Cette page est personnelle et représente ce que je pense qu'il est nécessaire de savoir pour réviser les cours Administration/Support NT 4. J'ai repris des choses dans des endroits divers (cours, Livre Microsoft, ...)
Minimum requis pour l'installation d'un des OS suivant.
| OS | Micro | Ram | Disque Dur | Mémoire virtuelle par défaut |
|---|---|---|---|---|
| Windows 95 | 386 Dx/20 | 4 Mo (intel) | 40 Mo | |
| NT Station 4.0 (intel) | 486 Dx/33 | 12 Mo (intel) | 110 Mo | Mini:Ram+11 Mo Maxi:Ram+11+50 Mo |
| NT Station (Risc) | 486 Dx/33 | 16 Mo (risc) | 110 Mo | |
| NT Serveur 4.0 (intel) | 486 Dx/33 | 16 Mo (intel) | 125 Mo | Mini:Ram Maxi:Ram+50 Mo |
| NT Serveur (Risc) | 486 Dx/33 | 16 Mo (risc) | 160 Mo |
Particularité : Il n'est pas possible d'installer un NT
Station sur une partition HPFS (OS/2), il faut d'abord la convertir en NTFS à l'aide de
l'outil aclconv
Par contre les NT supportent le Multi-Processeur SMP (charge répartie sur chaque
processeur) et ASMP (un processeur pour le système puis charge répartie sur les autres).
Pour vérifier si un des composants de l'ordinateur peut être auto détecté par l'installation de Windows NT, on peut utiliser l'outil nthq.
La mise a jour de Windows 95 vers NT est impossible car leur registre est incompatible. Si on veut utiliser les 2 systèmes, il faut les installer dans un répertoire différent.
Pour installer un NT sur un ordinateur Risc, il faut au moins une partition FAT de 2 Mo et un lecteur de CD-Rom SCSI pour une install à partir du CD.
Le programme pour installer Windows NT est winnt.exe. Par contre, il est possible d'utiliser winnt32.exe pour effectuer une mise a jour d'un système qui exécute déjà windows NT, ou pour installer un NT dans un autre répertoire d'installation. Il est à noter que winnt32 ne supporte pas les switches /f /c /l. De plus avec winnt32 il est possible de donner plusieurs répertoires contenant la source du système à installer, cela accélère la procédure d'installation.
| MAJ a partir de | Vers un Contrôleur de Domaine NT 4.0 | Vers un Serveur Membre NT 4.0 | Vers Station NT 4.0 |
|---|---|---|---|
| Station NT 3.51 | Non | Oui | Oui |
| Serveur Membre NT 3.51 | Non | Oui | Non |
| Contrôleur de Domaine NT 3.51 | Oui | Non | Non |
L'installation personnalisée est la seule option d'installation disponible sur NT serveur.
L'installation sans surveillance se fait à l'aide des fichiers unattend et Udf. Un fichier unattend contient les sections relatives au matériel de l'ordinateur, donc si des ordinateurs on des config différentes, il faut autant de fichiers unattend. Le fichier udf contient les sections relatives à la configuration logicielle de l'ordinateur (protocoles réseau, nom d'ordinateur....). On peut mettre plusieurs sections différentes dans le fichier UDF et indiquer lors de l'installation la section choisie (winnt /udf....).
On peut aussi faire une auto-installation d'applications à l'aide de l'utilitaire sysdiff en faisant une image des fichiers avant installation des application puis, une autre, après.
| Partition système (active) (généralement C:\) |
Partition d'amorçage |
|---|---|
| Contient les fichiers d'amorçage NT spécifiques au matériel : | Arborescence des dossiers contenant les fichiers du système NT |
| ntldr ntdetect.com boot.ini ntbootdd.sys (si carte scsi sans bios) |
\winnt |
Pour pouvoir écrire des informations de débogage, il faut
que le fichier d'échange doit se trouver dans la partition d'amorçage et sa taille doit
être au moins égale à celle de la mémoire vive (+1 Mo).
Le fichier d'échange doit aussi être supérieur ou égal à quatre fois la taille
du registre.
Pour améliorer les performances, il vaut mieux mettre le fichier d'échange sur
une autre partition que la partition d'amorçage (on ne peut plus faire de CrashDebug dans
ce cas là). Il est aussi possible de mettre la taille minimale égale à la taille
maximale, comme cela, il n'y a pas de temps utilisé pour agrandir le fichier d'échange.
La taille minimum du fichier d'échange est de 2 Mo.
La séquence d'amorçage se fait de la facon suivante :
Power on Self Test (environ 40 tests)
Exécution du code contenu dans le MBR
Exécution du code contenu dans le boot secteur de la partition active
Chargement et exécution du chargeur NT : ntldr
passage en mémoire linéaire
démarrer les mini pilotes de fichiers FAT et NTFS
Lecture du boot.ini si présent
ntldr charge le système NT (ou un autre via bootsec.dos si pas NT)
ntldr charge et éxecute ntdetect.com
ntldr charge dans l'ordre : ntoskrnl.exe, hal.dll et la ruche système
ntldr analyse la ruche system et charge les pilotes correspondants
ntldr démarre ntoskrnl.exe
La clef BootExecute permet d'indiquer quelles commandes doivente être executé au boot (par exemple une conversion ntfs)
Si l'on ne vaut pas exécuter un système par défaut il faut mettre le paramètre timout du fichier boot.ini à -1
Une diquette d'amorçage NT doit être formaté sous NT afin que le secteur de démarrage puisse trouver et exécuter ntldr
La dernière bonne configuration connue est
est la configuration enregistrée lors de la dernière ouverture de session réussie.
Dans le cas d'une reprise de dernière bonne configuration connue, toutes les modifs
apportées à la config depuis le dernier bon démarrage sont perdues, donc faire une
copie du registre.
Le registre contient en fait 2 clefs primaires :
HKEY_LOCAL_MACHINE
HKEY_USERS
Ces clefs sont grisées dans le schéma ci dessous. Les autres clefs sont des liens vers des sous clefs primaires.
