS :

convert C: /FS:NTFS

Ca préserve les données.

14.1   Gestion des noms longs de fichiers en mode FAT 16

Posent des problèmes aux clients DOS

Attention à la limite des 512 entrées dans la racine d'un répertoire FAT16

Attention aussi à la gestion des défrag et autre scandisk qui peuvent bouziller les entrées de fichiers secondaires qui servent à gérer les noms longs.

14.2   Possibilité de compression sur NTFS

Via propriétés ->compresser

Sinon il existe le programme compact.exe dont on doit connaître les commandes pour les tests de certification.

14.2.1   Mémoire virtuelle

Fixer une mémoire virtuelle (pagefile.sys) avec la même taille mini et maxi et avoir une taille de swap égale à 2 fois la ram dans un environnement sévère. Sinon, on conserve la règle swap = ram+50.

Il vaut mieux mettre le pagefile.sys sur un disque et/ou une partition différent.

On peut créer un pagefile.sys sur chaque disque physique (max 16 pagefile.sys) Il ne faut pas le laisser à la racine.

Mais l'amélioration des performances n'est pas significative.

14.3   GESTION DES PARTITIONS

4 partitions principales possibles sous NT

14.3.1   Agrégats de partitions

Permet de réunir des paritions différentes en une seule. Mais c'est pas très utilisable et pas très sûr... Vu le prix des disques durs, il vaut mieux en racheter.

Ca peut être utile dans la gestion RAID

14.3.2   Utilisation de l'administrateur de disque

C'est là qu'on crée les agrégats.

14.3.3   Numérotation des partitions

Si on crée des partitions principales, elles sont prioritaires: si on crée une principale sur un autre disque : elle deviendra 2.

Se méfier, car cette renumérotation peut empêcher la machine de redémarrer.

Les informations de démarrage se trouvent dans boot.ini

Si on fait ces modifications il faut redémarrer avec une disquette d'amorçage car la machine risque de ne pas redémarrer

Donc, en général, on met le l'amorçage et le système sur la première partition active numérotée 1 (et on n'y touche plus !!!!!).

14.4   Disquette réparation d'urgence

En ligne de commande :

RDISK

Attention : c'est une photo à un instant T. Il faut donc recréer une disquette chaque fois qu'il y a modification du système.

Les fichiers du registre sont dans \ winnt\ system32\ Config

Mais rdisk va chercher les infos dans \ winnt\ repair

On va donc rafraîchir les fichiers de repair avec les fichiers à jour de Config. rdisk demandera ce rafraichissement avant de créer la disquette. Mais attention ce rafraichissement ne sauvegarde que la SAM 1

Il faut donc utiliser :

RDISK  /S

Pour rebooter il faut utiliser soit les 3 disquettes d'install (dont la 1° est bootable) soit le cd-rom d'installation.

NB :
Truc : créer un batch qui oblige, tous les soirs à créer la disquette repair avec rdisk /s

Chapitre 15   TOLÉRANCE DE PANNES

15.1   Systèmes RAID

Il faut que ce soit transparent aux utilisateurs.

Ne pas oublier le MTBF : y'a une date de péremption, un ensemble de disques achetés même temps risquent de tomber en panne en cascade.

(NB : le RAID 2 & 3 ne s'utilisent plus)

RAID 4 existe, mais n'est pas supporté en natif par NT (et est nettement moins utilisé que le RAID 5)

Le raid hard est plus performant que le raid soft. De plus, il supporte le hot-plug.

15.1.1   Redémarrage

Si un disque défaille : il faut le changer (si on n'est pas hot-plug, il faudra éteindre !!). Dans l'administrateur de disque, on choisit << régénérer >>.

En raid 1, il faut briser le miroir. Et faire gaffe aux changements de lettre des partitions : réaffecter les lettres de partitions avant de redémarrer.

Pour cela il faut une disquette créée au moment de la construction du miroir.

Sauvegarder sur la disquette :

  1. boot.ini
  2. Ntdetect.com
  3. ntldr
Éditer le boot.ini et le modifier pour indiquer le bon chemin avant de l'enregistrer sur la disquette.

Voir schéma p. 214

NB :
Éventuellement, avoir un un fichier boot.ext avec le bon chemin de boot, qu'on renommera en boot.ini avant de le copier et le redémarrer.
NB :
NT 4 ne sait reconnaître que 4 Go de RAM.

15.1.2   Les chemins ARC

Syntaxe de boot.ini :

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(2)\ WINNTWKS

[operating systems]

multi(0)disk(0)rdisk(0)partition(2)\ WINNTWKS=<<Windows NT Workstation Version 4.00>>

multi(0)disk(0)rdisk(0)partition(2)\ WINNTWKS=<<Windows NT Workstation Version 4.00 [Mode VGA]>> /basevideo /sos

multi(0)disk(0)rdisk(0)partition(1)\ WINNT=<<Windows NT Server Version 4.00>>

multi(0)disk(0)rdisk(0)partition(1)\ WINNT=<<Windows NT Server Version 4.00 [Mode VGA]>> /basevideo /sos

C:\ =<<MS-DOS>>

Traduction :

multi =
contrôleur IDE ou SCI. C'est SCSI seulement si c'est un contrôleur scsi avec BIOS désactivé.
disk =
quand on est en multi on s'en fiche
rdisk =
indique le disque
partition =
n° de partition
Dans le cadre d'un bios scsi désactivé, il faut en plus le fichier NtBootDD.sys sur la disquette.

NB
: dans le cas d'un contrôleur scsi désactivé, c'est le disk qu'on change et pas le rdisk.

15.2   Considération sur les aggrégats et les systèmes raid

Un aggrégat de partitions peut être en FAT, mais si on veut l'étendre il doit être en NTFS.

Aggrégat, tous types, max 32 partitions.

Un aggrégat par bande n'est pas extensible. Il faut le détruire et le recréer.

Il est plus rapide.

On ne peut pas booter sur un aggrégat.

Hiérarchie des aggrégats

Chapitre 16   SUPPORT DES APPLICATIONS

Livre chapitre 8, p. 222

Voir schéma p. 222.

Les applis n'accèdent jamais au mode noyau. Les applications 16 bits qui accédaient directement au matériel sont encapsulées dans un émulateur pour éviter ces accès directs.

16.1   Accès au gestionnaire de processus

Ctrl+Alt+Sup pour revenir à la fenêtre de sécurité et cliquer sur gestionnaire de tâches

ou

Clic droit sur la barre des tâches et gestionnaire de tâches

16.2   Modèle mémoire de NT

Les applis 32 bits sont gérées dans des espaces mémoire protégés : le crash d'une appli n'entraîne pas tout le système avec lui.

16.2.1   Support des applications 32 bits

p. 234

OLE est utilisé en config bureautique

ActiveX est utilisé en config intgranet.

Ils prennent en compte aussi les applications 16 bits

16.2.2   Support des applications non 32 bits

16.2.2.1   Applications 8 bits

Machine DOS virtuelle NT (Ntvdm.exe)

Cf. schéma p.238

Les VDD interceptent les appels des applis 8 bits vers le matériel. Mais ces VDD n'existent que pour les ports com, lpt, clavier, écran (il n'y a pas de vdd pour les appels aux cartes sons).

16.2.2.2   Support des applis 16 bits (Windows 3.1)

C'est ce qu'on appelle les WOW (Windows 16 on Windows 32)

Le tout est encapsulé dans une machine DOS virtuelle NT (Ntvdm.exe). Voir schéma p. 241

Lorsqu'on lance plusieurs applis 16 bits elles sont encapsulées dans la même WOW et la même Ntvdm

Donc le plantage d'une entraîne le plantage de tous.

Les échanges d'infos entre les applis 16 bits encapsulées dans le même WOW sont impossibles.

ATTENTION : une Ntvdm ouverte pour encapsuler une appli 16 bits ne se fermera pas toute seule même à la fermeture de la dernière appli qu'elle contenait. Il faut tuer la tâche avec les gestionnaire de tâche.

MAIS on peut lancer plusieurs ntvdm. Exécutées dans des espaces mémoire propre on retrouve la fiabilité (pas d'entrainement de la failure) et la possibilité de faire s'échanger des infos entre applis 16 bits.

C'est très gourmand en ressources.

Pour cela, en ligne de commande :

start /separate le-programme-16-bits

Ou, via

Démarrer, Exécuter, il y a une case pour cela.

Plus sûr, on crée un raccourci pour l'appli et, dans les propriétés du raccourci, on lançe dans un WOW séparé.

Ou alors on lie le fichier, selon son extension, à un <<start /separate>> (Affichage, options, type de fichiers)

16.3   DCOM

NB : une application concurrente est CORBA

Sert de base à OLE, sert à distribuer des applications.

16.4   Utilisation de la ligne de commande

C'est là que l'expérience de la ligne de commande Linux est utile.

16.4.1   Gestion des priorités des applications voir page 261

On le fait soit en ligne de commande avec les commutateurs :

start /realtime le-nom-du-prog.exe

start /high le-nom-du-prog.exe

start /normal le-nom-du-prog.exe

start /low le-nom-du-prog.exe

Soit via le gestionnaire de tâche.

Chapitre 17   ENVIRONNEMENT RÉSEAU Windows NT

jeudi 13 juillet 2000

Livre, module 9, page 273

Dans le modèle OSI, on fonctionne en mode utilisateur à partir de la couche session.

NB
: NT peut recevoir un nombre illimité de cartes réseau.
Avant d'acheter une carte réseau, vérifier qu'elle est dans la HCL

La NDIS encapsule les pilotes de carte réseau pour communiquer avec les protocoles.

En mode user, les redirecteurs correspondent aux services <<Station de travail>>.

Le serveur correspond au service << Serveur >>

17.1   Les traitements distribués

C'est le paradigme du client-serveur. Les traitements sont faits sur le serveur et les infos sont renvoyées en retour. Le traitement n'est pas fait en local.

17.1.1   IPC

Ce sont les dispositifs de communication.

Canaux nommés
: canal bidirectionnel. Concerne par exemple les communications de sécurité (login), la synchro des PDC et CSD
Mailslots
(boîte aux lettres) : canal unidirectionnel.
WinSock
(socket windows) : canal bidirectionnel dans un environnement IP ou IPX. La WinSock accepte 65536 ports, il y en a 1024 dits << connus >>.
Par exemple :

Dans NT il y a un fichier services qui contient la liste de la majorité des ports utilisés.

17.1.2   RPC

DCOM et Cie qui utilisent des ??????

On gère la plupart des fonctions via le panneau de configuration -> réseau

Chapitre 18   PROTOCOLES DE WINDOWS NT 4

Livre p. 287

Se gère via panneau de config -> réseau

18.1   Les protocoles

NWLink
: pour assurer l'interconnexion avec netware. En pratique on installe une passerelle sur le serveur pour avoir à installer le client netware sur chacun des postes clients. On installe aussi en général une passerelle dans l'autre sens, qui permet à NW de se connecter çà un serveur NT
NetBEUI
: en voie de disparition
TCP/IP
: Il existe un site web bien documenté : www.guill.net. Voir schéma p.298
Pour lire la mac-adress de la carte : arp -a en ligne de commande. Sinon dans diagnostic NT

Le protocole TCP est un protocole sécurisé. Le protocole UDP est non-sécurisé.

18.2   Configuration de TCP/IP

Notion d'adresse logique, ou adresse quadruple à point 99.99.99.99

On est à la version TCP/IP version 4 (sur 32 bits). On va passer à la version 6, sur 128 bits.

Classes d'adresses :

Classe A :
le premier octet est toujours à zéro. L'adresse 0 et 127 sont réservées. Donc la classe A est limitée à une étendue de 1 à 126.
Classe B :
128 à 191 car les deux premiers bits sont à 1 et 0.
Classe C :
192 à  223 car les 3 premiers bits sont 1 1 0.
Classe D :
224 à 239 car les 4 premiers bits sont à 1 1 1 0 Sert à faire du multicast : communiquer avec les routeurs
Classes E :
réservée aux test de l'internic ; va de 240 à 254
Par exemple : 130.130.45.44 est une adresse de classe B (le premier 130 est dans l'étendue 128 à 191 attribuée à la classe B)

18.2.0.1   Notion de masque de sous-réseau :

10.       44.       0.     11     Adresse de classe A

255       0        0      0     le fait de mettre 255 masque l'adresse 10. Ce qui reste est l'identificateur d'hôte

 

130.        130.        45.     44         Adresse de classe B

255        255          0      0        masque de sous-réseau

 

Un réseau de classe A : il peut y en avoir 126 et 16 millions d'hôtes

Un réseau de classe B : il peut y en avoir 65 534 réseaux et 65 534 hôtes

Un réseau de classe C : il peut y avoir 16 millions et 254 hôtes

Exemple :

130.130 0.0 = ce réseau
id de réseau id d'hôte  

130.130.255.255 : adresse de diffusion. Ca veut dire qu'on arrose tout le monde.

L'adresse 127 est l'adresse de loopback (bouclage) : 127.0.0.1 En fait cette adresse est réservée à un appel local pour tester le bon fonctionnement local de la pile IP.

Un routeur contient une table de routage qui lui indique l'adresse IP des cartes permettant d'accéder aux autres segments du réseau.

Pour savoir si deux adresses sont << communicables >> on fait un AND (ET logique) entre l'adresse et son masque. Si le AND des deux adresses est identique les deux sont sur le même réseau. Sinon, les deux adresses sont sur des segments différents. En ce cas, les trames sont redirigées vers la passerelle, qui communique avec un routeur qui a, lui, une table de routage.

Le client DHCP (qui a le port UDP 68 actif) émet une demande acceptée par les machines qui ont le port UDP 67 actif. Le serveur DHCP renvoie une adresse IP valable 3 jours (ça s'appelle un bail). Voir plus bas.

18.2.1   Les utilitaires IP

PING
 
FTP :
pour transfert de fichiers
TFTP :
comme FTP mais sans authentification
TELNET :
console de prise à distance de contrôle.
RCP :
copie
RSH :
exécution à distance
REXEC :
exécution à distance avec authentification
FINGER
: recherche d'hôte
Netstat & NBTSTAT :
statistiques de connection ; l'un sur la Winsock l'autre sur NetBEUI
ARP :
adresses des cartes réseau. Sert à donner la même adresse mac à deux cartes différentes (pour de la tolérance de panne)
IPCONFIG :
récupère les infos de la configuration du réseau.
Internet Explorer :
sans commentaire
ROUTE :
configure la table de routage
HOSTNAME :
donne le nom d'hôte
TRACERT :
donne la route entre la machine et sa destination.

18.3   DHCP

Livre, p. 316

Le client DHCP (qui a le port UDP 68 actif) émet une demande acceptée par les machines qui ont le port UDP 67 actif. Le serveur DHCP renvoie une adresse IP valable 3 jours (ça s'appelle un bail).

A mi-bail, le client revient chercher son adresse IP. S'il ne se déconnecte pas plus de trois jours son bail, en fait, durera plus longtemps.

Cependant, on fixe en manuel, statique, l'adresse IP des serveurs.

Même avec DHCP on peut faire une réserve d'adresses IP.

Seul un NT 4 serveur peut être serveur DHCP.

Il faut un serveur DHCP par segment. Sinon le broadcast du demandeur ne passe pas le routeur.

Sinon on met dans le routeur un <<agent de relais>> qui contient l'adresse IP du serveur DHCP

Les serveurs DHCP sont incapables de communiquer entre eux. Faire donc attention aux plages d'adresses qu'attribueraient deux serveurs DHCP : risque de duplication d'adresses.

On a un gestionnaire DHCP dans les outils d'admnistration. Il permet aussi de fixer la durée du bail. Attention ne jamais mettre <<bail illimité>> non plus qu'en dessous de 30 minutes. Sinon il y a des requêtes inutiles.

Ne pas mettre un CPD en client DHCP. Le serveur CPD et le serveur DHCP doivent avoir des adresses IP en dur. Ou alors, réserver, auprès du serveur DHCP, l'adresse pour le serveur. Pour cela on réserve l'adresse IP en indiquant l'adresse mac de la machine à qui est réservée l'adresse IP.

18.4   WINS

C'est le nom de l'ordinateur, codé sur 15 octets suivi d'un 16° qui indique les services actifs sur la machine.

