Cours/Saison A4
Saison A413 modules

Saison A4. Windows Server

Modules

A401️ A401. Introduction et InstallationA402A402. Active Directory Domain Services (AD DS)A403️ A403. Stratégies de Groupe (GPO)A404A404. Serveur de fichiers distribués (DFS)A405️ A405. Gestion du Stockage : Filtres, Quotas & AuditA406️ A406. AtelierA408A408. DNS & IISA409️ A409. Pools IIS, Authentification et BackupA410A410. Windows Deployment Services (WDS)A411️ A411. RDS (Remote Desktop Services)A412️ A412. VDI & Hyper-VA413A413. Déploiement VDI & SysprepA414️ A414. Microsoft Azure

Cette saison se concentre sur l'administration système dans un environnement Microsoft. L'objectif est de maîtriser l'installation, la configuration et la gestion des services essentiels (AD DS, DNS, DHCP) sur Windows Server.

🖥️ A401. Introduction et Installation

Ce cours introduit la famille des systèmes d'exploitation serveurs de Microsoft, leur historique, leurs spécificités par rapport aux versions "publiques" (Windows 10/11), et détaille la procédure d'installation et de promotion d'un contrôleur de domaine.

  • Introduction et Contexte :

    • Définition : Windows Server est une solution conçue pour répondre aux besoins d'infrastructure des entreprises, distincte des versions "client" (Windows 10/11).
    • Part de marché : Il domine le monde de l'entreprise avec environ 70% de parts de marché mondiales, même si Linux reste majoritaire pour les serveurs Web.
    • Impact : Il a standardisé les infrastructures IT grâce à son adoption massive et son intégration forte avec l'écosystème Microsoft (Office, Azure).

  • Historique et Évolution :

    • Les débuts (NT) : Tout commence avec Windows NT 3.1 Advanced Server (1993) et NT 4.0, séparant la branche professionnelle de la branche grand public (Windows 95/98).
    • Le tournant (2000) : Windows 2000 Server introduit Active Directory, révolutionnant la gestion centralisée des réseaux d'entreprise.
    • La maturité :
      • Server 2003 & 2008 : Améliorations de stabilité, introduction de Hyper-V (virtualisation) et du mode Server Core (sans interface graphique).
      • Server 2012/2016 : Focus sur le Cloud, l'interface "Metro" et les conteneurs.
    • Aujourd'hui (2019/2022/2025) : Intégration poussée avec le cloud hybride (Azure), sécurité renforcée (Windows Defender ATP) et gestion via Windows Admin Center.

  • Fonctionnement : Rôles et Fonctionnalités :

    • Contrairement à un Windows classique, Windows Server est modulaire. On n'installe que ce dont on a besoin pour des raisons de sécurité et de performance.
    • Rôles : Ce sont les fonctions principales du serveur (ex: Serveur Web IIS, Serveur DNS, Services de domaine Active Directory).
    • Fonctionnalités : Ce sont des outils de support (ex: .NET Framework, Chiffrement BitLocker, Telnet Client).
    • Gestion : Tout se gère centralement via le Gestionnaire de serveur (Server Manager) ou en ligne de commande avec PowerShell. Dans le Gestionnaire de serveur on retrouve la MMC (Microsoft Management Console). C'est l'outil graphique qui héberge les composants (snap-ins) pour gérer les différents rôles Windows. .

  • Préparation et Installation (Windows Server 2019) :

    • Prérequis matériels : Processeur 64 bits 1.4 GHz, RAM minimum 512 Mo (mais 8 Go recommandés en production), et 32 Go d'espace disque.
    • Types d'installation :
      • Expérience utilisateur (Desktop Experience) : Avec l'interface graphique complète (GUI), recommandée pour les débutants.
      • Server Core : Sans interface graphique (gestion en ligne de commande), plus léger et sécurisé (moins de surface d'attaque), mais plus complexe à gérer.
    • Processus : Démarrage sur l'ISO, choix de la langue, sélection de l'édition (Standard ou Datacenter), partitionnement du disque et installation des fichiers.

  • Configuration Post-Installation :

    • Sécurité de base : Définition du mot de passe Administrateur local (complexe requis).
    • Réseau : Attribution impérative d'une adresse IP statique et configuration des DNS.
    • Identité : Renommer le serveur avec un nom cohérent avant toute autre action.
    • Accès : Activation du Bureau à distance (RDP) pour l'administration.
    • Mises à jour : Installation critique des correctifs via Windows Update.

  • Promotion en Contrôleur de Domaine (Active Directory) :

    • Pour qu'un serveur devienne le "chef" du réseau, on installe le rôle AD DS (Active Directory Domain Services).
    • Promotion : Une fois le rôle installé, on doit "promouvoir" le serveur.
    • Nouvelle Forêt : Pour le premier serveur, on crée une nouvelle forêt et on définit le nom de domaine racine (ex: thm.local).
    • DSRM : On définit un mot de passe de restauration des services d'annuaire (crucial en cas de crash de l'AD).

Challenge A401 : Installation de Windows Server 2022 sur VMware.

📚 Ressources :

Wiki Windows Server : https://en.wikipedia.org/wiki/Windows_Server

Installation sur Proxmox : https://getlabsdone.com/how-to-install-windows-server-2019-on-proxmox-step-by-step/

Retour en haut

🏢 A402. Active Directory Domain Services (AD DS)

Ce cours détaille l'architecture et les composants fondamentaux d'Active Directory, le service d'annuaire de Microsoft qui centralise la gestion des identités et des accès dans un réseau Windows.

  • Les Fondations : LDAP :

    • LDAP (Lightweight Directory Access Protocol) est le protocole standard utilisé pour interroger et modifier les annuaires. Il structure les données de manière hiérarchique (comme un arbre) pour faciliter la recherche.
    • Active Directory est l'implémentation Microsoft de LDAP. Il utilise ce protocole pour communiquer, tout en intégrant la sécurité Kerberos.