En dessous de la clef HKLM il y a des ruches. sauf Hardware qui est volatile et recalculée à chaque démarrage. La ruche system est sauvegardée par le system en system.alt (pour pouvoir démarrer dans la dernière bonne configuration connue). La ruche software gère l'OLE.
L'éditeur de registre regedt32
de windows NT permet de gérer les clef de type
REG_EXPAND_SZ
REG_MULTI_SZ
de plus, il gère la sécurité (ouverture a distance) puis le mode lecture seule.
Toutes ces options ne sont pas disponibles avec l'editeur de 95 regedit. Par contre l'editeur de 95 permet des recherches
plus avancées.
Siège : Chaque client doit avoir une licence client pour
accéder au serveur
Serveur : Il faut indiquer le nombre maximum de clients pouvant se connecter au
serveur.
Un client est un ordinateur, c'est a dire qu'un même ordinateur peut utiliser x connections sur le serveur en ne comptabilisant qu'une licence.
Sur un serveur, il est possible de passer du mode serveur au mode siège mais pas l'inverse.
Choix entre le mode siège et le mode serveur :
serveur : le nombre total de licences est la somme du nombre total de clients
pouvant accèder simultanement à chaque serveur.
Siège : le nombre total de licences est le nombre total de clients du réseau.
exemple : 20 clients + 2 serveurs
par siège, il faut 20 licences
par serveur :
si les 20 clients ont besoin de pouvoir accéder au 2 serveurs, cela fait 40
licences (il vaut mieux choisir siège)
si les 10 clients ont besoin de pouvoir accéder au serveur 1 et 5 au serveur 2,
cela fait 15 licences (il vaut mieux choisir serveur)
si les 15 clients ont besoin de pouvoir accéder au serveur 1 et 10 au serveur 2,
cela fait 25 licences (il vaut mieux choisir siège)
2 outils sont disponibles, dans le panneau de configuration (licences) et dans les outils d'administration (gestionnaire de licences). Si le serveur fonctionne en mode de licence par siège, il faut utiliser celui des outils d'administration.
Sur le CD NT serveur, on peut trouver les clients NT
suivants :
MS Network Client 3.0 pour DOS et Windows
Lan Manager 2.2C
Windows 95
Le client pour Windows pour Workgroup n'est pas fournit sur le CD et TCP/IP de Windows pour Workgroup ne prends pas en charge DHCP et WINS. Par contre il existe sur le CD NT serveur un TCP/IP-32 pour Windows pour Workgroup qui prends en charge DHCP et WINS.
| Clients | Protocoles supportés |
|---|---|
| Network client pour MS-DOS |
NetBeui IPX (pas SPX) TCP/IP + DHCP (pas DNS ni WINS) DLC |
| Lan Manager 2.2c | NetBeui TCP/IP + DHCP (pas DNS ni WINS) DLC |
| Windows 95 | NetBeui NWLink + IPX/SPX TCP/IP + DHCP + DNS + WINS DLC |
Les outils d'administration peuvent être légèrement différent selon que l'on est sur un NT serveur ou Workstation.
| Nom de l'outil | NT Serveur | NT station |
|---|---|---|
| Le gestionnaire de sauvegardes | Oui | Oui |
| L'observateur d'évènements | Oui | Oui |
| Diagnostics Windows NT (winmsd) | Oui | Oui |
| Aide | Oui | Oui |
| Le gestionnaire de serveur | Oui | Non |
| Le gestionnaire des utilisateurs | Voir dessous | Oui |
| Le gestionnaire des utilisateurs pour les domaines | Oui | Non |
| Moniteur réseau | Version limité | Option |
| Response probe | Oui | Non |
Attention : sur une station, le gestionnaires des utilisateurs ne permet de gérer les groupes globaux, locaux, et les utilisateurs de la Station (La station est considérée comme un domaine). De plus, dans les caractéristiques de l'utilisateurs, le nombre de boutons de la boite de dialogue est différent en version Station ou Serveur
En Serveur
En Station
(ou serveur autonome sur SAM locale)
D'ailleurs, il est même possible de se logger sur une station en indiquant comme domaine, le nom de la station étant alors le domaine sur lequel on se logge. La base de compte utilisée est alors la base de compte de la station locale.
Ne pas oublier que le compte invité est désactivé par défaut. Le compte Administrateur devrait être renommé pour augmenter la sécurité du réseau.
Les comptes sont toujours créés dans la base de compte du Contrôleur primaire. Ils peuvent être géré depuis un des contrôleurs secondaires ou d'un serveur en Serveur membre. Ils peuvent aussi être gérer depuis un NT station ou 95/98 à l'aide des outils du kit de ressource technique (ils sont aussi sur le disque NT serveur). Dans tous les cas, c'est mieux de faire une synchronisation de tous les CSD avec le CDP si le compte doit être utilisé rapidement.
Les noms de compte d'utilisateurs peuvent contenir jusqu'a 20 caractères tandis que les mots de passe sont limités à 14 caractères.
Un nom de groupe est d'une longueur maximale de 20 caractères dans le cours MS. En réalité, il peut être de 256.
Un nom de partage est d'une longueur maximale de 12 caractères dans le cours MS. En réalité, il peut être de 80. Pour des clients wfw3.11 ou ms-dos 8.3 max
Par défaut, le mot de passe est valable pour 42 jours. L'accès réseau a distance peut être défini a l'aide du gestionnaires des utilisateurs ou bien à l'aide de l'outil d'administration d'accès distant.
Profils : pour créer des profils errants, il faut créer un répertoire sur un serveur commun (NTFS si possible), partager ce répertoire (contrôle total pour tout le monde de préférence) puis ensuite, saisir dans la zone profil de l'utilisateur \\nomdeserveur\nomdepartageprofil\%username%. Si l'on veut qu'un profil devienne obligatoire, il faudra alors renommer le ntuser.dat (de l'utilisateur choisi) en ntuser.man. Il n'est pas possible de créer un profil pour le compte invité.