On a donc autant de nom Netbios, pour une machine, qu'elle a de services actifs.

Par exemple :

titi 00h (WKS)

titi 20h (Serveur)

titi 03h (messagerie)

titi 1ch (contrôleur de domaine)

etc.

Wins sert donc à résoudre les noms Netbios en adresse IP.

Si wins n'est pas présent, via netbios, on travaille en broadcast et on ne passe pas les routeurs.

Une machine qui reçoit une adresse ip du dhcp s'inscrit ensuite sur la base de données de wins après qu'il ait reçu son bail DHCP.

Mais il présente autant de trames qu'il a de nom netbios différents.

Pour les machines en statique : il faut l'inscrire sur la base Wins via Gestionnaire DHCP.

18.4.1   Résolution des noms NetBIOS

On peut utiliser soit :

Noeud B =
diffusion
Noeud P =
il s'adresse directement à la base wins
Noeud M =
d'abord diffusion puis recherche de serveur wins
Noeud H =
cherche le serveur wins puis fait un broadcast
qui sont des modes de résolution des noms Netbios.

18.5   Service DNS

lundi 17 juillet 2000

Domain Name Service

Un serveur DNS joue pour les adresses IP le même rôle que WINS joue pour les noms NetBios.

Mais, en local, la base DNS n'est pas dynamique, il faut la créer <<à la main>>, pour un usage local.

Attention, cela est différent des DNS sur le Web qui s'utilisent en réseaux WAN.

En local, c'est utile pour l'accès aux machines Unix. Sinon...

On peut crééer des domaines DNS en interne du réseau LAN. Par exemple, on crée un domaine purement interne : salleformation.fr, et on rajoute les noms en les identifiant par leur adresse IP.

On peut configurer le DNS pour qu'il s'appuie sur le serveur WINS pour faire la résolution de nom à sa place.

Cf. panneau de config -> réseau ->onglet Protocoles->Protocole TCP/IP->Onglet adresse WINS.

On peut cocher la case Activer la résolution DNS pour Windows. Si une appli ne sait pas utiliser le DNS et ne peut utiliser que le nom NetBIOS, cette case permet de basculer la résolution NetBIOS en résolution DNS si la première n'a pas fonctionnée.

Installer serveur DNS : voir page 344 : utiliser le Gestionnaire DNS.

Pour se déclarer en client DNS :

Panneau config ->Réseau->protocoles->protocoles TCP/IP->Onglet DNS et indiquer l'adresse IP du serveur DNS.

Création des alias

Via le gestionnaire DNS.

Mais attention, le client doit indiquer dans

Panneau config ->Réseau->protocoles->protocoles TCP/IP->Onglet DNS le nom des domaines créés dans ordre de recherche du suffixe de domaine.

18.6   Explorateur d'ordinateurs (voisinage réseau)

page 349

Sur un réseau NT il y a un explorateur maître qui, régulièrement, copie ses informations sur des explorateurs de sauvegarde. Il confectionne la liste de machines présentes sur le réseau.

Les serveurs (mais pas les Wks ni les postes client Windows 95/98) annoncent leur présence toutes les 12 minutes.

Comment se désignent les explorateurs maître et explorateurs de sauvegarde

Le premier ordi qui découvre un explorateur manquant envoie un broadcast indiquant cette absence.

L'ordinateur le plus puissant devient explorateur (système d'élection).

On peut aller trifouiller la BdR pour changer la possibilité d'élection au titre d'explorateur.

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Browser\ Parameters\ MaintainServerList

On peut ainsi dire qu'une machine ne veut pas être explorateur afin de ne pas se surcharger.

Chapitre 19   SERVICES D'ACCÈS DISTANT

Livre, chapitre 12, page 361

RAS
: remote access system
Il s'agit de se connecter, à distance, à un serveur RAS.

Protocoles télécom utilisables

RTPC
: réseau commuté
X25
: lignes téléphoniques spécialisées (transpac par exemple)
RNIS
: le numeris de France Telecom
PPTP
: protocole internet sécurisé; voir schéma page 366. Il faut une carte conforme au NDIS 4.0
Protocoles réseau utilisables

PPP ou SLIP

Voir schéma page 368.

Le protocole SLIP sert essentiellement aux connections avec Unix.

19.1   Notion de passerelle et de routeur

Schéma page 371

Aujourd'hui, la plupart des applications serveur utilisent la connection WinSock.

Sécurité : en accès RAS, on se connecte avec mot de passe, comme en local LAN

En plus dans gestionnaire des utilisateurs, on peut fixer l'autorisation d'utiliser l'accès à distance (c'est non par défaut).

Dans le cadre de l'audit, on peut observer les accès à distance et voir ce qui se passe.

19.2   Les TAPI

C'est un ensemble de dll.

19.3   Installer le service RAS

Via réseau dans panneau de configuration

19.3.1   Client RAS

Via accès réseau à distance

Chapitre 20   INTERNET ET INTRANET

On passe rapidement... C'est considéré comme un chapitre <<publicitaire>>

L'outil de serveur Web est IIS sous NT serveur

Sous WKS il faut utiliser PWS (Personal Web Server)

Sous Wind95/98 il faut PWS (Peer Web Server)

S'installent via Panneau config->réseau ->services

Chapitre 21   INTEROPÉRABILITÉ AVEC NOVELL NetWare

Livre, chap. 14, p. 425

On peut, notamment depuis NetWare 5, le gérer en << full IP >>.

  1. Il faut installer le protocole NWLink
  2. Il faut installer le client NetWare (SCNW : service client pour NetWare)
    Réseau->onglet services->ajouter le service.
Il y a une légère différence entre NT serveur (qui installe client+passerelle) et WKS (qui ne peut installer que le client).

NB : le fait d'installer le client force l'installation de NWLink (l'inverse n'est pas vrai)

Toutes les machines clientes doivent avoir le client installé...

En pratique, on met les ressources NetWare à disposition sur un serveur NT : c'est le service passerelle (Service Passerelle pour NetWare SPNW) pour NetWare. On n'a alors pas à installer les services clients sur chacune des machines. Il n'est pas nécessaire d'installer le protocole IPX non plus, sur les clients

Avec la passerelle, le client voit les ressources NetWare comme un partage du serveur NT. Il ne sait pas, qu'en fait, il est connecté à un serveur NetWare.

NTGateway est un groupe qui doit être créé du côté Novell comme du côté NT.

Service FINW

C'est un service qui permet aux clients NetWare de se connecter aux ressources partagées d'un réseau NT.

Ca simule la présence d'un serveur NetWare 3.12

Celui-là est payant.

On peut administrer un réseau NetWare à distance avec syscon et cie, qui sont accessibles sur le serveur Novell.

DSMN : fait une copie des comptes NetWare dans la base NT. On peut alors administrer les comptes Novell depuis le serveur NT.

Outil de migration pour NetWare :

Chapitre 22   MISE EN OEUVRE DES CLIENTS RÉSEAU

Chapitre 15, page 449

Licences d'accès client

L'achat de l'OS donne droit à 5 licences client

Pour le gérer, on peut utiliser dans panneau de config Gestionnaire de licences

Il est possible de faire de la duplication de licences pour transférer les licences d'un domaine vers un autre domaine.

En pratique, personne ne se sert de ces outils pour gérer les licences.

22.1   Installation des clients réseau

Il existe une application : Administrateur de clients réseau ; elle permet notamment de créer un disquette, sur laquelle on bootera les machines clientes qui installeront ainsi le programme sélectionné depuis le serveur concerné.

Les sources d'installation se trouvent sur CD-ROM, les sources ne sont pas installées par défaut. Dans le cas d'une installation réseau il faut donc ne pas oublier de copier les sources depuis le CD-ROM sur le disque dur.

NB : la 3° option permet d'installer les outils d'administration de NT Server sur une WorkStation (ça évite de se connecter à un NTServer, et donc de payer la licence).

Les sources correspondantes sont dans Client\ SRVTools sur le CD-ROM.

Il est préférable de le faire sur une WKS car un poste Windows95/98 ne pourra pas faire tourner tous les outils d'administration (notamment 95 ne récupère par la gestion WINS ou DHCP)

Outils pour Mac

Les Mac ne peuvent accéder qu'aux partitions NTFS.

On installe le client Macinstosh avec Panneau de config->réseau->service réseau.

Chapitre 23   MISE EN OEUVRE DE LA SYNCHRONISATION DE FICHIERS ET DE LA DUPLICATION DE RÉPERTOIRE

Page 485

Il s'agit de dupliquer régulièrement le contenu du dossier Netlogon du PDC qui contient les fichiers .pol de stratégie système, car cela n'est pas fait automatiquement.

Il s'agit de copier \ System32\ repl\ Import\ Scripts sur le CSD

Dans Panneau de config->service->lancer le service duplication

Pour régler le délai de duplication il faut aller dans la BdR

voir page 497

On peut rajouter une clé <<Interval>> et une clé <<Guardtime>>

Chapitre 24   PROCESSUS D'AMORÇAGE DE WINDOWS NT

Chapitre 17, page 515

Quels sont les fichiers mise en oeuvre au démarrage ? voir schéma page 516

La section MBR d'un disque est la seule connue par le bios des machines.

Le processus d'installation de NT place le NTLDR sur le Mbr du premier disque déclaré dans le BIOS.

Si le fichier boot.ini est absent il y a possibilité que la machine démarre si le oskernel, est bien dans le chemin par défaut :

multi(0)disk(0)rdisk(0) partition(1)\ WINNT

Sinon, ça démarre pas, car boot.ini,s'il est ne peut indiquer le chemin s'il est différent du chemin par défaut.

NB : utilitaire delpart.exe (sous DOS) permet de détruire tous les types de partition

NB : NTFS4DOS permet de lire les partitions NTFS à partir de DOS.

Création d'une disquette de réparation d'urgence

Via rdisk /s

Attention : la disquette de réparation d'urgence ne permet pas de booter.

Il faut booter soit sur les 3 disquettes soit sur le cd-rom.

On choisit alors la réparation et il suffit de suivre les indications des fenêtres.

Chapitre 25   DÉPANNAGE DU DÉMARRAGE

Mercredi 19 juillet

Module 18, page 549

25.1   Les outils de dépannage

25.1.1   Observateur d'événements

Le journal sécurité n'enregistre des évènements qui si on a défini une stratégie d'audit

Les fichiers des journaux sont stockés dans des fichiers .EVT dans Winnt\ System32\ Config

Dans le <<Kit de ressources techniques>> on a des détails notamment sur les erreurs système

25.1.2   Diagnostic Windows NT

Outil informatif. Les infos peuvent être stockées dans un fichier ou imprimées.

25.1.3   L'analyseur de performances

Permet de créer des graphes et des alertes.Mais les alertes ne sont envoyées que si l'analyseur de performances est EN FONCTIONNEMENT sinon, ça envoie évidemment rien du tout.

Donc on peut le lancer et le laisser en << fond >> pour analyser en cours de fonctionnement

25.1.4   Moniteur réseau

Il n'est pas installé par défaut. Dans Réseau->services il faut mettre agent et outils du moniteur réseau.

TP Installation d'un domaine, configuration, création des comptes et des utilisateurs, création d'une imprimante partagée, installation d'un serveur Wins et DNS.

Création des dossiers de base

Le répertoire ves lequel pointe les dossiers de base des utilisateurs doit être créé et partagé AVANT.

Faire attention aux permissions qu'on lui accorde.

Dossier parent, par exemple << users >> = tt le monde, contrôle total

Dossier à l'intérieur, par exemple << Vincent >> dans users : seul le créateur propriétaire a le full contro.

Vérifier cependant, cette fixation de droits est sans doute automatique.

Attention aussi à l'arbitrage entre les permissions NTFS et les permissions de partage, pour être sûr qu'on ne puisse pas créer de nouveaux dossiers dans << users >> mais que les utilisateurs aient bien un accès correct sur leur dossier personnel.

NB
: pour créer à distance un groupe local sur une WKS déportée, il faut se connecter en admnistrateur, en mettant le nom de la machine comme nom de domaine.

Configurer un serveur DNS

Si les machines sont en client DHCP elles n'ont pas d'adresse IP fixes, lors de la création de la zone du DNS il faut donc cliquer dans l'onglet WINS pour lier la résolution DNS à la résolution Wins.

Mais, attention, on ne peut alors communiquer que par le nom :

<< nom-de-la-machine.nom-de-la-zone.suffixe >> ? Ha bon ????????

Si on veut une communication sous la forme << Vincent.zone.com >> il faut maintenir la base DNS <<à la main>>. Autre possibilité, fixer la durée des baux à << illimitée >> dans le DHCP (mais c'est pas recommandé.

L'utilisation de DHCP permet d'être sûr que toutes les machines ont des adresses IP différentes, d'une part, et, d'autre part, d'ajouter de nouvelles machines sans avoir à connaître la liste de toutes les adresses déjà attribuées.

Part III
RÉSEAU : NOTIONS FONDAMENTALES
(NETWORKING ESSENTIALS)

Chapitre 26   TYPES DE RÉSEAUX

Lundi 24 juillet 2000

NB : il peut exister des serveurs de test pour tester les sauvegardes et s'assurer de la fiabilité des bandes.

Structure de réseau

S'il y a des sites éloignés, qui se connectent par ligne téléphonique, il peut être intéressant d'y mettre un CSD qui authentifiera les stations de travail et qui se synchronisera lui par ligne téléphonique (au lieu que ce soit les stations qui se connectent).

Le CPD et les CSD gèrent la SAM (Security Account Manager) qui définit l'authentification et délivre le jeton aux utilisateurs.

La machine locale gère l'ACL (Access Control List) qui détermine les droits sur la ressource partagée. Pour cela, l'ACL lit le jeton.

26.1   Topologies

NB
: un répéteur ne peut, en pratique, régénérer le signal que pour une dizaine de machines.
Au-delà, pour des centaines et des milliers, il faut un hub actif.
NB
: la plupart des hubs permettent la connection de câbles de formats différents.

Chapitre 27   CÂBLES ET CÂBLAGES

Livre, page 67

27.1   Types de câbles

Co-axial,
fin ou épais. Brin central, gaine isolante, blindage, gaine extérieure. Connecteurs de type BNC. Impédance 50 Ohms. famille RG-58 U (brin à un fil), famille RG-58 AU (brin central torsadé).
Co-axial
fin (6 mm) 10 base2 : max 185 mètres sur 1 segment et 925 au total. (règle de 5/4/3). 30 ordinateurs par segment
Co-axial
épais (12 mm) 10 base5 : max 500 mètres sur un segment, 2 500 mètres au max (règle des 5/4/3). 100 ordinateurs par segment.
Connecteur de type transceiver pour la connection aux ordinateurs, avec prises DB25.
Débit : 100 Mb/s au max.
Paires
torsadées  :
UTP non blindée, STP blindée
Connecteurs de type RJ-45
10 BaseT
: 100 mètres. Catégories 1 à 5, de 4 à 100 Mb
Fibre optique
: Distance 2 000 mètres par segment. De 100 Mb à >1Gb.
Câblage IBM
: voir pages 71 et sq.
FAIRE TABLEAU

27.1.1   Bande de transmission

Bande de base
: transporte un signal numérique, bi-directionnel, à impulsions discrètes.
Bande large
: analogique, unidirectionnel, impulsions continues. Il faut deux canaux pour faire du bi-directionnel.

27.2   Les cartes réseau

Les cartes transforment les données parallèles en données sérielles.

Les cartes possèdent une adresse unique appelée adresse MAC, fournie par l'IEEE.

Chaque périphérique sur un ordinateur s'adresse au micro-processeur via une IRQ.

Plus l'IRQ est faible, plus la priorité d'accès au micro-processeur est élevée.

 

IRQ 2   écran

IRQ 3   com 2 & 4

IRQ 4   com 1 & 3

IRQ 5   LPT2 ou son

IRQ 6   disquette 3 1/2

IRQ 7   LPT1

IRQ 8   horloge temps réel

IRQ 9   réservé

IRQ 10  IDE 1

IRQ 11  IDE 2

IRQ 12  souris PS/2

IRQ 13  co-processeur arithmétique

IRQ 14  contrôleur SCSI 1

IRQ 15  contrôleur SCSI 2

27.2.1   Entrées/sorties

Par exemple , carte réseau 300 à 30F, 310 à 31F

La carte réseau est généralement affectée à l'IRQ 5.

