MCSE SECURITY

Windows Serveur Sécurité / Ecrit par Alexandre J. Gomez Urbina auteur du livre HACKING INTERDIT
HACKING INTERDIT Questions-réponses fréquentes dans les forums.
Dans ce chapitre, nous donnons des réponses aux questions courantes des administrateurs réseau et des utilisateurs d' Internet.
1) Comment sécuriser la transmission de données et maintenir les tables de routages à jour ? Vous êtes l’administrateur réseau d'une branche d’une grande entreprise. Votre réseau est connecté au réseau de l’entreprise au moyen d’une connexion commutée à la demande pour une communication bidirectionnelle sur le RNIS (Réseau Numérique à Intégration de Services = ISDN Integrated Services Digital Network). En plus du trafic d’applications et d’emails, des données sensibles de l’entreprise sont transférées grâce à cette connexion. Vos objectifs sont les suivants :
Sécuriser toutes les données transmises sur cette connexion.
Faire en sorte que les deux routeurs maintiennent les mises à jour des tables de routages.
A faire: Procédure
Activer MS-CHAP comme le protocole d’identification sur les serveurs de routage et sur les serveurs d’accès à distance.
Activer le protocole OSPF (Open Shortest Path First) sur les interfaces d’accès à la demande.
Paramétrer l’option Cryptage Imposé dans les paramètres de sécurité avancés, à la fois sur les serveurs de routages et sur les serveurs d’accès à distance
2) Pendant que nous sommes au travail, nous ne voulons pas que nos enfants aillent sur Internet. Cette option vous permet d'interdire l'accès à Internet depuis votre ordinateur grâce à un système de mot de passe. Il sera impossible à toute personne qui l'ignore de se connecter à Internet.
Activer l’option mot de passe du superviseur dans Internet Explorer.
La procédure est la suivante: 1 Aller dans le menu Démarrer, 2 Cliquer sur l'icône d'Internet Explorer à l'aide du bouton droit de votre souris, puis choisir la commande Propriétés Internet dans le menu contextuel qui s'affiche. C’est la première chose à faire pour pouvoir sécuriser votre Internet de telle sorte que seulement vous ou les gens qui savent le mot de passe puissent entrer sur Internet : 3 Dans la boîte de dialogue des Propriétés Internet, cliquer sur l'onglet Contenu, 4 Puis dans Gestionnaire d'accès, cliquer sur le bouton Activer. 5 Une fois dans la boîte de dialogue du Gestionnaire d'accès, dans Mot de passe du superviseur, cliquer sur Créer un mot de passe. Remarque Cas Hispahack Selon Carlos Sanchez, avocat du groupe Hispahack, témoigne que la persécution de ce groupe a déclenché un procès global du hacking. Cela a laissé d’importantes traces sur le réseau, lourdes de conséquences. 6 Dans la boîte de dialogue de Création d'un mot de passe de superviseur, choisissez votre mot de passe, qui bien sûr, doit être ignoré de vos enfants. Dans Conseil vous pourrez inscrire un indice qui pourra vous permettre de retrouver aisément votre mot de passe si vous veniez à l'oublier. 7 Si besoin, l'option vous est offerte de modifier ce mot de passe. 8 Chaque fois que vous voulez vous connecter à Internet, vous devrez entrer retourner sur l'onglet Contenu de la boîte de dialogue des Propriétés Internet, puis cliquer sur le bouton Activer. Vous pourrez alors taper votre mot de passe. 3) Un ordinateur travaille avec FAT et nous souhaitons travailler avec NTFS pour pouvoir sécuriser nos dossiers. Que pouvons-nous faire?
Transformer Fat(32) en fichiers NTFS :
Pour cette opération, allez à la ligne de commandes DOS, et suivez la procédure suivante: 1 Aller dans le menu Démarrer, 2 puis dans Executer 3 taper cmd pour entrer dans de l'invite de commandes Dans cet exemple, nous avons sélectionné le lecteur C, si vous disposez de plusieurs lecteurs, vous devrez être patient pour les convertir un par un, et suivre la même procédure pour chaque lecteur. 4) Nous ne parvenons pas à désinstaller un programme. Que pouvons nous faire? 1 Démarrez votre ordinateur. 2 Une fois que votre ordinateur est en train de démarrer, appuyer sur la touche F8. 3 Vous verrez une liste d’options; sélectionnez démarrer mode sans échec. 4 Une fois que vous êtes en mode sans échec, entrer dans Windows. 5 Ensuite, aller dans le menu Démarrer, puis dans Panneau de configuration. 6 Dans Panneau de configuration cliquer sur Ajouter ou supprimer des programmes 7 Dans la boîte de dialogue Ajouter ou supprimer des programmes, cliquer sur l'onglet Modifier ou supprimer des programmes, 8 Sélectionner le programme à supprimer, 9 Cliquer sur le bouton modifier/supprimer et d'un clic, supprimez le programme que n’arrivez pas à enlever. Remarque Crime Le cyber-crime est en train de s’accroître d’une façon exponentielle, comme le vol de la vie intime d’une personne. 5) Nous avons installé un anti-virus et l'ordinateur est devenu instable. Pourquoi? Si vous avez une version antérieure d'un anti-virus et qu'il ne correspond pas à la même famille que celui qui est déjà installé sur l’ordinateur, ils ne vont pas se reconnaître. Ils vont lutter l'un contre l'autre (car ils se reconnaîtront mutuellement comme virus). Le meilleur moyen est de désinstaller les deux anti-virus, puis d’installer celui que vous avez choisi. 6) Nous avons besoin de créer un nouveau lecteur et nous n'avons aucune idée de la manière dont nous devons procéder. Nous allons vous indiquer pas à pas ce que vous devez faire. Nous devons tout d’abord savoir s’il y a suffisamment de place sur votre disque dur pour créer un nouveau lecteur logique : Vous suivrez la procédure ci-dessous : 1 Aller dans le menu Démarrer, 2 puis cliquer à l'aide du bouton droit de votre souris sur Poste de travail, et sélectionner la commande Gérer dans le menu contextuel qui s'affiche. 