  • Architecture Logique :

    • Domaine : C'est l'unité de base d'administration et de sécurité. Il regroupe des objets (utilisateurs, ordinateurs) partageant une base de données commune.
    • Arbre (Tree) : Regroupement de un ou plusieurs domaines partageant un espace de noms DNS contigu (ex: thm.local et us.thm.local).
    • Forêt (Forest) : Le conteneur de plus haut niveau. Elle regroupe un ou plusieurs arbres qui partagent le même schéma (définition des objets) et la même configuration. C'est la frontière de sécurité ultime.
    • OU (Unité Organisationnelle) : Conteneurs à l'intérieur d'un domaine permettant d'organiser les objets (par département, lieu...) et surtout d'appliquer des GPO (Stratégies de groupe) ou de déléguer des droits d'administration.

  • Architecture Physique :

    • Site : Représente la topologie physique du réseau (un ou plusieurs sous-réseaux IP). Les sites servent à optimiser la réplication (synchronisation) entre les contrôleurs de domaine et à permettre aux utilisateurs de s'authentifier sur le serveur le plus proche.
    • Contrôleur de Domaine (DC) : Serveur qui héberge la base de données AD (NTDS.dit) et le dossier SYSVOL.

  • Gestion des Objets :

    • Utilisateurs et Ordinateurs : Comptes utilisés pour l'authentification sur le réseau.
    • Groupes : Permettent de gérer les permissions efficacement (on donne des droits à un groupe, pas à un utilisateur seul).
      • Types : Sécurité (pour les permissions d'accès) ou Distribution (pour les e-mails).
      • Portées : Domaine Local, Global, Universel (définissent la visibilité du groupe dans la forêt).

  • Le SYSVOL :

    • C'est un dossier partagé présent sur chaque Contrôleur de Domaine. Il contient les éléments publics nécessaires aux clients, comme les scripts de connexion et les fichiers des GPO (Stratégies de groupe). Il est automatiquement répliqué sur tous les DC.

Challenge A402 : Installation WS2025 sur Proxmox, AD DS Gestion d'utilisateurs.

📚 Ressources :

Créer un active directory : https://www.it-connect.fr/creer-un-domaine-ad-avec-windows-server-2016/

Domaine Forestier : https://www.it-connect.fr/chapitres/domaine-arbre-et-foret/

Mise en place step by step :

  1. install win serveur (choisir expérience de bureau)

  2. configurer le nom de la machine

  3. mettre une IP statique

  4. ajouter le rôle AD DS (ajouter une nouvelle forêt, choisir "oclock.lan")

  5. promouvoir ce serveur en contrôleur de domaine

  6. sur une VM Win10, configurer DNS -> utiliser IP statique du serveur windows

  7. renommer la machine

  8. rejoindre le domaine oclock.lan (vérifier que le ping du domaine passe avant)

Retour en haut

🛡️ A403. Stratégies de Groupe (GPO)

Ce cours aborde les Stratégies de Groupe (GPO - Group Policy Objects), un outil puissant d'Active Directory pour gérer centralement la configuration des utilisateurs et des ordinateurs dans un environnement Windows.

  • Principe des GPO :

    • Une GPO est un ensemble de paramètres de configuration appliqués à des utilisateurs ou des ordinateurs.
    • Elles permettent d'automatiser la gestion, d'appliquer des règles de sécurité, d'installer des logiciels ou de configurer l'environnement de travail (fond d'écran, mappage de lecteurs, etc.) à grande échelle.

  • Structure et Application :

    • Conteneurs : Les GPO peuvent être liées à des Sites, des Domaines ou des Unités Organisationnelles (OU).
    • Héritage : Par défaut, les GPO appliquées à un conteneur parent sont héritées par les conteneurs enfants. Cet héritage peut être bloqué ou forcé.
    • Ordre d'application (LSDOU) : Local > Site > Domaine > OU. La dernière GPO appliquée l'emporte en cas de conflit (l'OU a donc la priorité sur le Domaine).

  • Configuration Utilisateur vs. Ordinateur :

    • Configuration Ordinateur : S'applique au démarrage de la machine, quel que soit l'utilisateur qui se connecte (ex: paramètres de pare-feu, installation de logiciels système).
    • Configuration Utilisateur : S'applique à l'ouverture de session de l'utilisateur (ex: scripts de connexion, restrictions du panneau de configuration, raccourcis bureau).

  • Gestion des GPO :

    • L'outil principal est la Console de gestion des stratégies de groupe (GPMC).
    • On y crée les objets GPO, on les modifie via l'éditeur, et on les lie aux conteneurs AD souhaités.
    • Filtrage de sécurité : Permet de restreindre l'application d'une GPO à certains utilisateurs, groupes ou ordinateurs spécifiques, même si elle est liée à leur OU.
    • WMI Filters : Permettent d'appliquer une GPO selon des critères techniques (ex: version de l'OS, espace disque disponible).

  • Commande utile :

    • gpupdate /force : Force la mise à jour immédiate des stratégies de groupe sur le client, sans attendre le cycle de rafraîchissement automatique (environ 90 minutes).
    • gpresult /r : Affiche un rapport sur les GPO appliquées à l'utilisateur et à l'ordinateur, utile pour le diagnostic.

Challenge A403 : Utilisateurs, Groupes, et GPO Fond d'écran.

📚 Ressources :

Contrôle de comptes d'utilisateur : https://learn.microsoft.com/fr-fr/windows/security/application-security/application-control/user-account-control/how-it-works

GPO sur IT-connect : https://www.it-connect.fr/chapitres/quest-ce-quune-strategie-de-groupe-ou-gpo/

Retour en haut

💾 A404. Serveur de fichiers distribués (DFS)

Ce cours explore le service DFS de Windows Server, essentiel pour centraliser l'accès aux données, simplifier l'arborescence réseau pour les utilisateurs, et garantir la haute disponibilité des fichiers grâce à la réplication.

  • Protocole SMB (Server Message Block) :

    • C'est le protocole standard des réseaux Microsoft pour le partage de fichiers et d'imprimantes.
    • Il permet aux clients d'accéder aux ressources via des chemins UNC (ex: \\NomServeur\NomPartage).
    • La version moderne (SMB 3.x) inclut des fonctionnalités avancées de sécurité (chiffrement) et de performance, essentielles pour les serveurs de fichiers et la virtualisation (Hyper-V).

