BTS SIO Services Informatiques aux Organisations Option SISR Session Ali SELLAM 2013 Activité professionnelle N° 7 NATURE DE L'ACTIVITE Contexte Mise en place d’un serveur d’application TSE La maison des ligues disposant de peu de moyens, possède un réseau un serveur Windows 2003 Server et des postes clients limités en ressource. Et l’administrateur est obligé de ce déplacé dans la salle server chaque fois pour l’administrer donc aimerait pourvoir accéder au server depuis un poste client. Objectifs Administrer et gérer un serveur depuis un poste client sous Windows terminal Server. Permettre aux utilisateurs d’accéder aux applications du serveur Lieu de réalisation Centre de formation SOLUTIONS ENVISAGEABLES Service Terminal serveur Conditions initiales Conditions finales DESCRIPTION DE LA SOLUTION RETENUE - l’administration du serveur à distance est impossible. - Les utilisateurs ne peuvent pas travailler sur un fichier commun. - L’administration du serveur est possible à partir d’un poste client. - Prise de contrôle à distance d’un poste client. - Les utilisateurs peuvent travailler sur un fichier commun. Outils utilisés Service Terminal Server CONDITIONS DE REALISATION Matériels Système d’exploitation Durée Contraintes 1 serveur Windows 2003 et 1 PC client Windows server 2003 et Windows XP Pro sp1 1 heure Les services DNS, DHCP et Active Directory doivent être configurés. COMPETENCES MISES EN OEUVRE POUR CETTE ACTIVITE PROFESSIONNELLE A1.1.1 Analyse du cahier des charges d’un service à produire A1.1.2 Etude de l’impact de l’intégration d’un service sur le système informatique A1.1.3 Etudes des exigences liées à la qualité attendue d’un service A1.2.2 Rédactions des spécifications techniques de la solution retenue A1.2.4 Détermination des tests nécessaires à la validation d’un service Définition des niveaux d’habilitation associés à un service Test d'intégration et d'acceptation d'un service Déploiement d’un service Participation à un projet Proposition d’amélioration d‘un service Proposition d’une solution d’infrastructure Maquettage et prototypage d’une solution d’infrastructure Prise en compte du niveau de sécurité nécessaire à une infrastructure Installation et configuration d’éléments d’infrastructure Remplacement ou mise à jour d’éléments défectueux ou obsolètes Administration sur site ou à distance des éléments d’un réseau, de serveurs Gestion des identités et des habilitations Automatisation des tâches d’administration Gestion des indicateurs et des fichiers d’activités Rédaction d’une documentation technique Repérage des compléments de formation ou auto-formation A1.2.5 A1.3.1 A1.3.4 A1.4.1 A2.3.2 A3.1.1 A3.1.2 A3.1.3 A3.2.1 A3.2.2 A3.3.1 A3.3.3 A3.3.4 A3.3.5 A4.1.9 A5.2.3 DEROULEMENT DE L'ACTIVITE Serveur d’application et connexion à distance : Comme le serveur de fichiers met des fichiers à dispositions d’utilisateurs, le serveur d’applications permet à des utilisateurs connectés en réseau d’accéder à des logiciels applicatifs à partir d’un exemplaire unique situé sur le serveur d’application. Définition : Terminal Services est un composant de Microsoft Windows (dans les versions clientes et serveur) qui permet à un utilisateur d'accéder à des applications et des données sur un ordinateur distant, via n'importe quel type de réseau et à partir de n’importe quel autre ordinateur. I. Fonctionnement : Au démarrage de Windows Serveur 2003, le service TSE (termsrv.exe) démarre et commence à écouter les demandes de connexion par le biais du composant Ecouteur RDP-Tcp. A chaque demande de connexion, le composant Ecouteur RDP-Tcp intercepte la requête, la transmet au Session Manager(SMSS.exe) qui crée et gère les sessions TSE, et se remet en position d’écoute. 1.1. Le Protocol RDP : RDP (Remote Desktop Protocol) est le protocole de communication entre un serveur TSE et un poste de travail distant, il s’appuie sur TCP/IP, ce qui le permet d’être utilisé sur la plupart des réseaux comme d’être encapsulé dans un réseau privé virtuel ou VPN. 1.2. Schéma fonctionnel : 1. Le poste client lance le client RDP appelé RDC (Remote Desktop Connexion) qui vérifie en premier lieu la présence de la DLL de gestion des canaux virtuels. 2. Il envoie une requête sur le port de connexion 1 associé à la carte réseau 1 du serveur. 