3 Dans la boîte de dialogue Gestion de l'ordinateur, sélectionner Gestion des disques : 4 Dans notre exemple, (voir figure suivante), nous voyons que nous avons un lecteur logique C et qu'il nous reste 17.72 Go d’espace libre. La question qui se pose maintenant est de savoir combien d’espace voulez-vous utiliser ? 5 Disons que nous voulons utiliser 10 Go. Nous allons créer une nouvelle partition en cliquant à l'aide du bouton droit de notre souris sur l'espace libre du disque dur, puis en sélectionnant la commande Nouvelle partition du menu contextuel qui s'affiche alors. 6 La boîte de dialogue de l'Assistant Création d'une nouvelle partition apparaît, il vous suffit dans un premier temps de cliquer sur le bouton Suivant pour continuer. 7 Ici vous avez le choix entre deux options, à savoir, Partition principale et Partition étendue. 8 S'il vous reste un peu d’espace sur votre lecteur C et que vous souhaitez l'augmenter, vous pouvez choisir sur la deuxième option; dans le cas contraire, vous pouvez laisser la première l’option, qui est sélectionnée par défaut. 9 Cliquer sur le bouton Suivant pour continuer. 10 Dans cette option il nous est demandé quelle sera la capacité de la nouvelle partition, il faut donner un chiffre conditionné par l'espace libre restant sur le disque dur. 11 Ici on nous présente deux options :
Créer un lecteur logique indépendant de C,
Créer un lecteur au sein de C
Dans cet exemple, nous choisirons la première option. 12 ici, si vous le souhaitez, vous pouvez nommer le volume mais ce n’est pas obligatoire. 13 Pour aller plus vite, vous pouvez cocher la case à cocher Effectuer un formatage rapide. 14 La création du nouveau lecteur logique est terminée, vous pouvez cliquer sur le bouton Terminer. 15 Nous devons attendre quelques minutes avant que le lecteur logique se formate afin de le rendre utilisable. 16 Votre nouveau lecteur est prêt à être utilisé. 7) Comment pouvons-nous créer un disque dynamique? Facile ! Mais attention cette opération est irréversibles. Sachez que les disques dynamiques permettent d’avoir une seule affectation pour plusieurs disques physiques. Par exemples, vous aurez le disque C: qui sera en réalité affecté à deux jusqu’à cinq disques physiques. Cela s’appelle aussi un disk-array. 1 Aller le menu Démarrer, 2 puis cliquer avec le bouton droit de votre souris sur Poste de travail, 3 sélectionner la commande Gérer dans le menu contextuel. 4 Dans la boîte de dialogue Gestion de l'ordinateur, cliquer sur Gestionnaire de périphériques. 5 Pointer sur Disque 0, puis cliquer avec le bouton droit de la souris, et sélectionner la commande Convertir en disque dynamique du menu contextuel. 8) Comment pouvons-nous supprimer une partition logique ? 1 Aller le menu Démarrer, 2 puis cliquer avec le bouton droit de votre souris sur Poste de travail, 3 sélectionner la commande Gérer dans le menu contextuel. 4 Dans la boîte de dialogue Gestion de l'ordinateur, cliquer sur Gestion des disques. 5 Cliquer avec le bouton droit de votre souris sur la partition à supprimer et sélectionner la commande Supprimer la partition dans le menu contextuel qui s'affiche. En quelques secondes la partition sera effacée. 9) Comment pouvons-nous partager notre connexion Internet ? C’est très simple: si vous travaillez en réseau avec des câbles et que vous n’avez pas de switch, vous pouvez partager votre ligne Internet de la sorte: 1 aller dans le menu Démarrer, 2 cliquer sur Panneau de configuration, 3 Entrer dans l’option Connexion réseau et Internet pour trouver votre connexion réseau. 4 Une fois que vous avez identifié votre connexion, cliquer avec le bouton droit de votre souris sur la connexion et choisir la commande Propriétés dans le menu contextuel. 5 Cliquer avec le bouton droit de votre souris sur la carte réseau de la connexion que vous voulez partager et pointer sur Propriétés de la carte. 6 Dans la boîte de dialogue Propriétés de Connexion réseau sans fils, sélectionner l'onglet Avancé. 7 Vous êtes dans la dernière ligne droite; il vous suffit de cochez la première case à cocher du Partage de connexion Internet : Autoriser d'autres utilisateur du réseau à se connecter via la connexion Internet de cet ordinateur. 8 Pour finir, cliquer sur le bouton OK 10) Nous avons oublié quel était notre mot de passe, comment doit-on faire pour entrer dans notre ordinateur ? 1 Allumer l’ordinateur et cliquez sur F8 2 Entrer dans l’ordinateur en mode sans échec 3 Entrer normalement dans l'ordinateur. 4 Le système vous ramène au premier compte d'’administrateur que vous avez créé au moment de l’installation de Windows (ici, Windows XP Professionnel). Si vous n'aviez pas mis de mot de passe pour ce compte, vous pourrez entrer directement dans l'ordinateur. 5 Une fois dans le système, aller dans le menu Démarrer, 6 dans Panneau de configuration, puis dans Comptes d’utilisateurs. 7 Dans la boîte de dialogue Comptes d’utilisateurs aller dans Choisissez le mot de passe à modifier, et cliquer sur le compte en question 8 Choisir l'option Supprimer mon mot de passe. 9 Vous pouvez maintenant créer un nouveau mot de passe en retournant dans la boîte de dialogue Comptes d'utilisateurs et en choisissant l'option Créer un mot de passe. A vous de ne pas l'oublier cette fois-ci ! 11) Cas d'une carte USB qui n’est pas détectée par l'ordinateur Vous achetez une carte USB qui est un adaptateur de terminal RNIS (Réseau numérique à intégration de services) pour votre ordinateur portable équipé de Windows 2000 Professionnel. Vous branchez votre périphérique au port USB. Votre système Plug and Play ne détecte pas le nouveau périphérique. Vous le testez sur un ordinateur de bureau équipé de Windows 2000 Pro. Vous constatez que le système Plug and Play détecte alors correctement le périphérique. Vous souhaitez résoudre le problème afin de pouvoir utiliser l’adaptateur terminal RNIS sur votre ordinateur portable. Que devez-vous faire ?