Environnement utilisateur : il faut créer un répertoire sur un serveur commun (NTFS si possible), partager ce répertoire (contrôle total pour tout le monde de préférence) puis ensuite, saisir dans la zone environnement de l'utilisateur \\nomdeserveur\nomdepartageenvironnement\%username% et lui associer une lettre de lecteur. Le répertoire alors créé est accessible uniquement par l'utilisateur (si NTFS).
Par défaut, les scripts utilisateurs sont stocké dans %systemroot%\system32\repl\import\scripts, et pour que tous les utilisateurs puisse exécuter le script, ce dossier est partagé en tant que \\serveurname\netlogon
Pour créer plusieurs utilisateurs avec des caractéristiques identique, il faut créer un utilisateur modèle puis le copier autant de fois que l'on souhaite créer d'utilisateurs.
La copie conserve les options suivantes :
Description
L'utilisateur doit changer de mot de passe ......
L'utilisateur ne peut pas changer le mot de passe
Le mot de passe n'expire jamais
L'appartenance aux groupes
Les chemins de profils, de script, de répertoire de base
La permission d'appel d'accès distant
La copie ne conserve pas les options suivantes :
Le nom d'utilisateur
Le nom complet
Le mot de passe et sa confirmation
L'option compte désactivé
Les droits et permissions individuelles
Deux types de groupes existent : les groupes locaux et les groupes globaux.
Pour une gestion cohérente du système, on procède comme
suit :
Création d'un utilisateur
Incorporation dans un groupe global.
Inclusion du groupe global dans un groupe Local (même domaine ou non)
Attribution des permissions au groupe Local
| Nom du groupe | NT Serveur (CPD/CSD) | NT Serveur membre |
|---|---|---|
| Utilisateurs avec pouvoir | Non | Oui |
| Administrateurs | Oui | Oui |
| Utilisateurs | Oui | Oui |
| Invités | Oui | Oui |
| Opérateurs de sauvegarde | Oui | Oui |
| Opérateurs d'impression | Oui | Non |
| Opérateurs de serveurs | Oui | Non |
| Opérateurs de comptes | Oui | Non |
| Duplicateurs | Oui | Oui |
Dans un domaine, le groupe Local s'étend sur tous les contrôleurs de domaine tandis que sur NT Station ou Serveur Membre, il est local à la machine.
Attention : Un opérateur de compte peut aussi ouvrir une session sur un CD, Arrêter un CD et ajouter des ordinateurs dans le domaine
Attention : Un opérateur de serveur peut aussi ouvrir une session sur un CD, Arrêter un CD, formater des disques, faire des sauvegardes/restaurations.
| Nom du groupe | NT Serveur (CPD/CSD) | NT Serveur membre |
|---|---|---|
| Invités du domaine | Oui | Non |
| Admins du domaine | Oui | Non |
| Utilisa. du domaine | Oui | Non |
Par défaut, chaque racine de chaque disque est partagée en tant que LettreDeDisque$ (sauf pour les CD-Rom, les disques amovibles et les lecteurs de disquettes)
De plus le dossier %systemroot% (généralement c:\winnt) est partagé en tant que Admin$
Le nombre limite d'utilisateurs pour NT station est de 10.
Partage
d'un dossier (CALM)
|
|
Sécurité
NTFS d'un dossier (CALM AALAA)
|
|
Sécurité
NTFS d'un ficher (CALMA)
|
|
Sécurité
NTFS spéciale d'un ficher/dossier (LESCEP) |
Cumul des permissions (cas d'un partage sur un lecteur NTFS). Les permissions les plus restrictives sont appliquées !.
Cumul des groupes : Si un utilisateur fait parti de plusieurs groupes, c'est la somme de toutes les permissions (de chaque groupe) qui est valable.
Aucun Accès est toujours vérifié en premier, c'est à dire que Aucun Accès + Controle Total = Aucun Accès.
Pour pouvoir copier ou déplacer un fichier NTFS, un utilisateur doit disposer des bonnes permissions.
| Faire une copie | Permission Ajouter sur le dossier destinataire le fichier hérite des permissions du dossier destinataire Idem si le fichier est compressé. |
| Faire un déplacement | Idem + Supprimer dans le dossier source du
fichier Même disque NTFS : Conserve les permissions d'origine ainsi que l'attribut de compression Autre disque NTFS : hérite des permissions du dossier destinataire (Idem si le fichier est compressé) |
L'utilisateur qui fait une copie devient le propriétaire du nouveau fichier (logique puisque c'est lui qui en à fait la création).
Attention : Eviter d'attribuer les permissions Contrôle total sur un dossier NTFS, mettre plutôt toutes les permissions spéciales, cela évite qu'un utilisateur puisse supprimer un fichier (dont il n'a pas les droits) dans un dossier sur lequel il possède le droit Contrôle total.
Attention : Lorsqu'un fichier copié dans un répertoire compressé, il est d'abord copié puis compressé ensuite, il faut donc un place disponible au moins égale à la taille du fichier non compressé.
