Windows ServerWindows Server 2016

Windows Server 2016 : Les basiques avant l’installation d’un rôle

Après avoir installé Windows Server 2016, il y a quelques configurations basiques à effectuer. Depuis Windows Server 2012, il est beaucoup plus simple d’effectuer ces tâches, puisque la plupart sont listés sur le Gestionnaire de Serveur.

Voici un aperçu du Gestionnaire de Serveur :

Voici donc les quelques étapes indispensables ou presque, a exécuter une fois le serveur fraîchement installé.

Voir ou revoir l’article : Windows Server 2016 : Installation

Retrouvez tout le contenu de cet article dans la vidéo ci-dessous

Renommer le serveur

Lorsque vous venez d’installer Windows Server, le programme d’installation a fourni un nom générique, il est impensable de laisser un tel nom sur un serveur en production. Pensez a changer ce nom en respectant la convention de nommage des serveurs déjà existant. Voici un exemple de comment je fonctionne sur mon lab.

Mon nom de domaine est Zerobug

Mes serveurs commencent par ZB et ensuite j’ajoute le rôle. Mon contrôleur de domaine s’appelle alors ZBDC. On peut également ajouter des chiffres si on pense faire plusieurs serveurs : ZBDC01 et ZBDC02 par exemple. Les ordinateurs s’appelleront ZBPC001, ZBPC002… ect. C’est assez libre, mais essayez tout de même de bien réfléchir à la convention de nommage que vous mettrez en place. Il peut être assez compliqué de renommer un serveur une fois qu’il est en prod.

Pour changer le nom de votre serveur, depuis le gestionnaire de serveur, cliquez sur le nom existant du serveur. Lorsque la page Propriétés système apparaît, cliquez sur le bouton Modifier. Entrez un nouveau nom dans la case appropriée et cliquez sur le bouton « OK ». Notez que le changement de nom de serveur nécessite un redémarrage serveur.

Configurer le NIC Teaming

Samuel Monier a fait un excellent article sur le NIC Teaming, si vous avez deux cartes réseau ou plus et que vous n’avez pas besoin de plusieurs adressages IP, alors l’association de carte réseau peut considérablement améliorer vos performances réseau, ou encore permettre une tolérance de panne bien meilleure. Pour activer le NIC Teaming, toujours dans le Gestionnaire de serveur, cliquez sur « Association de cartes réseau ».

Vous pourrez ainsi configurer votre NIC teaming, comme vous le souhaitez. Je n’en dis pas plus, tout est dans l’article de Samuel.

Trunk4

Paramétrer une adresse IP Fixe

Lors de l’installation d’un serveur, il est indispensable de paramétrer la carte réseau en IP Fixe, alors certes, il est aussi possible de fixer l’adresse IP via le serveur DHCP, mais comprenez bien que si votre serveur DHCP tombe, alors il deviendra compliqué de joindre les autres serveurs. Préférez donc assigner une adresse IP statique a chacun de vos serveurs via la configuration de votre carte réseau.

Comment paramétrer une adresse IP Fixe ou Statique ?

On va configurer notre carte en cliquant du bouton droit de la souris sur le « bouton démarrer », puis sélectionner « Connexion Réseau ». Ici cliquez droit sur la carte que vous souhaitez configurer, puis sur Propriétés.

Si vous avez effectuez du Nic Teaming, alors effectuer cette manipulation sur la carte réseau virtuel généré par le Nic Teaming. Cette carte portera le nom de la team créer.

Cliquez ensuite sur « Protocole Internet version 4 (TCP/IPv4) » puis sur Propriétés pour enfin passer à la configuration de notre carte.

WS2012R2-CFG-Reseaux WS2012R2-CFG-Reseaux2

Vous verrez que par défaut, la carte est configurée sur « Obtenir une adresse IP automatiquement« , c’est-à-dire qu’elle essaie de contacter un serveur DHCP pour se faire attribuer une adresse IP. Mais comme expliqué un peu plus haut, un serveur doit avoir une adresse IP fixe. C’est donc ici que vous allez pouvoir attribuer à votre serveur toutes les informations nécessaires a son bon fonctionnement (Adresse IP, Masque, Passerelle et DNS). Ces informations, on ne les invente pas, ce sont celle définie par l’architecte réseau lors de la création du réseau.

En entreprise, il est impératif de tenir à jour un fichier avec toutes les adresses IP fixes déjà attribué et avec le rôle de chaque serveur au bout. Ainsi cela permettra entre autres d’éviter d’attribuer une adresse IP déjà existante.

Une fois les paramètres mis à jour, cliquez sur OK pour les valider. Votre carte est maintenant configurée, vous pouvez effectuer quelques tests de ping (IP & DNS) pour vérifier le bon fonctionnement du réseau.

WS2012R2-CFG-Reseaux3

Rejoindre le domaine

Vous avez maintenant une IP Fixe, si votre serveur fait partie d’un domaine, alors il est maintenant temps de l’ajouter à votre domaine.

Comment rejoindre un domaine ?