3. L’Ecouteur RDP-Tcp prend en charge la requête, la transmet au gestionnaire de session SMSS, et retourne écouter les ports de connexion. 4. Session Manager vérifie les capacités de cryptage du poste client avant de définir le niveau de cryptage des futures communications, et fait l’inventaire des canaux virtuels à établir. Il invoque alors le service Win logon qui permet à l’utilisateur de rentrer ses identifiants, nom d’utilisateur et mot de passe. 5. Le contrôle d’authentification est effectué avec le contrôleur de domaine (Active Directory ou autre). 6. Le contrôleur de licence est effectué avec le serveur de licences CALs TSE. 7. Si tout est conforme, la session de l’utilisateur est créée, les scripts d’ouverture de session sont exécutés, et son bureau virtuel est monté. 8. L’utilisateur travaille désormais directement en relation avec les services terminaux et le système Windows 2003 Server. II. Installation et gestion du service terminal serveur 2.1. Sur le serveur 2003 : Aller vers Panneau de Configuration puis Ajout/Suppression de Programmes "Ajout/Suppression de composants Windows ". Ensuite, Dans la liste, cocher la case Terminal Server, puis suivant (CD d’installation nécessaire). Après, le redémarrage est nécessaire pour l’installation des services. 2.2. A partir du poste client : Clic droit sur «Poste de travail» propriétés, puis sélectionner l’onglet «Utilisation à distance» et cocher les 2 cases et pour finir appliquer les modifications. Ensuite, la connexion s’effectue grâce à la connexion du bureau à distance. Aller dans Démarrer, tous les programmes, accessoires, communication, bureau à distance. Il suffit alors de renseigner l’adresse IP du serveur avec le nom d’utilisateur avec son mot de passe. Pour le moment, seul l’administrateur peut se connecter en Terminal Server (il est enregistré dans le groupe de bureau à distance). Configuration : Par défaut, seuls les membres des groupes administrateurs et utilisateurs de bureau à distance peuvent ouvrir une session sur un terminal server. Donc on peut accéder au server depuis un poste client afin d’administrer à distance le server. Pour cela il suffit de lancer l’accès au bureau à distance sur XP, renseigner le nom du server puis se connecter en tant administrateur et voilà on a la main sur le Server. Par de mesure de sécurité, pour les autres utilisateurs, on crée une unité d’organisation dans laquelle on insère un groupe avec des utilisateurs, puis on ajoute une stratégie de groupe pour limiter les droits des utilisateurs, dans les accès au serveur en TSE. L’unité d’organisation en question sera nommée TSE-Stratégies dans laquelle on crée une sous unité d’organisation Open Office qui contiendra le groupe TSE-Handball dont les membres sont Ali et Christophe. Nous appliquerons une stratégie de groupe afin d’appliqué une sécurité pour empecher l’utilisateur d’avoir tous les droits sur le server d’application. Clique droit sur le groupe « TSE-Handball » aller dans propriété puis stratégie de groupe On editera une nouvelle stratégie qui enlevera certains attributs comme l’accès au panneau de configuration . Nous pouvons par ce biais définir la façon dont notre serveur réagira lorsque des connexions clientes seront établies. Nous pouvons aussi personnaliser l'environnement de chaque utilisateur. Et tout ceci de façon centralisée. Pour ce faire, nous ouvrons la console des stratégies locales (GPEDIT.MSC) et nous développons le nœud Configuration ordinateur => Modèles d'administration =>Composants Windows => Services Terminal Server : III. Configuration des services Terminal Server La configuration des services de Terminal Server s’effectue à partir d’une console, qui se trouve dans : DémarrerOutils d’administrationsConfiguration des services Terminal Server. Dans connexions, il suffit de faire un clic droit, puis propriétés sur RDP-TCP pour avoir accès aux propriétés de connexions de TSE. Dans ces onglets : -Général : pour commenter la connexion et spécifier le niveau de cryptage utilisé. -Paramètres d’ouverture de session : pour spécifier une session qui pourra se connecter au serveur. -Sessions : on peut définir des règles de temps au bout duquel une session active ou inactive