Cf, aussi la zone mémoire réservée par la carte réseau pour stocker ses informations.

Il faut lui affecter un zone mémoire libre. Chaque périphérique a besoin de la sienne.

Certaines cartes n'en ont pas besoin car elles ont une mémoire intégrée.

On trouve aussi des cartes munies d'un micro-processeur.

La carte réseau est un goulet d'étranglement potentiel.

27.3   Architectures de bus

ISA

EISA

MCA

PCI

27.4   Normes de connecteurs

RJ-45

BNC

AUI 15 broches

Chapitre 28   MÉTHODES D'ACCÈS

28.1   Les principales méthodes d'accès

CSMA/CD
: détection de collision. Méthode dite de <<contention>>. Pas efficace > 2500 mètres. Utilisé dans les configurations Ethernet.
CSMA/CA
: évitement de collision. Méthode de contention. Réseaux Apple. Plus lent que le précédent.
Jeton
: un jeton circule, lorsqu'il est libre, l'ordinateur l'utilise pour émettre. C'est un jeton logique, pas un circuit en anneau physique.
Priorité à la demande
: utilisé dans les normes Ethernet 100 Mb/s. Emis vers les concentrateurs. C'est une méthode à contention. C'est le concentrateur qui décide de la priorité et qui dirige vers le destinataire. Ce n'est pas du broadcast. Utilisé dans les réseaux 100baseX.

28.2   L'envoi des données : trames et paquets

Livre p. 131

28.3   Les normes

802.3 Ethernet.
En bande de base (numérique), méthode CSMA/CD. vitesse 10 Mb/s
[t]0.50 10baseT
100 m/segment
longueur mini 2,5 m
connecteur RJ45
concentrateurs multi-port
câbles UTP ou STP
1024 ordinateurs au total

[t]0.50 10base2
185 m/segment
longueur mini 2.5 m
co-axial fin
règle des 5/4/3
30 ordinateurs par segment

[t]0.50  
10base5
500 m max/segment
longueur mini 2.5 m
50 m maxi ordi <-> concentrateur
co-axial épais
règle des 5/4/3
total max 2500 m (5 x 500 m)
100 ordinateurs par segment

[t]0.50 10baseFL
fibre optique
bande de base
segment max 2000 m




802.12 -> Norme à 100 Mb/s.
Conjuge le TokenRing et Ethernet
[t]0.50 100VG-AnyLAN
topo étoile
câbles : paires torsadées 3, 4 & 5 ou fibre optique
priorité à la demande
filtrage de trames
tous les PC sont reliés à un concentrateur
distance max entre PC et concentrateur 250 mètres

[t]0.50  
100baseX ou Fast Ethernet (voir page 145)
bus en étoile, méthode CSMA/CD

100baseT4 (4 paires torsadées)

100baseTX (2 paires torsadées)

100baseFX(fibre optique, 2 brins)




Voir tableau page 147
802.5 -> TokenRing
bande de base
méthode du jeton (sans contention)
câblage : paires torsadées type IBM 1,2 ou 3
vitesse 4 ou 16 Mb/s
topo : en étoile, avec anneau logique dans le concentrateur
72 ordinateurs par segment avec câble non blindé (UTP)
260 ordinateur par segment avec câble blindé (STP)
8 ordinateurs par concentrateur
33 concentrateurs par anneau (donc en théorie : 8 x 33 = 264 ordinateurs, en fait,donc, 260)
Les concentrateurs sont appelés aussi MSAU, MAU, SMAU
Distance max entre ordi et concentrateur : 46 mètres
Distance max entre concentrateurs : 152 mètres
Les concentrateurs sont reliés entre eux par des câbles IBM de type 6.
Les connecteurs sont spécifiques.

802.4 -> Arcnet :

Technologie à passage de jetons, pour petits réseaux.

Voir tableau résumé page 174

Chapitre 29   LES SYSTÈMES D'EXPLOITATION RÉSEAU

Mardi 25 juillet 2000

Livre Chapitre 4.

On passe à pieds joints, car on est censé connaître...

Chapitre 30   LES NORMES RÉSEAUX

Chapitre 5, page 215

30.1   Modèle OSI

Les paquets sont transmis d'une couche à l'autre et on ajoute de l'information à chaque passage de couche (de haut en bas). Dans le sens inverse les couches sont <<effeuillées>> au fur et à mesure. Cf. schéma page 224

Correspondance modèle OSI <-> modèle Windows NT
Modèle OSI Modèle Windows NT
Application  
Présentation pilotes de système de fichier
Session  
   
Transport  
Réseau protocoles de transport (NetBEUI, NWLink, TCP/IP)
   
   
Liaison  
Physique pilote de carte réseau (NDIS, Ethernet, TokenRing)

 

Norme 802

Elle est une amélioration du modèle OSI.

Notamment, elle divise la couche liaison en 2 : LLC et MAC.

Application  
Présentation  
Session  
Transport  
Réseau  
  LLC
Liaison  
  MAC (pilote de carte réseau)
Physique  

 

Normes à retenir pour l'examen page 231

802.3

802.4

802.5

802.6

802.8

802.11

802.12

Les couches OSI <-> Les couches Internet
OSI Internet
Application  
Présentation Application
Session  
   
Transport Transport
   
Réseau Internet
   
Liaison LLC  
Liaison MAC Réseau
Physique  

Chapitre 31   PROTOCOLES RÉSEAUX

31.1   Les protocoles liés à TCP/IP

31.1.1   Niveau application

SMTP
pour la messagerie électronique
FTP
pour le transfert de fichiers entre ordinateurs utilisant TCP/IP
SNMP
pour la surveillance des réseaux

31.1.2   Niveau transport

TCP
 
UDP
 

31.1.3   Niveau Réseau

IP
 

Chapitre 32   CONNECTIVITÉ

Livre chapitre 7, page 279

32.1   Matériels de connectivité

Répéteur
: régénère le signal. Sert à relier deux segments de même protocole. Sert aussi à connecter deux segments ayant des câbles différents (par exemple du fin à épais, du coax épais et de la paire torsadée). Agit au niveau de couche physique
Pont
: même caractéristique que le répéteur. Sert en général à relier plusieurs segments (plus de 2). Agit au niveau de la couche liaison. Laisse passer les paquets de broadcast. Est capable de faire de la trame dirigée grâce à la table de routage qui contient les adresses MAC des ordinateurs. Un pont ne connaît pas le protocole utilisé par les paquets. Il fait du filtrage, il est capable de déterminer vers quel segment diriger le paquet (grâce à la table de routage).
Routeur
: contient une table de routage qui contient les adresses réseau, i.e. les adresses des segments qui lui sont connectés. Il ne connaît pas les adresses des ordinateurs (adresses MAC des noeuds). Ne laisse pas passer les messages de broadcast. Le routeur ne sait pas voir au-delà d'un autre routeur.
Plus lent qu'un pont. Il peut utiliser plusieurs chemins pour accéder à une adresse donnée. Il les calculent selon des algorithmes prenant en compte soit la distance (RIP) soit l'état des connections (OSPF).
On peut filtrer, à la main, des adresses lorsque le routeur est dynamique (table de routage créée dynamiquement).
Un routeur peut relier des réseaux utilisant des architectures différentes (Ethernet et Token Ring par exemple), à condition que les paquets puissent être traduits.
Ponts routeurs
: sert de pont pour un protocole, et de routeur pour les autres. Par exemple, si on veut que NetBEUI (qui n'est pas routable) puisse franchir le pont-routeur.
Passerelle
: permet de traduire les données pour se relier à des réseaux de protocole et d'architecture différents utilisant des formats très différents (là où la traduction des paquets que pourrait assurer un routeur n'est plus suffisante).
En gros, lorsque le réseau à atteindre ne fonctionne pas sous système d'exploitation Microsoft.
Elles peut utiliser les 7 couches du modèle OSI pour faire leurs traductions. C'est lent.
C'est souvent installé sur un ordinateur.

32.2   Services de connectivité

32.2.1   Le système RAS

Utilise TCP/IP

Protocoles SLIP, PPP, PPTP (ce dernier est sécurisé par kryptage)

Connection à distance sur un serveur via une ligne téléphonique

32.2.2   Les liaisons télécom

32.2.2.1   Liaisons analogiques :

Lignes RTC
 
Lignes dédiées
 

32.2.2.2   Liaisons Numériques

T1
(1.5 Mb/s)
T3
(45 Mb/s)
DDS
(2.4, 4.8, 9.6 ou 56 Kb/s)
56 Commuté
 

32.2.2.3   Système à commutation de paquet

Les paquets n'empruntent pas un chemin fixe. Rapide et efficace, facturation sur le débit effectivement envoyé. Utilise en général des circuits virtuels.
Deux catégories de circuits virtuels :

- circuits virtuels commutés : la route est établie le temps de la connection

- circuits virtuels permanents : on ne paie qu'en fonction de l'utilisation de ligne (à la demande, c'est la différence avec la ligne louée qui se paie au forfait).

Contrôle de flux, contrôle d'erreur, accusés de réception

Paiement à la demande

32.2.2.4   Systèmes <<avancés>>

X25
: réseau à commutation de paquet. Nécessite un PAD (un espèce de modem spécialisé) pour transmettre les informations au format X25
Relais de trame
: technologie à commutation de paquet. Format << simplifié >> du X25. Utilise des lignes dédiées entre le réseau et le commutateur. Nécessite un matériel spécifique. Système <<point à point>>.
Utilise un circuit virtuel permanent.
ATM
: 155 à 622 Mb/s. Système à bande large, analogique donc, transmet des paquets de taille fixe de 53 octets.
Supporte le multiplexage : plusieurs ordinateurs peuvent envoyer des données en même temps, à la différence des réseaux habituels, où un seul ordinateur peut expédier des données à la fois.
RNIS
2 possibilités :
2 canaux <<B>> à 64 Kb/s + 1 canal D à 16 Kb/s
23 canaux <<B>> à 64 Kb/s + 1 canal D à 64 Kb/s
FDDI
: réseau en fibre optique de type anneau à jeton (avec la variante <<beaconing>>). Utilise 2 anneaux pour la tolérance de panne. Taille maximum : 200 km et 1 000 ordinateurs. Avec les deux anneaux ça laisse évidemment 100 km et 500 ordinateurs. Un répéteur tout les 2 km (lié à la technologie des fibres optiques).
NB : malgré son type anneau à jeton, il n'est pas identique au réseau Token Ring décrit dans la norme 802.5.
SONET
: sur fibre optique. Vitesse de base : 51.84 Mb/s. On peut avoir une bande passante qui soit un multiple entier de cette vitesse de base. Par exemple STS-3 vaut 3 fois le débit de base (3 x 51.84 = 155.52 Mb/s), STS-12, véhicule 12 fois le débit de base : 12 x 52.84 = 622.08 Mb/s)

Part IV
TCP/IP

Chapitre 33   HISTORIQUE

Mercredi 26 juillet 2000

Passons, passons...

33.1   Les acteurs d'Internet

L'Internet Society (ISOC)

L'Internet Architecture Board (IAB), qui dépend du précédent, et qui gère d'autres structures chargées de fonction particuliers.

Communication par l'intermédiaire de RFC. Les RFC sont classées en 5 niveau. Le niveau << Obligatoire >>¨ correspond à une norme, qui possède elle-même 3 << niveaux de maturité >> (du + petit au + grand) : norme proposée, norme brouillon ou ébauche de norme, norme Internet.

Les RFC ne sont jamais mises à jour. Un nouveau numéro remplace l'ancien.

Chapitre 34   PRÉSENTATION DE TCP/IP

34.1   Utilitaires TCP/IP

FTP
: transfert bidirectionnel de fichiers entre 2 ordinateurs. L'un doit être configuré en serveur, l'autre en client. Basé sur TCP
TFTP
: idem, mais basé sur UDP
RCP
: copie de fichiers entre NT et Unix
Telnet
: émulation de terminal. Permet de se connecter à un serveur et d'avoir un accès à lui.
RSH
: (remote shell) sert à exécuter les commandes sur un hôte Unix
REXEC
: pour exécuter à distance des fonctions
LPR
: permet de lancer l'impression sur un hôte distant
LPD
: dameon d'impression
LPQ
: gestion des files d'impression
PING
: pour joindre les hôtes distants afin de tester le fonctionnement
IPCONFIG
: donne l'état de la configuration et la masque adresse
NSLOOKUP
: permet de tester les entrées de la base de données DNS
FINGER
: donne les informations sur un ordinateur distant (s'il a lui-même finger)
HOSTNAME
: info sur la machine
NETSTAT
: info sur les connections TCP/IP
NBTSTAT
: informe sur les noms NetBIOS
ROUTE
: pour afficher et modifier la table de routage
TRACERT
: équivalent de traceroute sous Unix (donne le chemin au travers des routeurs)
ARP
: donne l'état du cache concernant la résolution des adresses IP en adresses MAC

Chapitre 35   INSTALLATION DE TCP/IP

Via Réseau->services->protocoles et ajouter. On peut configurer son adresse IP ici (en statique ou dynamique)

On trouve dans Winnt -> System32->Drivers->etc des fichiers tels que hosts et lmhosts qui servent à la résolution des noms NetBIOS et IP

Les technologies compatibles

Sur ligne série (y compris les lignes téléphoniques de tous types) avec SLIP ou PPP.

35.1   Exercice

On installe TCP/IP (adresse, masque et adresse passerelle)

On vérifier ensuite grâce à IPCONFIG et PING (sur localhost et sur sa propre adresse) puis PING sur la passerelle, puis enfin PING vers un hôte distant.

PING utilise ICMP qui fonctionne dans la couche internet (réseau)

NB
: pour savoir si le service pack est installé, aller dans Menu Outil->diagnostic Windows NT
En client DHCP : on peut faire un ipconfig /release puis ipconfig /renew pour renouveler son adresse IP

Moniteur réseau : permet de capturer les trames locales. Si on l'a pas, il faut installer le service agent et client moniteur réseau dans panneau de configuration->réseau->services.

Chapitre 36   LA SUITE DE PROTOCOLES TCP/IP

Livre chapitre 3, page 27

Le modèle TCP/IP est un modèle à 4 couches (on peut faire une correspondance avec les 7 couches OSI).

36.1   Les protocoles

36.1.1   Les protocoles de la couche Internet

IP
adressage et routage des paquets
ARP
résolution des adresses IP en adresses MAC
ICMP
sert à résoudre les erreurs
IGMP
sert à faire du multicast

36.1.2   Les protocoles de la couche transport

TCP
sécurisé avec accusé de réception
UDP
pas sécurisé

36.1.3   Les protocoles de la couche application

FTP, Telnet, SNMP, DNS...

