Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

HUYGEBAERT GABRIEL 2IN01 Synthèse : Réseaux II Professeur : Mme Anne Vandervors

HUYGEBAERT GABRIEL 2IN01 Synthèse : Réseaux II Professeur : Mme Anne Vandervorst Nouveau MDP domaine : @dminSimon Station : stage13\administrator @dminSimon Année 2020-2021 Quelques notions de base  Windows 2000 : partage par défaut était en contrôle total. Maintenant en lecture seule. Existant en client et en serveur.  Windows XP : Continuité de 2000 sans la partie serveur.  2005 : W2003 R2, gestion DFS ( distributed file system ) -> Mettre en une seule arborescence des fichiers.  À partir de vista : notions de rôle/fonctionnalité. On décide de « quoi installer ».  2012 : Nouveau noyau, nouvelle interface métro.  Server on premice = serveur dans la société et pas dans le cloud.  Multi tâche : Attribuer un temps processeur à chaque application pour les réaliser en même temps. Tous les périphériques de sortie peuvent être utilisés simultanément. Si un seul processeur : entrelacement ( processus 1,2,3, retour au 2. C’est du faux multitâche )  Multi tâche coopératif : Tâche dispose du processeur et le libère quand c’est fini pour l’application suivante => File d’attente. Chaque tâche dépend l’une de l’autre. Tout le reste en attente si application boucle sur elle-même.  Multi tâche préemptif : Dispose du processeur dans un certain temps déterminé à l’avance sauf si application plus prioritaire. Si elle se bloque se met de côté pour ne pas bloquer les process.  Le scheduler ( ordonnanceur ) : détermine quelle tâche exécuter.  Multithreading : Le thread est une unité d’exécution, un morceau de programme ( plusieurs tâches d’exécution, peuvent se faire en parallèle ou à la suite de l’autre ) Exemple : saisir du texte sur word, afficher les caractères et gérer la mise en page ainsi que l’orthographe, ce sont plusieurs threads. C’est donc exécuter plusieurs tâches en pseudo parallèle, ça se décide au moment du développement de l’application. Partage le même espace mémoire. Si pas de multithreading géré, il n’y a qu’un seul thread principal.  Multiprocessing : Aptitude de l’OS à utiliser plusieurs processeurs présents dans la machine.  Multiprocessing asymétrique : ASMP -> Un processeur est réservé pour l’OS et les autres pour l’application.  Multiprocessing symétrique : SMP -> Les requêtes de l’OS et des applications sont réparties sur différents processeurs. Pas de processeur dédié à une tâche spécifique. Architecture windows 2016 simplifiée Windows Kernel Mode User Pas d’accès direct au hardware. A un espace d’adressage assigné. Processus qui ont des priorités plus basses que les applications en mode Kernel. Pas d’accès direct aux ressources. Mode Kernel Accès à toute la mémoire et exécution dans une mémoire isolée de toutes les applications. Notion de conteneur dans windows 2016 -> Virtualisation logique. Notions de cluster À partir de 2013. Groupe de serveurs qui agit comme un seul serveur -> Meilleure tolérance de panne. Les autres prennent le relais et le réseau n’est pas down. matériel ( pour client ) Peut-être une architecture propriétaire ou pas. Plusieurs occurrences d’un même OS d’un serveur adapté. Exemple : un premier nœud qui est un serveur et les clients utilisent la connexion publique. Deux nœuds si deux occurrences d’exécution d’un même OS. Carte réseau pour la carte réseau interne et une à plusieurs pour l’externe ( pour accéder au cluster ) Cluster de basculement Si défaillance d’un nœud, il y a basculement automatique d’un nœud vers un autre. Ex : nœud 1 est le nœud actif et le 2 est le passif. L’actif gère les requêtes et le passif prend le relai si l’actif est down. Il devient alors l’actif. Communication privée entre eux. Souvent, la baie de disque est en raid 5 avec au moins 3 disques et un de secours supplémentaire. Les serveurs sont des PCs. Cluster d’équilibrage de charge réseau (NLB -> Net Load Balancing) On peut utiliser de simple PC pour le faire. L’IP virtuelle permet aux machines de communiquer entre elles via des commutateurs et la requête est traitée par l’un ou l’autre serveur. Clients-Serveurs Client/Serveur n’a pas de lien ICI avec le type de système d’exploitation de serveur. ICI, lorsqu’une machine offre un SERVICE, elle devient le serveur. Il faut activer le service « SERVEUR » si je souhaite partager un répertoire. services.mc pour connaître les services de la machine. Pour le client, il faut activer le service « STATION DE TRAVAIL ». Il est relié à un protocole lié à une carte réseau et les liaisons sont appelées des bindings. Groupe de travail (WorkGroup) Suffisant pour