L'administration de
réseau dans Windows 2000
Windows 2000 apportera un grand nombre de
services de réseau nouveaux ou modifiés par rapport à Windows NT 4.0, pour
supporter et améliorer les fonctionnalités des infrastructures distribuées,
qu’elles soient d’origine Microsoft ou non.
Quant on pense outils d’administration de
réseau, on a aussitôt à l’esprit des produits comme HP OpenView ou IBM NetView,
dont le rôle consiste à surveiller et maintenir les informations sur la
configuration des périphériques de réseau, tels que les hubs, les commutateurs
et les routeurs. Les outils de ce type reposent généralement sur des agents SNMP
tournant sur les périphériques administrés afin de fournir des informations à la
console ou au serveur d’administration. Mais rares sont, parmi ces outils, ceux
qui apportent une visibilité au-dessus de la couche réseau OSI des
services ; il leur faut au contraire compter sur les éditeurs de ces
services pour l’administration. L’arrivée de Windows 2000 (feu Windows NT 5.0)
vient combler cette lacune en proposant des services d’administration améliorés
ou complètement nouveaux.
Parmi les services améliorés on trouvera
DHCP (Dynamic Host Configuration Protocol), WINS (Windows Internet Naming
Services) et DNS (Domain Name System). Les nouveautés qui font leur apparition
avec la prochaine version de Windows NT sont les standards IPSec (IP Security)
pour l’authentification, l’intégrité et le chiffrement du trafic de la couche
réseau, et le support de QoS (Quality of Service) dans la pile réseau et AD
(Active Directory). On peut comparer les fonctions assurées par Windows 2000 à
une gestion de services de réseau plutôt qu’à une administration traditionnelle
de réseau. La principale différence entre les deux tient à ce que les outils
d’administration de réseau de Windows 2000 n’assurent pas une surveillance
suffisamment robuste au niveau de toute une entreprise, ni les alertes et le
reporting des périphériques, comme le fait un véritable outil d’administration
de réseau. Mais les outils de Windows 2000 fournissent tout de même une
interface de base pour la configuration, l’administration et un certain niveau
de surveillance des services de réseau. Cet article vous permettra de découvrir
un certain nombre de services nouveaux et améliorés de Windows 2000 et les
nouveaux outils servant à les gérer.
Microsoft a doté Windows 2000 Serveur et
Workstation de nombreuses fonctions de réseau nouvelles ou améliorées. Parmi
elles se trouvent le support de QoS et le protocole IPSec.
QoS
Permet de garantir la bande passante
disponible pour chaque connexion et concerne le plus souvent les applications
multimédia ou celles qui nécessitent une remise en pseudo-temps réel prévisible.
L’outil se compose d’un ensemble de protocoles standards et fait appel à la
participation du serveur Windows 2000 et des périphériques de réseau
intermédiaires tels que commutateurs et routeurs. Le service ACS (Admission
Control Service) de Windows 2000 est l’élément Microsoft de l’équation QoS.
L’ACS réside sur un serveur Windows 2000 mais doit être présent sur chaque
sous-réseau devant bénéficier de QoS. Par exemple, dans le cas de cinq
sous-réseaux, il faut soit un serveur ACS pour chacun d’eux, soit un serveur ACS
avec cinq cartes réseau - une pour la connexion à chaque sous-réseau. Mais,
comme nous l’avons mentionné, le serveur ACS n’est qu’une partie de l’équation.
Pour une mise en œuvre complète de QoS, il faut également des applications
capables de demander une quantité minimale de bande passante. Si votre réseau
utilise des routeurs et des commutateurs, ces périphériques doivent pouvoir
affecter la bande passante nécessaire ou donner des priorités au trafic de leurs
files d’attente pour une requête donnée. Vos périphériques de réseau doivent
également supporter le RSVP (Resource Reservation Protocol) - standard de l’IETF
(Internet Engineering Task Force) pour maintenir un chemin QoS à travers le
réseau d’un client à un serveur. On peut comparer RSVP, comme son nom l’indique,
à une réservation de bande passante sur chaque périphérique de réseau entre un
client et un serveur. Le serveur ACS est la première étape de ce processus de
réservation. Une application serveur qui nécessite une bande passante garantie
contacte l’ACS et communique ses besoins. Le serveur ACS envoie la demande de
bande passante par le réseau aux applications clientes voulant communiquer avec
le serveur. Un client envoie sa réservation au serveur et la communication
commence.