Contacter votre constructeur pour obtenir la mise à jour du BIOS pour la prise en charge de l’USB.
Remarque Les hackers mégalomanes "Mus par un ego très développé, ils sont extrêmement compétents et passent du temps à évaluer les outils. Ils attaquent des sites connus, savent ce qu'ils font et préviennent en général les responsables de la sécurité des failles trouvées. Ils enfreignent la loi mais font également progresser la sécurité informatique, tels de bons petits diables du réseau. Ils s'en prennent aux beaux produits marketing, dont l’esthétique est soignés mais la technique souvent fragile. La façon de faire n'est pas très délicate mais elle n'est pas dangereuse. Il est surtout très agaçant pour les cibles de constater à quel point ils sont bons." Retrouvez cet article sur le site suivant : www.lentreprise.com/article/5.1571.1.287.html 12) Tous les services utilisent la même imprimante. Un service imprime essentiellement des graphiques, en conséquence, les autres services attendent longtemps dans la file d’attente. Vous êtes l’administrateur d’un ordinateur équipé de Windows 2000 Professionnel qui est relié à une imprimante partagée. Plusieurs services de votre entreprise utilisent cette imprimante. Le service financier imprime fréquemment des graphiques se présentant en un dispositif de pages multiples, ce qui est long à imprimer. Les utilisateurs des autres services qui ont de courts messages à imprimer doivent attendre longtemps que leurs travaux soient imprimés. Vous voulez optimiser l’efficacité d’impression pour tous les utilisateurs qui utilisent cette imprimante. Vous voulez atteindre votre but avec le moins d’efforts d’administration possible. Que devez-vous faire ? 1 Configurer la priorité de l’imprimante à 50. 2 Ajouter une nouvelle imprimante, et régler la priorité à 99. 3 En ce qui concerne la nouvelle imprimante, vous interdisez l’accès à l’imprimante aux utilisateurs du service financier. 13) Cas d'un utilisateur ne pouvant pas entrer dans un dossier partagé Votre ordinateur équipé de Windows 2000 Professionnel a 20 dossiers partagés qui sont accessibles aux autres utilisateurs du réseau. Un utilisateur signale qu’il ne peut pas accéder à un dossier partagé nommé TUMI. Vous voulez résoudre le problème de l’utilisateur aussi rapidement que possible en utilisant un outil d’administration. Cependant, vous ne parvenez pas à vous rappeler de l’implantation du serveur de TUMI. Que devez-vous faire ? 1 Aller dans le menu Démarrer, 2 puis cliquer à l'aide du bouton droit de votre souris sur Poste de travail, et sélectionner la commande Gérer dans le menu contextuel qui s'affiche. 3 Dans la boîte de dialogue Gestion de l'ordinateur, dans Outils Système, cliquer sur Dossiers Partagés pour afficher les chemins d’accès de vos dossiers partagés. 14) Cas d'un dossier compressé que l'on souhaite déplacer vers un répertoire dans lequel rien n'est compressé. Votre ordinateur équipé de Windows 2000 Professionnel contient un unique disque dur configuré en une seule partition. Vous voulez déplacer un dossier nommé Marketing vers un répertoire nommé Secret. Vous voulez que les fichiers contenus dans le dossier Marketing restent compressés après avoir déplacé le dossier. Vous voulez que les fichiers contenus dans répertoire Secret restent non compressés. Vous voulez vous assurer que les fichiers sont récupérables, quelque soit le problème qui endommage le disque. Vous souhaitez également déplacer les fichiers avec le moins d’effort d’administration possible. Que devez-vous faire ?
Sauvegarder le dossier Marketing. Déplacer le dossier Marketing vers le Répertoire Secret. Procéder ainsi, sans faire de copier coller.
15) On ne veut pas que les ordinateurs connectés à distance envoient des textes non cryptés. Vous êtes en train de créer un accès par ligne commutée sur votre ordinateur portable équipé de Windows 2000 afin de vous connecter à votre serveur commuté client. Vous voulez vous assurer que la procédure d’authentification de votre ligne commutée est sécurisée et que les informations de votre ouverture de session ne sont pas envoyées en texte en clair.
Dans la boîte de dialogue des Paramètres de sécurité avancés, inactiver l'option Mot de passe non crypté (PAP).
