Escolar Documentos
Profissional Documentos
Cultura Documentos
Thmes :
-ISA Server 2006
-Approbation de domaine
-Etude de cas (cblage rseau)
Ralis par :
Encadr par :
Mars 2009
SOMMAIRE
DEDICACE........2
REMERCIEMENT....ERRO
Ddicace
Nous offrons ce modeste travail :
A nos chers parents,
Mais aucune ddicace ne serait tmoin de notre profond amour, notre
immense gratitude et notre plus grand respect, car nous ne pourrions
jamais oublier la tendresse et lamour dvou par lesquels ils mont toujours
entourer depuis notre enfance.
Nous ddions aussi ce modeste travail :
A toute nos familles, pour leur soutien moral.
A tous nos amis(e), et tous ceux que nous aimons et toutes les
personnes qui nous ont prodigu des encouragements et se sont donnes la
peine de nous soutenir durant ces annes de formation.
A nos chers formateurs, sans aucune exception.
A tous les membres de la direction de lISTA Errachidia.
A tous les personnels de LORMVA/TF, qui nous ont bien aid
atteindre notre objectif.
A tous les stagiaires de TSSRI 2me anne.
Remerciement
Avant dentamer ce prsent travail, nous tenons tout dabord exprimer
Notre trs profond respect et nos trs grands remerciements :
A Mr. Hicham ELBJOUI et Mr. ELGHATTASS, nos professeurs , qui
nous devons nos reconnaissances et nos profonds respects pour leurs conseils
constructifs et leur gentillesse. Veuillez agrer notre sincre admiration de votre
sympathie et votre srieux. Merci pour votre formation trs enrichissante, votre
collaboration et votre gentillesse.
A Mr. Ismail JELLOULI, responsable de stage. Un trs spcial remerciement
pour nous avoir soutenu tout au long de la priode de notre stage, soyez en
sincrement remercie.
A tout le personnel de ORMVA/TF, nous vous remercions normment pour
votre accueil et votre gentillesse.
Nos remerciements sadressent galement aux formateurs et tous les membres
de ladministration de lISTA dErrachidia, nos collgues de Tssri et tous ceux qui
nous ont aid, de prs ou de loin, dans la ralisation de ce travail.
INTRODUCTION
Dans le cadre de la politique de la formation professionnelle office (OFPPT)
prend chaque anne des mesures afin damliorer la qualit de la formation dans
ses tablissements en instituant des stages en entreprises au profit des stagiaires de
nature a atteindre les objectifs prioritaires suivants :
La dcouverte du monde de travail
La confrontation des mthodes et techniques enseignes avec la
pratique
Ltablissement des relations plus troites entre les tablissements de
formation et leur environnement
Cependant, en tant que technicien spcialis en rseau informatique et dans un
souci de complter notre formation professionnelle le stage de fin de formation
savre fondamentale parce que a nous permet de confronter ce que nous avons
acquis thoriquement avec ce quil existe dans la ralit. L entreprise donc est
comptente plus profond cest pourquoi on ne parle plus dune formation parfaite
sans vivre la priode du stage : le climat de ladministration, travail en groupe, sens
de responsabilit et la manire de lacquisition de lemployabilit des personnels et
cest ce que nous avons constat dans le terrain, nous avons vcu dans un endroit
plus homogne.
Le prsent rapport a pour but de dcrire le travail fait au sein de LORVA/TF.
Bref, toutes nos attentes ont t satisfaites. Dabord nous avons appris beaucoup
sur ISA Server 2006, lapprobation de domaine lesquels nous allons traiter. Notre
matre de stage nous a fait partager ses connaissances (application, conseil,).
Prsentation de lORMVA/TF :
Cre par Dcret Royal en 1966, l'Office Rgional de Mise en Valeur
Agricole du Tafilalet est un organisme public dot de la personnalit civile
et de l'autonomie financire et plac sous tutelle du Ministre de
LAgriculture et du dveloppement rural et des pches maritimes .Dans le
but de participer au dveloppement rural dans une zone daction large et
dlicate (condition climatiques).