ACS donne la possibilité de différencier
l’affectation de bande passante en fonction d’un utilisateur spécifique, que les
critères d’allocation soient définis dans AD ou pour des parties extérieures
nécessitant l’utilisation du réseau. L’utilisation du snap-in d’administration
ACS de la MMC (Microsoft Management Console) permet de définir la bande passante
nécessaire pour le sous-réseau auquel le serveur est connecté et de déterminer
une stratégie pour le serveur en fonction des comptes utilisateurs.
IPSEC
Le support d’IPSec constitue un
autre apport essentiel de Windows 2000. IPSec permet de spécifier
l’authentification et le chiffrement des transmissions réseau entre un ensemble
déterminé de périphériques du réseau, afin de garantir la confidentialité. IPSec
fonctionne au niveau de la couche réseau et ne n’exige pas d’apporter des
modifications particulières aux applications.
Pour mettre en œuvre IPSec dans Windows
2000, il faut d’abord définir un ensemble de stratégies de sécurité IP au moyen
du snap-in IPSec pour la MMC. Ces stratégies définissent les différents profils
IPSec qu’il est possible de créer pour imposer divers impératifs de sécurité.
Une stratégie IPSec comporte plusieurs options de paramétrage. La première
consiste à créer des listes de filtres IP. Ces dernières permettent de définir
des groupes de machines ou des sous-réseaux et de spécifier les protocoles et
les ports IP qui seront contrôlés par IPSec. Par exemple, il est possible de
créer une liste de filtres spécifiant l’utilisation de la sécurité IP entre
toutes les machines du sous-réseau 192.168.100.0 et toutes celles du sous-réseau
192.168.101.0 lorsqu’elles communiquent par TCP d’un port TCP au port TCP 25
(messagerie SMTP). Une fois la liste de filtres créée, on définit une stratégie
de négociation. Elle permet de déterminer le mode de dialogue entre deux
ordinateurs communiquant ensemble. On peut, par exemple, spécifier des
algorithmes appliquant différents niveaux d’intégrité et de confidentialité des
données. Outre la stratégie de négociation, il est également possible de
spécifier les protocoles à utiliser pour l’authentification de la connexion
IPSec, s’il faut utiliser un tunnel IP pour une stratégie IPSec donnée, et à
quels types de connexions doit s’appliquer cette stratégie (par exemple commutée
ou LAN). L'écran 2 montre une stratégie de sécurité nécessitant l’utilisation
d’IPSec pour tout le trafic allant au port TCP 25 entre deux
sous-réseaux.
Une fois définie, une stratégie IPSec peut
bénéficier d’une gestion centralisée avec Active directory. C’est la fonction
Stratégie de groupes d’AD qui prend en charge le support des stratégies de
sécurité. Il est possible d’inclure la stratégie IPSec prédéfinie dans un objet
Group Policy Object (GPO) que vous créez. Les GPO pouvant s’appliquer au niveau
d’un site, d’une Organisational Unit (OU) ou d’un domaine, il est donc possible
de définir une stratégie IPSec en fonction de l’emplacement d’un ordinateur ou
d’un utilisateur dans AD. Par exemple, si vous voulez appliquer votre stratégie
IPSec à un utilisateur de l’OU " Ingénierie ", vous pouvez intégrer
cette stratégie dans le GPO de l’OU " Ingénierie ". Vous serez ainsi
assuré que tout le trafic d’un utilisateur (en entrée comme en sortie) obéit à
votre stratégie IPSec, que le poste de travail soit utilisée ou pas.