16) Comment gérer l’accès à un des deux systèmes d’exploitation installés dans un ordinateur ? Vous configurez 10 ordinateurs pour Windows 2000 et Windows 2000 Professionnel. Chaque ordinateur a un disque dur de 18 GB. Vous configurez le disque dur de chaque ordinateur de manière que chacun ait 2 partitions de 9 GB. Windows 2000 est installé sur le lecteur C et Windows 2000 Professionnel sur le lecteur D. Dans Windows 2000 Professionnel, vous configurez un quota de disque sur lecteur D afin d’empêcher les utilisateurs d’enregistrer des fichiers sur le disque. Vous redémarrez votre ordinateur et installez Windows 2000. Vous remarquez que les utilisateurs peuvent enregistrer des fichiers sur le lecteur D. Vous voulez empêcher les utilisateurs d’enregistrer les dossiers sur le lecteur D dans les deux systèmes opératifs. Vous voulez aussi vous assurer que les utilisateurs peuvent accéder aux deux lecteurs lorsqu’ils utilisent l’un ou l’autre des systèmes opératifs. Que devez-vous faire ?
Utiliser Windows 2000 afin de configurer les droits d’accès NTFS sur le lecteur D pour interdire les droits d’accès à l’écriture aux utilisateurs.
17) Pourquoi utiliser Active Directory ? Vous êtes l’administrateur d’un réseau nommé MICHU. Le réseau est composé d'un domaine Windows 2000 unique qui s’étend sur de multiples localisations. Elles sont connectées sur Internet en utilisant le routage et l’accès à distance. Les ressources sont localisées sur des hôtes TCP/IP présents sur votre réseau. Pour faciliter la résolution de nom pour l’accès des clients à ces ressources, vous implémentez des serveurs DNS Windows 2000 sur votre réseau. Vous voulez vous assurer que lorsque le trafic de transfert de zones entre vos serveurs DNS croisent les liens Internet entre les différentes localisations, il ne peut pas être fragilisé par des parties extérieures.
Etablir une zone intégrée à Active Directory.
18) Comment reconfigurer les stratégies d’accès ? Vous êtes l’administrateur d’un réseau nommée Michu, qui inclut un ordinateur Windows 2000 Serveur nommé SENDER qui exécute le routage et l’accès à distance. Vous configurez les stratégies d’accès à distance sur SENDER comme on vous le montre dans le tableau suivant : Stratégie Ordre Jours de semaine, de 7h00 à 18h00 : Autoriser 1 Administrateurs : Autoriser 2 Jours de semaine, de 6h00 à 19h00 : Refuser 3 Soutien des Managers : Autoriser 4 Week-end : Refuser 5 Votre service management révise ses stratégies d’accès. Les membres du groupe de Managers de Soutien sont désormais autorisés à se connecter 24 heures sur 24 et 7 jours sur 7. Les membres du groupe des administrateurs ne sont plus autorisés à se connecter les week-ends. Pour implémenter ces changements, vous avez besoin de reconfigurer les stratégies d’accès à distance sur SENDER. Que devez-vous faire ?
Déplacer la stratégie de Soutien des Managers : Autoriser la stratégie au-dessus de votre stratégie 2 actuelle.
Déplacer la stratégie Week-end : Refuser la stratégie directement au dessus de votre stratégie 3 actuelle.
19) Quels sont les problèmes courants avec l’accès à distance VPN ? Vous êtes l’administrateur réseau nommée OLGUIN. Votre entreprise emploie son personnel à plein-temps. Elle emploie aussi des auteurs pour des projets à court terme. Tous les employés travaillant à plein temps utilisent des ordinateurs portables exécutant Windows XP Professionnel. Ces utilisateurs ont besoin du routage et de l’accès à distance pour accéder à des ressources du réseau, telles que les applications et les imprimantes. Les auteurs employés à court terme utilisent des ordinateurs personnels qui utilisent une variété de systèmes d'exploitation, y compris Windows 98, Windows NT Workstation 4.0, et Windows 2000 Professionnel. Les auteurs ont besoin de l’accès à distance pour accéder au réseau pour pouvoir télécharger vers le serveur des documents révisés, vers les serveurs de fichiers. Vous autorisez l’accès à distance au réseau uniquement au moyen d’une connexion VPN utilisant Internet. Vous configurez 44 ports PPTP sur un seul serveur VPN. Pour assurer une haute disponibilité du service VPN, vous configurez trois serveurs VPN supplémentaires. Vous configurez 44 ports L2TP sur chaque nouveau serveur. Vous configurez des entrées DNS en utilisant le Round Robin (l’algorithme du tourniquet) pour vos 6 serveurs VPN. Plusieurs auteurs signalent maintenant qu’ils rencontrent des échecs de connexion quand ils se connectent aux serveurs VPN. Après des tentatives répétées, ils sont finalement en mesure de se connecter. Les employés à plein temps ne signalent aucun problème. Vous avez besoin de corriger ce problème tout en assurant le degré de sécurité le plus élevé possible pour chaque connexion. Quelles sont les deux actions à mener ?
Configurez 44 ports PPTP sur chaque nouveau serveur VPN.
Retirez les 44 ports L2TP de chaque nouveau serveur VPN.