La zone daction de lORMVA/TF est situe au SUD-EST du Royaume, il
couvre lensemble de la province dErrachidia et le cercle de Beni-Tadjit
relevant de la province de Figuig .Soit au total 30 communes rurales dont
26 relevant du pouvoir de la province dErrachidia.
Organigramme de LORMVA/TF :
ORDINATEUR
3
3
IMPRIMANTE
3
3
96
97
6
3
3
3
98
30
99
2000
19
12
2001
22
24
2002
32
29
2003
2004
2005
15
10
2006
18
2007
18
2008
35
16
TOTAL
219
142
2. Logiciel
a) Systmes dexploitation
Microsoft
Microsoft
Microsoft
Microsoft
Windows 95
Windows 98
Windows 2000
Windows XP
b) Bureautique
Microsoft Office 97
Microsoft Office 2000
Microsoft Office 2003
Microsoft Office 2007
c)
Progiciels
d)
e)
Systmes de scurit
10
11
12
Lorsque vous installez Active Directory sur un serveur Windows 2003, celui-ci
vous propose deux modes de compatibilit : mode natif et mode mixte. En effet,
la version 2003 d'Active Directory intgre des nouveauts qui ne sont pas gr
par les versions antrieures. Ainsi, si votre rseau est gr exclusivement par des
serveurs Windows 2003, il est plus sr de choisir le mode natif d'Active
Directory. Le mode mixte quant lui permet la cohabitation de serveurs Active
Directory et Windows NT4 dans un environnement scuris, mais avec des
fonctionnalits en moins.
Pour fonctionner, ADMT exige que le domaine Active Directory fonctionne en
mode natif (c'est dire compatible seulement Windows 2003).
En plus d'Active Directory, il faut que votre nouveau serveur ait le service DNS
d'installer afin de pouvoir grer les enregistrements DNS
1.2. Approbation de domaine
Afin de pouvoir utiliser ADMT, il vous faut tablir une relation d'approbation
bidirectionnelle entre les deux domaines.
Sous Windows 2003, il vous suffit de lancer la MMC "Domaine et approbation
Active Directory" et d'afficher les proprits de votre domaine et d'aller dans
l'onglet "Approbations". Cliquez ensuite sur le bouton "Nouvelle Approbation"
pour lancer un assistant qui vous guidera vers la premire tape d'approbation de
domaine. N'oubliez pas de valider la relation d'approbation.
13
14
15
* Cliquez sur Suivant, puis sur l'une des options suivantes pour slectionner l'te
de l'authentification pour les utilisateurs partir du domaine Windows NT :
16
* Cliquez sur Suivant, puis tapez un mot de passe pour cette approbation dans la
zone
Mot de passe de l'approbation. Vous devez utiliser le mme mot de passe lorsque
vous crez cette relation d'approbation dans le domaine spcifi. Une fois
l'approbation cre, Active Directory met jour priodiquement le mot de passe
de
l'approbation des fins de scurit. Tapez de nouveau le mot de passe dans la
zone
Confirmer le mot de passe d'approbation, puis cliquez sur Suivant.
17
18
19
* Cliquez sur Terminer pour fermer l'Assistant, puis sur OK pour fermer la bote
de
dialogue des proprits du domaine.
* Quittez Domaines et approbations Active Directory.
Sur le contrleur principal de domaine Windows NT :
* Cliquez sur Dmarrer, pointez sur Programmes, sur Outils d'administration,
* puis cliquez sur Gest. des utilisateurs pour les domaines.
Dans le menu Stratgies, cliquez sur Relations d'approbation.
* Dans la zone Domaine, tapez le nom du domaine Windows Server 2003 Dans
la
zone Mot de passe, tapez un mot de passe pour l'approbation. Remarque Vous
devez utiliser le mme mot de passe d'approbation sur le contrleur du domaine
autoris approuver et sur le contrleur du domaine approuv.