Sites, liaisons de sites et
sous-réseaux
Windows 2000 inaugure les concepts
de sites et de sous-réseaux dans AD. Les utilisateurs d’Exchange sont déjà
familiarisés avec le concept de site. Il s’agit en fait de domaines jouissant
d’une bonne connectivité : par exemple tout segment de réseau ou ensemble
de segments dispose d’une bande passante confortable et de liaisons fiables. Les
segments Ethernet situés dans l’immeuble d’une société sont un bon exemple de
délimitation de site. On peut également concevoir d’étendre un site avec des
liaisons WAN, si celles-ci sont fiables et offrent une bande passante
suffisante. Ces exigences dépendent de l’application. Les sites AD nécessiteront
probablement environ 128 kilobits par seconde (Kbps) de bande passante
disponible sur une liaison pour qu’elle puisse appartenir à un site contigu.
(Pour des chiffres précis, il faut attendre des déploiements Windows 2000
réels). La bande passante est importante avec Windows 2000 et AD car, tout comme
dans Exchange, les sites sont des limites de réplication. Cela signifie que dans
un site, tous les contrôleurs de domaines Windows 2000 répliquent fréquemment
les changements de AD.
La bande passante est
importante avec Windows 2000 et AD car les contrôleurs de domaines répliquent
fréquemment les changements de AD
Entre les sites, il est possible de
programmer la réplication et même de choisir votre transport de réseau de
prédilection - IP ou SMTP - pour cette réplication. Par exemple, supposons que
vous ayez 20 domaines : 10 des contrôleurs de domaines se trouvent sur un
LAN au siège de la société et les 10 autres dans des agences éloignées,
connectés via des liaisons WAN " presque fiables " à 56 Kbps. Vous
pouvez créer un site sur chacun des 10 lieux distants et un au siège. Vous
pourrez alors utiliser des liaisons de sites pour programmer la réplication
entre ces sites. Les liaisons de sites sont des groupes de sites auxquels vous
attribuez le même calendrier de " coût " et de réplication. Le coût
est un nombre arbitraire attribué à une liaison de site pour aider à déterminer
la meilleure route à prendre, lorsqu’il existe plusieurs chemins de réplication
possibles entre les sites. Un site peut appartenir à plusieurs liaisons de sites
et il peut être nécessaire d’inclure un site dans plusieurs liaisons de sites
pour faciliter la réplication mutuelle.
Il est également possible de définir des
ponts de liaisons de sites, qui permettent d’établir des connexions entre les
liaisons de sites. Un pont de liaison de sites indique des chemins de
substitution et éventuellement plus courts entre les liaisons de sites. Par
exemple, il peut exister un grand nombre de liaisons de sites dans un réseau,
chacun avec des sites de chevauchement pour la réplication. Le chemin de
réplication peut par conséquent être très long et inclure de nombreux tronçons
d’une extrémité à l’autre. Les ponts de liaison de sites peuvent réduire le
nombre de tronçons nécessaires pour réaliser la réplication.
Comment les sous-réseaux sont-ils gérés
dans Windows 2000 ? Il convient de définir un objet de sous-réseau dans AD
pour chaque sous-réseau IP logique. Puis, il faut attribuer des sous-réseaux aux
sites pour signaler à AD que tel sous-réseau appartient à tel site. Un site peut
avoir plusieurs objets de sous-réseaux. Par exemple, le LAN du siège d’une
société peut comporter plusieurs sous-réseaux logiques que vous pouvez
considérer comme appartenant à un seul site. L’importance des sous-réseaux et de
leur association avec des sites apparaît plus clairement lorsque l’on examine
l’utilisation des informations de sites et de sous-réseaux par les clients et
les serveurs. Par exemple, lorsqu’elle se connecte au réseau, un poste de
travail doit localiser un contrôleur de domaine situé dans son site. Tous les
contrôleurs de domaines associés à un site sont définis dans AD. Ainsi, en
trouvant une liste de contrôleurs de domaines dans le site, le poste de travail
peut utiliser l’un d’eux pour fournir les services d’authentification au
domaine.