Attention : dans la philosophie Microsoft, une imprimante est l'interface logicielle entre l'application et le périphérique d'impression tandis qu'un périphérique d'impression est le périphérique qui produit les sorties papier.
| Aucun accès Imprimer Gestion des documents Contrôle total |
| Aucun accès | Sans commentaires |
|---|---|
| Imprimer | Se connecter à une imprimante Imprimer des documents Gestion des documents de l'utilisateur |
| Gestion des documents | Idem Imprimer + Contrôle des paramètres de travaux pour tous les documents Gestion des documents de tous les utilisateurs |
| Contrôle Total | Idem Gestion des documents + Partager une imprimante Gestion des propriétés de l'imprimante Suppression d'imprimante Modif des permissions d'impression |
| Groupe | Fait quoi | d'ou |
|---|---|---|
| Administrateurs | Ajouter et supprimer
une imprimante Partager une imprimante Prendre possession |
Tout ordinateur NT du domaine |
| Opérateurs d'impression | Sur un contrôleur de domaine | |
| Opérateurs de serveur | Sur un contrôleur de domaine | |
| Utilisateurs avec pouvoir | Sur tout ordinateur local du domaine ou le groupe existe |
Accès à une imprimante sur un réseau NT
MS-Dos OS/2 net use lptx \\serveur\partage
Netware : capture file_attente
Unix lpr -snomserveur -pnompartage fichier
Redirection sur une autre imprimante (si périphérique d'impression HS) : Ajouter un port local \\serveur\partageimprimante. (note : la nouvelle imprimante doit utiliser le même pilote de périphérique d'impression que l'imprimante actuelle)
Pour changer l'endroit du répertoire de spool, aller dans
le registre en HKLM\System\CurrentControlSet\Control\Print\Printers puis changer la clef
DefaultSpoolDirectory en indiquant le chemin complet du nouveau répertoire de spool (ne
peut pas être à la racine d'un disque).
La méthode la plus simple et d'aller dans le dossier des imprimantes puis menu
Fichier/Propriétés du serveur puis changer le dossier de spool.
C'est utilisé pour les gros débits, on met plusieurs périphériques d'impression sur le serveur d'impression, puis on créé une imprimante (file d'attente) unique. Le serveur scrute le premier périphérique d'impression disponible puis lance l'impression physique. Il est astucieux de définir les périphériques d'impression les plus rapide en tête de liste. D'après le cours, il suffit d'ajouter la plus rapide en premier et ainsi de suite, mais je ne suis pas sûr de cela, peut-être que les ports sont scruté dans leur ordre de numérotation. C'est un test à faire.
C'est utilisé pour rendre des utilisateurs prioritaires par rapport aux autres. On met alors un périphérique d'impression sur le serveur (plus si on veut mais une priorité se définie sur un périphérique à la fois) puis plusieurs imprimantes (files d'attente) sur le même port. Ensuite il faut partager l'imprimante avec un nom différent pour chaque file d'attente.
Exemple : On met un périphérique d'impression Canon BJ200 sur lpt1. On créé une imprimante partagée appelé BJ200-1 (par exemple) sur lpt1 et on lui donne (à cette imprimante) la priorité 1 (faible). Ensuite, on créé une imprimante partagée appelé BJ200-99 (par exemple) sur lpt1 et on lui donne la priorité 99 (forte). Ensuite il suffit par exemple de se connecter les utilisateurs non prioritaires à \\nomdeserveur\bj200-1 et les plus prioritaires sur \\nomdeserveur\bj200-99
L'audit sur une partition FAT se limite aux logins. Sinon, sur une partition NTFS, il est possible d'auditer les fichiers et les répertoires.
Seuls les administrateurs peuvent définir l'audit, en effet, les opérateurs de serveurs ne peuvent que consulter et archiver les journaux puisque le droit "gérer le journal d'audit et de sécurité" n'est accordé qu'au groupe Administrateurs.
Dans tous les cas, les résultats d'audit sont conservés dans le journal des évènements qui par défaut à une taille de 512Ko, il est possible de le paramétrer pour des tailles allant de 64K à 4 Go.
Conseil : Auditer le groupe tout le monde plutôt que le groupe utilisateur
Un utilisateur ne peut sauvegarder que les fichiers et les dossiers pour lesquels il possède les droits Lire. Une sauvegarde de fichiers sur une partition NTFS sauvegarde aussi les permissions.
De plus il doit avoir le droit "Sauvegarder les fichiers et les répertoires" pour les sauvegarder et le droit "Restaurer les fichiers et les répertoires" pour les restaurer. les groupes Opérateurs de sauvegarde et de serveurs ont ces droits.
Sauvegarder toujours le registre d'un des contrôleur de domaine afin de sauvegarder le base des comptes. La restauration peut se faire dans un répertoire différent de l'original. La restauration avec les permissions doit se faire uniquement sur la station qui a été sauvegardée car les SID des utilisateurs locaux sont uniques. Par contre on peut restaurer des fichiers NTFS sauvés sur un CPD sur un CSD car les utilisateurs sont les mêmes (SID identiques).
Attention : on ne peut sauvegarder que la base de registre de l'ordinateur sur lequel se trouve sur le lecteur de bande donc, en mettre un sur un contrôleur de domaine. De plus, il n'est pas possible de sauvegarder que le registre, il faut au moins sélectionner un fichier (sur le volume qui contient le registre) pour pouvoir sauvegarder le registre.
| Type | Éléments sauvegardés | Marqueur |
|---|---|---|
| Normale | Tous les fichiers et dossiers sélectionnés sont sauvegardés et marqués comme tels. | Oui |
| Copie | Tous les fichiers et dossiers sélectionnés sont sauvegardés mais non marqués. | Non |
| Incrémentielle | Les fichiers et dossiers sélectionnés sont sauvegardés si ceux-ci n'ont pas de marque de sauvegarde (s'ils ont été modifiés ou créés), puis marqués comme tels. | Oui |
| Différentielle | Tous les fichiers et dossiers sélectionnés modifiés depuis la dernière sauvegarde (plus rapide à restaurer) mais non marqués. | Non |
| Quotidienne | Tous les fichiers et dossiers sélectionnés modifiés dans la journée sont sauvegardés mais non marqués | Non |
Attention : Si la dernière bande est endommagée il faut faire un ntbackup /missingtape car le catalogue est stocké sur la dernière bande.
Le journal par défaut se nomme %systemroot%\backup.log et peut contenir 3 types d'informations : Aucune, Résumé ou tous les détails.
