Introduction
Transcription
Introduction
Institut de Formation par alternance Section de techniciens supérieurs en informatique de gestion. Option « Administrateur de réseaux locaux d’entreprise » Compte-rendu d’activité n° Académie de Strasbourg 3 Installer, configurer et utiliser Terminal Server sous Windows Server 2003 Descriptif de l’activité : Je vais mettre en place Terminal Server. Ce service permet à des utilisateurs distants d'accéder à des applicatifs installés sur le serveur. Contexte de l’activité : Pour des applicatifs spécifiques ne nécessitant par exemple qu'une utilisation ponctuelle, il n'est pas intéressant de le déployer sur tous les postes. On utilisera alors le service Terminal Server de Microsoft. J'ai réalisé ce travail à titre personnel et non dans le cadre de mon travail en entreprise. Matériels utilisés • • • • Serveur: Pentium 4 1,8 Ghz, RAM 384Mo, Disque Dur 60 Go, 2 interfaces réseaux 10/100 Portable Samsung Centrino : Pentium M 1,4Ghz , RAM 512Mo, Disque Du 40Go, 1 interface réseau 10/100 Commutateur 10/100 5 ports 2 câbles droits UTP cat 5 Compétences C21 C22 C23 C25 C26 C31 C32 C34 C36 Logiciels utilisés • • • Windows 2003 server « Entreprise Edition » avec les dernières mises à jour. Windows XP pro (SP1) Ethereal 0.10.4 et le package WinpCap 3.0 Installer et configurer un micro-ordinateur. Installer et configurer un réseau. Installer et configurer un dispositif de sécurité. Installer un applicatif. Installer un périphérique. Assurer les fonctions de base de l'administration d'un réseau. Assurer les fonctions de l'exploitation. Surveiller et optimiser le trafic sur le réseau. Assurer la maintenance d'un poste de travail. Introduction Les services Terminal Server offrent à des utilisateurs (des clients), un accès sécurisé à distance à un ordinateur. MIRIC Yan Page 1 03/06/2004 Ceux-ci fonctionnent selon deux modes : - Le premier est le mode Administration à distance. Il est intéressant pour les administrateurs de serveur Windows Server, car il permet de gérer des ordinateurs Windows Server à partir de tout le réseau, sans que l’on n'ait à utiliser Windows Server 2003 ou 2000 comme système d'exploitation principal, et on évite ainsi les allers-retours physiques de console en console. - Le second est le mode Serveur d'applications. Il permet de pouvoir accéder à partir de n'importe quel poste de travail, à des applications Windows fonctionnant directement sur le serveur. Cela simplifie le déploiement et la gestion des applications, mais aussi réduit l'impact des défaillances de matériel ou de configuration d'ordinateurs empêchant les utilisateurs de travailler. Il peut prendre en charge plusieurs sessions ‘client’ sur le serveur. L’intérêt principal est que la gestion des applications se fait directement sur le serveur de façon centralisée, et non pas sur chaque poste de travail. Lorsque le serveur démarre et charge le système d'exploitation central, le service Terminal Server se met à écouter le port TCP 3389 (Protocole RDP, Remote Desktop Protocol) en attente de requêtes de connexion entrante à des clients (port client 1093). Développement J'ai installé auparavant le service DNS (Domain Name Service), crée le domaine "chez-ouam.net". J'ai bien précisé le suffixe DNS du serveur avant toute création. Puis, j'ai mis en place une Active Directory. Enfin, j'ai mis en place le serveur DHCP (Dynamic Host Configuration Protocol) avec une plage d'adresses IP. L'adresse IP du serveur est 192.168.0.1 / 24 1. Installation du serveur de licences Dorénavant avec Windows 2003 serveur, il est nécessaire de mettre en place un serveur de licences. Dans le cas contraire, les clients ne peuvent plus se connecter au bout de 120 jours. Pour activer le serveur, il faut acheter une licence auprès de Microsoft. 2. Installation de Terminal Server - Il faut savoir que par défaut, seul les membres des groupes administrateurs et utilisateurs de bureau à distance ont le droit de se connecter au Terminal Server. Il faudra veiller à rajouter les utilisateurs TSE au dernier groupe. Les programmes installés antérieurement au Terminal Server risquent de ne plus fonctionner s’ils étaient destinés à des plateformes antérieurs. Ainsi, on installera les programmes voulus après l’installation de Terminal server. On définira une sécurité moyenne pour éviter tous problèmes de compatibilités avec des programmes anciens. 