📘 Module Académique : Administration et Sécurisation des Infrastructures Systèmes Windows Server

Mapping Explicite

• Carte d'identité nationale → Compte Active Directory (utilisateur, ordinateur)
• Mairie centrale / État civil → Contrôleur de domaine (DC) et base de données NTDS.dit
• Passeport pour les quartiers étrangers → Relation d'approbation (Trust) entre domaines ou forêts
• Plan cadastral et adressage des rues → DNS : zones, enregistrements A, CNAME, SRV
• Agence de location de véhicules → Serveur DHCP (attribution temporaire d'adresses IP)
• Garde nationale / Système d'alarme → Pare-feu Windows, stratégies d'audit, AppLocker
• Archives centrales (consultables uniquement par les gardiens) → Stratégies de groupe (GPO) et magasin central ADMX
• Coffre-fort scellé pour documents secrets → Chiffrement EFS, certificats, PKI
• Commissariat de quartier (réplique de l'état civil) → Contrôleur de domaine en lecture seule (RODC)
• Catalogue des citoyens inter-quartiers → Catalogue global (GC)
• Routes et autoroutes avec limitations de vitesse → Sites AD, liens de site, planification de réplication
• Notaire certifiant les documents officiels → Autorité de certification (CA) et certificats numériques
• Gestionnaire des stocks des entrepôts → DFS (espace de noms) et FSRM (quotas, filtres)
• Horloge universelle de la cité → PDC Emulator, synchronisation horaire Kerberos
• Système de sauvegarde des archives → Sauvegarde Windows Server, clichés instantanés, Azure Backup

Interaction clé : Un citoyen (utilisateur) se rend à la mairie (DC) pour obtenir sa carte d'identité (création de compte). Pour se déplacer dans un quartier éloigné (autre sous-réseau), il utilise le plan cadastral (DNS). S'il veut un véhicule, il va à l'agence de location (DHCP). Toute tentative d'entrée non autorisée dans une zone sensible (serveur de fichiers) déclenche la garde nationale (audit, pare-feu). Les règles de circulation sont définies par les GPO (lois locales).

L'infrastructure Windows Server est un écosystème autorégulé où chaque composant remplit un rôle vital. Sa stabilité repose sur trois piliers : l'identité (Active Directory), la connectivité (DNS/DHCP) et la gouvernance (GPO).

Composants organiques et rôles vitaux

• Cerveau (Contrôleurs de domaine) : Stocke et réplique l'annuaire (identités, politiques). Le PDC Emulator fait office d'horloge maîtresse.
• Système nerveux (DNS) : Permet de localiser tous les organes (serveurs, services). Sans lui, le cerveau ne peut communiquer.
• Système circulatoire (DHCP) : Distribue automatiquement les adresses IP, assurant la connectivité des membres du réseau.
• Système immunitaire (GPO, Pare-feu, Audit) : Définit les règles, empêche les intrusions, surveille les comportements anormaux.
• Mémoire à long terme (Sauvegarde, DFS, FSRM) : Protège les données, assure leur disponibilité et optimise le stockage.

Points de défaillance critiques et cascade

• Perte de tous les contrôleurs de domaine → plus d'authentification possible.
• Indisponibilité du DNS → impossibilité de joindre les services et les DC.
• Corruption du SYSVOL → plus d'application des GPO.
• Cascade : Un problème DNS empêche la localisation du DC, ce qui bloque l'authentification, rendant inaccessibles les ressources partagées.

Rôle métier/technique

Fournir une infrastructure de gestion centralisée, sécurisée et résiliente pour les identités (utilisateurs, ordinateurs, services), les ressources (fichiers, imprimantes) et les politiques de sécurité. C'est le socle sur lequel repose l'ensemble du Système d'Information (SI) de l'entreprise.

Positionnement dans les modèles de référence

• Modèle OSI : Active Directory s'appuie sur LDAP (couche 7), Kerberos (couche 7) et DNS (couche 7). DHCP (couche 7) distribue les configurations IP.
• TCP/IP : L'ensemble des services repose sur TCP/IP, avec des ports spécifiques (389 LDAP, 88 Kerberos, 53 DNS, 67/68 DHCP).
• Zero Trust : AD DS est un pilier central. Associé à AD CS, AD FS et les GPO, il permet de mettre en œuvre la vérification explicite et l'accès au moindre privilège.

Principes philosophiques directeurs

• Moindre privilège (Least Privilege) : Les utilisateurs et services n'ont que les droits strictement nécessaires.
• Fail-secure : En cas de défaillance d'un mécanisme de sécurité, le système doit refuser l'accès plutôt que de l'accorder.
• Séparation des responsabilités : Délégation de l'administration via les OU et les groupes de sécurité.
• Résilience par la redondance : Multiplicité des contrôleurs de domaine, des serveurs DNS/DHCP, et technologies comme DFS ou basculement DHCP.

A. Authentification Kerberos

Fonctionnement nominal : L'utilisateur saisit son mot de passe. Le client envoie une requête AS-REQ au KDC (contrôleur de domaine). Le KDC vérifie l'identité et génère un TGT chiffré. Pour accéder à un service, le client présente le TGT et reçoit un ticket de service (ST) chiffré avec la clé du service cible. Le service déchiffre le ST et accorde l'accès.

Conditions de validité : Horloge synchronisée (tolérance 5 minutes), compte actif et non verrouillé, enregistrement SRV _kerberos._tcp dans le DNS.