Dans Windows 2000, les sites et
sous-réseaux sont administrés avec un snap-in MMC baptisé Active Directory Sites
and Services Manager. Cet outil permet de définir de nouveaux sites, de créer
des liaisons de sites et des ponts, et d’afficher tous les sites définis. Il
peut également servir à définir de nouveaux objets de sous-réseaux et à les
associer à des sites. Une fois les sites et sous-réseaux définis, le snap-in
peut s’utiliser pour déplacer les contrôleurs de domaines et d’autres objets
entre les sites.
L’applet Réseau du
Panneau de configuration est remplacé par l’Assistant de Connexions
réseau.
L’Assistant Network
Connections
Si vous n’aimez pas utiliser
l’applet Réseau du Panneau de configuration pour configurer les paramètres de
réseau de votre serveur ou poste de travail NT, vous serez heureux d’apprendre
que Windows 2000 l’élimine au profit de l’assistant de Connexions réseau.
L’option Réseau continuera à figurer dans le Panneau de configuration, mais ne
sera plus qu’un raccourci pour l’assistant. Ce dernier facilite l’installation
d’un nouvel adaptateur réseau et le choix des protocoles devant lui être reliés.
Il peut s’agir d’une carte réseau, d’un modem ou même d’un tunnel VPN (Réseau
privé virtuel). On l’utilise également pour installer un service d’accès distant
RAS pour les appels entrants ou sortants.
Par ailleurs l’assistant de Connexion
réseau sert à définir des connexions nommées, afin de simplifier la gestion de
plusieurs interfaces réseau sur un serveur ou un poste de travail donné. En
cliquant avec le bouton droit de la souris sur l’icône de la fenêtre Connexion
réseau, que montre l’écran 3, vous pouvez activer ou désactiver une connexion,
examiner l’état des connexions et afficher des statistiques. En cliquant avec le
bouton droit, puis en sélectionnant Propriétés dans le menu contextuel, il est
possible de définir des configurations de protocoles (par exemple TCP/IP ou IPX)
pour une interface donnée.
Comme c’est le cas pour la plupart des
outils Microsoft, il existe deux moyens d’accéder à la fenêtre Connexions réseau
dans Windows 2000 : Aller dans le Panneau de configuration et prendre un
raccourci vers Connexions réseau, ou bien cliquer avec le bouton droit sur
l’icône My Network Places (qui remplace le Voisinage réseau) dans le bureau et
sélectionner Propriétés.
Administration du réseau
avec la MMC
La MMC est essentielle pour administrer
des services de réseau dans Windows 2000. Il est possible d’utiliser un snap-in
MMC pour administrer toutes les fonctions de réseau que je viens de décrire. Un
autre outil snap-in MMC, Network Services Management, regroupe plusieurs outils
de services de réseau en une console unique. Bien qu’étant les outils de
prédilection pour gérer et configurer les services de réseau dans Windows 2000,
ces snap-in ne peuvent pas remplacer des outils d’administration tels que HP
OpenView, CiscoWorks de Cisco Systems ou IBM NetView. Les snap-in MMC sont des
outils spécifiques davantage destinés à la gestion des configurations des
services de réseau Windows 2000, qu’à la surveillance générale de tous les
périphériques du réseau.
La MMC est essentielle
pour administrer des services de réseau dans Windows 2000.
Le snap-in Network
Services Management
L’outil Network Services Management
constitue une console permettant de gérer RRAS (Routing and Remote Access
Service), les options de téléphonie, RAS, ainsi que DHCP et Wins. L’écran 4
affiche la fenêtre d’administration pour les services de réseau.
L’extension Routing and Remote
Access de l’outil Network Services Management permet de surveiller les
connexions RAS sur un serveur donné et d’administrer la fonction d’acheminement
de Windows 2000. Cette extension permet d’afficher les itinéraires actuellement
empruntés par le serveur, de définir de nouveaux itinéraires statiques ou
d’ajouter de nouveaux protocoles tels que Open Shortest Path First (OSPF) ou
Routing Information Protocol (RIP). Elle sert également à activer le support du
multicast sur une interface serveur spécifique. Le composant RAS de l’extension
Routing and Remote Access peut aussi s’utiliser pour configurer les paramètres
RAS spécifiques à une machine (par exemple les ports de communication à
utiliser) et pour surveiller les appels entrants et sortants des utilisateurs de
telle ou telle machine. Cette extension complète l’outil Remote Access
Policies.