20) Comment communiquer d’une station à l’autre avec le protocole NAT ? Vous êtes l’administrateur d’un réseau Windows 2000. Le réseau est composé de 90 ordinateurs Windows 2000 Professionnel et de 4 ordinateurs Windows 2000 Serveur nommés Lyon et Paris. Lyon a une connexion permanente à Internet par modem câble. Tous les ordinateurs Windows 2000 Professionnel du réseau sont configurés pour utiliser l’adressage IP privé automatique (APIPA). Le réseau ne contient pas de serveur DHCP. Pour autoriser tous les ordinateurs Windows 2000 Professionnel sur le réseau à accéder à Internet grâce à la connexion par câble modem de Lyon, vous installez et configurez le protocole de routage de traduction d’adresses réseau (NAT) sur Lyon. Vous décidez d’utiliser des adresses IP dans la plage s’étalant de 192.20.20.1 à 192.20.20.150 pour le réseau. Lyon est configuré pour utiliser une adresse IP : 192.20.20.1. Paris est un serveur Web configuré avec
une adresse IP : 192.20.20.2
et une passerelle par défaut: 192.20.20.1
Vous voulez autoriser les utilisateurs d’Internet extérieurs à votre réseau interne à accéder aux ressources se trouvant sur Paris grâce au protocole NAT configuré sur Lyon. Comment devez-vous configuration ce réseau pour atteindre ce but?
Configurez le protocole de routage NAT de l’interface publique pour qu’elle utilise un port spécial qui mappe vers le port du serveur Web et vers une adresse IP : 192.20.20.2
21) Comment configurer un chemin statique ? Vous êtes l’administrateur d’un réseau Windows 2000. Le réseau est composé :
d'un ordinateur Windows 2000 Serveur nommé SENDER
et de 150 ordinateurs Windows 2000 Professionnel.
Le serveur SENDER a une connexion à distance qui lui permet de se connecter à Internet. Tous les ordinateurs Windows 2000 Professionnel du réseau sont configurés pour utiliser l’Adressage IP Privé Automatique (APIPA). Il n’y a pas de serveur DHCP sur le réseau. Pour autoriser tous les ordinateurs Windows 2000 Professionnel du réseau à accéder à Internet grâce à la connexion à distance du serveur SENDER, vous décidez d’installer le protocole de routage de traduction d’adresses réseau NAT. Vous configurez le SENDER comme suit :
L’interface LAN sur le Serveur A a une adresse IP de 10.65.3.1 et un masque de sous réseau de 255.255.255.0.
NAT assigne automatiquement des adresses IP de la plage allant de 10.65.3.2 à 10.65.3.60 aux ordinateurs se trouvant sur l’interface privée.
NAT utilise une interface à distance à la demande nommée Dial ISP pour se connecter au fournisseur de services Internet (= ISP).
L’interface Dial ISP utilise un pool d’adresses dans la plage allant de 207.46.179.36 à 207.46.179.99.
La table de routage a un chemin statique par défaut pour l’interface publique.
Quelle configuration devrez-vous utiliser pour le chemin statique pour l’interface publique?
Interface : Dial ISP
Destination : 0.0.0.0
Masque Réseau :0.0.0.0
Passerelle : Aucune
22) Quelles sont les failles de la stratégie d'accès à distance ? Vous êtes l’administrateur du réseau de MICHU. Pour autoriser les utilisateurs à avoir accès aux ressources réseau quand ils ne sont pas au bureau, vous configurez le service d’accès à distance dans leur domaine Windows 2003 en mode natif. Parce que votre entreprise fonctionne 24 heures sur 24 et 7 jours sur 7, et parce que vos utilisateurs n’exécutent ni Windows 98, ni Windows 2000, vous ne voulez appliquer ni des restrictions de temps, ni des restrictions d’authentification. Pour accomplir cela, vous supprimez la stratégie d’accès à distance par défaut. Cependant, vous voulez restreindre l’accès aux utilisateurs non autorisés. Vous permettez à tous les utilisateurs du domaine d'avoir des permissions de connexion, mais certains utilisateurs signalent qu’ils ne peuvent pas recevoir cette connexion. Que devez-vous faire pour résoudre ce problème ?
Créez une nouvelle stratégie d’accès à distance qui offre l’accès à la connexion à tous les membres du groupe d’utilisateurs du domaine.
23) Comment procéder à l’implémentation d’un accès à distance hautement sécurisé ? Vous êtes l’administrateur du réseau nommée MICHU. Vous avez besoin d’implémenter une solution d’accès à distance qui soit hautement disponible et hautement sécurisée. Votre entreprise a un seul site et dispose d'une connexion T3 à Internet. Votre entreprise emploie 100 techniciens qui ont besoin d’une connectivité fiable au réseau de l’entreprise à partir de n’importe quelle localisation. Tous les serveurs exécutent Windows 2000 Advanced Server et tous les ordinateurs clients exécutent Windows 2000 Professionnel. Vous voulez atteindre les buts suivants :
Ne pas avoir un seul point de défaillance. S'il y a une perte partielle de la connexion T3, cela ne résultera pas en une perte totale de la connectivité à l’accès distant.
Un support pour au moins 40 utilisateurs distants simultanés accédant au réseau sera disponible en permanence.
A faire Connexions VPN et PAP
Installer 3 serveurs VPN au bureau principal.
configuration chaque serveur VPN pour qu’il supporte 150 connexions PPTP.
configuration les ordinateurs clients pour utiliser le PAP (Password Authentication Protocol = Protocole d’Authentification par Mot de passe) comme le protocole d’authentification.