TCP/IP supporte NetBIOS et les WinSockets qui assurent l'interface avec la couche application. Cf schéma page 27

jeudi 27 juillet 2000

36.2   Détails des protocoles

36.2.1   Protocoles de la couche Internet

ARP
Il broadcast l'adresse IP afin d'avoir la réponse et donc la correspondance entre cette adresse et l'adresse MAC correspondante.
La résolution s'appelle aussi <<mappage>>
(R-ARP permet d'associer une adresse MAC à un adresse IP n'est pas supporté par NT.)
Fonctionnement d'ARP :
D'abord, il cherche dans son cache, s'il ne trouve pas, ARP fait un broadcast local. Lorsqu'il obtient une réponse, il  la stocke dans un cache. La durée de vie du cache est limité.(sauf avec ARP -S qui rend le cache permanent jusqu'à l'arrêt de la machine). Il existe dans la base de registre une clé ARP_CACHE_LIFE qui permet d'augmenter la durée du cache ARP.
S'il n'obtient pas une réponse locale, il cherche, dans son cache, l'adresse de la passerelle. S'il ne la trouve pas, (c'est donc pas une adresse locale) il faut un broadcast pour obtenir l'adresse MAC de la passerelle.
ARP transmet sa requête au routeur.
Si le routeur a l'adresse destinataire dans son cache, il transmet le paquet au destinataire.
Si le routeur détermine que le destinataire n'est pas dans les segments qui lui sont connectés, il envoie lui-même vers un autre routeur.
Si le routeur détermine que l'adresse est sur un des segments qu'il connait (grâce à l'adresse réseau de l'hôte destinataire), il fait une requête ARP par diffusion. Une fois la réponse obtenue, il envoie un message ICMP (demande d'écho) à l'envoyeur (dont il connaît l'adresse puisqu'elle est indiquée dans le paquet).
IGMP
C'est la diffusion multicast : un groupe (plusieurs machines) bénéficie d'une adresse unique. Cela permet d'envoyer un paquet une seul fois, même lorsqu'il est destiné à plusieurs destinataires.
C'est beaucoup utilisé pour diffuser de la voix ou de la vidéo.
ICMP
C'est utilisé pour les messages d'erreurs et d'information
Messages ICMP Source Quench
C'est un type de message envoyé par un routeur qui indique qu'il a tendance à être saturé et qui demande aux ordinateurs de ralentir leur flux d'envoi de données (ce protocole est supporté par les routeurs du commerce, mais pas par un ordinateur qui jouerait le rôle de routeur).
IP
Il ajoute des informations aux paquets transmis par la couche transport
IP sur le routeur
Décrémente la TTL
Segmente les paquets lorsque c'est nécessaire (met un drapeau, un id de fragment, un offset de fragment)
Effectue un nouveau <<total de contrôle>>, i.e. checksum
Obtient l'adresse matérielle du routeur suivant

36.2.2   Protocoles de la couche transport

TCP
voir page 47
Protocole en mode connecté (via les sockets, cf. ci-dessous). Pour communiquer, il doit avoir obtenu une réponse de la machine distante.
Cela permet d'envoyer des <<accusés de réception>> donc de fiabiliser les transferts.
TCP envoit les données et indique que d'autres vont suivre. Le récepteur sait alors s'il a reçu la totalité des infos qui lui étaient destinées.

36.3   Établissement des canaux de communication

Les ports
: il y en a 65 536. Les 1 024 premiers sont réservés, attribués à des applications et des protocoles fixes.
Socket
: association d'un service et d'un port et d'une adresse IP. Est créée par l'application.
En général, le port identifié est utilisé en émission. Le récepteur, lui, attribue un numéro de port aléatoire à son point d'entrée, pour éviter les risques de piratage ; par exemple, les serveurs Web émettent sur le port 80. Lorsqu'on se connecte à un serveur Web, il n'utilise pas nécessairement le port 80 pour recevoir les demandes, mais un port attribué aléatoirement entre 1025 et 65536. Ce numéro de port est communiqué au demandeur qui connait ainsi la socket du récepteur.
NB : un processus similaire existe avec la technique des << canaux nommés >>. Mais les canaux nommés sont esentiellement utilisés par les systèmes d'exploitation.
Établir une connection via les sockets : ça se fait en 3 étapes, voir page 49.
On a un ack pour chaque paquet. Si le paquet est altéré le récepteur envoie un N-ack (non aknoledgment). S'il n'a pas reçu le paquet, il ne renvoie rien (et pour cause...), l'émetteur réexpédie alors le paquet.
Notion de fenêtre glissante, page 50. En fait la fenêtre glissante est une mémoire temporaire, de type <<buffer>>(mémoire tampon) qui sert à attendre l'ack pour le ou les paquets transmis. Cette taille de fenêtre est paramétrable. Plus la fenêtre est grande, plus le nombre de paquets transmis à la fois augmente. L'ordinateur récepteur renvoie un ack (ou N-ack) par paquet ou tranche de 2 paquets adjacents.
Il existe aussi, défini du côté client, une horloge de retransmission qui fixe le temps d'attente.
La même fenêtre glissante existe du côté client.
L'usage de la fenêtre glissante permet de diminuer le délai d'attente et de minimiser le traffic réseau. Mais une taille de fenêtre trop grande pose aussi des problèmes.
UDP
Mode non-connecté
Ne gère ni les numéros de section ni les ack.
C'est donc l'application qui gère la fiabilité
Le port UTP fonctionne comme une file d'attente de messages multiplexés : il peut recevoir plusieurs messages à la fois.

Chapitre 37   L'ADRESSAGE IP

Livre, page 55.

Il est assuré par le protocole IP.

L'adresse IP est constituée d'un id de réseau et d'un id d'hôte.

Exple : la rue représente le réseau, chaque maison dans la rue correspond à l'id hôte. Voir page56

Elle est sur 32 bits, 4 octets (1 octet = 8 bits, donc 8 x 4 = 32 bits).

37.1   Les classes d'adresses

  Plage du 1° octet Nbre de réseaux possibles Nbe d'hôtes par réseau Masque par défaut
Classe A 1 -126 126 16 777 214 255.0.0.0
Classe B 128 - 191 16 384 65 534 255.255.0.0
Classe C 192 -223 2 097 152 254 255.255.255.0
Classe D réservée au multicast    
Classe E réservée aux essais des organismes de l'Internet  

Adresse de bouclage : 127.0.0.1

Adresse de type 0.x.y.z = veut dire, <<cet hôte>>

Adresse de type w.x.0.0 veut dire <<ce réseau>>

Adresse de type w.x.y.255 veut dire <<tout le monde sur le réseau>> = diffusion, broadcast

Donc, on n'utilise pas 0, pas 127, pas 255

Pour déterminer une adresse de réseau, on fait un AND entre le masque et l'adresse IP.

On fait ensuite un AND entre le masque de sous-réseau du demandeur et l'adresse IP du demandé.

Si le résultat du AND entre le demandeur et le demandé est différent, c'est que le demandé n'est pas dans le même segment.

NB
: attribuer plusieurs adresses de passerelles : panneau de config->réseau->onglet protocole->case avancée
NB
: on peut affecter plusieurs adresses IP à la même carte réseau à condition de donner un masque de sous-réseau différent.
NB
: lorsqu'il y a des conflits d'IP, le masque de sous-réseau apparaît à 0.0.0.0

37.2   L'adressage IP version 6

Voir page 73.

C'est un adressage sur 128 bits.

vendredi 28 juillet 2000

Chapitre 38   ADRESSAGE DE SOUS-RÉSEAUX

Livre, chapitre 5.

38.1   Principe de l'adressage de sous-réseaux

Cela n'est utile que pour les réseaux connectés à l'Internet.

Imaginons que l'Internic nous ait attribué un réseau 190.10.0.0 : on peut adresser 65 534 hôtes.

Mais, on va faire un adressage de sous-réseaux afin de segmenter ce qu'on m'a attribué.

Mon masque est, obligatoirement de la forme 255.255.A.B. Par défaut A=B=0. Cela donne comme masque 255.255..0.0

Si pour les bits restants, si j'utilise autre chose que 0, j'aurai un sous-réseau. Cela me permet d'identifier des segments séparés par un routeur.


W            X Y                       Z
|__ id de réseau__| ^ Ici, on prend une partie des
      octets réservés à l'id d'hôte
      afin de définir un sous-réseau




Exemple, si on prend 3 bits à Y pour le sous-réseau, il en reste 13 (16 - 3) pour identifier les hôtes. Il reste donc [(2 13 ) -2] hôtes possibles.

Plus il y a de sous-réseaux moins il y a d'hôtes possibles par segment.

Le fait de <<prendre>> des octets pour identifier les sous-réseaux modifie le masque de sous-réseau afin d'indiquer cela.

38.1.1   En pratique, détermination du masque de sous-réseau

Exemple A : Je veux créer 12 sous-réseaux

  1. Détermination du nombre de bits nécessaires à l'adressage de mes sous-réseaux
    2x-2<nbe  de  sous  réseaux  voulus>2x+1-2
    16-2<12>32-2 soit :
    24<12>25
    Il me faut donc 5 bits
  2. Je les reportent au début du masque de sous-réseau, sur les bits de poids fort : les plus à gauche des 16 qui me restent.
    Donc au départ, en binaire,mon masque est :
    1111111.11111111.00000000.00000000
    Mon masque sera désormais
    11111111. 111111111. 11111000. 00000000
           en rouge, j'ai les 5 bits de poids fort.
    11111000 = 248 (valeur de Y)
  3. Mon masque de sous-réseau sera, en décimal : 255.255.248.0
NB
: on peut pas prendre un seul bit de l'id d'hôte pour créer un sous-réseau, il en faut 2 au minimum

38.1.2   ID des sous-réseaux

voir page 90

  1. Pour déterminer les valeurs possibles pour les id des sous-réseaux, je prends le nombre de bits de poids fort utilisés pour définir le masque de sous-réseau.
    Dans l'exemple A c'est 5. On prend le bit de poids fort le plus à droite.
    Ainsi, pour 5 bits : 11111000
    On considère à partir du chiffre en rouge : 1000.
    Il vaut 8, c'est qu'on appelle l'incrément. Les adresses de sous-réseau commencent donc à 8 et croissent par incrément de 8 jusqu'au maximum de 248 exclu.
    Les plages de sous réseau sont donc : 8, 16, 24, 32, 40, 48, 56, 64, 72, 80, 88, 96, 104, 112, 120, 128, 136, 144, 152, 160, 168, 176, 184, 192, 200, 208, 216, 224, 232, 240
    Donc :
    Premier sous-réseau W.X.8.z à W.X.15.z (z variant de 1 à 254)
    Deuxième sous-réseau W.X.16.z à W.X.31.z
    Troisième sous-réseau W.X.32.z W.X.39.z
    etc...
Adresses IP d'hôtes

En reprenant les valeurs de l'exemple précédent :

dans le premier sous-réseau : W.X.16.1 à W.X.31.254

dansle deuxième sous-réseau : W.X.32.1 à W.X.47.254
Exemple B

Si le nombre de bits dépasse les 8, on peut commencer à empiéter sur les bits du Z.

Imaginons qu'il me faille 300 sous-réseaux. En binaire ça donne :100101100. Il me faut 9 bits pour l'écrire.

Mon masque devient :

11111111. 11111111. 11111111. 10000000

|___ ID rézo ___|  ^ à partir de là, je mets mes 9 bits, de la gauche vers la droite

Donc traduit en décimal, mon masque devient :

255.      255.         255.       128

Rappel
: le nombre d'hôtes possible est fonction du nombre de bits restant pour les identifier.
Dans ce dernier exemple, il me reste 7 octets pour identifier mes hôtes. Je peux donc avoir 27-2=126 hôtes possibles.
Exemple sur une adresse de Classe C

Soit un réseau d'adresse 192.13.10.0, avec un masque par défaut de 255.255.255.0

J'ai besoin de 2 sous-réseaux.

Je prends 2 bits sur l'octet de l'ID d'hôte :

W.X.Y.11000000

La valeur de 11000000 est, en décimal : 192.

Mon masque de sous-réseau sera alors : 255.255.255.192

Incrément : je prends

11000000

 ^ et je considère à partir du chiffre à droite : 1000000 = 64

J'aurai donc deux sous-réseaux :

ID de sous-réseau ID d'hôte
  192.13.10.65
192.13.10.64 à
  192.10.127
   
  192.13.10.129
192.13.10.128 à
  192.13.10.191

RAPPELS

Nbe d'hôtes par segment (par sous-réseau) :

2nb  de  bits  restants  pour  l'adressage  de  l'ID  d'hote-2

Par exemple pour l'exemple B, j'aurai 28-2 hôtes possibles par segment : 254

Pour l'exemple A, j'aurai 24-2 = 30 hôtes par segment (par sous-réseau)

38.2   Adressage de sur-réseau

Vendredi 28 juillet

On prend les id de l'octet identifiant les segments, on prend les octets communs (ceux qui sont dans la même colonne quand on les disposent en colonne). On met les bits à 1 pour chaque colonne. Ca donne un chiffre binaire qui sert à déterminer le masque de sous-réseau associé à l'adresse IP du routeur.

Cela n'est utile que pour les réseaux connectés à l'Internet.

Chapitre 39   ROUTAGE IP

Lundi 31 juillet 2000. Livre chapitre 6, page 107.

39.1   Principe

Si IP détecte que l'adresse de l'hôte n'est pas sur le segment local (AND sur les deux adresses et leurs masques), un routage est déclenché.

NT est capable de détecter les passerelles inactives, et, donc, de s'adresser à(aux) autre(s) passerelle(s) par défaut.

Le minimum, pour le routage, c'est d'indiquer les adresses de passerelles par défaut.

39.2   Les tables de routage, routage statique et routage dynamique

Elles sont contenues dans le routeur.

Différence entre statique et dynamique : le routeur statique a une table de routage maintenue << à la main >> ; dans un routeur dynamique, le routeur commique avec les autres routeurs pour s'échanger des informations et mettre à jour sa table de routage.

Les protocoles de routage principaux sont : RIP (Routing Information Protocol) et OSPF (Open Shorter Path First). RIP est supporté en natif par NT, ce qui permet de transformer un ordinateur NT server en routeur dynamique. C'est ce qu'on appelle un ordinateur multi-résident.

Ce type de config est réservée à des petits réseaux utilsant au maximum 2 routeurs.

Routage statique

Entre deux routeurs statiques, on peut éviter de maintenir les tables de routages en n'entrant dans chacun des routeurs que les adresses des passerelles de l'autre routeur. On ne fait cela que pour deux routeurs statiques maximum, car au-delà, ça ne marche plus.

S'il y a plus de 2 routeurs, et si au moins un est un routeur statique, on est tenu d'établir une table de routage sur les routeurs.

Construction d'une table

Adresse de réseau puis Masque puis Adresse de Passerelle (sous forme IP ou sous forme de nom)

Pour entrer un nom de réseau au lieu de son adresse IP on doit utiliser le fichier Nethosts qui donne la correspondance entre un nom et une adresse de réseau.

On peut voir la table de routage à l'aide de la commande route print

On peut la configurer à l'aide de route add

Mais la table de routage est conservée en mémoire et disparaît donc à l'extinction. Il faut donc la stocker sous forme d'un fichier en utilisant le commutateur "p" : route -p add [paramètres]

Voir syntaxe de route page 115.

Sur un ordinateur, la gestion des tables de routage ne présente que peu d'intérêt. Cette configuration se fait évidemment sur le routeur.

Routage dynamique

On l'obtient en installant le protocole RIP (fourni, mais pas installé tout seul)

Il suffit d'installer les protocoles et tout se fait automatiquement...

Attention : RIP ne supporte pas plus de 15 routeurs (15 sauts)

Les routeurs échangent des informations toutes les 30 secondes

Les routes sont stockées 3 minutes.

Ces échanges prennent du temps et bouffent de la bande passante.

Routage hybride

Si l'ensemble des routeurs contient un routeur statique, il faut renseigner toutes les tables de routage de tous les routeurs. Voir page 121

NB
: on devient routeur statique, en allant sur Réseau->TCP/IP->Routage en cochant la case routage IP.
NB
: on peut attribuer plusieurs adresses IP à une même carte si on ne veut pas installer plusieurs cartes sur un ordinateur servant de routeur (ordinateur multirésident).
NB
: les ports concernés sont les ports UDP 67 et 68.

Chapitre 40   DHCP

40.1   Principe

Permet d'affecter des adresses IP à des ordinateurs demandeurs ainsi que le masque de sous-réseau.

L'adresse de passerelle est optionnelle.

Pour cela, il faut qu'on désigne un ordinateur du segment comme serveur DHCP. Si il n'y a pas de serveur DHCP sur le segment,on peut installer un relais DHCP sur le routeur.

Le relais DHCP doit connaître l'adresse du serveur DHCP. Cela lui permet de s'adresser directement au serveur DHCP (donc de passer le routeur) et de relayer l'offre de bail vers le demandeur.

Cela s'utilise lorsqu'on ne veut pas ouvrir les ports UDP 67 et 68 du routeur (pour éviter de laisser passer de la diffusion). L'agent relais doit avoir une adresse IP fixe (ou réservée).

40.2   Le bail

L'attribution d'une adresse IP a un client s'appelle un bail.

40.2.1   4 phases pour l'obtention du bail :

  1. Le demandeur émet un DHCP discover par diffusion. Il indique son adresse MAC, une adresse IP en 0.0.0.0 et un masque en 25.255.255.255
  2. Le serveur renvoit un DHCP offer par diffusion. Il envoie une offre d'adresse IP et un masque ainsi qu'un masque
  3. Le client reçoit un DHCP offer. Il renvoit par diffusion (afin d'avertir les autres serveurs DHCP) l'adresse IP qu'il accepte ainsi que l'adresse du serveur DHCP qui lui a fait la proposition.
  4. le serveur renvoit un DHCP ACK (aknoledgment = accusé de réception). Avec adresse, masque, durée du bail et les éventuelles options DHCP telles que adresse de passerelle par défaut.