Voici les boîtes de dialogue du gestionnaire de sauvegarde (vérifiez bien toutes les options car il y a des questions à l'examen) :
Ce qu'il faut noter avec l'alimentation de secours (UPS) c'est que le temps d'execution du script qu'il est possible de lancer sur la réception d'un signal POWER_FAILURE ne peux excéder 30 secondes. De plus, si elle se met hors service après un reboot, il faut ajouter le switch /NoSerialMice dans le boot.ini. Ceci évite de faire une détection agressive du port Com.
Il exsiste 2 niveaux de variables d'environnement, les variables système et les variables utilisateur. NT lit d'abord toutes les variables d'environnement système, ensuite, les variables déclarées à l'aide de l'instruction SET ainsi que la variable PATH dans l'autoexec.bat, puis les variables utilisateur. C'est donc la variable utilisateur qui a le dernier mot.
De plus, il est possible de désactiver la recherche des variables dans l'autoexec.bat à l'aide de la clef de registre ParseAutoexec ou à l'aide d'une strategie système.
Le profil errant est toujours chargé avant les strategies, ce qui veut dire que la strategie est plus prioritaire que le profil.
Les fichiers de stratégies doivent être nommées de la
façon ci dessous et généralement ils sont placés dans le partage netlogon du CPD.
(Puis répliqués éventuellement sur les CSD)
pour des clients 95 : config.pol
pour des clients NT : ntconfig.pol
Chaque fichier doit être modifié avec l'éditeur de
stratégie de chaque système et ce, sur chaque système. C'est à dire, pour modifier le
fichier de stratégie des clients 95 (config.pol), il faut le faire sur un poste 95 avec
l'éditeur de 95.
Il ne faut pas oublier qu'un fichier de stratégie permet tout simplement de modifier le
registre d'un client. Il est aussi possible de rajouter ses propre fonctionnalités en
modifiant les fichiers .adm.
Les fichiers .adm à modifier sont alors :
common.adm (clefs communes à 95 et NT)
windows.adm (clefs spécifiques de 95)
winnt.adm (clefs spécifiques de NT)
La stratégie utilisateur modifie la clef HKEY_CURRENT_USER tandis que la stratégie ordinateur modifie la clef HKEY_LOCAL_MACHINE du registre du client.
A noter qu'il est possible de définir une
stratégie pour un ordinateur ou un groupe d'ordinateur en leur indiquant ou aller le
chercher le fichier .pol, ce qui permet de définir plusieurs fichiers de stratégie (ces
opérations sont à réaliser sur chaque ordinateur)
Attention : Les clients 95 vont chercher leur stratégie sur le CPD, de ce fait une
surcharge réseau peut se produire, il est donc possible d'équilibrer cette charge en
utilisant l'option equilibrage de charge dans l'editeur de stratégie
La compression des fichiers ou des dossiers ne peut se faire que sur une partition NTFS. Il est possible de réaliser la compression/décompression en ligne de commande avec l'utilitaire compact
La compression n'est pas possible si la partition présente des cluster de plus de 4Ko. Un fichier d'echange compressé (si fichier d'un autre NT) est automatiquement décompréssé au redémarrage de NT. Le chargeur NT (NTLDR) n'est pas compressable.
Le déplacement et la copie des fichiers compressés fonctionne de la même manière que les fichiers normaux, voir copie et déplacement NTFS (par contre, pour la copie, NT décompacte copie et recompacte si nécéssaire)
Windows NT ne supporte que 4 partitions principale, si l'on en veut plus, il faut créer 3 partitions principales puis une partition étendue avec des lecteurs logiques.
| Caractéristiques | Par bandes | De partitions |
|---|---|---|
| Possible sur un seul lecteur physique | Non | Oui |
| Peut contenir la partition système et/ou la partition d'amorçage | Non | Non |
| Nombre mini/maxi de zones combinées | 2/32 | 2/32 |
| Taille des zones combinées identique | Oui | Non |
| Zones combinées sur type de support différents (IDE/SCSI/ESDI) | Oui | Oui |
| Une zone doit être remplie avant de passer dans la zone suivante | Non | Oui |
| Amélioration des performances d'E/S | Oui | Non |
Attention : L'agrégat de partition est possible pour ettendre une partition NTFS mais pas FAT. Un agrédat ne peut pas être supprimé sans perdre les données (suppression totale de l'agrégat).
La numérotation des disques commence à 0 et celle des partitions à 1.
L'administrateur de disque de NT serveur possède des options de tolérance de panne (mirroir, agrégat par bande avec parité) que de possède pas l'administrateur de disque de NT Station. De plus, l'administrateur de disque ne peut pas être lancé a distance depuis un autre serveur ou une autre station.
NT supporte le technologie RAID 0 (agrégat par bandes),
RAID 1 (mirroir et/ou duplexing) et RAID 5 (agrégat par bandes avec parité) mais seuls
RAID 1 et RAID 5 proposent une tolérance de panne. Le pilote pour la tolérance de panne
RAID 1 et RAID 5 est ftdisk.sys
Attention : Seul RAID 1 permet d'englober la partition système/d'amorçage
Pour remplacer un mirroir cassé :
Amorcer la machine avec le boot.ini qui pointe sur le disque qui fonctionne
Briser le mirroir
Supprimer la partition en cause
Assigner la lettre de lecteur du mirroir
Utiliser un nouvel espace puis recréer le mirroir.
Pour remplacer un disque cassé d'un agrégat par bandes :
Remplacer le disque (pas de formatage)
Choisir un espace disponible d'au moins la même taille
Regénérer
Redémarrer l'ordinateur
| IDE/SCSI: | multi(n° contôleur)disk(0)rdisk(n° de disque)Partition(n° de partition) |
| SCSI sans BIOS: | scsi(n° contôleur)disk(n° de disque)rdisk(0)Partition(n° de partition) |
Le numéro de disque commence à 0 et le numéro de partition à 1.
Chaque application Win32 est executée dans son
environnement mémoire protégé.
Pour des applications Dos et Win16 il existe une émulation qui est gérée par une
application win32 qui est ntvdm.exe
Chaque application DOS est executé dans une ntvdm
(émulateur Dos 5) différente.