20
* Cliquez sur OK. Notez que le domaine Windows Server 2003 est rpertori
dans la liste Domaines approuvs.
* Dans la zone Mot de passe initial, tapez le mme mot de passe que celui utilis
pour l'approbation sur le contrleur de domaine Windows Server 2003, puis
cliquez
sur OK. Le domaine Windows Server 2003 est rpertori dans la liste Domaines
autoriss approuver.
21
22
A. Les utilisateurs
Il faut maintenant s'assurer que les utilisateurs devant effectuer la migration (les
comptes administrateurs) ont des droits sur les deux domaines.
Sous Windows NT4, dans le gestionnaire des utilisateurs du domaine, double
cliquez sur le groupe des Administrateurs et ajouter le groupe Admins du
domaine du domaine DOMAINE-2003.LAN afin que ceux-ci aient tous les
droits sur le domaine DOMAINE-NT4.LAN.
23
De la mme manire, nous allons maintenant faire de mme pour le domaine Active
Directory.
Pour cela, ouvrez la MMC "Utilisateurs et ordinateurs Active Directory" et tendez le
noeud Builtin. Affichez maintenant les proprits du groupe Administrateurs et
rajoutez le groupe Admins du domaine de DOMAINE-NT4.LAN dans l'onglet
Membres.
24
Lors de la migration des SID des utilisateurs, ADMT va crer un groupe de type
domaine_source, dans notre exemple, DOMAINE-NT4. Vous pouvez crer ce
groupe en tenant compte du fait que c'est un groupe local et qu'il ne doit pas y
avoir d'utilisateur dedans. Si vous avez affect des utilisateurs ce groupe, l'outil
de migration de fonctionnera pas.
Attention : Pensez excuter la commande "net use" sur les 2 serveurs pour vrifier qu'il
n'existe pas de lecteur rseau et que le partage administratif "ADMIN" existe bien.
* Le registre :
La dernire tape des pr-requis consiste modifier le registre pour le
support client TCP/IP sur le PDC NT4.
Ouvrez donc un diteur de registre et rendez-vous la clef
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.
Ajoutez ensuite une valeur DWORD TcpipClientSupport que vous
mettrez 1. Redmarrez ensuite le serveur afin que les changements
soient pris en compte.
Voil, vous avez rempli les conditions d'utilisation pour ADMT, nous allons
pouvoir passer la migration elle mme.
Rapport de stage de fin de formation
25
Les groupes d'utilisateur sont migrs en premier car ceux-ci sont les ressources
les plus stables d'un domaine NT4. Lancez donc l'assistant "Group Account
Migration Wizard".
ADMT vous offre la possibilit de faire une migration test ou bien
de migrer directement. Il est conseill de faire en premier lieu la
migration test afin de vous viter les ventuels conflits pouvant
survenir par exemple au niveau du nom des objets importer
ADMT vous demande ensuite de
choisir un domaine source et un
domaine de destination. Dans notre
exemple, le domaine source est le
domaine NT4 : DOMAINE-NT4.LAN et
le domaine destination est
DOMAINE-2003.LAN
26
L'assistant va ensuite vous demander quels groupes vous voulez importer dans
votre nouveau domaine. Pour cela, utilisez le bouton Add et parcourez la liste
des groupes du domaine source.
Rentrez ensuite le nom de l'Organisation Unit dans laquelle vos groupes seront
stocks. Dans notre exemple, l'OU sera NT4OU. Il vous est demand un chemin
LDAP pour localiser l'OU, si vous ne le connaissez pas, utilisez le bouton
"Browse" afin que l'assistant remplisse de lui-mme le champ. Voici l'adresse de
notre exemple : "LDAP://DOMAINE2003.LAN/OU=NT4OU,DC=DOMAINE-2003,DC=LAN".
Si vous n'avez pas cr d'OU dans votre domaine, vous pouvez le faire via la
MMC "Utilisateurs et ordinateurs Active Directory".