des réseaux de petites tailles ( il n’y avait que ça avant ). Mise en œuvre facile => s’ajouter au WorkGroupe. Il n’y avait pas de gestion centralisée des comptes. Résolution de nom NETBIOS. C’était du réseau poste à poste ( Peer to peer ) -> Partager la même imprimante. Pas de serveur en particulier donc même pied d’égalité pour toutes les machines. SAM (Security Account Manager) => STATIONS/SERVEUR(PAS DC !!!!) Pour se connecter aux stations, il faudrait absolument que l’utilisateur soit créé dans le SAM local de CHAQUE MACHINE ( possible de mettre un mot de passe différent… ) Pour accéder au SAM -> Gestion d’ordinateur. Ajouter un user. Station administrator -> Gestionnaire d’ordinateur -> Gestion utilisateur et groupe -> Créer user. Domaine (installer le rôle ADDS) Notion logique. Installer un domaine revient à installer une forêt. C’est un réseau de plus grande envergure et il y a une gestion centralisée des utilisateurs et ordinateurs qui composent le réseau(AD). Possible de mettre des utilisateurs dans des groupes et créer des règles précises. Pour créer un domaine, il faut absolument un CONTRÔLEUR DE DOMAINE. Et les DC peuvent être dans des villes différentes. Est une entité de sécurité. Donc il faut un compte utilisateur pour joindre un domaine et c’est l’administrateur de domaine qui le fait. Ajouter un ordinateur dans un domaine, cmdlet Add-Computer-DomainName stage13.net -Credential administrateur@stage13.net Contrôleur de domaine (DC, domain controler) Un window client ne peut être DC ! Un serveur qui n’est pas DC est un serveur membre ! Il est possible de lui appliquer une stratégie spécifique. Par exemple : script de démarrage qui lance automatiquement les mise à jour ou installation logiciel. Avant, c’était automatique. Maintenant, il faut préciser que le serveur en est un. Le clonage d’un DC revient à faire une copie du disque dur virtuel, donc prévoir un fichier de configuration. Rôle ADDS ( Active Directory Domain Services ) Créer le domaine, la forêt et son arborescence. Gestion et déploiement à partir de commande powershell possible. Améliore la sécurité, ajout de la possibilité de définir une expiration d’appartenance à un groupe(grâce au microsoft identity manager ), monitoring, aide au déploiement vers une infrastructure AD cloud ou hybride avec Azure AD. Ce rôle s’attribue dans le server manager ( add roles and features ) Rôle ADFS (AD Federation Services) Permet aux applications et services dans le cloud de s’authentifier à l’aide de l’annuaire local. Il fédère un SSO (single sign on) -> passer d’une application à l’autre en passant une espèce de jeton. Dans ce cas-là, on pourrait utiliser un autre annuaire que l’AD mais le Ldap local. Ldap Standard qui permet de gérer les annuaires. Permet d’avoir accès à des users d’un réseau via le protocole tcp ip. Infos sous forme d’arborescence. UID = identifiant unique. On dit alors que l’AD est une base de données Ldap ! ( Il n’y a pas qu’une machine qui l’a, sur tous les contrôleurs orienté nom. UPN -> Simon@condorcet.be ) Protocole Kerberos (NTLM avant ) Fonctionne à l’aide d’un système de ticket d’accès qui sera valable tout au long de la session. Client Kerberos sur host client. Kerberos sur contrôleur de domaine. KDC ( Key Distribution Center ) Authentifie l’user et distribue le jeton d’accès. Quand un client veut accéder au service files -> 1) user s’authentifie sur le domaine (nom et mdp) 2) S’inscrit dans l’AD, le serveur kerberos dit que c’est une value OK, donc il obtient un jeton d’accès ( TGT) TGT (Ticket Granting Ticket) Comme un passeport. Le serveur d’authentification émet une requête Kerberos et présente le TGT. La réponse est le TGS (Ticket Granting Service). Doit être valide dans l’ACL (access control list ) Active directory (AD) -> POUR LES DC ! Un utilisateur = un objet. Gestion centralisée des comptes, annuaire qui organise les objets. Résolution de nom sera le DNS. Les utilisateurs peuvent se connecter sur toutes les machines avec le même compte utilisateur. SAM locale où il n’y a pas d’AD. Dès qu’il est activé, il y a un rôle d’ADCS (active directory certificate service ) qui délivre et gère les certificats pour radius (protocole IPSEC -> comme un certificat de bonne vie et mœurs). C’est un meilleur support pour les attestations des clés TPM (trusted plateforme module) avec la possibilité d’utiliser un lecteur de carte KSP (fournisseur de stockage de clé et d’extraction de clé lié au certificat ) pour l’attestation de clé. Il existe une interface pour la corbeille. Ne tourne que dans un TCP IP. Il y a des AD uploads/Management/ reseaux-iiok 1 .pdf