Une ntvdm utilise les fichiers ntio.sys (io.sys) et ntdos.sys (msdos.sys) ainsi que
les fichiers de configuration %systemroot%\system32\autoexec.nt et
%systemroot%\system32\config.nt.
Chaque application win16 est éxécuté dans la ntvdm par défaut (qui exécute
wowexec.exe, l'émulateur win16). Ces applications sont donc toutes dans la même ntvdm,
ce qui fait que si l'une des applications win16 plante, les autres win16 sont bloquées
aussi.
Il est possible de lancer les applications win16 dans des ntvdm différentes à
l'aide du menu démarrer/exécuter puis en cochant la case exécuter dans des zones
mémoire différentes ou bien à l'aide de la commande start /separate depuis une invite
dos. Cette méthode à l'inconvénient de demander 1Mo de Ram et 2Mo de swap par VDM.
Il est aussi possible d'exécuter des applications OS/2 (version 1.x en mode caractère). Pour modifier le config.sys d'OS/2 il faut l'éditer à partir d'un éditeur OS/2 afin de lancer le sous sytème OS/2. Il est possible de forcer l'exécution d'une application liée à l'aide de la commande forcedos
Priorité : le niveau de priorité des applications est de 8 (normal) la priorité la plus faible est 0 et la plus forte et 31. de 0 à 15 c'est pour les applications dynamiques et de 16 à 31 pour les applications temps réel (mode noyau, non swappable). Il est possible de démarrer des application avec un niveau de priorité predéterminé à l'aide de la commande start depuis la console dos.
| start /realtime appli | priorité 24 |
| start /high appli | priorité 13 |
| start /normal appli | priorité 8 |
| start /low appli | priorité 4 |
Il est aussi possible de booster l'application au premier plan à l'aide du panneau de configuration système/Performances.
Schéma de l'architecture réseau windows NT 4
| Redirecteur (station de travail) | Serveur | |||
| TDI (Transport Driver Interface) (NetBios, Winsock) | ||||
| TCP/IP | NWLink | NetBeui | AppleTalk | Dlc |
| Enpaqueteur NDIS (NDIS 4 + Pilotes) | ||||
| Carte réseau | ||||
Pour fonctionner avec windows NT 4.0, le pilote de la carte réseau doit être comptatible avec la norme NDIS 4.0, cette norme permet de lier plusieurs protocoles à une même carte réseau ou un seul protocole sur plusieurs cartes.
Rappel sur NDIS
NDIS 2 : mode réél (Dos, 3.11)
NDIS 3 : mode étendu (3.11, 95, NT )
NDIS 4 : Pnp
La couche TDI permet de rendre les services tels que le redirecteur ou le serveur indépendant des protocoles réseau utilisés.
Du fait de la grande utilisation du mode client/serveur, il
était nécessaire de gérer celà dans windows NT. Cela est fait par un traitement
distribué (le client exécute la partie interface et le serveur le traitement pur). Les
mécanismes de communication interprocessus sont des IPC et il en existe plusieurs :
Les cannaux nommés
Boîte aux lettres
Les sockets (winsock)
Remote procedure call (RPC)
NetDDE
DCom
NT fournit plusieurs composants pour le partage des
ressources réseau sur un serveur :
Service Station de travail (redirecteur)
Service Serveur : il garanti les ressources partagées et les route vers les clients.
MUP (Multiple Universal Naming Convention Provider) : gére les UNC multiples. Gestion C/S de fichier MS en inter réseau.
MRP (Multiple provider Router) : gère plusieurs redirecteurs (NT, NetWare, Vines). Gestion du C/S de fichier pour les autres fournisseurs que MS
Le systéme de fichiers distribués de NT est DFS (Distributed File system) il permet d'organiser un grand réseau en affranchissant les serveurs, il n'est vu qu'une seule arborescence de fichiers et répertoires.
DHCP : permet au serveur de donner un client une IP, un
masque de sous réseau et éventuellement l'adresse des passerelles, des serveurs
wins.....
La résolution des adresses IP en adresses MAC se fait à l'aide du protocole ARP.
WINS : permet au serveur de faire une association entre l'adresse IP d'un client et son nom Netbios
DNS : permet de gérer les nom de domaines internet (pas les domaines au sens NT) et d'avoir une table de correspondance entre un nom d'hote et son adresse IP
Il es possible d'utiliser conjointement les services DNS et WINS. si l'hôte n'est par trouvé par DNS, le service DNS interroge le service WINS.
Le service explorateur permet de fournir aux clients la liste des ordinateurs présents sur le réseau. Il y a sur le réseau un explorateur maître (CPD si en domaine) et des explorateurs de sauvegardes. Les machines pouvant devenir explorateur sont dans l'ordre suivant : NT serveur, NT Workstation, 95 et 3.11
Il est aussi possible (pour des questions de perf par
exemple) de dire à un ordinateur que l'on ne souhaite pas qu'il devienne explorateur.
Cela se fait à l'aide du registre avec la clef MaintainServerList.
Si on ne veut pas qu'une machine puisse devenir explorateur, il faut mettre la
valeur No. Pour permettre à un ordinateur d'être explrateur potentiel, il faut mettre
Auto. Sinon, pour permettre à un ordinateur de devenir explorateur maitre ou de
sauvegarde il faut mettre Yes.
Pour voir l'explorateur maitre, la commande nbtstat -n puis repérer le code 20. Le maitre fait sa mise à jour de la liste d'exploration toutes les 15 minutes. Par contre, lorsqu'un ordinateur disparait du réseau, il faut 3 confirmations pour qu'il soit retiré de la liste du maitre, ce qui fait qu'il aurra réellement disparu du réseau au bout de 45 minutes.