L'assistant vous demande ensuite les options d'importation. Cochez donc les
options qui s'adaptent le mieux votre rseau, mais nous vous conseillons tout
de mme de cocher "Migrate group SIDs to target domaine" en plus de "Fix
membership of group" afin de permettre une migration plus douce entre les deux
domaines.
27
Une fois que vous aurez valid les options, ADMT vous informe qu'il activera
les audits pour la migration des SIDs et qu'il crera les groupes DOMAINENT4.LAN (dans notre cas).
ADMT vous demande ensuite de rentrer un compte ayant suffisamment de droits
sur le domaine NT4.
L'assistant vous demande vous propose ensuite plusieurs solutions pour rgler
les problmes de conflit. Choisissez la premire option. Si l'assistant dtecte des
conflits sur les groupes, examinez chaque groupe et dterminez si ils
reprsentent le mme groupe physique ou si ils reprsentent diffrents groupe
avec des noms NT4 identiques.
Une fois que vous avez valid le bouton "Finish", l'cran de migration s'affiche
et la migration commence. Si le test s'est droul sans erreur, vous pouvez
recommencer la manipulation en cochant cette fois "Migrate now ?".
28
De la mme manire que les groupes, nous allons migrer les utilisateurs. ADMT
propose globalement les mmes options avec tous ses assistants, nous
insisterons sur les paramtres important. Nous vous conseillons encore une fois
d'effectuer une migration test avant de migrer rellement vos utilisateurs.
Attention, la migration des utilisateurs ne prend pas en compte la migration des
mots de passe. Si vous souhaitez migrer galement les mots de passe, excutez
la procdure dcrite dans le chapitre suivant avant de lancer l'assistant de
migration des utilisateurs.
Lancez donc l'assistant "User Account Migration Wizard" et suivez les
instructions. L'assistant vous demandera de choisir vos domaines source et cible,
les utilisateurs que vous souhaitez importer, et l'Organisation Unit dans laquelle
les comptes doivent tre placs.
29
Comme nous l'avons prcis ci-dessus, ADMT n'importe pas les mots de passe
avec les utilisateurs. Celui-ci redfini les mots de passe. La premire option vous
permet d'assigner tous les utilisateurs imports un mot de passe complexe bas
sur une suite de caractre. La deuxime option dfini un mot de passe identique
au nom d'utilisateur. Dans les deux cas, ADMT va crer un fichier log qui
stockera les comptes d'utilisateurs avec leur mot de passe associ. Enfin la
troisime option n'est utilisable que si vous avez suivi les tapes du prochain
chapitre (sous peine de message d'erreur). Dans notre exemple, nous avons
choisi la premire option.
--
30
Aprs avoir rentr un compte et un mot de passe valide pour le domaine NT4,
l'assistant vous demande de remplir les options de migration. Si vous n'avez pas
encore import les groupes, cochez la "Migrate associated user groups". L'option
d'accompagnement devra aussi tre coche afin qu'ADMT mette jour les
groupes plutt que d'en crer des nouveaux. Sinon, cochez simplement la case
"Fix users' group memberships" qui permet d'associer les comptes d'utilisateurs
aux groupes du domaine cible.
De mme que pour les groupes, si la migration test s'est passe sans erreur, vous
devez relancer l'assistant en mode migration.
31
Pour pouvoir lancer la commande correctement, il faut crer tous les rpertoires
appel, dans notre exemple, j'ai du crer c:\Clef. Une fois la commande
excute, excutez ensuite : net localgroup "Accs compatible pr-Windows
2000" "tout le monde" /Add afin de rajouter Tout le monde dans le groupe Accs
compatible pr-Windows 2000. Pour achever la configuration du serveur
Windows 2003, redmarrez-le.
