> Tech > Peut-on vivre sans Active Directory ?

Peut-on vivre sans Active Directory ?

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Mark Minasi
Si vous n'avez pas encore entamé votre migration vers Active Directory (AD), vous n'êtes pas seuls. Les entreprises semblent actuellement se poser la question suivante : « Nous voulons bénéficier de toutes les fonctions améliorées de Windows 2000, et nous irons vers AD, mais la mise en oeuvre d'Active Directory semble être une première marche bien haute à  franchir dans le déploiement de Windows 2000. Que se passerait-il si nous procédions au déploiement de Windows 2000 sur les postes de travail et sur les serveurs membres et que nous attendions pour déployer AD plus tard ? Que perdrions-nous à  cela ? »

Mettons les choses au clair d’entrée de jeu : les fonctions les plus significatives
de Windows 2000 Server exigent Active Directory et je ne suggère pas que vous
négligiez purement et simplement son déploiement. Ceci précisé, j’aimerais néanmoins
éclairer un peu le chemin de ceux qui ont choisi d’attendre avant de mettre en
oeuvre Active Directory et de démontrer que la mise en oeuvre de serveurs Windows
2000 offre des avantages significatifs, même sans AD.

Une des raisons de déployer des serveurs membres sous Windows 2000 sans mettre
en oeuvre AD va peut-être vous surprendre. Même si Windows 2000 était censé se
débarrasser de WINS, ce dernier sera parmi nous pour un moment encore. Fonctionnellement,
WINS peut se passer d’AD, pas plus que vous ne dérangerez WINS en ajoutant AD
par la suite. WINS est en fait l’un des premiers gains que l’on peut attendre
des réseaux Windows 2000.

Il a toujours été difficile d’effacer les mauvais enregistrements d’une base de
données WINS, à  moins d’appliquer à  Windows NT 4.0 le Service Pack 4 (SP4) ou
ultérieur. Windows 2000 permet de supprimer définitivement les enregistrements
depuis l’interface graphique. De nombreux administrateurs doivent copier la base
de données WINS dans des fichiers ASCII qu’ils utilisent ensuite pour créer des
scripts ou pour imprimer la base de données. Windows NT 4.0 ne propose pas de
méthode simple et fiable pour copier la base de données.

En revanche, Windows 2000 offre non seulement l’outil graphique d’administration
de WINS bien connu des administrateurs, mais également l’outil d’invite de commande
Netsh, qui se comporte un peu comme un couteau suisse pour WINS, mais également
pour DHCP, RAS et le routage. (DNS a son propre outil d’invite de commande, Dnscmd,
sur lequel nous reviendrons plus loin.)

Sous Windows NT 4.0, WINS souffre fréquemment d’une corruption de la base de données.
Microsoft pousse les utilisateurs à  minimiser le nombre de serveurs WINS dans
l’entreprise car plus on a de serveurs, plus il est difficile de supporter les
tâches de réplication. De plus, la réplication tend à  favoriser la corruption
des bases de données WINS. La corruption des bases de données WINS est probablement
toujours possible sous Windows 2000, mais elle est bien moins probable car le
serveur WINS de Windows 2000 comporte des fonctions permettant aux serveurs WINS
de vérifier la validité des bases de données des autres serveurs WINS.
WINS n’est qu’une des améliorations d’infrastructures qui ne nécessitent pas Active
Directory. Le Gestionnaire DHCP est nettement meilleur qu’il n’était avant Windows
2000 car Netsh simplifie l’utilisation de scripts DHCP et vous permet de l’administrer
à  distance depuis une connexion réseau à  faible débit par l’intermédiaire du serveur
Telnet intégré à  Windows 2000.
DNS est fortement intégré dans AD et ce dernier ne peut fonctionner sans serveur
DNS.
En revanche, DNS n’a pas besoin d’Active Directory pour fonctionner. Comme nous
l’avons évoqué plus tôt, Microsoft a doté la version Windows 2000 de son serveur
DNS des possibilités et de la puissance de l’invite de commande avec Dnscmd. Pourtant,
il vous faudra chercher un peu pour trouver l’outil : la procédure d’installation
de Windows 2000 ne l’installe pas sur votre disque dur. Vous trouverez Dnscmd
sur le CD-ROM de Windows 2000 Server dans le répertoire \support\tools\support.cab.
(Ignorez les textes d’aide mal informés qui vous disent que le programme se trouve
dans le répertoire \support\entreprise\reskit.) Dnscmd permet de créer et modifier
les enregistrements des ressources, de copier les enregistrements, de reconfigurer
le serveur et de faire à  peu près toutes les autres choses que l’on peut faire
depuis la Microsoft Management Console (MMC). On peut ainsi réaliser de simples
tâches administratives DNS à  distance, même sur des connexions réseau lentes.
En fait, je vous recommande de mettre à  plat votre infrastructure DNS avant même
de commencer à  construire une organisation AD. Du fait des besoins, spécifiques
à  Active Directory, de DNS, vous serez certainement conduits à  mettre à  jour vos
serveurs DNS, à  les supprimer et à  les remplacer par de nouveaux ou à  mettre en
place de nouveaux serveurs DNS pour supporter la mise en oeuvre d’Active Directory.
Mettre en oeuvre et se familiariser avec les serveurs DNS basés sur Windows 2000
avant de déployer AD, peut sembler une bonne idée.