L'optimisation du service explorateur est disponible dans le résumé Entreprise
Le service d'accès distant permet un un ordinateur de se
connecter a un réseau via une ligne dédié (RTC, RNIS, X25) + PPP/SLIP ou un réseau
spécialisé TCP/IP + PPTP. Cela procure une connexion WAN. Cet ordinateur fait ensuite
partie intégrante du réseau, en effet, le cllient bénéficie en toute transparence des
ressources réseau. Le protocole utilisé doit être PPP ou SLIP. Les débits sont bien
sûr moins élévés qu'avec une carte réseau classique.
Dans le cas d'une connexion via X25, il faut sur le client un PAD asynchrone et sur
le serveur une carte intelligente qui intègre un PAD physique.
Dans le cas d'une connexion RNIS, il faut installer une carte RNIS sur le client et
le serveur.
Dans le cas d'une connexion via un réseau TCP/IP (internet par exemple) il est
utilisé le protocole PPTP qui permet en fait de réaliser un réseau privé virtuel dans
lequel les données sont transmises en toute sécurité (elles sont cryptés). On établit
alors une première connexion à Internet puis une seconde (via la première) sur le
serveur RAS.
Les paquets envoyés au moyen d'un tunnel PPTP sont des paquets PPP encapsulés.
PPTP permet d'encapsuler les protocoles TCP/IP, IPX/SPX et NetBeui.
De ce fait, il est possible par exemple de faire dialoguer un client IPX avec un
serveur IPX le tout en utilisant PPTP qui est lui même basé sur TCP/IP (internet par
exemple).
Avec ce mode de fonctionnement, les coût sont considérablement réduit pour
l'entreprise puisque seule une connexion internet est nécessaire.
Exemple : Si un employé d'un société Nantaise est en déplacement à New-York et qu'il souhaite se connecter un serveur RAS de son entreprise, il faut qu'il téléphone de NY à Nantes (coût très élevé) par contre si le serveur de Nantes bénéficie d'un connexion à internet + PPTP, le client à juste besoin de se connecter à Internet depuis NY (coût quasiment nul) et il se connecte à Nantes via PPTP. Il faut quand même que le fournisseur d'accès à internet (FAI) de NY puisse gérer le PPTP.
SLIP : Ce protocole est géré par NT en tant que client, il ne dispose pas de service serveur SLIP. Un serveur SLIP doit avoir une IP statique donc pas de DHCP/WINS. Les ouvertures de sessions sont faite avec du texte en clair (non crypté) et le seul protocole utilisable est TCP/IP
PPP : C'est une évolution de SLIP, l'ouverture de session se fait en mode crypté (mschap) ou non (en fonction du type de client) et il sait gérer de multiples protocoles (AppleTalk, DECnet, OSI, TCP/IP, IPX/SPX). Il permet aussi la compression.
Le PPP de NT serveur prend en charges les protocoles NetBeui, TCP/IP et IPX/SPX.
Des clients disposant de IPX ainsi que de CSNW (service client pour Netware) peuvent accéder ainsi à des serveurs Netware. Par contre, s'ils ne disposent pas de CSNW ils peuvent toutefois accéder à un serveur Netware à condition que GSNW (service passerelle pour Netware) soit installé sur le serveur RAS. Le serveur RAS fait alors office de passerelle vers un serveur Netware et le client n'a même pas besoin du protocole IPX.
Il est aussi possible de faire de l'agrégat de ligne si le client et le serveur disposent tous les deux du protocole PPP à liaisons multiples (note : le rappel automatique ne peux se faire que sur une seule ligne, donc pas d'agrégat dans ce cas là, sauf si numéris 2 canaux avec un seul numéro d'appel).
Pour se connecter à un serveur RAS qui utilise une version antérieure de windows (NT 3.1..) il faut obligatoirement utiliser NetBeui sur PPP.
Le serveur RAS de NT 4.0 (256 entrées sur serveur, 1 sur
station) peut dans certains cas jouer un rôle de passerelle. En effet, si le client
utilise NetBeui, et que le serveur utilise NetBeui + TCP/IP et/ou IPX/SPX, le client peut
accèder à des ressources TCP/IP juste avec NetBeui.
Il peut bien sûr aussi jouer le role de routeur IP et/ou IPX et même connecter
des réseaux de topologie différente (Ethernet/Token Ring). Avec la passerelle IPX/SPX il
peut aussi jouer le rôle d'agent SAP (service explorateur version Netware)
Pour se connecter au serveur RAS, l'utilisateur doit posséder un compte NT valide ainsi que l'autorisation d'appel entrant du RAS (se donne avec le gestionnaire des utilisateurs pour les domaines ou dans l'administration du RAS). Même l'administrateur n'a pas cette permission par défaut.
Il est possible d'augmenter la sécurité en utilisant la notion de rappel, après identification, le serveur RAS rapelle le client au numéro prédéfini ou au numéro donné par l'utilisateur lors de l'ouverture de session RAS (il n'est pas possible d'utiliser le rappel pour faire un agrégat de lignes).
Il est possible d'indiquer au serveur RAS, que seules ses ressources sont visibles par le client que que l'accès au reste du réseau est interdit. Il est même possible de limiter l'accès au réseau protocole par protocole.
Si l'on utilise TCP/IP le serveur RAS peut se comporter comme serveur DHCP pour les clients RAS, a ce moment là, il faut réserver une plage d'adresse IP correspondant aux nombres maximum de clients simultanés (max 256). Il faut compter une adresse IP supplémentaire (statique) pour le serveur.
L'observateur d'évènement et un premier indice dans le
cas ou le RAS ne fonctionne pas, mais il est aussi possible d'activer des traces (ppp.log)
de ce qu'il ce passe en mettant 1 dans la clef suivante du registre
HKLM\System\Services\RasMan\PPP\Loggin.
Pour avoir le fichier device.log HKLM\System\Services\RasMan\Parameters\Loggin.
Les fichiers à connaitre sont :
device.log : Chaînes hexa échangée par les modems
modem.inf : liste des modems supportés + pilotes génériques
switch.inf : Configuration des PAD (X25..)