40.2.2   Renouvellement du bail

Le client réémet, en trame dirigée, un DHCP request à mi-bail. Le bail est renouvelé pour 72 heures ; il y a une mise à jour des options DHCP en cas d'éventuelle modification.

Une machine qui redémarre essaie d'obtenir la même adresse.

Si le serveur ne répond pas, à partir du 7/8° de la durée du bail, le client réémet une demande  pour la même adresse qu'il avait, par diffusion afin de toucher tous les serveurs DHCP. Si il reçoit un N-ACK (l'adresse IP n'est plus libre), il recommence un DHCP discover (il recommence à zéro).

40.3   En vrac

On peut faire des réservations de plage d'adresses.

Le serveur DHCP peut servir pour tous les segments, à condition, s'il y a des routeurs, d'installer un relais DHCP (ou d'ouvrir les ports UDP 67 et 68 du routeur).

Lorsqu'il y a plusieurs serveurs DHCP, il ne faut pas qu'ils << se marchent sur les pieds >>. Leurs plages d'adresses IP doivent être différentes.

40.4   2 serveurs DHCP en tolérance de panne

S'il y a deux serveurs DHCP, on crée plusieurs étendues. Règle de 75% - 25%. Le serveur possède dans sa deuxième plage, 25 % des adresses de l'autre. Dans sa première étendue, il ne propose que 75% des adresses qu'il pourrait attribuer. C'est le deuxième serveur qui propose les 25% manquant.

Et idem pour l'autre...

40.5   Installer un serveur

Ajouter le service dans réseau. Ca ajoute un gestionnaire DHCP dans Démarrer->Programmes->Outils d'administration communs. On utilise le gestionnaire DHCP pour définir les plages d'étendue. C'est là aussi qu'on peut définir les options DHCP qui seront proposées aux clients.

40.5.1   Options essentielles :

003 Routeur
: donne une adresse de passerelle par défaut.
006 DNS
server : donne l'adresse d'un serveur DNS
046 WINS node
type : donne le type de noeud (8 étant le noeud hybride) pour la résolution des noms NetBIOS
044 WINS server
: donne l'adresse d'un serveur WINS
047 NetBIOS scope ID
: ?
Certaines options peuvent être définies pour tout un segment, pour l'ensemble de l'inter-réseau ou pour une seule machine.

40.6   Localisation des fichiers

Winnt\ System32\ DHCP

Contient la base de données et les journaux des transactions DHCP.

La sauvegarde de la base de données DHCP est automatique toute les 60 minutes. On peut faire une restauration (voir page 155).

NB
: pour modifier une plage d'étendue, il faut d'abord la détruire puis la recréer.

Chapitre 41   RÉSOLUTION DES NOMS NETBIOS

Travaille au niveau session et liaison.

La commande nbtstat -n permet de connaître les informations NetBIOS

Il s'établit sur 16 octets, 15 pour le nom et une 16° pour les services qu'il exécute

Ce nom est unique, il est diffusé sur le segment pour l'identification. Eventuellement, il est dirigé vers un serveur de nom NetBIOS.

A l'extinction, le nom NetBIOS est libéré.

41.1   Notion d'étendue d'ID NetBIOS

On va dans l'onglet WINS de réseau pour définir ces étendues.

41.2   Les fichiers

LMHOSTS
: fait un mappage entre le nom NetBIOS et l'adresse IP. Ce sera utilisé pour résoudre les noms NetBIOS
HOSTS
permettent de définir des alias ; il s'agit d'un mappage entre nom de type internet (toto.fr) et les adresses IP.
La diffusion de trame se fait au travers des ports 137 et 138.

41.3   Les résolutions des noms Netbios

B Noeud avancé
: 1) cache, 2) diffusion, 3) LMHOSTS. Cette méthode est propre à Microsoft
Client WINS
: 1) cache, 2) WINS, 3) LMHOSTS, 4) Diffusion. Lorsqu'un serveur WINS est installé

41.4   Résolution de nom d'hôte

Voir chapitre 44, page ??.

Résolution via DNS
: 1) Hostname, 2) fichier Hosts,  3) interrogation du DNS, 4) cache NetBIOS, puis :
S'effectue lorsqu'on a coché activer DNS pour la résolution des noms NetBIOS

Mardi 1 août 2000

41.4.1   Le Fichier LMHOSTS

Fichier de type texte qui référencie les mappages des hôtes distants avec leurs adresses IP.

On met en premier les références les plus fréquentes (le fichier est lu séquentiellement)

Si il y a plusieurs entrées pour une même machine, seule la première sera lue.

Avec le préfixe #PRE, les alias sont chargés directement au démarrage en cache.

Ceux-là sont à mettre en dernier du fichier afin qu'ils ne soient "jamais" lus.

Le préfixe #DOM précise qu'on renseigne un nom de domaine

#Begin_alternate

#include

#end_alternate

Ces trois derniers servent lorsqu'on crée un fichier LMHOSTS centralisé (ça évite d'en mettre un par machine). Voir détails de syntaxe page 174

Il se trouve dans Winnnt\ system32\ drivers\ etc\

La durée de vie dans le cache est de 10 minutes, à condition que l'adresse soit utilisée dans les 2 premières minutes.

41.4.2   Le fichier HOSTS

Sert aux mappages de noms de domaine de type << Nom.Domaine.fr >>

Chapitre 42   SERVEUR WINS

42.1   Principe et définition

Permet d'éviter la diffusion liée au B-noeud. Construit une base de données dynamique.

C'est un serveur de nom NetBIOS. Chaque machine qui s'allume annonce son nom NetBIOS et ses services auprès du serveur WINS. Le nom est attribué pour une durée donnée (en général 6 jours).

Les clients se serviront alors du serveur WINS qui pourra leur donner les adresses IP des machines sur tout l'inter-réseau.

Une machine qui se déconnecte libère son nom auprès du serveur WINS

Les fichiers sont dans : System32\ wins

Un serveur Wins permet des résolutions NetBIOS au travers des routeurs.

Ca permet de constituer la liste du voisinage réseau.

Utilisation du port UDP 137 entre les ordinateurs.

Voir livre page 183.

La libération du nom n'efface pas le nom de la base de données WINS. Le nom est conservé (6 jours) avec une TTL à zéro (ça veut dire : le nom existe mais il est libre).

D'une manière générale, pour toutes ces transactions, lorsqu'elles échouent, on continue par une diffusion puis on cherche dans LMHOSTS puis HOSTS puis le DNS.

Le serveur Wins bénéficie du multiprocesseur.

ATTENTION
: s'il y a des clients non-wins dans le réseau, personne, parmi les clients Wins ne pourra le contacter. Ce client non-wins doit être rajouté <<à la main>> dans la base de donnée. Pour cela on utilise Programmes communs->Gestionnaire Wins
Un client non-wins ne peut passer les routeurs sauf à installer un relais proxy Wins.

Ces clients non-Wins sont souvent des portables qui sont susceptibles de changer de segment et de réseau. Il ne faut pas oublier de déclarer UN PROXY WINS. Un proxy Wins est lui-même un client Wins.

On peut configurer le serveur Wins via le gestionnaire DHCP (options globales -> ajouter valeur 044, 046 et 033)

Un serveur Wins doit avoir une adresse IP statique.

Il existe aussi un Gestionnaire Wins.

42.2   Proxy Wins

Pour configurer un proxy Wins, il faut aller modifier la clé

HKEY_LOCAL_MACHINE\ system\ CurrentControlSet\ Services\ NetBT\ Parameters et attribuer la valeur 1 au paramètre EnableProxy. Le relais Wins ne doit pas être le serveur wins.

42.3   Partenaires WINS

Voir livre page 201 et sq.

Attention
: le relais Wins ne permet pas d'inscrire des noms dans la base de données Wins. Il se contente de la consulter. Donc les machines d'un autre segment ne seront pas reconnus par un ordinateur même s'il passe par l'intermédiaire d'un relais WINS.
Pour permettre cette résolution d'un segment à l'autre, il faut ajouter un partenaire au serveur Wins ; les deux partenaires échangeront des informations sur leur segment respectif.

Deux paramètres sont utilisés pour la synchronisation entre les partenaires : le nombre de nouvelles entrées et un intervalle de temps.

Pour une liaison fréquente : on met un nbre d'entrées faible (5 nouvelles entrées) et un intervalle de liaison long (toutes les 24 h)

Pour une liaison moins fréquente : on met un nombre d'entrées élevé (1000 nouvelles entrées) et un intervalle de liaison long (toutes les 12 heures).

Les deux partenaires doivent être configurés en tiré/poussé.

On peut faire une recherche automatique de partenaire de duplication Si le réseau admet le multicast, il émet une diffusion, toute les 40 minutes vers l'adresse 224.0.1.24 pour trouver les autres serveurs Wins sur l'inter-réseau. La synchronisation se fait toutes les heures.

Sauvegarde
: toutes les 24 heures par défaut. Il faut spécifier un répertoire de sauvegarde. On peut aussi faire une sauvegarde manuelle. onpeut enregistrer la clé de registre concernant Wins.
Restauration
: la base de données est scructée au démarrage. Si il y a pb, il y a une réparation automatique. On peut aussi le faire via le Gestionnaire Wins.

Chapitre 43   EXPLORATION ET DOMAINES DANS LES INTER-RÉSEAUX IP

Livre chapitre 10, page 215.

43.1   Principe de l'exploration

Il y a un ordinateur qui joue, pour l'ensemble, le rôle de maitre explorateur. Il établit et distribue la liste d'exploration auprès des explorateurs de sauvegarde. Les clients s'adressent à l'explorateur maître qui renvoie non pas la liste d'exploration, mais l'adresse des explorateurs de sauvegarde.

Le rafraichissement de la liste d'exploration se fait toutes les 12 minutes. La synchro entre le maître et les explorateurs de sauvegarde se fait toutes les 16 minutes. Une machine non vue sera interrogée 3 fois avant qu'on déclare qu'elle est inaccessible. Donc la liste n'est à jour qu'au bout de 36 minutes. Comme en plus, la synchro n'est faite que toutes les 16 minutes, la latence peut être de 52 minutes (36 + 16).

Pour passer les routeurs, le maître explorateur doit être configuré pour utiliser Wins afin de pouvoir communiquer avec les autres segments.

Comme le maître explorateur est désigné par << élection >>, il convient, je suppose, que tout le monde soit configuré pour utiliser Wins. Sinon, si on tombe, par hasard, sur un maître explorateur qui ne pourrait pas utiliser Wins, le voisinage réseau sera incomplet. En fait, on peut contourner cette limitation en utilisant un fichier LMHOSTS. Voir pages 222-223

Avec Wins, on interroge la base Wins. Voir livre page 221

Règle
: sur tous les CSD et tous les CPD on renseigne le fichier LMHOSTS pour que chacun connaisse l'adresse de tous les autres afin qu'ils sachent à qui s'adresser en cas de panne.
NB
: s'il y a un serveur WIns et que tout le monde est client Wins, il n'y a pas besoin de fichier LMHOSTS.

Chapitre 44   RÉSOLUTION DES NOMS D'HÔTES

Livre chapitre 11, page 231.

44.1   Le fichier HOSTS

Certaines applications NTne savent travailler qu'avec les noms NetBIOS

Par défaut, lorsqu'on installe TCP/IP sur Windows NT le nom d'hôte est défini comme étant identique au nom NetBIOS. Mais un nom d'hôte peut être différent de son nom NetBIOS (aliasing).

Ces alias sont référencés dans un fichier HOSTS ; ça permet notamment la compatibilité avec les hôtes UNIX.

La commande HOSTNAME permet de connaitre son propre nom d'hôte.

44.2   Étapes de la résolution des noms d'hôtes :

  1. via HOSTNAME
  2. via le fichier HOSTS
  3. via un serveur DNS
    puis méthode spécifique à Microsoft :
  4. via WINS
  5. via diffusion locale
  6. fichier LMHOSTS
Le fichier HOSTS est l'équivalent du fichier /etc/hosts sous Unix.

Il est conforme aux format BSD (Berkeley Software Distribution)

44.2.1   Format du fichier HOSTS :


adresse IP nom d'hôte commentaire
127.0.0.1 localhost     vincent # un commentaire est précédé d'un dièse




Le fichier HOSTS contient les ordinateurs du même réseau ainsi que les ordinateurs distants. LMHOSTS lui, n'est nécessaire que pour les machines distantes.

Chapitre 45   DNS

Chapitre 12, page 243

Le service DNS s'appuie sur les protocoles UDP et TCP

Les serveurs de noms s'appuient sur une arborescence. Voir page 247.

45.1   Zone d'autorité

C'est un serveur qui gère les noms pour un ensemble de noms d'hôtes. C'est ce qu'on appelle le << domaine racine de la zone >>. La zone peut contenir un ou plusieurs domaines.

Par exemple, une entreprise détermine des sous-domaines CORP, R&D, Marketing.

On aura 3 DNS, 1 pour CORP, 1 pour R&D, 1 pour Marketing.

Le DNS possède dans sa base les mappages entre les noms et les adresses IP. ainsi, évidemment, que les adresses des autres DNS.

On pourrait aussi avoir un DNS pour CORP et R&D et un deuxième pour Marketing.

Cette répartition des tâches permet de décongestionner et d'accélerer le travail de requête.

45.2   Serveur DNS secondaire

On crée aussi des serveurs de noms secondaire pour la tolérance de panne.

Un serveur de nom primaire peut, aussi, être un serveur de nom secondaire pour une autre zone.

Notion de << croisement >> : le serveur principal A est secondaire pour une autre zone B, le serveur B est principal pour la zone B et secondaire pour la zone A.

45.3   Serveur DNS cache

Il existe aussi des serveurs de <<mise en mémoire cache>>. Au démarrage il est vide, il se constitue un cache au fur à mesure des résolutions. C'est utile essentiellement lorsqu'on a des résolutions à faire par l'intermédiaire de liaisons lentes (type téléphone). Voir livre page 251.

45.3.1   Processus

Requête récursive : on fait une requête qui doit absolument renvoyer une réponse (et non pas l'adresse d'un autre serveur DNS). Le serveur DNS fait alors, lui, des requête itératives :

Requête itérative : La demande est répercutée de serveur en serveur jusqu'à ce qu'on obtienne l'adresse IP du bon serveur. A ce moment, on s'adressera directement à lui.

Voir schéma page 253.

45.4   DNS inversé

Le domaine in.addr.arpa gère l'annuaire inversé, celui qui permet de connaître le nom d'hôte à partir de l'adresse IP. On y crée des zones d'adresses IP, selon un principe similaire à celui des zones de domaine.

La recherche se fait sous la forme : 157.55.200.51.in-addr.arpa. Voir page 254

45.5   CONFIGURATION D'UN SERVEUR DNS

Un serveur DNS utilise plusieurs fichiers

zone.dns
(par exemple microsoft.com.dns)
Z.Y.W.X.in-addr.arpa
 
cache.dns
 
Boot
: fichier d'amorçage. Sert à la gestion manuelle du serveur DNS.
On utilise 4 types de données à l'intérieur du fichier de base de données (zone.dns) :

45.5.1   Type de données à l'intérieur du fichier ZONE.DNS

SOA
: c'est nécessairement le premier de la base
A
: adresse IP de l'ordinateur
NS
: serveur de nom DNS pour la zone considérée
PTR
: pointeur
CNAME
: alias
MX
: courrier
HINFO
: type de système d'exploitation et d'unité centrale de la machine
plus encore deux qui sont spécifiques à Microsoft :

WINS
:
WINS-R
:
Voir détail de ces enregistrements pages 255-256.

En pratique, on gérera un serveur DNS avec un outil graphique.

Si on est une petite entreprise, on s'adressera à son FAI...

Une grande entreprise peut gérer son propre DNS. Il faut se conformer aux demandes de l'Internic (cahier des charges) et il faut s'inscrire auprès du gestionnaire du domaine parent. Page 261.

