Configuration & administration d'un win serveur 2008 R2

Softs & Apps
1

Salut à tous !

Je viens de finir de monter mon nouveau serveur (voir ici), et j’ai installé un win server 2008 tout frais et tout officiel dessus :slight_smile:

J’ai commencé à regarder pour configurer tout ca, et c’est vraiment tres riche. On sent que c’est du serieux. Pour l’instant, je fais un peu le tour du proprietaire et on est assez guidé.

Mais voila, vu que je connais pas cet OS, et que visiblement, ca a pas mal évolué, j’aimerai faire les choses bien et comprendre comment ca marche. Donc est-ce que vous auriez des liens vers des sites qui explique comment configurer un win serveur 2008 pour un usage particulier ? Les types de rôles à déclarer, les features associées, si un workgroup est suffisant et les limitations qui vont avec ou s’il faut obligatoirement passer sur un domaine.

Bref, les bonnes pratiques quoi :slight_smile:

Mes utilisations :

→ NAS (fonction principale), avec un acces par deux postes sous XP et 7, ainsi qu’un accès par différent lecteur (xbox, xtreamer …) + wifi.

J’aimerai sécuriser tout ca comme il faut (sur ma debian, j’utilisais samba avec un control sur l’ip + l’utilisateur pour autoriser l’accès aux partages, en plus des protections sur le wifi).

Autres questions, Peut-on mettre en place des partages plus avancés qu’un partage de répertoire ? Je pense notamment à l’agrégation de répertoire dans un seul (genre, un partage « Film » qui regroupe deux repertoires sur deux disques differents par ex) ?
J’ai l’impression que oui, car le role « File server » propose beaucoup de feature très différente, mais je suis un peu perdu dans les differents types.

→ accès distant :
La ca a l’air simple. Faut juste que je regarde les paramétrés dans le firewall intégré. A priori, c’est via terminal server, ce qui me convient. Est-ce qu’il y a d’autres moyens plus pratique d’acces à connaitre ? J’aimerai eviter d’installer un VNC si TS marche bien.

Comment bien securiser cette acces ? A quoi faut il faire attention ?

→ proxy / rebond http :

J’utilise regulierement du tunneling http pour acceder à des sites en rebondissant depuis chez moi. Je trouve ca tres pratique, car ca permet de surfer penard, ou que l’on soit.
Pour cela, je me connect sur ma debian en ssh depuis l’exterieur, je declare un proxy sock4 dans putty, et je configure mon navigateur pour passer par ce proxy.
J’aimerai reconduire ce mode de fonctionnement sous win serveur (vu que je vais arreter ma debian à court terme :slight_smile: ).
Mais avant d’installer un sshd sous windows, il y a peut etre des moyens plus intelligent de le faire ? est-ce qu’il y a des outils de base de tunneling sous windows ? Ou est-ce qu’il faut que j’installe forcement un sshd (open ssh et autre) ?

→ Utilisateurs :

Comment se connecter aux serveurs ? J’imagine que l’utilisation du compte admin, comme le compte root sous linux, est à proscrire ? Faut il donner les droits admin à mon profil de connexion ? Comment securisé tout ca mais conserver une bonne facilité d’utilisation ?

Voila, je sais que l’administration d’un serveur ne s’improvise pas, c’est pour ca que je demande des conseils et des liens pour apprendre :slight_smile:

J’aurai surement d’autres questions, mais c’est deja un bon debut :slight_smile:

Merci par avance !

2

Le conseil principal c’est de pas essayer de faire de l’unix sur du windows, c’est une recette a emmerdes. Il y a des trucs qui seront pas aussi faciles a faire et d’autre plus faciles a faire, mais VNC/SSHD = out.

3

c’est effectivement ce que je pensais. Mais du coup, comment faire pour remettre en place mon histoire de tunneling ? Est-ce qu’il existe d’autre solution ? Monter un proxy chez moi sous windows ?

4

Hello, bon je peux peut-être t’aider.

NAS

Pour le coté NAS tu peux mettre le rôle de « File Server » sur ta machine.
Par contre les partages se font toujours en terme de « partages de répertoires ». Autant la gestion des droits est souple, autant l’aggrégation (<- ce mot existe?) dont tu parles n’est pas nativement possible.