3. Configuration des services TSE 3.1. Configuration des propriétés de ‘RDP-Tcp’. Sous les onglets : - « Général » On renseigne le niveau de protection. - « Session », paramètres de session qui vont être définit par défaut à la connexion (les paramètres de l'utilisateur seront abandonnés). On peut donc définir le temps maximum d'une session active MIRIC Yan Page 2 03/06/2004 - ou inactive, définir si l'on met fin ou si l'on déconnecte la session quand celle-ci est atteinte ou interrompue. Il faut renseigner sinon toujours active « Environnement », application qui sera ouverte à la connexion de la session Terminal Server si on le désire. « Contrôle à distance », on peut vérifier une session, en se connectant dessus, avec ou sans l'autorisation du client déjà connecté. « Carte réseau », interface réseau qui utilisera Terminal Server « Autorisation », on définit les utilisateurs et les groupes autorisés à accéder aux services Terminal Server. Mieux vaut le faire à partir d’une stratégie de groupe. 3.2 Configuration des paramètres du serveur Dans ce dossier Paramètres du serveur, nous trouvons les options qui régissent la création et la suppression des fichiers temporaires de chaque session, ainsi que les types d'accès autorisés au Terminal Server. Dossiers temporaires Par défaut, un Terminal Server stocke les fichiers temporaires de chaque session dans un sous-dossier du profil de chaque utilisateur. Pour les applications incapables de gérer les paramètres par utilisateur, vous pouvez définir l'enregistrement de tous les fichiers temporaires sur le serveur dans un dossier unique. Licence Sur un serveur d'applications, la licence peut se faire par périphérique (option par défaut) ou par utilisateur. Active Desktop Cette option permet de désactiver le bureau Active Desktop au niveau des sessions Terminal Server. Autorisations Type d'autorisation à appliquer à ce Terminal Server. L'accès aux fichiers en sécurité moyenne est compatible avec toutes les applications. (Attention à ce type de sécurité, qui rend les dossiers systèmes vulnérables aux modifications des applications utilisateur) On utilise par défaut la sécurité totale, et on passe en sécurité moyenne que lorsqu'une application fondamentale ne parvient pas à fonctionner en mode sécurité totale. Restrictions utilisateur On peut limiter chaque utilisateur à une connexion unique pour un serveur donné. Annuaire de session Grâce à ce service, les sessions déconnectées sont reconnectées au serveur sur lequel la connexion d'origine avait été établie. 4. Gérer le serveur Grâce à ce gestionnaire, on peut voir en temps réel, toutes les sessions ouvertes actuellement sur le serveur Terminal Server, et on peut mettre fin à des sessions manuellement ou fermer toutes les sessions actives sur le serveur. Pour pouvoir administrer à distance le serveur, on va dans les propriétés du ‘poste de travail’, dans l’onglet ‘connexion à distance’. On active l’assistance à distance. 5. Utilisateurs et ordinateurs Active Directory - Création d’une UO ‘TSE ‘ MIRIC Yan Page 3 03/06/2004 - Création d’un utilisateur ‘TSE1’ (Mot de passe 1234) Création d’un groupe ‘TSE-Users’. TSE1 est membre de ce groupe Définition d’une stratégie de groupe au niveau de l’UO (restrictions etc …) 6. Validation On lance Ethereal sur le serveur. Sur le client (Windows XP pro): - Programmes → Accessoires → Communications → connexion bureau à distance On renseigne l’IP du serveur ou son nom DNS. On peut définir aussi certains paramètres si on le désire. On établit la connexion. Elle se présente comme une ouverture de session Windows classique → Identifiant et mot de passe 6.1 Connexion TSE1 On accède au Terminal server. On peut s’apercevoir que les restrictions faites dans la stratégie de groupe sont appliquées. L’utilisateur peut accéder aux ressources qui lui sont nécessaires. 6.2 Administration à distance Au lieu de renseigner un utilisateur, on se log avec un compte administrateur. Ainsi, on peut administrer son serveur à distance sans avoir à se déplacer. 6.3 Ethereal On constate que la connexion s’est bien effectuée. Le serveur écoute sur le port 3889 et le client sur le 1093. Conclusion La nouvelle version de TSE pour Windows 2003 est bien que plus performante que les versions précédentes. Cependant, il y a un gros désavantage : elle est devenue payante. Il faudra alors prendre en compte le coût d’une telle solution et si la valeur ajoutée qu’elle peut amener prend en compte ce nouveau facteur. De plus, un grand nombre d’utilisateurs nécessite une machine puissante et entièrement dédiée à cette tâche. D'où un surcoût supplémentaire. MIRIC Yan Page 4 03/06/2004