Modifions maintenant le PDC NT4. Pour ce genre d'opration, Microsoft
recommande l'utilisation d'un BDC afin de limiter les risques, mais ce n'est pas
obligatoire. Dans le package ADMT, installez le serveur de migration de mot de
passe se trouvant dans le dossier pwdmigr. Cette installation vous demandera de
Rapport de stage de fin de formation
32
spcifier l'emplacement du fichier pes enregistr plus haut sur le serveur 2003.
Une fois l'installation terminer, avant de redmarrer votre serveur, modifiez ou
crez la clef de registre PasswordExport 1 se trouvant dans la clef
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa.
Une fois que votre serveur aura redmarr, vous pourrez utiliser la fonction
"Migrate Password" de l'assistant de migration des utilisateurs.
ISA Server 2006 est une passerelle de scurit intgre disponible dans les
ditions Standard et Entreprise. Aidez vos clients fournir leurs employs et
partenaires un accs scuris et appropri aux applications, documents et
donnes de pratiquement tout PC ou priphrique. Connectez en toute scurit
des succursales distantes au sige de l'entreprise. Rduisezvoire liminez
tout dommage potentiel occasionn par des logiciels malveillants et autres
attaquants, ou utilisez simplement une bande passante limite plus efficacement.
Quel que soit le besoin, ISA Server 2006 vous facilite la scurisation des
applications d'entreprise accessibles sur Internet.
ISA Server 2006 est une passerelle de scurit intgre innovante, destine
protger les environnements informatiques contre les attaques provenant
d'Internet sans toutefois compromettre l'efficacit des utilisateurs, qui bnficient
ainsi d'un accs toute heure et en tout lieu aux donnes et aux applications
Microsoft. ISA Server 2006 vous aidera scuriser votre infrastructure
d'applications Microsoft, simplifier votre rseau et protger votre
environnement informatique.
Extrait:
ISA server permet le filtrage par stratgies de paquets IP et la journalisation de
tous les paquets ignors. La stratgie appliquer peut tre spcifie soit au
niveau IP, avec des protocoles IP et des adresses IP explicites, ou en fonction de
critres dfinis l'aide d'un protocole d'application de haut niveau. Si les
donnes sont autorises passer la couche des filtres de paquets, elles sont
transmises aux services de pare-feu et du Proxy Web, o les rgles ISA Server
sont traites pour dterminer si la requte doit tre adresse (...)
33
SecureNAT client
Pare-feu client
Certaines
modifications de la
Installation requise
Oui
configuration rseau
est ncessaire mai
Tout systme
d'exploitation qui
prend en charge
L'appui du systme
Seules les platesTransmission
d'exploitation
formes Windows
Control Protocol /
Internet Protocol
(TCP / IP)
Application des
Toutes les
filtres pour plusieurs
Protocole de soutien
applications
protocoles de
Winsock
connexion requis
Certaines
L'authentification modifications de la
Oui
au niveau utilisateur configuration rseau
requise
Aucune
Le fichier de
Serveur
configuration ou
configuration
d'applications
d'installation requis ncessaire
Client du proxy
Web
Non, la
configuration du
navigateur Web
Non applicable
* Configurations
Sur cette section, je vais savoir comment configurer chaque type de client sur un
ordinateur client. Il vous suffit de slectionner l'une de ces trois types de
configurations client.
A- SecureNAT client
Pour configurer SecureNAT client, seul changement passerelle dans les proprits
de rseau ISA Server
34
35
B- Pare-feu client
Le client de pare-feu pour ISA Server peut ventuellement tre install sur des
ordinateurs clients protgs par Microsoft ISA Server. Le client de pare-feu pour
ISA Server offre une scurit renforce, une prise en charge des applications et le
contrle d'accs aux ordinateurs clients.
Lorsqu'un ordinateur client excutant le client de pare-feu pour ISA Server lance
une requte, la destination est value par le logiciel Client de pare-feu et les
requtes externes sont diriges vers l'ordinateur ISA Server pour tre traites.