Pour ajouter notre serveur sur le domaine, c’est pareil, on peut accéder à l’option qui permet d’intégrer un domaine depuis le Gestionnaire de serveur. On clique simplement sur « Workgroup« , ce qui permettra de tomber directement sur les propriétés système.

Une fois dans les propriétés système, cliquez sur Modifier pour rejoindre le domaine.

Sélectionner « Domaine » et entrer le nom de votre domaine, puis cliquer sur OK.

Pour joindre le domaine, il est nécessaire de connaitre un compte autorisé à cette action. Authentifier vous avec ce compte, puis cliquez sur OK.

Rejoindre-DC-auth

Votre serveur est maintenant dans le domaine. Il ne vous reste plus qu’à redémarrer votre serveur pour finaliser cette action.

Rejoindre-DC-win

Une fois sur le domaine, pensez à déplacer votre serveur dans l’Unité d’Organisation (OU) appropriée. En général on trouve une OU avec tous les serveurs. Si c’est un contrôleur de domaine, alors il viendra se placer dans l’OU « Domain Controllers »

wds-ou

Désactiver l’UAC (User Account Control)

Rien de plus embêtant que d’avoir un avertissement du contrôle de compte utilisateur (UAC) à chaque manipulation… Création de partages, mise en place de droit, installation de tools, il viendra toujours vous faire ch**r ! De plus, l’UAC est plutôt fait pour Mme Michu, mais pas pour un tech ou administrateur système. Bref, je passe toujours par cette étape pour ne pas être embêté par des pop up de sécurité. Dans un domaine, on peut bien sûr mettre en place la désactivation de l’UAC via une GPO.

Comment désactiver l’UAC

Pour désactiver l’UAC, direction le panneau de configuration, pour cela cliquez droit sur le bouton démarrer puis sélectionner « Panneau de configuration« . Ensuite, cliquez sur Comptes d’utilisateurs.

Cliquez ensuite sur « Comptes d’utilisateurs« .

Enfin, cliquez sur « Modifier les paramètres de contrôle du compte d’utilisateur »

Et pour finir, ajuster le curseur au plus bas, pour ne jamais être averti lors de l’installation d’applications ou encore lors de la modification de paramètres Windows.

Vous voilà tranquille pour l’UAC, personnellement, je désactive l’UAC sur toute l’Unité d’Organisation « Serveurs » via une GPO.

Installer et configurer BGInfo

Ce n’est pas indispensable contrairement a la plupart des autres points. Cependant, lorsque l’on gère plusieurs dizaines de serveurs, cela devient presque indispensable. BGInfo permet de rapidement voir sur quel serveur nous nous trouvons lorsque l’on se connecte à distance (ou même quand on est sur une console physique). En plus de retrouver le nom du serveur, on peut faire afficher de multiples informations. (Les possibilités sont presque infinies grâce à l’utilisation de script VB).

Voici un exemple de mon contrôleur de domaine : ZBDC01

Personnellement, je n’affiche pas grand-chose, seulement l’indispensable : Nom du Serveur, Domaine, Adresse IP, Espace disque restant et version de Windows.

Comment fonctionne BGInfo ?

BGInfo est un outil SysInternal, vous pouvez le télécharger directement sur le site de Microsoft. Ensuite c’est assez simple, vous lancer BGInfo, et vous le configurez à votre sauce. Si les informations du serveur changent assez souvent, alors vous pouvez mettre l’application BGInfo dans les applications à lancer au démarrage. Une fois BGInfo exécuté, c’est à vous de faire le tri dans les informations que vous souhaitez ajouter sur le fond d’écran du serveur. Cliquez ensuite sur Apply pour appliquer les changements.

Activer le bureau à distance

Pour administrer vos serveurs, il peut être très utile d’activer le bureau à distance (Remote Desktop). Pour cela, toujours dans la fenêtre « Système » (cliquez droit sur le « bouton démarrer », puis cliquez sur « Système »). Ici, cliquez sur « Paramètres système avancés ».

WS2012-remote-Desktop

Dans l’onglet « Utilisation à distance », sélectionner « Autoriser les connexions à distance à cet ordinateur » puis cliquez sur Sélectionnez des utilisateurs pour affecter des droits.

WS2012-remote-Desktop2

Ici vous pouvez ajouter des utilisateurs ou groupes qui auront le droit d’administrer le serveur à distance à travers le Bureau à distance (mstsc.exe depuis un client Windows).

WS2012-remote-Desktop3

Sachez que vous pouvez également administrer un serveur grâce aux outils RSAT (Voir l’article concerné).

Configurer Windows Update

Afin de garder votre serveur à jour et protégé des éventuelles failles connues de Microsoft (et des Scripts Kiddies) il est primordial de le mettre à jour. Cependant attention, avant de passer les mises à jour, il faut faire bien attention a ce que cela n’engendre aucun problème sur votre serveur ou bien encore sur les applications qui y tourne.