est déconnectée ou terminée. -Environnement : Application qui sera ouverte à la connexion de la session Terminal Server si on le désire. -Contrôle à distance : on peut permettre à l’administrateur du serveur de surveiller et interagir avec les sessions actives sur le Terminal Server. -Paramètres du client : permet de modifier l’apparence de la session client (couleurs, sons…) -Carte réseau : on choisit l’interface réseau qu’utilisera Terminal Server ainsi que le nombre de connexions maximal. -Autorisations : on indique les utilisateurs et groupes qui sont autorisés à utiliser Terminal Server. C’est dans l’onglet Autorisations qu’il va falloir ajouter le groupe TSE, pour que les utilisateurs puissent se connecter et utiliser des applications partagées. Dans les paramètres : - Supprimer les dossiers temporaires en quittant : ce paramètre permet de déterminer si l'on souhaite que les dossiers temporaires créés lors de la connexion de soient conservés à la fermeture de la session du client ou non. - Utiliser des dossiers temporaires par session : ce paramètre détermine le fait que chaque utilisateur ouvrant une session utilisera un dossier temporaire différent (plutôt qu'un dossier temporaire commun à tous les utilisateurs). - Licence : ce paramètre définit le type de licences que nous voulons utiliser sur notre serveur Terminal Server. Il en existe deux : les licences par périphériques et les licences par utilisateurs. - Active Desktop : ce paramètre indique si la fonctionnalité Active Desktop doit être activée ou non. - Compatibilité des autorisations : permet de spécifier si nous voulons donner un accès au registre ou à certains répertoires système à certaines applications anciennes. Dans ce cas nous choisirons l'option Sécurité moyenne. Dans d'autres situations où les applications ont été écrites de façon à utiliser les fonctionnalités de Windows Server 2003, nous pouvons conserver l'option Sécurité totale. Dans ce cas, l'accès au registre et à certains dossiers système n'est pas autorisé. Ce paramètre est celui par défaut. - Restreindre chaque utilisateur à une seule session : cette option limite le nombre de sessions ouvertes par chaque utilisateur à une seule. De cette façon, un utilisateur qui aurait simplement déconnecté sa précédente session rouvrira cette dernière. Encore une fois cela permet d'économiser des ressources sur le serveur. 3.1. Installation d’Applications sur l’environnement du TSE : Utiliser l'option Ajout/Suppression de programme dans le Panneau de configuration. Cela passe automatiquement notre serveur en mode installation et le repasse en mode exécution une fois l'installation achevée. (dans notre exemple on va installer l’application Open Office) Après l’installation de l’application, on va paramétrer TSE afin que dès qu’un utilisateur ouvre une session TSE l’application précédemment installer s’exécute ainsi l’utilisateur n’aura accès qu’a l’application ceci est une autre façon de renforcer la sécurité. Pour cela nous allons configurer l’Environnement du TSE dans les Propriétés de RDP-Tcp 3.2. Sur le poste client, connexion sur le serveur TSE : La connexion s’effectue grâce à la connexion du bureau à distance. Aller dans DémarrerTous les programmesAccessoiresCommunicationBureau à distance. Il suffit alors de renseigner l’adresse IP du serveur avec le nom d’utilisateur avec son mot de passe. Ou bien dans le menu démarrer Windows, puis exécuter on tape la commande mstsc. La fenêtre de connexion du bureau à distance apparait et nous apercevons le nom de l’utilisateur crée précédemment Ali. Soit on indique le nom du serveur TSE ou l’adresse IP 172.16.32.250, puis connexion. La fenêtre d’ouverture de session Windows serveur 2003 s’affiche et nous indiquons le nom de l’utilisateur avec son mot de passe. On a alors accès au serveur d’application en mode TSE. Et l’ouverture finale s’effectue automatiquement sur l’application choisie par l’administrateur pour les sessions des utilisateurs des connexions à distance. CONCLUSION L’administration à distance du serveur est désormais possible. Les clients peuvent se connecter au serveur via le Bureau à distance et travailler sur les applications à partir d’un exemplaire unique situé sur le serveur d’application.