Chapitre 46   MISE EN OEUVRE D'UN SERVEUR DNS

Chapitre 13 page 273

On l'administre avec Gestionnaire DNS

Il utilise l'utilitaireaussi l'utilitaire NSLOOKUP pour le monitoring

Il faut configurer correctement son protocole TCP/IP car le serveur DNS va s'appuyer sur des informations par défaut présentes dans les infos de config. de TCP/IP. Il faudra notamment, dans TCP/IP->propriétés renseigner le nom de domaine, ce qui permettra de l'avoir par défaut lors de la création du serveur DNS.

46.1   Atelier

Suivre soigneusement les instructions de la page 277 et sq.

Jeudi 03 août 2000

46.2   Utilisation de nslookup

nslookup  un-nom-quelconque : renvoit l'adresse IP du nom correspondant (obtenu grâce au serveur DNS qui lui-même s'est appuyé sur le serveur Wins)

nslookup setall : permet de visualiser la configuration

nslookup + entrée + ls nom-de-la-zone : permet de voir les hôtes qu'il y a l'intérieur

Chapitre 47   CONNECTIVITÉ EN ENVIRONNEMENT HÉTÉROGÈNE

Livre, page 291.

Il faut que les ordinateurs qui veulent entrer en contact aient des compatibilités, notamment SMB (server message blok) ou FTP ou NFS (network file system).

47.1   Utilitaires de connection via des sockets Windows

REXEC
: exécutions à distance.
RSH
: permet d'exécuter des commandes sur l'hôte Unix distant, sans ouvrir de session. Syntaxe de type : rsh hoteunix commande
Telnet
: il faut un serveur Telnet et un client Telnet, et un compte d'utilisateur. Port 23
RCP
: pour transfert des copie, sans authentification
FTP
: s'appuie sur le port 21
TFTP
: ftp sécurisé
Browser
(Netscape, InternetExplorer...) : via le protocole HTTP = TCP sur port 80. Chaque objet de la page HTML demande une connexion pour charger l'objet concerné.
L'utilisation de TCP/IP permet aussi de faire des impressions à distance sur des hôtes distants étrangers

LPD
: daemon d'imprimante : c'est le côté serveur du protocole
LPR
: client d'impression TCP/IP.
Syntaxe :
lpr -SadresseIP -Pnom-de-l'imprimante Nom-du-fichier-à-imprimer
LPQ
: gestion de la queue d'impression
Pour utiliser ces possibilités, lorsqu'on est serveur d'impression, il faut aller dans AJOUT D'IMPRIMANTE et choisir le port LPR. Cela permet à des hôtes distants étrangers d'imprimer sur l'imprimante locale.

Le client lui doit ajouter une imprimante réseau, comme d'habitude. Souvent on est, sous WinNT, client d'impression d'un serveur Unix.

47.2   Ateliers

Pages 299 -302 - 307 - 310

Chapitre 48   SNMP

Chapitre 15, page 313.

Heu, j'ai rien là... J'devais pas trop écouter...

On a fait essentiellement des TP.

Chapitre 49   DÉPANNAGE DE IP

49.1   Étapes typiques de diagnostic du fonctionnement d'IP

  1. ping 127.0.0.1
  2. ping de sa propre adresse IP
  3. ping sur adresse de la passerelle par défaut
  4. ping sur l'adresse IP d'un hôte distant
Si tout cela fonctionne, on reprend la même méthodologie avec les noms NetBIOS, pour vérifier la résolution des noms NetBIOS et des noms d'hôtes.

Part V
SUPPORT AVANCÉ

Chapitre 50   SERVICES D'ANNUAIRE DE WINDOWS NT

Lundi 7 août 2000

Formateur Léonard Mensah

leonardm@online.fr

50.1   Définition des services d'annuaire de Windows NT

C'est le système d'authentification. C'est la base des comptes d'utilisateurs, des comptes de groupes (globaux et des comptes d'ordinateurs).

Il est fondé pour l'essentiel sur la SAM (security account manager).

Il est possible d'administrer les comptes à distance.

Pour gérer plusieurs domaines, on va utiliser la technique des approbations entre domaines.

50.2   Relations d'approbation

Notion d'administration centralisée : on peut aller chercher des ressources sur d'autres domaines.

Attention : entre deux domaines, on peut avoir deux comptes ayant le même nom (toto a Lyon et toto à Paris) car même alors ils auront une ID différente. Il faut cependant l'éviter car l'humain, lui, sera susceptible de se tromper. Il faut alors mettre en place une stratégie de dénomination.

Terminologie :

Le domaine où se trouve la ressource, s'appelle domaine de ressources, domaine approuvant ou domaine autorisé à approuver

Là où se trouve le compte, s'appelle domaine de compte, ou domaine maître ou domaine approuvé.

50.2.1   Notion de transfert d'authentification

Imaginons : j'ai un compte à Lyon mais je suis en voyage à Paris. Si je me loge à Paris, le PDC de Paris ira chercher l'authentification à Lyon grâce a la relation d'approbation.

Sur le serveur de ressources on peut mettre à l'intérieur du groupe local le groupe global venant d'un autre domaine (à condition qu'il y ait une relation d'approbation).

Un domaine peut contenir les comptes d'utilisateurs de tous les domaines qu'il approuve. Cela permet de centraliser les utilisateurs sur un seul domaine. Les autres domaines ont, eux, les comptes d'ordinateurs.

Donc un "user"qui se loge peut se faire authentifier par un autre CPD que le sien, s'il y a une relation d'approbation entre les deux.

50.2.2   Synchronisation et partitionnement des bases de données d'annuaire

Rappel : la synchro de la base d'annuaire entre PDC et CSD se fait toutes les 5 minutes.

Gestionnaire des services d'annuaires pour Novell: DSMN. C'est un produit développé par Microsoft pour prendre en charge les comptes Novell sous NT server.

Il sert à faire migrer les comptes du serveur Novell vers le domaine NT.

????On peut faire aussi le contraire ???

Il est possible de regrouper les comptes pour faire des transferts de masse.

50.2.3   Le back-office Microsoft

C'est l'ensemble des logiciels tournant avec et autour de NTserver.

Par exemple, SBS : small business service : équivalent du back-office pour 50 utilisateurs au maximum, par exemple NT serveur entreprise (pour faire du clustering)...

Lorsqu'on installe le back-office à la suite de NT, alors le log et le passwd de login NT serviront à l'utilisation des ressources. Par exemple, pour consulter SQL serveur, mon login et mon password NT suffiront.

50.3   Établissement des relations d'approbation

Le domaine "autorisé à approuver" ou domaine approbateur est celui qui possède les ressources ; le domaine "approuvé" est celui qui possède les comptes d'utilisateurs.

Rappelons qu'on met les groupes globaux à l'intérieur des groupes locaux.

50.3.1   Fixation des permissions

On utilisera la stratégie typique de fixation des permissions par groupes.

Les permissions de groupe "traversent" la relation d'approbation.

Pour établir des relations d'approbation, il faut que le service "accès réseau" soit démarré (vérifier avec "panneau de config->service".

50.3.2   Accès aux relations d'approbation

Elle se fait par :

"Gestion des Utilisateurs pour les domaines->menu stratégies->sous-menu : relations d'approbation"

Cela doit se faire toutes sessions fermées. La relation d'approbation ne fonctionnera pas s'il il y a des users connectés.

50.3.3   Planification

Les approbations sont limitées aux domaines NT.

Seul importe l'emplacement des comptes d'utilisateurs.

Comment fait-on pour avoir un compte d'utilisateur sur un CPD qui n'est pas celui de son propre domaine ?

C'est l'administrateur qui détermine la création d'un compte d'utilisateur. Il lui suffit, pour cela, d'aller chercher l'utilisateur dans un autre domaine. Il faut bien sûr que la relation d'approbation soit préalable.

NB
: on peut mettre, physiquement, le CSD d'un domaine auprès des utlisateurs d'un autre domaine pour accélerer les authentifications entre domaines approuvés.

50.4   Modèles de relations d'approbation

Classeur module 3, page 78

4 modèles : (cf page 80)

  1. domaine unique (pas de relation d'approbation)
  2. domaine maître unique
  3. domaine à plusieurs domaines maîtres.
    Nbe de relations d'approbation =P*(P-1)+(R*P) où P est le nombre de domaines maîtres et R le nombre de domaines ressources.
    Les domaines maîtres ont entre eux des relations d'approbation bi-directionnelles, les domaines de ressources n'ont de relations d'approbation uni-directionnnelles qu'avec les domaines maîtres
  4. approbation totale.
    Nbe de relations d'approbation = n*(n-1) où n est le nombre de domaines.
    Le modèle d'approbation totale n'est que très peu utilisé.
Le plus courant est le modèle à maître unique.

Le nbe d'utilisateurs est un facteur critique. Au-delà de 40 000 utilisateurs, on ne peut raisonnablement pas garder un domaine unique.

Pour un domaine unique, un CSD est suffisant, il n'est pas nécessaire d'en mettre plus. Cela augmente le traffic.

50.5   Planification des services d'annuaire

Page 111

Le facteur clé est le nombre total d'utilisateurs (max 40 000 par domaine).

On compte un CSD pour 2 000 comptes (à condition que le CSD soit utilisé uniquement à ça et ne serve pas, par ailleurs, de serveur de ressources).

Il y a aussi une limite pour la taille maximale de la sam (40 Mo)

On peut mettre un CSD sur un continent différent afin que l'authentification ne transite pas par des lignes téléphoniques trop lentes.

Synchronisation totale et partielle des CSD CPD

La synchro totale a lieu lorsque la base de compte du CSD est vide. C'est à dire lorsque le journal a atteint sa taille maximale et qu'il a été automatiquement vidé.

La taille de ce journal est modifiable dans le registre :

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Netlogon\ Parameters\ ChangeLogSize

La synchro partielle n'enregistre que les modifs du CPD. Ainsi une modif représente 32 Ko.

Chapitre 51   ANALYSE ET OPTIMISATION

Page 147

On va surveiller mémoire, processeur, disque et réseau.

On peut utiliser "Diagnostic Windows NT" : il donne des informations, mais ne permet pas de modifier quoi que ce soit.

Pour l'essentiel on utilisera l"'analyseur de performances"

Il permet d'enregistrer des fichiers (qui porteront l'extension .pwm). On peut exporter des données vers un tableur ou une base de données.

Le moniteur réseau permet de faire des captures.

51.1   Mise en place d'une base de référence

Afin de faire l'analyse des périodes de pointes.

Equilibrer la charge : propriétés de voisinage réseau ->services->serveur->équilibrer la charge ou privilégier le flux entrant...

Analyse de la mémoire

On conseille de mettre le fichier de swap (pagefile.sys) sur une autre partition que la partition système et la partition d'amorçage. Mais cela ne permet pas de récupérer le crash.temp.

Analyse des fonctionnements disque voir p. 215

diskperf /? : donne l'aide sur la commande

diskperf -y : permet de lancer l'analyseur de disque. Ne se mettra en route qu'au redémarrage.

dikperf -ye (dans le cas de disques en raid)

diskperf -y \ \ nom-du-serveur : pour activer l'analyseur de disque sur un serveur distant.

Compteurs de l'analyseur de performance

On ne peut observer qu'une seule instance à la fois.

Les alertes peuvent être envoyées à distance.
 

6 étapes pour l'analyse :

  1. Créer une base de référence
  2. Établir une base de données contenant les informations de référence
  3. Déterminer la charge de travail
  4. Temps de réponse
  5. Affectation des ressources
  6. Plan de conservation des informations

51.2   Création de la base de référence

page 187

Certaines applications (SQL server, Exchange...) ajoute des compteurs à l'analyseur de performance.

Il n'y a pas de règle absolue concernant la nature des informations à recueillir pour constituer une base de référence

Chapitre 52   ANALYSE DE PERFORMANCE DANS UN ENVIRONNEMENT DE SERVEUR DE FICHIERS ET D'IMPRESSION

Module 4, page 235

Chapitre 53   PERFORMANCES POUR SERVEUR D'APPLICATION

Module 5, page 251

Chapitre 54   PERFORMANCE POUR UN SERVEUR DE DOMAINE

Module 6, page 267

Mercredi 09 août 2000

Les trois chapitres sont regroupés dans ce qui suit.

54.1   Détermination de la charge de travail

Facteurs critiques pour un :

Recherche des goulets d'étranglement

Le nombre maximum de page mémoire par seconde est de 20 en pointe et 5 en continu. Au-delà, on est face à un goulet d'étranglement.

Dans le paradigme client-serveur, le serveur sert au traitement et le client fait le formatage des données. Cela sollicite donc le réseau pour les échanges (échanges plus courts mais plus fréquents) et le processeur du serveur pour le traitement. NB : on travaille beaucoup sur l'optimisation des requêtes afin de rendre les échanges réseau plus performants.

Atelier
"analyseur de performances", classeur d'exercices, page 58
Notions : Ctrl + H pour mettre une courbe en évidence

Enregistrement de journal en continu.

Reprise des données du journal. Il semble que le journal enregistre toutes les activités liées à un objet, même si on n'a pas spécifiquement choisi de l'afficher dans le graphe.

Utilisation de la fenêtre temporelle

Création d'un rapport (apparemment, il affiche les moyennes...)

NB : Utilisation des alertes : dans "envoyer message réseau", il faut taper le nom d'une machine (par exemple, PDC10, sans les backslash).

Chapitre 55   ANALYSE ET OPTIMISATION D'UN RÉSEAU WINDOWS NT

Unité 3, page 281

Il s'agit pour l'essentiel de l'utilisation du moniteur réseau.

NB : pour visualiser les machines connectées au serveur, on va dans "gestionnaire de serveur" et on double-clique sur le serveur, ce qui permet d'afficher les utilisateurs connectés et les dossiers partagés.

Rappel sur la structure des trames

préambule (adresse de destination, adresse mac...) -données - queue (avec le CRC ou checksum pour contrôle d'erreur)

Les protocoles

Dans "liaisons" on peut 'monter" ou 'descendre" les protocoles utilisés par une carte réseau.

Pour examiner tout le réseau il faut utiliser une carte en "mode promiscuité", qui capte les trames même si elles ne lui sont pas destinées. En conséquence il faut supprimer ou désactiver les protocoles qui ne sont pas utiles car ils "remonteront" la carte.

55.1   OPTIMISATION CLIENT

Les activités de DHCP, WINS et DNS ne génèrent que très peu d'activité réseau (3% environ). Voir page 314.

Pour optimiser les accès on peut désactiver certains services ; DNS par exemple, si on n'utilise que la résolution WINS.

S'il n'y a que quelques machines, on peut se contenter d'un seul fichier LMHOSTS.

L'ouverture de session de fichier et d'authentification sont en revanche plus "gourmandes" en ressources réseau surtout s'il y a des scripts d'ouverture de session ou des stratégie à appliquer. Voir page 340-341.

Optimiser la validation client :

propriétés de voisinage réseau ->services->service serveur->double-clic (il y a 4 possibilités)

Pour l'optimisation on supprime les protocoles qui ne sont pas nécessaires et les services itous (répétons que chaque service ouvert ajoute un bit au nom NetBIOS de la machine).

On met les serveurs à proximité physique des clients.

55.1.1   Le traffic d'exploration

Le système de broadcasting inhérent à ce service charge le réseau : le CPD est maître explorateur, ensuite une élection a lieu pour créer l'explorateur de sauvegarde.

Pour configurer les possibilités d'élections, on va charger la clé de registre :

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Browser\ Parameters\ MaintainServerList

avec les valeurs "auto", "yes" ou "no"

55.1.2   Optimisation de la résolution DNS

Il ne faut pas configurer plusieurs serveurs DNS sur un domaine, car sinon ils sont interrogés à la suite (recherche récurrente).

55.1.3   Connection intra et inter-Net

Réclame beaucoup de ressources réseau notamment pour le téléchargement, en particulier les images et/ou les vidéos. C'est encore pire si on utilise des sécurisations par cryptage (qui consomme encore plus de ressources).

Pour l'optimisation : il faut minimiser les tailles de pages HTML proposées, notamment en matière de graphiques, augmenter la taille du cache client, ne pas mettre en place des sécurités inutiles (hum, hum, c'est vrai en intranet)

55.2   ANALYSE DE L'ACTIVITE INTER-SERVEURS

Page 385

Type d'activités entre-serveurs :

Pour optimiser tout cela :

55.3   PLANIFICATION DE L'ACTIVITÉ RÉSEAU

Activités type sur un réseau : voir page 450

Le facteur essentiel est bien évidemment le nombre d'users ainsi que le nombre de services démarrés par user. Autre facteur : l'existence de relations d'approbation.