24) Comment protéger le CA racine et la clé? Vous êtes l’administrateur d’un réseau Windows 2000. Le réseau est composé d'un seul domaine qui dispose de quatre contrôleurs de domaine Windows 2000 et de 100 stations de travail Windows 2000 Professionnel. Votre entreprise veut faire usage de certificats digitaux en installant ses propres autorités de certificats (CA, Certificate Authority. Autorité de certification). Vous voulez protéger le CA racine et la clé privée. Vous voulez aussi vous assurer que vous êtes capable de gérer efficacement l’infrastructure de la clé publique de MICHU. Vous voulez que le serveur qui héberge le CA racine ait une protection maximale contre les brèches de sécurité qui pourraient s’ouvrir sur le réseau. A faire CA Racine
Sur un ordinateur membre Windows 2000 Serveur connecté au réseau, installez un CA racine autonome.
Déconnectez le serveur sur lequel vous installez le CA racine autonome à partir du réseau et placez-le dans une localisation séparée et sécurisée.
25) Aucune imprimante ne peut communiquer avec le serveur DHCP. Comment résoudre ce problème? Vous êtes l’administrateur du réseau nommée MICHU. Pour automatiser la configuration des ordinateurs clients TCP/IP et des imprimantes réseau sur votre réseau, vous installez et vous configurez le service serveur DHCP sur un ordinateur Windows 2000 Serveur. Vous créez aussi une étendue qui contient la plage d’adresses IP valides pour votre réseau. Pour vous assurer que les imprimantes réseau TCP/IP recevront toujours la même adresse, vous créez une plage Windows 2000 Serveur d’exclusion pour les adresses utilisées par les imprimantes. Vous créez également des réservations d’adresses pour chaque imprimante. Vous découvrez qu’aucune des imprimantes ne reçoit des adresses à partir du serveur DHCP. Les ordinateurs clients ne signalent aucun problème de configuration. Que devez-vous faire pour résoudre le problème?
Retirer la plage d’exclusion pour les adresses qui ne sont pas utilisées par les imprimantes.
26) Nous souhaitons que les ordinateurs portables qui se connectent avec une connexion à distance aient un bail de 4 heures, que doit-on faire ? Vous êtes l’administrateur d’un réseau Windows 2000. Le réseau est composé de:
151 ordinateurs Windows 2000 Serveur,
502 ordinateurs de bureau Windows 2000 Professionnel,
et de 2100 ordinateurs portables Windows 2000 Professionnel.
Les ordinateurs portables sont fréquemment utilisés par des utilisateurs se trouvant dans des localisations ne se trouvant pas sur le réseau. La configuration TCP/IP de tous les ordinateurs Windows 2000 Professionnel est fournie par 9 serveurs DHCP sur le réseau. Vous voulez faire une configuration des durées de bail différentes pour les ordinateurs de bureau et pour les ordinateurs portables. Les ordinateurs de bureau doivent utiliser la durée de bail par défaut. Les ordinateurs portables doivent utiliser une durée de bail par défaut de 4 heures. Quelles sont les 3 actions à mener pour atteindre ces objectifs ?
Sur l’ordinateur portable, définissez le paramètre DHCP class ID (classe d’identification DHCP) en Ordinateur Portable Windows 2000.
Sur les serveurs DHCP, définissez une nouvelle classe d’utilisateurs qui a l’ID (Identification) spécifiée sur les ordinateurs portables.
Sur les serveurs DHCP, configurez les options d’étendue pour utiliser une durée de bail de 4 heures pour la classe d’utilisateurs des ordinateurs portables.
27) Comment configurer un VPN sécurisé pour les utilisateurs externes ? Vous êtes l’administrateur d’un réseau nommée Michu qui est composé d'un seul domaine Windows 2000. Le réseau comprend deux contrôleurs de domaine exécutant Windows 2000 Serveur et deux contrôleurs de domaine de sauvegarde exécutant Windows NT 4.0. Un autre ordinateur Windows 2000 Serveur nommé JEGU exécute le routage et l’accès à distance. Tous les ordinateurs exécutent Windows 2000 Professionnel. Les employés qui voyagent sur les sites des clients utilisent des ordinateurs portables fournis par l’entreprise. Ces ordinateurs sont configurés pour un support carte à puce avec des certificats délivrés par l’entreprise. Les employés qui voyagent se connectent à JEGU pour accéder au réseau. Vous avez besoin de configurer JEGU pour assurer que les connections VPN sont aussi sécurisées que possible. Quelles sont les 2 actions à mener ?
Imposer des connexions tunnel PPTP pour tous les utilisateurs commutés.
Imposer des cartes à puce EAP ou des certificats pour l’authentification pour tous les utilisateurs commutés.
28) Comment devez-vous faire pour effectuer une mise à jour sécurisée en Windows Serveur? Vous êtes l’administrateur d’un domaine Windows 2000. Le domaine est composé de :
8 ordinateurs Windows 2000 Serveur,
400 ordinateurs Windows XP Professionnel,
et de 250 ordinateurs Windows NT Workstation 4.0.
Trois des ordinateurs Windows 2000 Serveur sont des serveurs DHCP. Les trois autres serveurs sont des serveurs DNS. La configuration TCP/IP de tous les ordinateurs Windows 2000 Professionnel et des ordinateurs Windows NT Workstation 4.0. est fournie par les serveurs DHCP. En ce qui concernet la tolérance aux pannes, les 3 serveurs DHCP sont configurés pour avoir des étendues pour tous les ordinateurs du réseau. Vous configurez les serveurs DHCP pour toujours enregistrer et mettre à jour les informations des ordinateurs clients sur les serveurs DNS configurés. Pour accroître la sécurité, vous configurez les zones DNS sur tous les serveurs DNS pour autoriser uniquement les mises à jour sécurisées. Après avoir réalisé cette configuration des zones DNS, vous découvrez que les informations des ordinateurs clients des zones DNS ne sont plus mises à jour correctement lorsque des changements d’adresses IP se produisent pour des ordinateurs Windows XP Professionnel et pour des ordinateurs Windows NT Workstation 4.0. Vous voulez que les changements d’adresses IP pour les ordinateurs clients apparaissent correctement dans les zones DNS qui autorisent seulement les mises à jour sécurisées. Que devez-vous faire ?