Aucune infrastructure de routage spcifique n'est requise. Le client de pare-feu
envoie des informations sur les utilisateurs de manire transparente avec chaque
requte, vous permettant ainsi de crer une stratgie de pare-feu sur l'ordinateur
ISA Server avec des rgles qui utilisent les donnes d'authentification prsentes
par le client.
o
Tlcharger le client de pare-feu pour ISA Server de Microsoft .
36
37
Un proxy est un mandataire pour une application donne. C'est dire qu'il sert
d'intermdiaire dans une connexion entre le client et le serveur pour relayer la
requte qui est faite. Ainsi, le client s'adresse toujours au proxy, et c'est lui qui
s'adresse ensuite au serveur. Un proxy fonctionne pour une application donne,
http, ftp, smtp, etc. Il peut donc modifier les informations envoyer au serveur,
ainsi que celles renvoyes par celui-ci. Le proxy propose en principe les
fonctionnalits de serveur de cache et de NAT Serveur cache : En de multiples
endroits du rseau, les serveurs caches gardent en mmoire les informations qui
ont dj transit par leur biais. Ainsi, lorsque l'internaute veut se reconnecter
un site loign, situ par exemple sur un autre continent, le proxy peut lui
resservir les pages afin de diminuer le temps de rponse sa requte.
D- Activer Proxy web sous le serveur
38
*Configurations
o
o
39
Par dfaut, ISA Server est configur par dfaut la rgle qui bloque tous les trafics
passent par ISA Server. Mais vous pouvez personnaliser en fonction de vos rgles
dans l'organisation politique. chaque rgle, vous pouvez personnaliser pour
autoriser ou refuser l'accs, les protocoles, les adresses source et destination, les
utilisateurs (ISA Server est intgr Active Directory), le temps d'utiliser la rgle,
les types de contenu.
40
je vais crer une nouvelle rgle d'accs au Web pour tous les utilisateurs dans un
rseau interne d'accs Internet (rseau externe), avec seulement HTTP (port 80) et
HTTPS (port 443) protocoles.
1. Ouvrez ISA Server Management. Dveloppez le nom du serveur (dans cet
exemple, BKKFRW001) -> Clic droit sur Stratgie de pare-feu -> Nouveau
-> Rgle d'accs.
41
42
5-Sur l'accs aux sources de la rgle, cliquez sur Ajouter. Ajouter Rseau Entits
fentre apparat, slectionner et dvelopper les rseaux internes.
43
7-Le jeux de l'utilisateur, autorisation de tous les utilisateurs. Cliquez sur Suivant.
44
9-Encore une fois, n'oubliez pas de demander votre mise sur ISA Server pour
prendre effet. Cliquez sur Appliquer.
45
46
47
CONCLUSION
Toute formation obit une double exigence : la rigueur de lenseignement
dispos et la concrtisation de celui-ci.
Un tel impratif nest ralisable que par le biais dun stage qui puisse
favoriser une meilleure connaissance et une ventuelle prparation au domaine
professionnel.
Les objectifs principaux du stage dans lORMVA/TF :
La dcouverte du monde du travail par le stagiaire.
La confrontation des mthodes et techniques enseignes avec pratique en
vigueur au sein de loffice.
Cest pour cette raison que toutes les entreprises au Maroc sont impliques
participer dans le programme de la formation qualifiante, soit de prendre les
laurats en stages.
Durant ce stage, nous avons pu approfondir nos connaissances tels que :
La mthode du travail.
Lorganisation au sein de loffice.
La responsabilit de chaque service et de chaque fonctionnaire dans cet
office.
Enfin, il faut rappeler que les stages jouent un rle trs pertinent dans le cursus
de la formation de ltudiant et dans son adaptation avec lenvironnement de
ladministration du secteur public. Ceci fait sortir le stagiaire du monde de la
thorique pour le faire pntrer dans le monde du travail et de la ralit, chose qui
va rduire les paradoxes rsultant des changements dun tudiant dans une cole ou
institut vers un cadre dans un tablissement.
48