B. Réplication Active Directory (Multimaster)

Fonctionnement nominal : Une modification est effectuée sur un DC. Le DC incrémente le numéro de version (USN) de l'objet. Le KCC (Knowledge Consistency Checker) calcule automatiquement une topologie de réplication. Le DC source envoie une notification à ses partenaires. Le DC destinataire demande les modifications via RPC. Les données sont transférées et appliquées.

Limites et cas frontières : En cas de conflit (même attribut modifié simultanément sur deux DC), le mécanisme s'appuie sur l'USN (numéro de version le plus élevé) et, en dernier recours, sur l'identifiant unique (GUID).

Service DNS

• Objectif : Résoudre les FQDN en adresses IP (A/AAAA), et inversement (PTR). Essentiel pour localiser les contrôleurs de domaine (enregistrements SRV).
• Enregistrements critiques : A/AAAA (hôte), CNAME (alias), MX (messagerie), SRV (service), SOA (autorité de zone), NS (serveurs de noms).
• Commandes : ipconfig /displaydns, ipconfig /flushdns, ipconfig /registerdns, dnscmd /config /CacheLockingPercent 60.
• Erreur classique : Configurer un serveur DNS secondaire sans avoir créé de zone secondaire → pas de résilience.

Service DHCP

• Objectif : Attribuer dynamiquement des configurations IP (adresse, masque, passerelle, DNS).
• Séquence DORA : Discover → Offer → Request → ACK.
• Bail (Lease) : Durée de validité (8 jours par défaut). Renouvellement à 50%.
• Basculement : Deux serveurs en mode « équilibrage de charge » ou « secours » avec secret partagé.
• Piège classique : Autoriser un serveur DHCP dans AD est obligatoire pour un serveur membre, sans quoi il ne distribue pas d'adresses.

Stratégies de groupe (GPO)

• Objectif : Centraliser la configuration des utilisateurs et ordinateurs.
• Stockage : Conteneur GPO (AD) + Modèle GPO (SYSVOL). Réplication via DFS-R.
• Ordre d'application (LSDOU) : Local → Site → Domaine → Unité d'organisation.
• Commandes : gpupdate /force, gpresult /R, rsop.msc.
• Magasin central : \\domaine\SYSVOL\domaine\Policies\PolicyDefinitions centralisant les fichiers ADMX/ADML.

Penser en chaînes causales

Scénario : Un utilisateur ne peut pas se connecter au domaine.

1. Vérifier l'évidence : Câble réseau branché ? IP via ipconfig ?
2. Problème DHCP : IP 169.254.x.x (APIPA) → Vérifier service DHCP, étendue, basculement.
3. Problème DNS : nslookup domaine.priv échoue → Vérifier serveurs DNS configurés, zones, enregistrements SRV.
4. Problème d'authentification : Vérifier état du compte, heure, DC accessibles (nltest /dsgetdc:domaine).

Diagnostiquer par hypothèses réfutables

• Hypothèse : « Le client ne trouve pas le contrôleur de domaine. »
  Test : nslookup -type=SRV _kerberos._tcp.domaine.priv. Aucune réponse → hypothèse validée.
• Hypothèse : « Le mot de passe du compte ordinateur est désynchronisé. »
  Test : Réinitialiser le canal sécurisé via AD ou netdom resetpwd.

Lire les signaux faibles

• ID Événement 5783 (NETLOGON) : Indique qu'un client n'a pas pu contacter un DC. Récurrence annonce une indisponibilité.
• ID Événement 4013 (DNS) : Indique que le serveur DNS n'a pas encore chargé les zones AD. Récurrence signale un problème de disponibilité AD DS.
• Logs WindowsUpdate.log : Mises à jour en attente prolongée → problème WSUS ou espace disque.

Lois invariantes du domaine

Équations mentales

Checklist cognitive pour opérations critiques

• Avant de promouvoir un DC : Vérifier résolution DNS (nslookup), synchronisation horaire, existence des prérequis AD prep.
• Avant de modifier une GPO liée : Créer un groupe de sécurité de test, filtrer la GPO, valider, puis élargir.
• Avant d'arrêter un service (DNS, DHCP, AD DS) : Vérifier la redondance, anticiper l'impact, planifier une fenêtre de maintenance.

Retour à l'analogie centrale

Concepts adjacents indispensables

• Azure AD Connect : Pont entre Active Directory local et Azure AD, permettant l'authentification unique (SSO) et la synchronisation des identités vers le cloud.
• AD RMS / Azure Information Protection : Extension de la sécurité au contenu des documents eux-mêmes, empêchant la copie, l'impression ou le transfert même en dehors du périmètre réseau.
• PowerShell DSC (Desired State Configuration) : Configuration déclarative de l'infrastructure, permettant reproductibilité et intégration DevOps.

Perspective vendor-neutral

• Cisco : Interopère avec AD via RADIUS (802.1X) et DHCP via DHCP Snooping.
• Open Source (Samba 4) : Peut remplacer un contrôleur de domaine AD, mais la gestion des GPO et fonctionnalités avancées est moins mature.

Évolution future et tendances

• Cloud-Native : Migration des services (DNS, DHCP) vers des solutions managées (Azure DNS, Azure Firewall).
• Modern Authentication : Kerberos progressivement remplacé par OAuth 2.0 et OpenID Connect.
• Sécurité Zero Trust : Modèle « Network Perimeter » disparaît au profit de politiques d'accès conditionnel et micro-segmentation.