Il est donc préférable de sélectionner l’option « Rechercher les mises à jour, mais me laisser choisir s’il convient de les télécharger et installer » cependant, à l’installation du serveur, en général je passe toutes les mises à jour. C’est seulement une fois que des applications sont installées dessus que je commence à me méfier de celle-ci.

WS2012-update

En entreprise, on passe généralement par un serveur WSUS et une GPO qui permet de configurer automatiquement les paramètres de Windows Update.

Désactiver ou configurer votre le Firewall de Windows Server

Si vous utilisez un firewall matériel, alors vous pouvez peut-être vous passer du Firewall de Windows Server. Cependant, si vous n’êtes pas sûr, il est préférable de le laisser. Il faudra alors le configurer en fonction de l’application ou du rôle qu’occupera votre serveur. Par exemple, pour un serveur SQL, il est conseillé d’ouvrir les ports 1433, 443 ou encore 135. Cependant, reportez-vous toujours aux préconisations de votre application ou du rôle que vous utilisez.

firewall-advanced-security-interface

Sachez également que par défaut, votre serveur ne répondra pas aux requêtes de ping. Personnellement je trouve ça très gênant, et je passe donc toujours cette commande sur un serveur fraîchement installé :

Vous pouvez trouver plus d’informations a ce propos sur cet article.

Installation des fonctionnalités RSAT

Les fonctionnalités RSAT (Remote Server Administration Tools) vous permettront de lancer les outils serveur depuis n’importe quel serveur. Concrètement, si vous installez RSAT sur votre serveur d’impression, depuis ce dernier il vous sera alors possible de lancer les consoles de supervision DHCP, DNS, ADDS et j’en passe… Cela peut être très utile et cela évite d’avoir à se connecter sur chaque serveur pour chaque rôle que l’on veut administrer.

Comment installer RSAT ?

Vous pouvez installer RSAT sur un client Windows (Windows 7, 8 ou 10..) directement en suivant ce tutoriel. Mais vous pouvez aussi, installer cette fonctionnalité sur un serveur. RSAT est traduit par « Outils d’administration de serveur distant » sur la version française de Windows Serveur. Pour installer cette fonctionnalité, depuis le gestionnaire de serveur, cliquez sur Gérer puis sur « Ajouter des rôles et fonctionnalités ».

WS2012-ajouter-roles

Ici, nous n’ajouterons pas de rôles, simplement la fonctionnalité suivante : Outils d’administration de serveur distant

Sur la page des rôles, cliquez sur suivant sans rien sélectionner, puis sur la page des Fonctionnalités, cocher « Outils d’administration de serveur distant »

WS2012-RSAT

Une fois cette fonctionnalité installée, vous pouvez accéder aux consoles depuis les Outils d’administration.

 WS2012-RSAT1 WS2012-RSAT-outils-admin

Installation de la suite d’outils WSCC (Systernal / Nirsoft / Microsoft…)

RSAT c’est très bien, mais pour allez un peu plus loin et faire de l’analyse un peu plus pousser, il peut être intéressant d’avoir des outils spécifiques. C’est ce que propose Sysinternal ou encore Nirsoft.

C’est pourquoi l’installation de WSCC vous permettra d’avoir tous les outils à porter de main. Je vous laisse jeter un oeil sur cet article où je détaille WSCC ou encore dans la vidéo ci-dessous :

Installation de CMTrace

Les personnes travaillant sur Configuration Manager, connaissent certainement l’outil CMTrace (anciennement Trace32). CMTrace est un viewer de log bien pratique fourni avec ConfigMgr (Et disponible dans le répertoire “\SMSSETUP\TOOLS” ou bien dans le répertoire d’installation “\Install CM12\TOOLS”).

CMTrace permet de lire tout type de logs, Microsoft ou non. Et il le fait bien !

Voilà, on a fait le tour de ce que je mets en place juste après l’installation de Windows Server. Si vous avez d’autres choses à ajouter, n’hésitez pas, les commentaires sont là pour ça !

Tags

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 chez homeinformatique. Je partage mes connaissances, problèmes et solutions a travers articles ou tweets !

Related Articles

  • David

    Bonjour,

    Je vois dans le paramétrage réseau que l’IP v6 est toujours activé.

    J’ai tendance à le désactiver suite à différents problème avec certaines applications métiers.

    Des recommandations à ce sujet ?

    > David

    • Salut David,

      Je suis les recommandations de Microsoft, qui est de ne pas désactiver l’IPV6 :

      Source : https://technet.microsoft.com/fr-fr/network/cc987595.aspx#

      Q. What are Microsoft’s recommendations about disabling IPv6?
      A. It is unfortunate that some organizations disable IPv6 on their computers running Windows 7, Windows Vista, Windows Server 2008 R2, or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true.
      From Microsoft’s perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows 7, Windows Vista, Windows Server 2008 R2, or Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be.
      Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity.

      • David

        Ok, merci pour le retour.

        Je n’avais cherché plus que ça l’info chez MS.

        Au fait, très bon blog.
        Bien fait et toujours instructif.

        Bonne continuation.

        > David

Close