Accès distant
Pour l’accès distant, le Remote Desktop marche très bien, mais au niveau de la sécurisation du serveur, là je sècherai.
Via Remote Desktop (le nouveau nom de Terminal Server) tu peux attaquer directement le bureau de ton serveur et/ou une application. Sauf que Remote Desktop a besoin de licence utilisateur pour fonctionner. Après une période de grâce de 120 jours, tu ne pourras connecter que 2 utilisateurs concurrents.
Qui plus est au niveau de la bande passante et de la consommation d’une session Remote Desktop, j’ai aucune idée de ce que cela représenterait.

Utilisateurs

Tu peux conserver sur ton serveur des utilisateurs « locaux » sans que tu sois obligé de mettre ton serveur comme « contrôleur de domaine ». Un DC, ce serait trop « gros ».
D’après ce que je comprends de ton architecture, tu aurais n PC devant se connecter au serveur.
Pour tout le petit monde qui est sous Windows, lorsqu’ils essaient d’accéder à une ressource (partage, imprimante) du serveur, ils s’identifient avec le nom des utilisateurs que tu as créé.

Tunneling
Aucune idée mais si tu trouves, je suis plus qu’intéressé.

5

J’en sais rien je pige pas super l’interet, mais il y a des solutions pour faire du VPN/autre.

6

Mes utilisations :

→ NAS (fonction principale), avec un acces par deux postes sous XP et 7, ainsi qu’un accès par différent lecteur (xbox, xtreamer …) + wifi.

J’aimerai sécuriser tout ca comme il faut (sur ma debian, j’utilisais samba avec un control sur l’ip + l’utilisateur pour autoriser l’accès aux partages, en plus des protections sur le wifi).

De base, je commencerais avec un HDD ou dossier en partage total (oui, oui, accès total) sur lequel tu mets l’intégralité des fichiers que tu veux partager. Ensuite pour sécurier l’accès tu joues avec les permissions NTFS (tu enlèves toutes les autorisations et tu refais à la main les accès voulus).

Autres questions, Peut-on mettre en place des partages plus avancés qu’un partage de répertoire ? Je pense notamment à l’agrégation de répertoire dans un seul (genre, un partage « Film » qui regroupe deux repertoires sur deux disques differents par ex) ?
J’ai l’impression que oui, car le role « File server » propose beaucoup de feature très différente, mais je suis un peu perdu dans les differents types.

L’agrégation est possible : regrouper plusieurs dossiers sur des HDD différents (ou non) dans un seul dossier. Il s’agit du partage DFS.

→ accès distant :
La ca a l’air simple. Faut juste que je regarde les paramétrés dans le firewall intégré. A priori, c’est via terminal server, ce qui me convient. Est-ce qu’il y a d’autres moyens plus pratique d’acces à connaitre ? J’aimerai eviter d’installer un VNC si TS marche bien.

Remote Desktop de base pour te connecter à ton serveur à partir d’un OS Windows avec le Bureau à distance (ou Remina sour linux). Le rôle terminal services / remote apps pour exécuter des applis installées sur le serveur sur tes PC locaux sans les y installer.
Ca ne prend que très peu de bande passante.

Comment bien securiser cette acces ? A quoi faut il faire attention ?


Mot de passé sécurisé (si ça existe…), et choisir à la main le(s) compte(s) autorisés. Virer le compte administrateur (qui est aussi connu que le root) et peut-être changer le port (j’imagine que c’est possible, mais pas certain).

→ proxy / rebond http :

J’utilise regulierement du tunneling http pour acceder à des sites en rebondissant depuis chez moi. Je trouve ca tres pratique, car ca permet de surfer penard, ou que l’on soit.
Pour cela, je me connect sur ma debian en ssh depuis l’exterieur, je declare un proxy sock4 dans putty, et je configure mon navigateur pour passer par ce proxy.
J’aimerai reconduire ce mode de fonctionnement sous win serveur (vu que je vais arreter ma debian à court terme :slight_smile: ).
Mais avant d’installer un sshd sous windows, il y a peut etre des moyens plus intelligent de le faire ? est-ce qu’il y a des outils de base de tunneling sous windows ? Ou est-ce qu’il faut que j’installe forcement un sshd (open ssh et autre) ?

Un VPN pptp mais c’est dégueulasse. :smiley: Il y a peut-être d’autres solutions…

→ Utilisateurs :

Comment se connecter aux serveurs ? J’imagine que l’utilisation du compte admin, comme le compte root sous linux, est à proscrire ? Faut il donner les droits admin à mon profil de connexion ? Comment securisé tout ca mais conserver une bonne facilité d’utilisation ?