Ajoutez les comptes d’ordinateurs des trois serveurs DHCP au groupe global de sécurité DnsUpdateProxy.
29) Comment résoudre un problème de communication en utilisant IPSec ? Vous êtes l’administrateur du réseau de Alexandre, qui inclut 2 ordinateurs Windows 2000 Serveur nommés Jegu1 et Jegu2. Le réseau inclut aussi 40 ordinateurs clients exécutant Windows 2000 Professionnel. Jegu2 exécute une application client/serveur particulière qui est utilisée pour stocker des informations confidentielles. Jegu1 exécute le routage et l’accès à distance et fournit la connectivité au fournisseur de services Internet de Alexandre au moyen d’une connexion RNIS (en anglais : ISDN). Jegu1 accède aussi aux informations stockées sur Jegu2. Les ordinateurs clients utilisent Jegu1 pour accéder aux ressources Internet. Vous avez besoin d’assurer que toutes les communications avec Jegu2 sont sécurisées et cryptées. Vous appliquez la stratégie IPSec Serveur Sécurisé à Jegu2 et à Jegu1, et vous appliquez la stratégie IPSec client aux 40 ordinateurs clients. Les utilisateurs vous signalent maintenant qu’ils ne peuvent accéder à aucune ressource Internet. En enquêtant, vous découvrez que Jegu1 se connecte à votre fournisseur de services Internet (ISP) et qu’il abandonne immédiatement la connexion. Vous devez assurer que Jegu1 puisse être utilisé pour accéder aux ressources Internet. Vous devez aussi vous assurer que les communications avec Jegu2 restent cryptées. Que devez-vous faire ?
Retirer la stratégie IPSec Serveur Sécurisé de Jegu1 et assigner la stratégie IPSec Serveur sur Jegu1.
Remarque Win-satan Les gens protestent contre les grandes entreprises, parce qu’ils veulent contrôler le réseau. Le virus win.satan se connectait aux autres ordinateurs dans des forums. 30) Comment résoudre un problème de connexion DHCP? Vous êtes l’administrateur réseau de votre entreprise. Pour un laboratoire d’essai, vous configurez un segment de réseau dédié qui est composé de 10 serveurs et de 80 ordinateurs clients. Le laboratoire d’essai doit avoir une connectivité à votre réseau de production. On vous donne une plage d’adresses IP allant de 192.168.6.66 à 192.168.6.127 à utiliser pour le laboratoire d’essai. Vous décidez de configurer un des serveurs du laboratoire d’essai comme un serveur DHCP Windows 2003. Ce serveur fournira automatiquement des informations d’adressage IP aux autres ordinateurs du laboratoire d’essai. Vous configurez manuellement une adresse IP statique et un masque de sous réseau de 192.168.6.10/24 sur le nouveau serveur DHCP. Vous créez une étendue sur le serveur DHCP pour le sous réseau 192.168.6.64/26. L’étendue inclut une plage d’adresses IP de 192.168.6.66 à 192.168.6.127. Vous activez l’étendue avec succès sur le serveur DHCP, mais aucun des clients DHCP ne peut recevoir un bail d’adresse IP. Comment devez-vous résoudre ce problème ?
Editez l’adresse IP et le masque de sous réseau du serveur DHCP pour être 192.168.6.66/26 et configurez une exclusion pour cette adresse IP dans l’étendue DHCP.
31) Comment configurer en interne des IP avec un pool d'adresse de votre fournisseur? Vous êtes l’administrateur du réseau de Alexandre, qui sert un seul site ses avec 200 utilisateurs. Le réseau comprend 10 serveurs exécutant Windows 2000 Serveur. Un serveur héberge votre site Web interne. Tous les serveurs ont des adresses IP statiques contenues dans la plage allant de 10.1.1.2 à 10.1.1.12. Tous les ordinateurs clients exécutent Windows XP Professionnel et sont des clients DHCP, utilisant une plage d’adresses allant de 10.1.1.13 à 10.1.1.200. Vous avez besoin de fournir l’accès à Internet aux utilisateurs internes. Pour ce faire, vous prévoyez d’utiliser un pool de 100 adresses IP fournies par un fournisseur de services Internet auquel vous êtes lié par contrat. Votre solution doit faire intervenir le moins d’efforts administratifs possible. Que devez-vous faire ?
Installer un serveur pour la traduction d’adresses réseau.
Ajouter l’adresse IP de l’interface privée de ce serveur à la plage exclue sur votre serveur DHCP.
Changer l’adresse IP de l’interface privée pour le protocole de traduction d’adresse en 10.1.1.201.
Faîtes un mappage des adresses internes et des numéros de ports de vos serveurs vers le pool d’adresses IP et vers les numéros de ports assignés par votre fournisseur de services Internet.
32) Comment résoudre un problème de communication d'un serveur de fichiers UNIX sur un réseau Mixte ? Vous êtes l’administrateur du réseau de Alexandre. Le réseau comprend :
2 serveurs DNS UNIX,
2 serveurs de fichiers UNIX,
1 serveur DHCP Windows 2000,
et de 90 ordinateurs Windows XP Professionnel.