L'exploration est coûteuse en ressources. Les gros transferts en relation client-serveur sont demandeurs de bande passante.

Ne pas surcharger le serveur : le mettre à la fois CSD, serveur Wins, serveur DHCP et serveur DNS par exemple.

55.3.1   Planification d'un réseau WAN

L'exploration est multiple dans un réseau étendu avec de nombreux maîtres explorateurs.

Pour optimiser, on peut rapprocher physiquement le CSD d'un domaine sur le lieu physique de connection des gens qui veulent s'authentifier sur un CPD distant.

Atelier 1 Exercice 2 page 108 Il s'agit pour l'essentiel de l'analyse de trame au travers de l'utilisation du moniteur réseau

Chapitre 56   DÉPANNAGE DE WINDOWS NT

Vendredi 11 août 2000

Page 477

Mettre
<< time out = -1 >> pour un prompt << infini >> au démarrage dans le fichier boot.ini
Rappels
sur la structure du système d'exploitation : matériel, HAL, micro-noyau, niveau utilisateur
Rappels
sur les fichiers impliqués au démarrage de NT : ntloader, boot.ini, ntdetect
Rappel
sur l'initialisation : bios, mbr, pbr (famille Intel). Sur alpha on a du micro-code.
Rappel
sur les fichiers de crash : memory.dmp (voir panneau de config->système->arrêt/démarrage->fichier de crash). L'utilitaire de lecture du fichier de crash s'appelle dumpexam.

56.1   Structure de Windows NT





Rappel NDIS
: c'est une interface qui permet d'utiliser plusieurs protocoles avec une seule carte, et vice-versa.
Voir schémas page 495 et sq.

Les redirecteurs permettent d'orienter les demandes de communication vers les fichiers locaux ou distants en négociant les protocoles communs entre les plate-formes (SNPW : service passerelle pour NetWare est un exemple de redirecteur).

Notion d'IPC
: communication inter-processus.
C'est un système qui utilise les mécanismes suivants :

56.2   Processus de dépannage

Vérifier le matériel : Diagnostic Windows NT

Observateur d'événements pour savoir ce qui se passe

Gestionnaire de tâches pour savoir ce qui << tourne >>

NTHQ : permet de faire une détection de matériel (s'installe sur une disquette)

56.2.1   Dépannage via le registre

Aller voir d'abord dans :

HKEY_LOCAL_MACHINE\ HARDWARE

&

HKEY_LOCAL_MACHINE\ SYSTEM

56.2.1.1   Utilitaires d'utilisation du registre :

regdedt32 : permet de modifier la BdR

regedit : ne prend en charge certaines clés; mais les possibilités de recherche sont supérieures

56.2.1.2   Structure du registre

5 sous-arbres :

  1. HKEY_LOCAL_MACHINE : info sur la config matérielle de la machine
  2. HKEY_CLASSES_ROOT : relations entre les extensions et les logiciels, ains que liaisons COM et DCOM
  3. HKEY_CURRENT_USER : préférences de l'utilisateur courant
  4. HKEY_USERS : contient tous les profils des utilisateurs connus,  y compris le current_user
  5. HKEY_CURRENT_CONFIG : profil matériel courant
NB
: ne pas oublier de faire un rdisk /s (création d'une disquette de réparation d'urgence) régulier car sinon le registre et la SAM, qui sont modifiés, ne sont pas à jour.
NB
: la clé winreg permet de contrôler les personnes qui peuvent se connecter au registre à distance.

56.2.1.3   Outils du kit de ressources techniques

WinMsdP : équivalent du diagnostic Windows NT en ligne de commande

Rcmd : pour exécuter des programmes en ligne de commande

56.3   Phases de démarrage et de dépannage du démarrage

D'abord,

  1. le BIOS va lire le MBR (master boot record).
    On charge ensuite :
  2. Ntldr
    Puis, éventuellement, Bootsect.dos qui contient le contenu du Mbr avant l'installation de NT. Cela permet de charger les OS qui étaient présents avant l'installation de NT.
    Ensuite,
  3. Boot.ini puis :
  4. Ntdetect.com : scanne le système à la recherche du matériel qui y est installé.
    Á partir de là, ntldr appelle et passe le contrôle à :
  5. Ntoskernel (le noyau du système d'exploitation). C'est le début de la phase dite << noyau >>, l'écran devient bleu.
    Éventuellement, Ntbootdd.sys pour les disques SCSI qui n'utilisent pas leBIOS.
    Enfin :
  6. SYSTEM : ruche HKEY_LOCAL_MACHINE\ SYSTEM
Le Ctrl+Alt+Suppr : réinitialise le système, afin d'éviter un éventuel cheval de Troie.

56.3.1   Le fichier Boot.ini

Contenu typique (page 572)

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\ WINNT

[operating system]

multi(0)disk(0)rdisk(0)partition(1)\ WINNT="Windows NT serveur Version 4.0"

multi(0)disk(0)rdisk(0)partition(1)\ WINNT="Windows NT version VGA" /basevideo /sos

C:\ ="Windows 98"

Commutateurs :

/basevideo : afin de charger le pilote vga par défaut

/baudrate=nnn : fixe la vitesse en baud pour le déboguage

/crashdebug : active la restauration automatique

/debug : charge le débogueur

/debugport=comx : port à utiliser pour le déboguage

/maxmem:n : fixe la taille max de mémoire qui sera reconnue

/nodebug

/noserialmice=[comx | comx,y,z...] : désactive la recherche de souris

/sos : afin d'afficher à l'écran les pilotes chargés au cours du processus

Utilitaires en ligne de commande

Drivers.exe : donne la liste des pilotes chargés (fait partie du Kit de Ressources Techniques).

Expand -r le-fichier : installe une nouvelle version du fichier

Rdisk /S : crée la disquette de réparation d'urgence

NB
: les CD-ROM bootables permettent de ne plus avoir à utiliser les disquettes.

56.4   Analyse des écrans d'arrêt

On utilise les utilitaires :

CrashDump : permet de recueillir les informations sur le crash

DumpExam : permet le lire le fichier constitué par crahsdump

NB
: le fichier de crash se paramètre dans panneau de config->Système->onglet arrêt/démarrage
[L'analyse des écrans est très difficile à faire et je commence à en avoir marre de ce cours interminable, surtout le vendredi précédant le grand week-end du 15 août !!!]

On peut faire une connection par câble null-modem ou par RAS afin de déboguer un appareil "malade".

Un ordinateur sain, peut, grâce à Kernel Debugger, essayer de le réparer. Heu, ça parait très peu fiable, ils le disent eux-mêmes !

Part VI
MICROSOFT INTERNET INFORMATION SERVEUR V.4.0

Chapitre 57   PRÉSENTATION

Formateur Florent Dupont

Mercredi 16 août 2000

C'est un serveur d'application. Le paradigme du client serveur dit que les traitements sont effectués sur le serveur. Le client envoie et rapatrie des requêtes qui sont les données traitées ; le client assure la mise en forme de la requête.

IIS n'existe que sur NT serveur.

Compatible avec la SAM. Utilise les permissions NTFS.

Prend en charge la gamme des applis back-office (par exemple messagerie ou Base de données via l'utilisation de formulaires pré-programmés).

Supporte le VB-script et le J-script, les CGI, les Win-CGI ou ISAPI.

Composants logiciels de II-S, voir page 22

On peut rajouter des services aux composantes de base de IIS (WWW, FTP, SMTP, NNTP qui seront ceux auxquels on s'intéressera).LDAP : est un service d'annuaire accompagné d'un protocole.

57.1   Notion de MMC

Microsoft Management Console. C'est une interface qui, à terme, sera utilisée pour plusieurs logiciels.

57.2   Scripting

Il existe de possibilité d'utiliser des scripts d'administration des sites (scripts interprétés), via WSH (windows host scripting).

Les interpréteurs de base sont VB-script et J-script, on peut rajouter PERL.

Les clients utilisant au minimum IE 5.0 peuvent supporter WHS.

57.3   Technologies liées à II S

ASP
: Active support pages. Ce sont des techniques communes à plusieurs serveurs, quoique développées par Microsoft.
Java
: il faut une machine virtuelle Java, pour faire tourner le langage.
Gestion
des certificats : mappage générique des certificats.
Verrouillage de domaine
: pour accepter ou interdire des personnes appartenant à tel ou tel domaine DNS ou à tel ou tel groupe d'adresses IP.
Assistants de publication
: pour aider les clients à créer leur propre site Web. Supporte FrontPage.

57.4   Installation

Sur un CD appelé "option pack"

Config mini (recommandée) :

minimum matériel équivalent à celui de NT :

Ne pas oublier que la puissance est surtout nécessaire pour la vitesse du côté client. Si c'est lent en administration c'est chiant mais pas grave ; en revanche il faut pas que ça rame pour le client.

NB : un dossier qui propose ses services n'est pas nécessairement un serveur de fichier. Ca peut être simplement un serveur d'application (pour éviter qu'il soit un serveur de fichier; désactiver le service "serveur" dans les services du réseau).

On installe (avec quelques erreurs à la clé...).

Chapitre 58   UTILISATION des OUTILS d'ADMINISTRATION

58.1   La console (MMC)

On a un nouveau menu dans programme démarrer pour gérer IIS.

Par ailleurs, la ligne de commande MMC permet de lancer une console vierge à laquelle on << enfichera >> les outils d'administration que l'on souhaite. Ca permettra de gérer IIS mais aussi, par exemple, SQL.

La console correspondant à un fichier de petite taille qui peut être envoyé facilement ou copié etc...

Les composants enfichables sont souvent appelés snap-ins.

58.2   HTML A

Gestionnaire des services Internet (au format HTML) : utilisable que si l'on est administrateur IIS ou autorisé à utiliser le formulaire HTMLA ; il faut aussi un navigateur adéquat (qui supporte les contrôles ActiveX). N'accepte que des connexions locales (sauf si on change explicitement pour avoir un adresse IP autorisée). Il faut connaître l'adresse précise du site web : nom-usuel + n° de port TCP sur lequel est connecté le site web d'administration. Ce n° de port est généré aléatoirement à l'install. Pour le consulter, aller dans la mmc, cliquer sur le nom de serveur, puis sur le serveur web d'administration. Pour se connecter à ce serveur web (virtuel), il faut taper, dans le browser, l'adresse 127.0.0.1 suivi de deux points (:) suivi du n° de port relevé dans la mmc.

On est donc, à ce moment, connecté au serveur web d'administration et on peut gérer IIS avec ce formulaire.

Sinon : Démarrer ->Windows OptionPack->Microsoft IIS->Gestionnaire des services HTML

Atelier 3.1
: on apprend à fixer les configurations pour permettre d'administrer le site à distance (depuis un autre ordinateur).

58.3   Les scripts

Ecrits en VB-scipts (extension .vbs) ou J-script (extension .js). Interprétables via WHS.

Tout le référentiel des langages est dans l'aide en ligne.

58.4   La métabase

Voir page 69.

C'est une base dynamique équivalente au registre de Windows. Les informations sont appliquées immédiatement sans avoir besoin de redémarrer la machine.

Utilise la notion d'héritage.

La métabase s'édite grâce à des outils du kit de ressources techniques. Mais ce n'est pas nécessaire (à l'inverse de la base de registre car les modifs sont répercutées, il n'est jamais nécessaire d'éditer la métabase).

Chapitre 59   ARCHITECTURE

page 77

La communication entre le client et le serveur se fait via une Winsocket, c'est à dire via un protocole et un port. Ainsi :

HTTP (port TCP 80)

FTP (ports TCP 20 & 21)

SMTP (port TCP 25)

POP3 (port TCP 110)

NNTP (port TCP 119)

Lignes de commande

Netstat : permet de connaître les ports utilisés

Netstat -n : idem en TCP

Netstat -p TCP : ne donne que les protocoles tcp

Netstat 5 : rafraîchit l'affichage toutes les 5 secondes

Chapitre 60   PARAMÈTRAGE DES SERVICES

Module 5 page 96

60.1   WWW : service de gestion de connection via le protocole http

Le serveur met en oeuvre une route. Il y a autant de route que des serveurs www configurés.

Par défaut, il y a deux serveurs configurés à l'installation de IIS : le serveur par défaut (qui écoute le port 80) et le serveur d'administration qui écoute un port attribué aléatoirement.

Sous IIS, route du serveur Web par défaut :

C:\ inetpub\ wwwroot

Si la page n'est pas précisée, le serveur Web propose une page par défaut.

On peut héberger des serveurs Web virtuels sur un seul ordinateur.

Pour cela on peut créer autant d'adresses IP qu'il y a de serveurs sur la bécane.

Ou alors on garde une seule adresse IP mais plusieurs n° de ports. Sauf que le client, par défaut, il va sur le port 80....

La troisième méthode, la seule utilisée, consiste à définir un "nom d'en-tête d'hôte" qui n'est en fait qu'un alias. On garde une seule adresse IP et le fameux port 80. C'est le DNS qui permet de pointer vers tel ou tel partage en fonction du nom avec lequel le client s'est connecté.

Il faut un DNS correctement paramétré, et que le client utilise le protocole HTTP 1.0 minimum.

On peut aussi bien créer aussi des répertoires virtuels : ils sont virtuels, car ils ne sont pas nécessairement sur le même emplacement physique que la racine du site web. par exemple : www.machin.com pointe vers la racine, www.machin.com/répertoire pointe vers un sous-répertoire.

On distingue 3 types de répertoires virtuels :

60.1.1   Propriétés de l'ordinateur, du serveur, du répertoire, de la page.

On clique avec le bouton droit sur chacun des objets.

Passage en revue des différentes propriétés.

jeudi 17 août 2000

Atelier 5.1 Configuration d'un site Web

60.2   Configuration d'un serveur FTP

La racine est C:\ inetpub\ FTProot

En natif, j'ai un client FTP, via la ligne de commande (ftp+open, put, get, etc...). On peut aussi se connecter avec un navigateur.

Les mêmes principes de répertoires virtuels vus pour le WWW (HTTP) s'appliquent au FTP.

La notion de nom d'en-tête d'hôte n'existe pas.

Les ports
: 21 pour le socket et 20 pour le transfert des datas.
Seules les redirections UNC sont supportées.

Il existe les mêmes principes d'octroi de propriétés. Sauf qu'il n'y a pas de propriétés au niveau des fichiers.

Dans la console, on ne voit pas les fichiers contenus dans le répertoire.

Sessions anonymes : en fait, le connecté anonyme utilise un compte créé par défaut à l'installation de IIS. Si on choisit d'affecter un autre compte aux anonymes, il faut penser à lui donner le droit d'ouverture locale de session.

NB
: en pratique la restriction par nom de domaine DNS NE FONCTIONNE PAS
Atelier 6.1, configuration d'un site FTP.

60.2.1   Connection FTP en ligne de commande :

  1. ftp
  2. open
  3. serveur <espace> éventuellement numéro de port
  4. Il demande un nom d'user, on tape anonymous
NB : un get enregistre le fichier dans le répertoire dans lequel on se trouve.

60.3   Configuration d'un service SMTP

Les services SMTP peuvent communiquer entre eux, à condition que l'autre serveur SMTP soit identifié.

Il sert de relais entre les messages internes du réseau, générés par les users ou par le système (par exemple des mails générés par les sites Web internes) et le SMTP du fournisseur d'accès Internet.

C'est donc pour l'essentiel un relais SMTP.

On y accède soit par la console soit par un formulaire HTML

Les répertoires associés :

C:\ Inetpub\ mailroot

\ badmail : messages << mauvais >> lorsqu'un non-delivery mail n'a pas abouti

\ drop : boîte de réception des mails sortants

\ pckup : mails sortants non générés par un client SMTP standard

\ queue : file d'attente

60.3.1   Processus de remise de messages

Voir page 149

NB
: interruption veut dire refus des nouvelles connections mais pas arrêt des connections en cours.
En principe il faut une partition NTFS

Dans les propriétés : remise->hôte actif : on met là le nom du prochain serveur SMTP (c'est soit un serveur Exchange, soit l'adresse IP (entre crochet) du fournisseur Internet, soit un nom DNS.