  • DFS (Distributed File System) :

    • Définition : Service Windows Server permettant de regrouper plusieurs partages réseau (situés sur différents serveurs) sous un seul et unique espace de noms logique (ex : \\domaine.local\partages).
    • Rôle principal - DFS Namespace : Crée un point d'accès logique et unifié. Les utilisateurs n'ont plus besoin de connaître le nom du serveur physique.
    • Rôle secondaire - DFS Replication (DFSR) : Synchronise les données entre plusieurs serveurs pour assurer la tolérance de panne et la haute disponibilité. Si un serveur tombe, les utilisateurs accèdent automatiquement à une copie des données sur un autre serveur.
    • Bénéfices : Simplification des chemins d'accès pour les utilisateurs et haute disponibilité des données.

  • Gestion des Permissions : Partage vs. NTFS :

    • Permissions NTFS : S'appliquent au niveau du système de fichiers local. Elles définissent les droits précis (Lecture, Écriture, Modification, Contrôle total) et s'appliquent après l'accès au partage.
    • Permissions de Partage : Gérées au niveau du répertoire partagé sur le réseau. Elles sont plus générales (Lecture, Modification, Contrôle total).
    • Règle de cumul : Les permissions NTFS s'appliquent après les droits de partage. L'utilisateur reçoit toujours le droit le plus restrictif entre les droits de partage et les droits NTFS.

  • Héritage et Bonnes Pratiques :

    • Héritage : Transmet automatiquement les droits définis sur un dossier parent aux sous-dossiers et fichiers. Il est possible de désactiver cet héritage ("casser l'héritage") pour isoler et redéfinir des droits spécifiques.
    • Bonne Pratique (Simplification) : Pour la simplicité administrative, il est courant de donner le droit Contrôle total au groupe Tout le monde (ou Utilisateurs Authentifiés) sur la permission de partage, et de gérer toutes les vraies restrictions et la sécurité via les permissions NTFS.

  • Modèle AGDLP / AGP (Modèle pour les droits) :

    • Ce modèle est une bonne pratique pour l'administration évolutive des droits dans les grandes structures :
      • Accounts (Utilisateurs et ordinateurs)
      • placés dans des Groupes Domains Globaux
      • ajoutés dans des Local Permission Groups
      • puis ces groupes reçoivent des Permissions sur la ressource (dossiers NTFS ou partages DFS).

  • Tips :

    • Ajouter le suffixe $ au nom d'un dossier partagé (ex : drivers$) cache le répertoire aux utilisateurs qui parcourent le réseau, tout en permettant l'accès via le chemin UNC complet.
    • Pour les besoins spécifiques, il est parfois plus simple de casser l'héritage et de redéfinir manuellement les permissions. Soit en supprimant tout et remettant manuellement, soit en

Challenge A404 : Création de partages et droits.

📚 Ressources :

Serveur de Fichier - ITconnect: https://www.it-connect.fr/serveur-de-fichiers-les-permissions-ntfs-et-de-partage/

AGDLP - ITconnect : https://www.it-connect.fr/agdlp-bien-gerer-les-permissions-de-son-serveur-de-fichiers/

Documentation DFS – Microsoft https://learn.microsoft.com/fr-fr/windows-server/storage/dfs-namespaces/dfs-overview?tabs=server-manager

DFS Replication – Microsoft https://learn.microsoft.com/fr-fr/windows-server/storage/dfs-replication/dfs-replication-overview

Retour en haut

🗄️ A405. Gestion du Stockage : Filtres, Quotas & Audit

Ce cours aborde la gestion avancée des serveurs de fichiers, principalement via le rôle FSRM (File Server Resource Manager / Gestionnaire de ressources du serveur de fichiers). Il permet de contrôler l'utilisation du stockage et de sécuriser les données grâce à la mise en place de l'audit.

  • Le Rôle FSRM (Gestionnaire de ressources du serveur de fichiers) :

    • C'est une fonctionnalité de Windows Server qu'il faut installer pour gérer finement les quotas et les filtres de fichiers.
    • Contrairement aux quotas NTFS standards (qui s'appliquent à un volume entier), FSRM permet de gérer des quotas par dossier.

  • Gestion des Quotas (Limitation d'espace) :

    • Objectif : Empêcher la saturation des disques par les utilisateurs et répartir équitablement les ressources de stockage.
    • Types de Quotas :
      • Quota strict (Hard quota / Inconditionnels) : Bloque l'écriture une fois la limite atteinte (l'utilisateur reçoit un message "Espace disque insuffisant").
      • Quota souple (Soft quota / Conditionnels) : Ne bloque pas l'utilisateur, mais sert à la surveillance. Il génère des alertes (logs, emails à l'admin) lorsque des seuils sont dépassés.
    • Modèles : On utilise des modèles de quotas pour appliquer automatiquement des règles (ex: "Limite de 5 Go") à tous les nouveaux sous-dossiers créés.

  • Filtrage de Fichiers (File Screening) :

    • Objectif : Contrôler le type de contenu stocké sur le serveur (ex: interdire les fichiers personnels comme les MP3 ou les vidéos AVI sur un serveur professionnel).
    • Fonctionnement : Se base sur des groupes de fichiers (listes d'extensions, ex: *.mp3, *.mkv).
    • Types de filtrage :
      • Filtrage actif : Empêche l'utilisateur d'enregistrer le fichier interdit (message "Accès refusé").
      • Filtrage passif : Autorise l'enregistrement mais génère une alerte pour l'administrateur (utile pour surveiller sans bloquer le travail).

  • Audit des Accès (Traçabilité) :

    • Objectif : Renforcer la sécurité en gardant une trace ("Qui a fait quoi et quand ?") sur les fichiers sensibles. Idéal pour savoir qui a supprimé ou modifié un fichier critique.
    • Mise en place (2 étapes) : 1. Activer la stratégie d'audit : Via une GPO (Configuration Ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit > Auditer l'accès aux objets). 2. Configurer la SACL : Sur le dossier cible (Clic droit > Propriétés > Sécurité > Avancé > Onglet Audit), on définit qui on surveille et pour quelles actions (Réussite/Échec de suppression, écriture, etc.).
    • Consultation : Les traces se trouvent dans l'Observateur d'événements, journal Sécurité.

Challenge A405 : Mappage de lecteurs, ressources, quotas, filtres, et audit.