Nombreux parmi vous implémenteront leurs forêts Active Directory dans des domaines
gérés par DNS, ce qui constitue une autre bonne raison de mettre en oeuvre DNS
avant AD. En configurant le serveur DNS du domaine en premier, vous pouvez vous
assurer que la hiérarchie mondiale DNS pourra trouver ce serveur. Dès lors que
vous aurez déterminé qu’un serveur DNS Windows 2000 peut résoudre les noms dans
un domaine, vous saurez à  coup sûr qu’Active Directory, que vous mettrez en oeuvre
prochainement, pourra s’appuyer sur le serveur. Il n’est pas nécessaire d’utiliser
pour cela un serveur DNS basé sur Windows 2000, mais vous voudrez certainement
bénéficier de la sécurité intégrée qu’offre le serveur DNS de Windows 2000.

Certaines fonctions d’infrastructure de Windows 2000 sont très intéressantes dans
le domaine du routage et ne nécessitent pas la présence d’Active Directory. La
fonction de partage des connexions Internet, livrée avec toutes les versions de
Windows 2000 Server, Windows 2000 Professionnel, Windows Millenium et Windows
98 SE (Second Edition), permet de prendre pratiquement tous les types de connexions
Internet (commutée, RNIS, modem câble) et de les partager entre les machines locales.
Pour renforcer encore le contrôle sur le routage et ses possibilités, Windows
2000 Server offre un routeur NAT (Network Address Translation). Le routeur NAT
fonctionne parfaitement sans Active Directory et on peut utiliser Netsh pour le
contrôler.

Certaines fonctions d’infrastructure de Windows 2000 sont très intéressantes
et ne nécessitent pas la présence d’Active Directory

Microsoft IIS 5.0 est en grande partie sourd vis à  vis d’Active Directory et il
est censé tourner environ 2 fois plus vite que son prédécesseur IIS 4.0 sur un
même matériel. Voici plus d’un an que j’utilise IIS 5.0, mais pas pour sa vitesse.
J’apprécie son support des enregistrements d’en-tête de host pour les serveurs
Web virtuels. (En tant que webmaster à  temps partiel, je ne connaissais pas les
enregistrements d’en-tête de host jusqu’à  IIS 5.0, même s’ils existaient déjà 
dans IIS 4.0. C’est l’assistant de création de site Web qui m’en a révélé l’existence.)
Pour les webmasters débutants comme moi, voici une explication de ce que peuvent
faire les enregistrements d’en-tête de host et pourquoi vous devriez vous y intéresser.

Je fais tourner 2 sites Web sur la même machine. L’un d’entre eux, www.minasi.com,
est un site Web de présence de base. Mon autre site Web, www.softwareconspiracy.com,
est chargé d’une toute autre mission. J’ai construit ce site exclusivement pour
supporter un livre destiné à  une toute autre audience que mon audience traditionnelle,
et je voulais un site différent pour cette autre cible. Les deux sites Web sont
sur la même machine et ont la même adresse IP. Mais comment dire à  IIS d’envoyer
un certain contenu aux personnes qui visitent www.minasi.com et un autre contenu
aux visiteurs de www.softwareconspiracy.com ? Avec IIS 4.0 (avant d’avoir entendu
parler des enregistrements d’en-tête de host), je devais affecter deux adresses
IP à  mon serveur Web. Une adresse IP était associée à  www.minasi.com, et une autre
à  www.softwareconspiracy.com.

Vous trouvez que c’est une différence insignifiante ? Pas du tout. Par exemple,
les services d’hébergements Web n’ont peut-être pas assez d’adresses IP pour supporter
plusieurs centaines de petits serveurs Web personnels. Ou bien encore, comment
feriez-vous pour faire tourner plusieurs sites Web sur votre PC connecté via ADSL
? La plupart des fournisseurs ADSL refuseront de vous donner une seconde adresse
IP. Avec IIS 5.0, lorsqu’un navigateur Web contacte mon serveurs Web, ce dernier
lui demande  » A qui pensez-vous parler ?  » Si le navigateur Web répond  » www.softwareconspiracy.com
« , IIS envoie les pages de contenu sur le livre ; si le navigateur répond par
un  » www.minasi.com  » IIS lui enverra le contenu traditionnel du site généraliste.

Le seul inconvénient de cette approche est que certains navigateurs plus anciens
ne supportent pas les enregistrements d’en-tête de host. Dans ce cas, IIS envoie
par défaut le navigateur vers le site généraliste, quel que soit le site que le
navigateur voulait atteindre. Cependant, il ne reste que très peu de ces anciens
navigateurs en circulation.
Alors, quelle est la conclusion ? Si vous faites partie des nombreux professionnels
qui envisagent de passer à  Windows 2000 mais qui hésitent encore à  faire confiance
à  Active Directory jusqu’à  la sortie du SP3, vous avez quand-même de nombreuses
bonnes raisons de commencer à  vous intéresser à  Windows 2000 Server. Un pied dans
l’eau permet de mieux en prendre la température.

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Tech - Par iTPro.fr - Publié le 24 juin 2010