NB
: là encore, les restriction basées sur le domaine DNS ne fonctionnent pas.

60.4   Configuration d'un service NNTP

Page 172, module 8

Index serveur permet d'indexer le contenu du site de news.

Répertoire de base :

C:\ Inetpub\ nntpfile

\ root : contient l'arboresence des news

Utilise le port 119

En interne d'entreprise, ça sert beaucoup à faire passer les circulaires, à mettre à disposition des process de fabrication, des catalogues de coûts, etc... En général, on n'autorise alors qu'en lecture mais pas en écriture.

Pour créer un groupe de discussion : clic droit sur NNTP->créer un groupe de discussion

Les articles sont stockés dans l'arboresence, ils se présentent sous forme de fichier ayant comme extension .nws

Il existe un fichier de résumé sous forme d'un article ayant l'extension .xix

On peut de la même manière que les précédents services, délocaliser les emplacements de stockage grâce aux répertoires virtuels. Ca permet aussi de délocaliser des groupes déjà créés, MAIS, à condition qu'il n'y ait pas encore d'article dedans, sinon ils ne seront pas copiés.

60.4.1   Propriétés

Comme à l'habitude

60.4.2   La modération

L'article, avant d'être publié, passe par une phase de "censure", soit automatique (robot) soit via un modérateur humain.

60.4.3   L'expiration

Basée sur la taille du forum et/ou de la date de parution de l'article (exprimé en heures à partir du service pack4). Pour cela : console->service NNTP->procédures d'expiration

60.4.4   Restriction d'accès

Restriction par les adresses IP, par l'authentification et en fixant les permissions NTFS.

Chapitre 61   FONCTIONS DE SÉCURITÉ

Module 9, page 194

Il faut déjà appliquer les conseils de base pour la sécurisation de NT : mots de passes complexes, non-contenus dans un dictionnaire, longs, renommer et limiter les comptes administrateurs. Appliquer les stratégies de comptes (déconnexion au bout de x tentatives, etc). Mise en place des permissions NTFS et surveillance par la mise en place des audits.

Plus spécifiquement, il y a 4 barrières utilisables par IIS (page 200):

  1. Vérification de l'adresse IP : onglet priorité dans propriétés de chacun des services
  2. Authentification de l'user : on peut rentrer en anonymous soit profiter de l'authentification SAM locale.
    Pour rentrer en "non anonyme" : http://nom-de-l'utilisateur:mot-de-passe@site.com.
    S'il n'y a pas de mot de passe, on met nom:@site.com. En clair il faut mettre les deux points même s'il n'y a pas de mot de passe.
    Si on essaie en anonyme et que le site ne l'autorise pas, il renvoit en fait une boîte de dialogue pour que l'user saisisse son login et psswd.
  3. Permissions d'accès fixées par les services IIS : on peut choisir de donner des droits seulement en lecture et pas en exécution par exemple. Dans Console->service->clic droit propriétés->répertoire de base
  4. Permissions NTFS (qui sont celles appliquées en dernière instance). Rappel, il y a une différence entre contrôle total (qui respecte la norme posix donc la possibilité de détruire le "fichier fils", même si ce dernier a des permissions plus restrictives) et la fixation << à la main >> des permissions. Il vaut mieux, ici, utiliser les droits spéciaux (rwxdpo) qui permettent de ne pas autoriser par défaut le << kill child file >>.

61.1   Cryptage via SSL

Notion de certificat (norme X-509) : une autorité de confiance certifie la clé publique.

Une connection SSL s'établit via https sur le port 443 (au lieu du port 80 par défaut).

Voir page 215

On lance le gestionnaire de clé dans la console

Part VII
PROXY SERVER

Chapitre 62   INTRODUCTION

Lundi 21 août 2000

Proxy server sert d'intermédiaire entre un réseau privé et l'internet ou entre des éléments de réseau ou sert d'interface pour l'accès à des services tels qu'un serveur d'application messagerie, news...

Il permet de centraliser et donc de maîtriser le traffic Internet, notamment en matière de sécurité.

Il propose aussi des fonctions de cache pour accélerer les accès.

Il intègre des fonctions de filtrage, mais ce n'est pas un firewall.

Supporte la publication de sites Web (au format HTTP, il n'autorise pas le FTP).

Faire attention au plan d'adressage local. Utiliser des adresses IANA.

Proxy server exige IIS version 3 et NT server pour fonctionner. Proxy est une extension ISAPI de IIS. A ce titre il bénéficie des possibilités de sécurité et d'administration de IIS. En fait, proxy est un "module" de IIS.

Chapitre 63   INSTALLATION DE PROXY SERVER

Configuration matérielle :

IL NE FAUT PAS ACTIVER LES FONCTIONS DE ROUTAGE (routage IP dans Réseau->Propriétés->protocole TCP/IP->onglet Routage IP

L'adresse IP du serveur doit être fixe.

63.1   Notion de base

Á l'installation, la table d'adresses locales doit être remplie avec des plages d'adresses IP : celles des réseaux et segments de réseau locaux afin de distignuer les adresses locales des adresses externes. Il peut scanner tout seul la table de routage. Le fichier correspondant s'appelle MSPLAT.TXT

Ce fichier existe aussi sur les clients. Sur les clients, on trouve aussi un fichier MSPCLNT.INI qui contient, entre autre les informations de configuration locale. On peut aussi créer à la main un fichier LOCALLAT.TXT qui complétera les informations du MSPLAT sans que ce soit propagé à l'ensemble du réseau.

Plages IANA
: 192.168.0.0 - 172.16.0.0 - 10.0.0.0 -
Trois services supplémentaires sont ajoutés par l'installation de proxy :

On peut installer les clients soit via une techniques de partage réseau (via SMB) soit via une technique de << publication >>, c'est à dire avec un navigateur internet.

Le client doit disposer d'un compte valide. Mais, sinon, on peut passer par le compte invité.

Il faut installer le logiciel client Winsock proxy lorsqu'on installe des applications non-compatibles CERN.

Chapitre 64   ARCHITECTURE DE PROXY SERVER

Trois services proxy :

On peut considérer que proxy server est une passerelle car il peut assurer la traduction de protocole.

Par exemple, le réseau interne est en IPX, proxy server sort sur l'internet en IP. Il peut donc fonctionner sur un réseau hétérogène et assurer de la traduction de protocole.

64.1   Web proxy

Est utilisé par les applications compatibles CERN. Le CERN est à l'origine des logiciels de type proxy. C'est une raison historique donc. Exemple : les navigateurs sont compatibles CERN (en général...).

Pour devenir client web proxy il suffit de paramétrer le navigateur en conséquence.

Rappelons que l'installation du client Winsock proxy permet au cours de l'installation , de configurer le navigateur s'il ne l'est pas.

NB
: la mise en cache ne fonctionne que pour les applications compatibles CERN.
Paramétrage
: via la console MMC.
Filtres et requêtes ISAPI (W3roxy.dll) servent, dans Web proxy, à l'authentification, la mise en cache... pages 61-62.

Il existe 2 caches, passif et actif. Le cache actif est capable d'initier des requêtes tout seul afin de régénerer le cache. Il attend pour cela une baisse de l'activité système.

On peut obliger le navigateur à aller cherche une info internet sur le Web et pas dans le cache grâce, sur IE, à la touche F5.

64.2   Winsock proxy

Pour l'installer : voir page 45.

Soit en se connectant au site web du proxy : http://serveur/MSProxy

Soit via un partage réseau : \ \ serveur\ MSPclnt

Prend en charge les applis non compatibles CERN sous interface Windows.

Supporte TCP/IP et IPX/SPX (NWLink, mais uniquement pour les Windows 32 bits).

Par exemple, les protocoles NNTP, SMTP... ne sont pas compatibles CERN.

Pour devenir client, il faut installer le logiciel client Winsock.

Ca ne concerne, par définition, que les OS Microsoft.

Le client et le proxy communiquent par l'intemédiaire d'un double canal de communication (canal de contrôle + canal de données). Le serveur proxy envoie une liste de la table d'adresses locales au client.

Le canal en question permet aussi de faire de la résolution de noms (via le canal de contrôle)

64.3   SOCKS proxy

Pour les applications utilisant le protocole SOCKS. Il ne s'agit pas nécessairement d'un programme Windows. Il suffit de paramétrer son logiciel pour devenir client.

Toutes les autres applications qui utilisent les SOCKS.

Ne supporte que le TCP/IP et le protocole TCP ; ne supporte pas UDP.

Ainsi, par exemple Linux ne pourra pas utiliser le proxy, car SNMP utilise le protocole UDP.

64.4   Utilisation du proxy en réseau interne

Le proxy sert à la résolution des noms lorsqu'il détecte qu'un mappage IP /nom correspond à une adresse distante.

Si le client s'adresse directement à une adresse IP, il détectera qu'elle est locale ou non. Si elle est locale, il passe ou non par le proxy en fonction de la configuration de ce dernier. Si elle n'est pas locale, elle sera redirigée vers le proxy.

Même principe avec le protocole IPX/SPX.

S'il y a un DNS local, son adresse doit être contenue dans la TAL (table d'adresses locales) du serveur proxy.

Chapitre 65   CONFIGURATIONS

Module 4 page 83

Journaux W3AMJJ, WSAAMMJJ, SPAMJJ pour chacun des trois services

Se gère via la console MMC.

Les fichiers de config portent l'extension .mpc

Ne pas oublier : si un proxy est intercalé entre les clients et un serveur d'application, il faut, pour que le proxy relaie les requêtes, lui indiquer les ports et protocoles utilisés qui définissent la socket utilisé entre l'application et son client (propriétés proxy winsocks->onglet protocole)

NB
: la plage 1025-5000 TCP entrée (ports de réponse typiques) peut être abrégé en 0 ou avec la chaîne "any"
Le proxy interdit le passage des noms NetBIOS. Donc un proxy situé entre un client et un serveur interdit potentiellement qu'on puisse s'y connecter (tout dépend de comment le client et le serveur communiquent entre eux). A l'inverse, choisi soigneusement, ça peut servir de sécurisation interne entre des segments de réseau.

NB
: socks.cfg est un fichier texte qui contient les configurations de port de socks proxy. Il permet aussi de définir des sockets pour assurer le routage des protocoles.

Chapitre 66   CONTRÔLE D'ACCÈS

Module 5 page 105

66.1   Contrôles en sortie

  1. A travers l'onglet permission du service Web proxy
  2. A travers l'onglet services + sécurité de Web proxy : permet la sécurisation par adresses IP et noms de domaine
  3. A travers l'onglet protocoles de WinSock proxy : sécurisation par utilisation des ports

66.2   Contrôle en entrée

Il faut lui interdire de router les demandes émanant de l'extérieur.

Désactiver "activer le routage IP" dans réseau->Protocole TCP/IP->propriétés->routage

On peut aussi filtrer les paquets : en définissant les paquets qui ne seront pas filtrés. Ce filtrage n'est effectué que sur la carte réseau externe. (services->onglet sécurité)

On peut, par exemple, interdire le ping venant de l'extérieur.

66.3   Problèmes liés au cryptage

Il ne faut pas oublier d'ajouter les protocoles correspondants dans les permissions : WinSocks->permissions->onglet protocoles sinon les communications cryptées ne passeront pas le proxy.

Chapitre 67   PUBLICATION SÉCURISÉE DE SITES WEB

Mardi 22 août

Module 6 page 122

Le but est de permettre à des clients externes d'accéder aux services web internes  : les requêtes proviennent de l'extérieur et sont adressées à la patte externe du serveur proxy. C'est le proxy qui va cherche l'information, les clients n'accèdent pas directement au serveur Web internes.

Technique dite de publication inverse.

NB
: ne sont acceptées que les requêtes HTTP (n'accepte pas le FTP)
"Propriétés de Web proxy->onglet Publication"

On construit une liste des sites hébergés pour que les clients externes puisse accéder à ceux-ci.

En fait l'adresse IP que tape le client ou qui est résolue par le DNS externe doit être celle du serveur proxy.

Ce dernier se débrouille ensuite, grâce à sa liste, pour contacter le bon serveur.

Chapitre 68   FILTRAGE DE PAQUETS

Module 7 page 133

Paramètrage dans

Propriétés->Services->Sécurité de l'un quelconque des trois services.

On filtre les communications sur la carte externe, en entrée, en sortie voire les 2 à fois.

Attention
: par défaut TOUT EST FILTRÉ sauf ce qu'on indique expressément comme devant déroger au filtrage
On consigne les choses dans un log : C:\ Winnt\ System32\ msplogs\ PFaammjj.log

On peut définir des alertes par l'onglet correspondant.

Attention, on peut envoyer des alertes par mail, or on peut parfaitement avoir filtré les paquets SMTP auquel cas le mail ne passera pas et générera lui-même une alerte !

Chapitre 69   PROXY SERVER ET CONNECTION INERNET À DISTANCE

Module 8, page 154.

Chapitre 70   PLUSIEURS PROXY

Module 9. page 172.

***

intermède, j'étais pas là...

****

70.1   Les tableaux de proxy

Un seul administrateur pour le pool de proxy, c'est à dire pour le tableau.

On va dans Web proxy->Tableau

Les ordinateurs d'un tableau doivent être sur le même segment de réseau.

NB
: la résolution d'adresse est faite par le proxy lorsqu'on est client web proxy.
NB
: pour être client winSocks il faut installer le logiciel correspondant. Á ce moment c'est le client qui fait la résolution de nom au travers du canal de contrôle. Il lui faut, par exemple, l'adresse d'un DNS.
Notion d'exception de routage : un proxy doit permettre d'assurer à la fois la redirection vers l'externe et vers l'interne. Il faut pour cela ajouter le Service Pack 1 à proxy server pour pouvoir utiliser les exceptions de routage.

Chapitre 71   PLANIFICATION DE L'INSTALLATION DE PROXY SERVER

Mercredi 23 août 2000

Module 10, page 201

Établir la liste des services nécessaires :

permettra de déterminer les modules à installer :

Il faut aussi évaluer le volume d'activité y compris pour les besoins futurs, afin de déterminer le matériel nécessaire.

Les lignes téléphoniques :

Allusion aux premiers prix CISCO (routeurs gamme 600 ou 700) qui permettent la connection de petites unités.

Chapitre 72   SURVEILLANCE ET OPTIMISATION DE PROXY SERVER

Module 11, page 226

Optimisation : voir page 228. Y'a pas de mystère, si ça rame, il faut pister et mettre à jour le matériel qui cause le goulet d'étranglement.

Dimensionner le cache, actif (dynamique) ou passif :

Propriétés de Web proxy server->onglet Enregistrer dans le cache

L'analyseur de performance permet aussi de tracer la charge encaissée par le proxy.

Les journaux de log permettent d'enregistrer les activités : il y en a un pour chacun des trois services (Web proxy, Socks proxy, WinSocks proxy) et un pour le filtrage de paquets. Les 3 premiers ont des formats similaires ; le journal de log du filtreur de paquet est différent des 3 précédents.

Pour enregistrer au format ODBC, il faut une table à cette effet, permettant de déterminer les champs et leurs tailles. Il existe des fichiers msp.sql et pf.sql qui déterminent le format des fichiers pour l'enregistrement ODBC et plus particulièrement, en SQL.

Les agents SNMP sont aussi utilisables, car, chez Microsoft, tous les produits sont accompagnés d'un objet MIB utilisable avec SNMP.

Une procédure typique d'accélération :

  1. augmenter la taille du cache
  2. activer le cache dynamique
  3. augmenter la durée de vie des objets dans le cache
  4. n'utilisez pas les applis qui nécessitent WinSocks proxy ou Socks proxy (qui ne bénéficient pas du cache)

Chapitre 73   DÉPANNAGE DE PROXY SERVER

Module 12 page 258

Typiquement :

Dépannage du client Winsock

chkwsp32 ou chkwsp16 (selon qu'on est en 16 ou 32 bits)

Les entrées du registre : voir page 266

Rappelons que l'activation/désactivation d'un des trois services entraîne avec lui la désactivation des deux autres.

Le filtrage de paquets est souvent la cause de difficultés surprenantes. Rappelons qu'on active le filtrage sur la patte externe du proxy.

Check-list de dépannage : page 287
Retour à la page d'accueil