📚 Ressources :

Monter un Lecteur réseau par GPO - ITconnect : https://www.it-connect.fr/comment-monter-un-lecteur-reseau-par-gpo/

GPSearch Microsoft : https://gpsearch.azurewebsites.net/

Audit des Groupes de Sécurité de l'AD - ITconnect : https://www.it-connect.fr/audit-des-groupes-de-securite-de-lactive-directory/

Audit des accès aux Fichiers et Dossiers - RDR-IT : https://rdr-it.com/serveur-fichiers-windows-enregistrer-acces-fichiers-dossiers/

Retour en haut

⚙️ A406. Atelier

Challenge A406 : Atelier de mise en place et gestion de GPO.

et Correction Atelier A407.

Retour en haut

🌐 A408. DNS & IIS

Ce cours explore deux rôles fondamentaux de Windows Server : le serveur DNS, pilier de la résolution de noms dans le réseau, et le serveur Web IIS, plateforme d'hébergement d'applications et de sites internet. Leur configuration conjointe est essentielle pour rendre les services accessibles de manière conviviale.

  • DNS (Domain Name System) :

    • Rôle : C'est l'annuaire d'Internet et des réseaux locaux. Il convertit des noms de domaine lisibles par l'humain (ex: www.exemple.com) en adresses IP utilisables par les machines.
    • Gestionnaire DNS : L'outil d'administration sur Windows Server permet de configurer deux types de zones principales :
      • Zone de recherche directe : Associe un nom à une IP (le cas le plus courant). Elle contient des enregistrements de type A (IPv4), AAAA (IPv6), CNAME (Alias), MX (Messagerie) ou TXT (Infos diverses).
      • Zone de recherche inversée : Associe une IP à un nom. Elle utilise des enregistrements de type PTR (Pointeur). Utile pour le diagnostic réseau et certaines vérifications de sécurité.

  • IIS (Internet Information Services) :

    • Définition : C'est le serveur Web modulaire et extensible de Microsoft. Il permet d'héberger des sites web (HTML, ASP.NET), des services FTP et des API.
    • Test rapide : Après l'installation du rôle, accéder à http://127.0.0.1 ou http://localhost depuis le serveur affiche la page d'accueil par défaut d'IIS, confirmant son bon fonctionnement.
    • Fonctionnalités clés :
      • Sites multiples : Hébergement de plusieurs sites sur un même serveur grâce aux bindings (liaisons).
      • Sécurité : Gestion des certificats SSL/TLS pour le HTTPS.
      • Pools d'applications : Isolation des processus pour qu'un crash sur un site n'affecte pas les autres.
      • Exploration de répertoire : Option (souvent désactivée par sécurité) qui permet d'afficher la liste des fichiers d'un dossier ("Index of...").

  • L'Interaction DNS <-> IIS :

    • Pour qu'un utilisateur accède à un site hébergé sur IIS via un nom (ex: intranet.thm.local), deux configurations sont nécessaires : 1. Côté DNS : Créer un enregistrement A qui fait pointer le nom intranet vers l'adresse IP du serveur IIS. 2. Côté IIS : Configurer le binding (liaison) du site pour qu'il écoute les requêtes arrivant sur cette IP avec ce nom d'hôte spécifique (ex: port 80, nom d'hôte intranet.thm.local).

Challenge A408 : enregistrement DNS, IIS et index.html

📚 Ressources :

  • Commande nslookup : Outil en ligne de commande essentiel pour interroger un serveur DNS et diagnostiquer les problèmes de résolution.
    • Mode interactif : Taper nslookup puis server <IP_du_DNS> pour tester un serveur spécifique.
    • Recherche directe : nslookup www.google.com (renvoie l'IP).
    • Recherche inversée : nslookup 8.8.8.8 (renvoie le nom associé dns.google).

Retour en haut

🛡️ A409. Pools IIS, Authentification et Backup

Ce cours approfondit la configuration du serveur Web IIS avec la gestion des pools d'applications et de l'authentification, et aborde un aspect critique de l'administration système : la sauvegarde et la restauration (notamment d'Active Directory) avec Windows Server Backup.

  • IIS - Pools d'Application :

    • Définition : Un pool d'application est un mécanisme d'isolation qui permet d'exécuter des sites web ou des applications dans des processus séparés. Chaque pool fonctionne avec son propre processus système (w3wp.exe).
    • Idée clé : Un pool = Une isolation. Si un site plante ou consomme toutes les ressources, les autres sites (dans d'autres pools) continuent de fonctionner normalement.
    • Avantages :
      • Isolation : Si une application plante, elle ne fait pas tomber les autres pools.
      • Sécurité & Stabilité : Permet de définir une identité spécifique (compte de service) et des réglages de recyclage pour chaque application.
      • Flexibilité : Possibilité de configurer des versions de .NET différentes par pool.
    • Configuration : Dans le Gestionnaire IIS > Pools d'applications > Ajouter un pool d'applications. Chaque pool peut avoir sa propre version de .NET et son propre compte de service (identité).

  • IIS - Authentification et Contrôle d'Accès :

    • Objectif : Par défaut, un site est en accès anonyme. L'authentification permet d'exiger une identification pour garantir la traçabilité et restreindre l'accès aux seules personnes autorisées.
    • Installation : C'est une fonctionnalité à ajouter via le Gestionnaire de serveur > Rôle Serveur Web (IIS) > Serveur Web > Sécurité >
    • Authentification de base : Méthode simple où le navigateur demande un identifiant et un mot de passe.
      • Attention : Les identifiants sont encodés en Base64 (facilement déchiffrables), il est donc crucial d'utiliser le SSL/TLS (HTTPS) pour chiffrer la connexion.
      • Règle d'or : Si on active l'Authentification de base, il faut impérativement désactiver l'Authentification anonyme pour forcer la connexion.
    • Authentification Digest : Plus sécurisée que la "Basic" (hachage des identifiants), mais moins robuste que Windows.
    • Authentification Windows : La plus robuste pour un Intranet, utilise NTLM ou Kerberos (AD).
    • Certificat Client : Authentification forte basée sur des certificats X.509.
    • Autres restrictions : Il est aussi possible de filtrer par Adresse IP/Domaine ou d'utiliser le Filtrage des demandes (URL Authorization) pour bloquer certaines requêtes spécifiques.

  • Windows Server Backup & Stratégie de Sauvegarde (PRA) :

    • Contexte : La sauvegarde est le pilier du PRA (Plan de Reprise d'Activité).