[b]Créer des groupes avec des droits et des utlisateurs dans ces groupes-là. Quant à l’utilisateur admin, j’imagine que tu peux le virer… mais sans être mauvaise langue : c’est du Windows alors ne joue pas trop avec ces droits d’origine. :smiley:

Et surtout… lis tes email ! :smiley:
[/b]

Voila, je sais que l’administration d’un serveur ne s’improvise pas, c’est pour ca que je demande des conseils et des liens pour apprendre :slight_smile:

J’aurai surement d’autres questions, mais c’est deja un bon debut :slight_smile:

7

→ NAS : ca existe plus DFS? bim une tite googlisation. :slight_smile:

8

Hop, un petit retour sur mon installation :

Alors deja, mon installation marche bien :slight_smile: j’ai encore un peu de mal a piger comment se configure facilement les droits sur les fichiers. La j’utilise l’onglet securité sur les repertoires, mais c’est vite le bordel je trouve entre les droits hérités du répertoire du dessus tout ca.

Je pense que ca doit pouvoir être géré plus simplement avec les politiques de sécurité, mais j’ai pas encore trop regardé ca.

Pour la partie NAS, j’ai pas réussi a faire fonctionné le partage NFS, il me demande absolument un contrôleur de domaine UNIX que je n’ai pas, donc impossible de faire authentifier mes machines :frowning: Du coup, je me suis rabattu sur le bon vieux partage SMB, mais c’est dommage, c’est moins performant non ?

Je n’ai pas creuser non plus la partie DFS encore (manque de temps, need des journées de 32h …), ni l�??agrégation de répertoire.

Quant à mes histoire de tunneling, j’ai rien trouvé d�??intéressant sous windows, du coup, j’ai fini par reinstaller un serveur SSH (openSSH sous cygwin) sur mon 2008, c’est la seule solution que j’ai trouvée pour faire ca.

Pour la partie RAID, j’ai une question toute bete : comment je surveille les données SMART des disques de mon raid ? J’utilise le RAID 1 de ma carte mere, du coup windows ne voit pas les disques, et donc pas les données SMART. Comment je sais si un disque claque, ou si faut que je m�??inquiète ? Est-ce qu’il aurait mieux valu utiliser le RAID de windows ?

Voila, j’avance doucement, mais c’est tres interessant tout ca ^^

9

Non.

Smart ca sert a rien, quand ce te file des infos, c’est trop tard. Dans les gros datacenter avec des milliers et des milliers de disques, ils ont demontre par A+B que SMART avait une benefice que tres marginal. Sinon les utilitaires livres avec ta carte mere te laissent voir les infos SMART (moi c’est un utilitaire intel).

10

ha ? tant mieux alors :slight_smile: j’etais sur que c’etait moins efficace. Bon bin je m’emmerde pas et je reste comme ca alors.

ok, je vais checker ca. merci !

11

Rah cette habitude de changer de port m’exaspère au plus haut point, si t’es a jour et avec un mot de passe correct, c’est pas utile.
Je pense que l’exaspération vient du fait que j’ai vu beaucoup de gens mettre des mots de passe basique parce que « oh ben c’est bon, j’ai change de port »

Par contre, j’en profite: est ce qu’il existe un équivalent sous windows a fail2ban sous linux, qui permet de mettre une règle automatique quand une même IP essaye trop souvent de se connecter sur un port?

PPTP est deprecated parce que « insecure by design », c’est clairement pas recommande.
OpenVPN fonctionne aussi bien sous linux que sous windows, c’est une solution simple qui évite d’avoir a partir dans ipsec et kerberos…

Bon glop a pas tort mais il va pas trop dans le detail: par expérience, les protocoles sont differents et NFS se comportement mieux (a mon sens) dans un environnement reseau degradé (typiquement passage en half duplex). SMB fonctionne en aller-retour (il envoie un paquet, et attends OK du receveur, et ainsi de suite) alors que NFS dialogue pas mal avant, envoie tout le fichier d’un coup, et dialogue après. C’est beaucoup plus efficace en half duplex, mais sur les reseaux actuels, ca se voit pas vraiment.

Sinon pour le raid, j’ai un ICH8H intel en mode raid et l’outil ne me propose pas les température des disque (le seul truc SMART vraiment utile a mon avis), des idées pour récupérer l’info? Je suis en win7pro et j’utilise l’outil de gestion raid standard intel.

LoneWolf
Meme en changeant de port, tu ne devient pas plus fort!