L’outil Network Services Management
contient une extension de téléphonie, qui permet de gérer les utilisateurs, les
lignes et plusieurs prestataires de services téléphoniques et de configurer et
gérer de nouveaux prestataires.
L’extension Remote Access Policies permet
de définir individuellement la stratégie d’utilisation de chaque machine pour
les services RAS ou VPN. Elle donne la possibilité de configurer des options
telles que les heures ou les jours pendant lesquels les appels entrants sont
permis, et d’activer l’accès distant sur un serveur. On peut en outre créer un
profil pour chaque stratégie RAS définie. La création d’un profil permet
d’exercer un contrôle plus fin sur les utilisateurs du RAS et du VPN. Par
exemple, en définissant le protocole d’authentification qu’il leur faut utiliser
et la durée de connexion autorisée par session. Vous pouvez définir plusieurs
stratégies RAS pour un serveur donné et l’ordre dans lequel elles doivent
s’appliquer. Ainsi, les profils permettent de créer des stratégies ciblées pour
brider les utilisateurs du RAS.
Le snap-in Network Services Management
active le support de WINS et DHCP. De nombreuses fonctions de WINS et DHCP
auxquelles vous êtes familiarisé dans NT 4.0 resteront dans Windows 2000. Bien
que n’ayant plus besoin des services WINS basés sur NetBIOS, Windows 2000 assure
ce service pour garantir la comptabilité amont avec les périphériques WINS.
Lorsque vous aurez mis à jour tous vos clients et serveurs sous Windows 2000,
vous pourrez désactiver définitivement les serveurs WINS. En attendant, Windows
2000 améliore les possibilités de WINS avec des fonctions telles que la capacité
de supprimer individuellement les enregistrements d’un propriétaire et une
interface plus intuitive pour examiner les enregistrements détenus par plusieurs
serveurs WINS.
DNS assume un nouveau
rôle dans Windows 2000, en devenant le principal service de noms pour
NT.
Administrer
DNS
Le DNS Manager est un snap-in MMC distinct
que l’on peut voir sur l’écran 3. DNS assume un nouveau rôle dans Windows 2000,
en devenant le principal service de noms pour NT. Les outils permettant de le
gérer ont donc eux aussi évolué dans Windows 2000 et ont gagné en fonctionnalité
et en capacité. DNS Manager offre en grande partie le contrôle de ce que l’on
attend d’un serveur DNS, notamment la capacité de créer de nouvelles zones
primaires et secondaires, d’entrer statiquement des enregistrements de
ressources et de configurer les options globales du service DNS. En outre,
Windows 2000 lui ajoute de nouvelles possibilités, dont le support de DNS
dynamique, ainsi que le support de l’hébergement des fichiers de zones DNS dans
AD. (Pour en savoir plus sur le DNS dynamique, voir l’article de Sean Daily
" Neuf mesures pour préparer vos systèmes à Windows NT 5.0 " d’avril
1998). Il n’est plus nécessaire de s’occuper des serveurs primaires et
secondaires, puisque les primaires poussent les changements d’informations sur
les zones vers les secondaires. Les informations sur les zones DNS se répliquent
via le programme de réplication d’AD à tous les contrôleurs de domaines d’un
environnement.
La MMC apporte une interface unique
pratique pour configurer et gérer les services de réseau spécifiques à Windows
2000. Bien que les outils que je viens de décrire n’assurent pas certaines
fonctions essentielles à l’administration de la totalité de l’infrastructure de
votre réseau, vous ne manquerez pas, d’y voir une amélioration très nette par
rapport aux versions antérieures. Lentement, mais sûrement, l’administration des
réseaux NT devient plus aisée.
|