    • Windows Server Backup : Solution native idéale pour les TPE/PME. Elle permet des sauvegardes complètes, incrémentielles ou de l'état du système ("System State"). A installer via "Ajout de rôles et fonctionnalités".

    • Limites : Pour les grandes structures, on privilégie des solutions tierces (Veeam, etc.) offrant la centralisation, la déduplication, et la réplication cloud.

    • Technologies :

      • Sauvegarde classique : Garantie de continuité "à froid".
      • VSS (Volume Shadow Copy) : Mécanisme de "Snapshot" (instantané) permettant de sauvegarder des fichiers en cours d'utilisation sans interrompre le service.

    • Stratégie : Les snapshots permettent des sauvegardes fréquentes sans interruption de service. Une sauvegarde complète "à froid" (services arrêtés) reste une bonne pratique ponctuelle pour une cohérence absolue.

    • Format : Les sauvegardes sont stockées sous forme d'images disques .vhdx, qui peuvent être montées manuellement pour récupérer des fichiers unitaires.

    • Types de récupération : Fichiers et dossiers, Volumes entiers, Applications, ou État du système (System State).

  • Sauvegarde et Restauration Active Directory :

    • Composants critiques : La sauvegarde de l'AD repose sur deux dossiers clés :
      • NTDS : Contient la base de données de l'annuaire (ntds.dit avec utilisateurs, groupes, ordinateurs).
      • SYSVOL : Contient les fichiers publics répliqués (Stratégies de groupe/GPO, scripts de connexion).
      • Restauration de l'État du Système (System State) : C'est l'option à choisir pour récupérer un AD. Elle restaure :
      • AD (L'annuaire lui-même).
      • FRS/DFSR (Le dossier SYSVOL).
      • Registry (La configuration système locale).
    • Règle impérative : Active Directory étant un service critique en cours d'exécution, il ne peut pas être restauré en mode normal. Il faut obligatoirement redémarrer le serveur en Mode de restauration des services d'annuaire (DSRM).

Challenge A409 : Supression et récupération utilisateur dans l'AD.

📚 Ressources :

  • Démarrage en Mode Restauration des Services d'Annuaire (DSRM) : Nécessaire pour certaines restaurations AD.
    • Via l'interface : msconfig > Onglet Démarrer > Démarrage sécurisé > Réparer Active Directory.
    • Au démarrage : Maintenir la touche MAJ (Shift) en cliquant sur "Redémarrer" > Dépannage > Options avancées > Paramètres de démarrage.

Sauvegarder son serveur avec Windows Server Backup - IT-connect https://www.it-connect.fr/chapitres/windows-server-2025-sauvegarder-son-serveur-avec-windows-backup/

Restaurer un contrôleur de domaine AD - IT-connect https://www.it-connect.fr/comment-restaurer-un-controleur-de-domaine-active-directory/

Restaurer une zone DNS - IT-connect https://www.it-connect.fr/windows-server-comment-restaurer-une-zone-dns/

Vidéo Sauvegarde et restauration Active Directory - ENNIBI-IT https://www.youtube.com/watch?v=p3N8LkLb7sU

Reset mdp Admin en DSRM https://learn.microsoft.com/fr-fr/troubleshoot/windows-server/active-directory/reset-directory-services-restore-mode-admin-pwd

Retour en haut

🚀 A410. Windows Deployment Services (WDS)

Ce cours aborde le déploiement automatisé de systèmes d'exploitation via le réseau en utilisant le rôle WDS (Windows Deployment Services). Il permet d'installer Windows sur de multiples machines simultanément, sans avoir besoin de support physique (clé USB/DVD) pour chaque poste. Ainsi que l'injection de pilotes et l'automatisation des installations via des fichiers de réponses.

1. WDS (Windows Deployment Services)

  • Rôle : Permet de stocker et de diffuser des images systèmes Windows (fichiers .wim) via le réseau. C'est l'évolution des anciens services RIS.

  • Images : Le service repose sur deux types d'images principales :

    • Image de démarrage (Boot Image) : C'est l'environnement Windows PE (boot.wim) qui se charge en premier via le réseau pour lancer l'assistant d'installation.
    • Image d'installation (Install Image) : C'est l'image du système d'exploitation complet (install.wim) qui sera copiée sur le disque dur du client.
    • Image de capture (Capture Image) : C'est une image de démarrage spéciale. Elle sert à capturer l'état d'une machine de référence (préalablement préparée avec Sysprep) pour créer une nouvelle image d'installation .wim personnalisée (Master) qui pourra être redéployée ultérieurement (voir cours A413. VDI).

  • Fonctionnement via PXE :

    • Le déploiement repose sur la norme PXE (Preboot Execution Environment). Cette technologie permet à une station de travail de démarrer directement depuis sa carte réseau (avant même le chargement de l'OS local) pour récupérer une image système située sur un serveur.
    • Prérequis : Pour que cela fonctionne, l'environnement doit disposer d'un serveur DNS (résolution de noms), d'un serveur DHCP (attribution d'IP) et d'un domaine Active Directory (authentification).

  • Configuration DHCP pour le PXE :

    • Si le DHCP n'est pas sur le même serveur que WDS (exemple : un routeur pfSense), des options spécifiques doivent être configurées pour guider le client PXE :
      • Option 66 (Boot Server Host Name) : L'adresse IP ou le nom du serveur WDS.
      • Option 67 (Bootfile Name) : Le chemin du fichier de démarrage (ex: boot\x64\wdsnbp.com pour BIOS ou boot\x64\wdsmgfw.efi pour UEFI).
    • Option 60 (PXEClient) : Cette option est nécessaire uniquement si le DHCP et le WDS cohabitent sur le même serveur, pour éviter les conflits car ils écoutent tous deux sur le port UDP 67.

  • Limitations et transition vers MDT :

    • WDS seul montre ses limites, notamment avec Windows 11 (nouveaux formats .esd, prérequis TPM/Secure Boot). Microsoft recommande d'utiliser MDT (Microsoft Deployment Toolkit).
    • MDT est un outil gratuit qui se superpose à WDS pour offrir des scénarios beaucoup plus riches : il permet d'injecter automatiquement des drivers, d'installer des logiciels post-déploiement, d'exécuter des scripts de personnalisation et de migrer des données utilisateur, ce que WDS ne fait pas nativement. Pour les très grandes structures, on passera sur SCCM (System Center).