Pour communiquer avec les réseaux Netware, il faut installer le protocole NWLink. Ce protocole permet aussi au client Netware d'accèder à Windows NT Serveur.
La configuration de NWLink impose un choix de type de
trames, si l'on est dans le mode par défaut, ce protocole fait une auto-détection du
type de trame. Si plusieurs types de trames sont détectés outre le type 802.2 NWLink
choisira par défaut 802.2
De ce fait, pour configurer plusieurs type de trames, il faut ajouter les autres
trames dans le registre
(HKLM\CurrentControlSet\Services\Ipx\NetConfig\<NomCarteRéseau> et modifier la
valeur PKType).
Pour vérifier le type de trame circulant sur le réseau, utiliser l'outil ipxroute
config à partir du client MS sur lequel NWLink a été installé.
Il existe plusieurs outils/services pour interconnecter les réseaux Netware et NT
| NWLink Version NDIS du protocole IPX/SPX | Nécessaire pour communiquer entre les ordinateurs sous MS et ceux sous NetWare. Permet la prise en charge d'applications C/S pour les applications IPX |
| SCNW : Service Client pour NetWare CSNW : Client Service NetWare |
Pour des clients MS désirants se connecter aux ressources
de fichiers et d'impression NetWare (en Bindery ou NDS) fournit une couche NCP (version NetWare de SMB) Installable sur NT Station et NT Serveur |
| SPNW : service passerelle pour NetWare GSNW : Gateway Service NetWare |
Ce service comprend SCNW. Il permet à tous type de
clients pur MS (sans NWLink) d'accéder à des ressources NetWare via la passerelle. Installable sur NT Serveur uniquement |
| FINW : Services de fichiers et d'impression compatible NetWare (en option) | Permet à des clients NetWare d'accèder à des ressources sur un serveur NT. En fait NCP est installé sur le serveur NT et il est donc vu par les clients comme un serveur NetWare 3.12, donc en Bindery |
| DSMN : Service de gestion centralisée d'annuaire NetWare | Permet de fusionner/synchroniser les bases de comptes NT et Novell, cela permet a chaque utilisateur de s'identifier une seule fois pour accéder aux 2 environnements. |
Pour installer le service passerelle sur un NT serveur, il
est nécessaire de créer un compte utilisateur (avec les permissions désirées) dans le
réseau NetWare et d'ajouter ce compte dans le groupe NTGATEWAY (de NetWare, le créer si
nécessaire).
Attention : Ce n'est pas parce que le service passerelle est
installé sur un serveur NT que les clients du serveur accèdent à toutes les ressources
NetWare. Il faut les ajouter une à une sur le serveur et donner les autorisations
Attention : SCNW installe automatiquement NWLink mais NWLink ne fait pas partie de SCNW. SCNW installe NCP.
Un client MS utilisant NWLink + SCNW ou SPNW peut administrer des serveurs NetWare à l'aide des outils Syscon, RConsole et PConsole.
Il existe un outil de migration NetWare vers NT qui se nomme nwconv.exe. Il répercute sur NT la base de comptes, les volumes, les dossiers... et effectue des essais de migration. La boite de dialogue des options par défaut est la suivante :
| Plate-forme | Eléments installés | Peut se connecter à |
|---|---|---|
| Client NetWare | NetBios/IPX + cannaux nommés ou windows sockets |
NT avec NWLink et applications C/S IPX |
| Ordinateur NT | NWLink | applications C/S sur serveur NetWare |
| Ordinateur NT | NWLink + IPX + SCNW | Serveur Netware pour ressources partagées (fichiers et impression) |
| Client NetWare | IPX | Serveur NT avec FINW pour ressources partagées (fichiers et impression) |
| Client MS Client RAS |
Protocole comptatible avec celui d'un serveur réseau NT (qui doit avoir NWLink + SPNW) | Serveur Netware pour ressources partagées (fichiers et
impression) Outils d'admin de Netware (syscon...) |
Pour mettre en place la duplication de répertoire, il faut définir un ordinateur d'exportation (NT Serveur) et un ou plusieurs ordinateurs d'importation (NT Serveur, NT Station, Lan Manager)
Le répertoire exporté est %systemroot%\repl\export\ et il est importé dans le dossier %systemroot%\repl\import\
Attention : les fichiers à la racine de %systemroot%\repl\export\ ne sont pas exportés, il faut absolument les mettre dans des sous répertoires
Attention : pour que le service de réplication fonctionne, il faut créer un compte utilisateur et le mettre dans le groupe duplicateurs et opérateur de sauvegarde puis indiquer au service réplication qu'il faut être exécuter avec ce compte. Ensuite il faut démarrer le service réplication puis configurer les ordinateurs d'importation.
Le nom de fichier Diagnostic Windows NT et winmsd, il permet d'imprimer des rapports à distance mais il fonctionne en lecture seule.
L'observateur d'évènement est aussi une source d'information indispensable. Cinq type d'évènements y sont visibles :
| Erreur | Problèmes importants (ex un service non démmaré) |
| Avertissement | Rien de grave pour l'instant, mais à surveiller. |
| Information | Evènements peut fréquents mais importants |
| Audit des succès | Accès de sécurité réussies |
| Audit des échecs | Tentatives d'accès de sécurité échouées |
Il est possible d'arrêter automatiquement le système lorsque le journal de sécurité est plein. Ceci ce fait à l'aide de la clef CrashOnAuditFail
L'outil pour analyser ce qu'il ce passe est l'analyseur de
performance. Les quatre objets essentiels à surveiller sont :
Le processeur
Les disques
La mémoire
le réseau
Pour pouvoir analyser les compteurs de disque, il faut
d'abord les activer à l'aide de la commande diskperf.
Les switches à connaitre sont :
diskperf /y (active les compteurs au prochain boot) Un agrégat est vu comme un
seul disque
diskperf /ye (active les compteurs individuellement pour chaque disque physique au
prochain boot)
Copyright © 2000 HALLARD Charles-Henri.
Retour sur ma page des certifications