2. WDS : Gestion des Pilotes (Drivers)

Pour que l'installation de Windows fonctionne sur différents matériels, WDS permet de gérer et déployer des pilotes (ex: carte réseau, contrôleur de disque).

  • Groupes de Pilotes : Permet d'organiser les pilotes logiquement. On peut appliquer des Filtres pour contrôler leur déploiement :

    • Filtres Client : Définissent QUI reçoit les pilotes (ex: Manufacturer = Dell, Model = Optiplex 7080).
    • Filtres Fichier : Définissent QUOI (quels fichiers du groupe) est installé (ex: uniquement les pilotes Net ou Video).

  • Injection dans l'Image de Démarrage (Boot Image) :

    • Indispensable : Pour que l'installateur Windows (WinPE) puisse voir le disque dur ou accéder au réseau, les pilotes critiques (Stockage et Réseau) doivent être injectés directement dans l'image de boot (boot.wim).
    • Cas de la Virtualisation (VirtIO) : Sur des hyperviseurs comme Proxmox/KVM, il faut injecter les pilotes VirtIO :
      • NetKVM : Pour la carte réseau.
      • viostor/vioScsi : Pour le contrôleur de disque.
      • Balloon : Pour la gestion dynamique de la mémoire.
    • Attention : L'injection est une modification lourde de l'image .wim. En cas de mise à jour de pilote, il faut souvent reconstruire l'image.

2. WDS : Automatisation (Unattend)

L'objectif est de réaliser une installation "zéro touche" (Zero Touch Installation) où l'administrateur n'a pas besoin de cliquer sur "Suivant" devant chaque poste.

  • Fichier de réponses (Unattend.xml) :

    • C'est un fichier XML qui contient les réponses aux questions de l'installateur (Langue, Partitionnement du disque, Fuseau horaire, Mot de passe admin local, etc.).
    • Dans les propriétés du serveur WDS (onglet Client), on lie ce fichier XML aux architectures (x64/x86) pour qu'il soit chargé automatiquement.

  • Pré-staging (Approbation et Nommage) :

    • Permet de sécuriser le WDS en demandant une approbation avant l'installation.
    • L'administrateur peut nommer la machine et définir dans quelle OU (Active Directory) elle sera créée avant même que l'installation ne commence.
    • Droits de jointure : On définit quel compte est utilisé pour joindre le domaine (souvent un compte de service ou administrateur) avec les droits complets pour créer l'objet ordinateur.

  • Avantage et Inconvénient :

    • Avantages : Installation rapide d'OS natifs, standardisation du parc.
    • Inconvénient : Gère uniquement l'installation, pas la maintenance applicative post-install.

Challenge A410 : Test de Windows Deployment Services (WDS) et boot PXE.

📚 Ressources :

Convertir un fichier ESD en WIM https://www.it-connect.fr/wds-convertir-un-fichier-esd-en-wim/

Serveurs WDS et DHCP : boot PXE BIOS et UEFI https://www.it-connect.fr/serveurs-dhcp-wds-boot-pxe-bios-et-uefi/

Sur notre pfsense DHCP option 60 si UEFI et option 66 & 67 pour BIOS : "PXEClient" + Enable Network Booting avec l'addresse du server.

Prise en charge de boot.wim https://learn.microsoft.com/fr-fr/windows/deployment/wds-boot-support

WDS installation et configuration https://rdr-it.com/wds-installation-et-configuration/

Déployer un Certificat https://rdr-it.com/gpo-deployer-un-certificat/

Configurer le SSO https://rdr-it.com/en/gpo-configure-sso-on-rds-connections/

Retour en haut

🖥️ A411. RDS (Remote Desktop Services)

Ce cours introduit le rôle RDS (Services Bureau à Distance) pour la centralisation des environnements utilisateurs. Il couvre le déploiement rapide, la sécurisation via certificats et l'automatisation de la connexion via les GPO.

  • RDS (Remote Desktop Services) :

    • Les Services Bureau à Distance permettent d'héberger des sessions utilisateurs sur un serveur centralisé (virtualisation de session).
    • Fonctionnement :
      • Le Serveur Hôte exécute les applications et le bureau.
      • Le Client (léger ou PC) se connecte via le protocole RDP (port 3389).
      • mstsc.exe : La commande qui lance l'application Connexion Bureau à distance (Remote Desktop Connection) sous Windows.
      • Multi-session : Plusieurs utilisateurs travaillent simultanément sur le même serveur, chacun dans sa bulle isolée.

  • Modes d'utilisation :

    • Bureau complet : L'utilisateur accède à un bureau Windows distant classique.
    • RemoteApp : Seule la fenêtre de l'application est envoyée au client. L'application s'exécute sur le serveur mais semble tourner en local (intégration transparente).

  • Installation (Démarrage Rapide) :

    • Via le Gestionnaire de serveur > "Installation des services Bureau à distance".
    • Choisir "Démarrage rapide" pour une installation sur un seul serveur (installe le Broker, l'Accès Web et l'Hôte de session en une seule opération).
    • Choisir "Déploiement de bureaux basés sur une session".

  • Gestion des Licences (RD Licensing) :

    • Ce rôle est indispensable pour le déploiement en production. Il stocke et délivre les CALs RDS (licences d'accès client).
    • Lorsqu'un utilisateur se connecte, le serveur Hôte de session interroge le serveur de licences pour obtenir une CAL valide (distincte de la licence Windows Server de base). Sans ce rôle configuré, la période de grâce de 120 jours finira par bloquer les connexions.

  • Accès Web (RDWeb) :

    • Permet aux utilisateurs d'accéder à leurs applications/bureaux via un navigateur (URL type : https://serveur/RDWeb).
    • Sécurité (HTTPS) : Nécessite impérativement un certificat SSL. En environnement de lab, on utilise souvent un certificat auto-signé qu'il faut lier au port 443 dans IIS.

  • Gestion des Certificats (MMC) :

    • Pour que les clients acceptent la connexion sans erreur de sécurité, ils doivent faire confiance au certificat du serveur RDS.
    • Export du certificat : Sur le serveur, ouvrir la console mmc.exe > Ajouter un composant > Certificats > Compte d'ordinateur > Ordinateur Local. Exporter le certificat (sans la clé privée) pour le déployer ensuite.

  • Déploiement Automatisé via GPO :

    • Une GPO permet de distribuer le certificat et de configurer automatiquement la connexion RemoteApp sur les postes clients.
    • 1. Distribution du Certificat (Confiance) :
      • Chemin : Configuration Ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique > Autorités de certification racines de confiance.
      • Action : Importer le certificat exporté précédemment.
    • 2. Configuration du flux RemoteApp :
      • Chemin : Configuration Utilisateur > Stratégies > Modèles d'administration > Composants Windows > Services Bureau à distance > Connexions aux programmes RemoteApp et aux services Bureau à distance.
      • Paramètre : Spécifier l'URL de connexion par défaut.
      • Valeur : https://ws2025.oclock.lan/rdweb/Feed/webfeed.aspx (URL du flux RSS/Webfeed).

  • Avantages et Inconvénients :

    • Avantages : Centralisation des données, maintenance simplifiée (1 seule installation d'app pour 50 utilisateurs), accès à distance sécurisé.
    • Inconvénients : SPOF (Single Point of Failure) - si le serveur RDS plante, tous les utilisateurs sont bloqués. Nécessite une infrastructure serveur robuste (RAM/CPU).

Challenge A411 : Installation et test du RDS (Remote Desktop Services).

📚 Ressources :

RDS overwiew https://learn.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/overview

RDS déploiement https://www.it-connect.fr/deploiement-rapide-dun-serveur-rds-avec-windows-server-2016/

Retour en haut

☁️ A412. VDI & Hyper-V

Ce cours introduit la base de la VDI (Virtual Desktop Infrastructure) : l'hyperviseur. Sur Windows Server, le rôle Hyper-V permet de créer et gérer des machines virtuelles qui serviront de modèles ("Masters") pour les bureaux virtuels.

  • Installation du rôle Hyper-V :

    • S'installe via "Ajouter des rôles et fonctionnalités" > Hyper-V.
    • Configuration :
      • Ethernet : Il est conseillé de ne pas cocher la carte réseau durant l'installation (pour configurer le switch virtuel manuellement plus tard).
      • Migration : Laisser par défaut (CredSSP).
      • Emplacement : Changer le chemin par défaut pour stocker les VM dans un dossier dédié (ex: C:\VM) pour une meilleure organisation.
    • Redémarrage : Obligatoire pour charger l'hyperviseur au niveau noyau.

  • Gestion du Réseau : Commutateurs Virtuels (vSwitch) :

    • Une fois installé, on configure le réseau via le Gestionnaire Hyper-V > Gestionnaire de commutateur virtuel.
    • Il existe 3 types de commutateurs :
      1. Externe (Bridge) : La VM est connectée directement au réseau physique (comme si elle était branchée au switch réel). Elle obtient une IP du DHCP du réseau LAN.
      2. Interne (NAT) : La VM communique uniquement avec l'hôte physique et les autres VM. (Souvent utilisé avec du NAT).
      3. Privé (Local Only) : La VM communique uniquement avec les autres VM sur le même vSwitch. Isolation totale de l'hôte physique.
    • Note : La création d'un vSwitch externe crée une interface réseau virtuelle visible dans ncpa.cpl.

  • Création d'une VM "Master" :

    • L'objectif est de créer une VM modèle (Master) propre, qui servira de base pour le déploiement de masse.
    • Installation de l'OS : On configure la VM pour démarrer via le réseau ("Installer à partir d'un serveur d'installation réseau") afin de récupérer l'image Windows via WDS.

  • Générations de VM : Gen 1 vs Gen 2 :

    • C'est un choix crucial à la création de la VM.
    • Génération 1 (Gen 1) :
      • Simule un matériel ancien.
      • BIOS classique (Legacy).
      • Disque IDE / Partition MBR.
      • Compatible avec les vieux OS (Windows 7, vieux Linux).
    • Génération 2 (Gen 2) :
      • Standard moderne (recommandé).
      • UEFI.
      • Disque SCSI / Partition GPT.
      • Supporte le Secure Boot (Démarrage sécurisé). Attention : il faut parfois désactiver le Secure Boot pour certaines distributions Linux.

Challenge A412 : Installation d'une VM sur Hyper-V.

📚 Ressources :

Types d'Hyperviseurs https://www.it-connect.fr/les-types-dhyperviseurs/

Installer Hyper-V sur Windows https://www.it-connect.fr/installer-hyper-v-sur-windows-10-et-creer-sa-premiere-vm/

Créer une VM avec Hyper-V https://learn.microsoft.com/fr-fr/windows-server/virtualization/hyper-v/get-started/create-a-virtual-machine-in-hyper-v?tabs=hyper-v-manager

Retour en haut

🏭 A413. Déploiement VDI & Sysprep

Ce cours finalise la mise en place de la VDI (Virtual Desktop Infrastructure). L'objectif est de transformer une machine virtuelle Windows 10 "Master" en un modèle déployable massivement via les services RDS, offrant ainsi à chaque utilisateur son propre PC virtuel.

1. Préparation du Master (Windows 10)

Avant de dupliquer une VM, il faut la "nettoyer" pour qu'elle soit neutre.

  • Nettoyage des comptes :

    • On active le compte Administrateur intégré (via lusrmgr.msc ou Gestion de l'ordinateur).
    • On se connecte avec ce compte Admin.
    • On supprime le compte utilisateur initial (celui créé lors de l'installation) et son profil. But : Avoir une image sans fichiers utilisateurs parasites.

  • Sysprep (System Preparation Tool) :

    • C'est l'outil indispensable pour l'autonomie matérielle et la duplication. Il se trouve dans C:\Windows\System32\Sysprep\sysprep.exe.
    • Modes d'utilisation :
      • Mode Audit : Permet de démarrer en mode administrateur spécial pour installer des logiciels, des drivers ou faire des mises à jour avant de sceller l'image.
      • Mode OOBE (Out-Of-Box Experience) : C'est le mode final. Au prochain démarrage, la machine lancera l'assistant de configuration (choix de la langue, clavier, création utilisateur...), comme un PC neuf sortant du carton.
    • L'option "Généraliser" (Generalize) : Cruciale. Elle supprime les informations spécifiques au matériel et surtout le SID (Security Identifier) unique de la machine. Si on ne généralise pas, on ne peut pas déployer l'image dans un domaine Active Directory (conflit d'identifiants).
    • Action : Pour le VDI, on choisit OOBE + Cocher Généraliser + Option d'extinction Arrêter.

2. Déploiement VDI (Processus RDS)

Une fois le Master éteint (Syspreppé), le serveur RDS prend le relais pour créer la "Collection" de bureaux virtuels.

  • Rôle nécessaire : Contrairement au RDS classique (Session), le VDI nécessite le rôle Hôte de virtualisation des services Bureau à distance (RD Virtualization Host) installé sur le serveur physique Hyper-V.

  • Processus d'installation (Théorique) :

    1. Dans le Gestionnaire de serveur > Services Bureau à distance.
    2. Lancer l'assistant "Créer une collection de bureaux virtuels".
    3. Type : "Pooled" (Bureaux partagés, non persistants) ou "Personal" (Bureaux persistants, l'utilisateur garde ses modifs).
    4. Source : On sélectionne le fichier disque dur du Master (C:\VM\Win10-MASTER.vhdx).
    5. Déploiement : Le serveur va copier ce disque, et créer X machines virtuelles basées dessus.

  • Résultat : Dans le portail web RDS (/RDWeb), l'utilisateur voit une icône "Windows 10 VDI". Quand il clique, le serveur allume une des VM disponibles et le connecte dessus.

Bonus : Optimisation Disque (Proxmox / QCOW2)

En bonus, voici la méthode pour réduire la taille d'un disque virtuel qcow2 sur Proxmox (Linux). Les disques virtuels ont tendance à grossir même si on supprime des fichiers dedans. Cette manip permet de récupérer l'espace vide (sparsify).

  • Condition : La VM doit impérativement être éteinte.
  • Procédure (Shell Proxmox) :
    1. Passer en root : sudo su -
    2. Aller dans le dossier de stockage des images (adapter l'ID 9000 à votre VM) : cd /var/lib/vz/images/9000
    3. Vérifier la taille actuelle : ls -lh
    4. Convertir et compresser (Création d'une copie optimisée newdisk) : qemu-img convert -f qcow2 -O qcow2 -o preallocation=off vm-9000-disk-1.qcow2 newdisk.qcow2 (Cette commande réécrit le disque en ignorant les blocs vides).
    5. Supprimer l'ancien disque (Attention, irréversible) : rm vm-9000-disk-1.qcow2
    6. Renommer le nouveau disque pour qu'il prenne la place de l'ancien : mv newdisk.qcow2 vm-9000-disk-1.qcow2

📚 Ressources :

Erreurs sysrep : https://neptunet.fr/error-sysprep/

Install & config VDI https://rdr-it.com/vdi-installer-configurer-windows-serveur/

Retour en haut

☁️ A414. Microsoft Azure

Ce cours introduit le Cloud Computing, une évolution majeure de l'informatique où les ressources (calcul, stockage, réseau) sont fournies à la demande via Internet. Il se concentre sur la pratique avec Microsoft Azure, de la théorie des modèles de service (XaaS) au déploiement concret de machines virtuelles.

  • Concepts Fondamentaux du Cloud :

    • Définition : Mise à disposition de ressources informatiques via Internet avec une facturation à l'usage (Pay-as-you-go). On passe d'une dépense d'investissement (CapEx - acheter des serveurs) à une dépense de fonctionnement (OpEx - louer des services).
    • Principaux Fournisseurs : AWS (Amazon Web Services), Azure (Microsoft), GCP (Google Cloud Platform).

  • Modèles de Service (XaaS) :

    • IaaS (Infrastructure as a Service) : Le fournisseur gère le matériel (datacenter, réseau physique, hyperviseur). Vous gérez tout à partir de l'OS (VM, middleware, data, apps).
      • Exemple : Azure VM, Amazon EC2.
    • PaaS (Platform as a Service) : Le fournisseur gère l'OS et le runtime. Vous ne gérez que vos applications et vos données. Idéal pour les développeurs.
      • Exemple : Azure App Service, Google App Engine.
    • SaaS (Software as a Service) : Le fournisseur gère tout. Vous utilisez simplement le logiciel.
      • Exemple : Microsoft 365, Gmail, Salesforce.
    • FaaS (Function as a Service) : "Serverless". Vous déployez uniquement des bouts de code (fonctions) qui s'exécutent sur événement.
      • Exemple : Azure Functions, AWS Lambda.

  • Déploiement d'une VM sous Azure (IaaS) : La création d'une machine virtuelle nécessite de configurer plusieurs composants interdépendants :

    • Image : Le système d'exploitation de base (ex: Ubuntu 22.04, Windows Server 2022) ou une image Marketplace (ex: WordPress pré-installé).
    • Taille (Size) & Coût : Définit la puissance (vCPU, RAM). Le prix est affiché par mois mais facturé à la seconde/heure.
    • Disques :
      • OS Disk : Contient le système.
      • Data Disk : Pour les données (optionnel).
      • Types : HDD Standard (lent/pas cher), SSD Standard, SSD Premium (performant/cher).
    • Réseau Virtuel (VNet) : Le réseau logique dans le cloud. Il est segmenté en Subnets (sous-réseaux).
    • Interface Réseau (NIC) : Carte virtuelle connectée au VNet. Elle peut avoir une IP Publique (pour l'accès Internet) et une IP Privée (pour le LAN Azure).
    • Sécurité (NSG - Network Security Group) : C'est le pare-feu de la VM. Il contient des règles entrantes/sortantes (Inbound/Outbound rules).
      • Indispensable : Ouvrir le port 22 (SSH) pour Linux ou 3389 (RDP) pour Windows, et 80/443 pour un serveur Web.

📚 Ressources :

Qu'est-ce que le Cloud https://www.cloudflare.com/fr-fr/learning/cloud/what-is-the-cloud/

IaaS Paas Saas https://www.redhat.com/fr/topics/cloud-computing/iaas-vs-paas-vs-saas

Microsoft Azure : https://portal.azure.com/

Microsoft Azure pour Etudiants https://azure.microsoft.com/fr-fr/free/students

Calculatrice Azure (Pour estimer les coûts avant déploiement) https://azure.microsoft.com/fr-ca/pricing/calculator/

Retour en haut

Précédent

🌐 Réseau

Suivant

🐧 Linux