Tous les ordinateurs Windows 2000 Professionnel sont configurés pour obtenir des assignements d’adresses IP à partir du serveur DHCP. Le serveur DHCP est configuré pour assigner les adresses des deux serveurs DNS à tous les ordinateurs clients pour la résolution de noms. Vous voulez remplacer vos serveurs DNS UNIX par des serveurs DNS Windows 2000. Vous installez le service serveur DNS sur un nouvel ordinateur Windows 2000 Serveur. Vous configurez ce serveur pour imposer des mises à jour dynamiques. Vous mettez à jour l’étendue DHCP pour assigner l’adresse du nouveau serveur DNS à tous les ordinateurs clients, et pour arrêter de produire les adresses des serveurs DNS UNIX. Trois jours plus tard, des utilisateurs signalent qu’ils ne peuvent pas accéder aux ressources localisées sur les serveurs de fichiers UNIX. Vous avez besoin de vous assurer que tous les utilisateurs peuvent accéder aux ressources sur les serveurs de fichiers UNIX. Que devez-vous faire?
Créez des enregistrements A (hôte) sur le nouveau serveur DNS qui pointent vers les serveurs de fichiers UNIX.
33) Quand un certificat commercial est-il nécessaire pour une connexion VPN? Vous êtes l’administrateur réseau pour le Musée du Louvre Votre réseau comprend un serveur membre nommé Jegu1, qui est connecté à Internet. Jegu1 exécute Windows 2000 Serveur. Votre institution sponsorise des projets de recherches communs avec Recherche, dont le principal laboratoire est localisé dans une autre ville. Le réseau de Recherche inclut un serveur PPTP nommé Rech3. Vous avez besoin de créer une connexion routeur à la demande pour ce serveur. Il s'agit d'une connexion commutée. Vous créez une interface VPN commutée à la demande sur Jegu1. Vous utilisez un compte de domaine pour configurer les identifications d'accès sortants, en acceptant les paramètres par défaut. Cependant, vous changez le type de serveur VPN de automatique en PPTP. Quand vous essayez de vous connecter à Rech3, vous recevez un message d’erreur spécifiant que l’accès est refusé.
Pour le compte dial out sur Jegu1, obtenez un certificat à partir d’un fournisseur de certificat commercial auquel le domaine Recherche fait confiance.
34) Pourquoi utiliser un moniteur réseau dans un réseau segmenté? Vous êtes l’administrateur du réseau de Alexandre, qui est composé d'un unique segment. Vous divisez le réseau en 4 segments numérotés de 1 à 4. Les 4 segments sont connectés par un unique routeur. Chaque segment incluse 70 ordinateurs clients exécutant Windows 2000 Professionnel et 2 serveurs exécutant Windows 2003 Serveur. Un employé nommé Vincent utilise un ordinateur client localisé sur le Segment2. Il travaille avec une application client/serveur personnalisée qui utilise TCP/IP pour les communications. Le serveur d’applications est localisé sur le Segment1. L’application de Vincent retourne par intermittences des messages d’erreur. Vous exécutez le Moniteur Réseau sur votre ordinateur client, qui est localisé sur le Segment3. Vous réalisez une capture de paquets, mais vous ne pouvez trouver aucun des paquets capturés qui ont été envoyés entre l’ordinateur de Vincent et le serveur d’applications. Vous avez besoin d’examiner le trafic réseau qui est envoyé entre l’ordinateur de Vincent et le serveur d’applications. Que devez-vous faire ?
Exécutez le Moniteur réseau sur le serveur d’applications et réalisez une capture de paquets.
Remarque Côté entreprise Les hackers peuvent mener la technologie. C’est la raison pour laquelle, les administrateurs systèmes, les ingénieurs, les grandes corporations les embauchent pour les avoir à leurs côtés. 35) Quel est un des problèmes réguliers entre les serveurs qui travaillent 24 heures sur 24 sur le Net ? Vous êtes l’administrateur du réseau de Alexandre, qui consiste en un seul domaine Windows 2000 en mode natif. Le réseau inclut :
2000 ordinateurs exécutant Windows XP Professionnel
et 80 ordinateurs exécutant Windows 2000 Serveur.
TCP/IP est le seul protocole réseau utilisé. Vous installez le Moniteur Réseau pour qu’il fournisse la performance des lignes de bases pour surveiller le trafic réseau. La majorité des affaires de Alexandre se traitent pendant les heures courantes de travail, qui s’étendent de 8H00am à 20H00, du lundi au vendredi. Cependant, votre service client opère 24 heures sur 24, 7 jours sur 7. Les utilisateurs de ce département ont besoin d’accéder à une base de données de services hébergée sur un ordinateur nommé DBSrvA. Les utilisateurs du service clients qui travaillent de minuit à huit heures du matin signalent des problèmes d’accès. Commençant immédiatement après minuit, ces utilisateurs ne peuvent pas accéder à DBSrvA pendant de courtes périodes de temps, et ces évènements se produisent à des intervalles non réguliers. Vous examinez les journaux d’évènements pour DBSrvA, mais ils ne contiennent pas de messages d’erreur significatifs. Vous confirmez que la base de données fonctionne correctement. Vous décidez de surveiller le trafic réseau pendant la période précédant immédiatement la première occurrence de ce problème d’accès chaque nuit. Vous configurez le Moniteur Réseau pour qu’il commence à capturer à la fin des heures de travail courantes. Vous configurez aussi un ordinateur client pour qu’il envoie un message à l’ordinateur en charge de la surveillance mentionnant Pas de réponse, aussitôt que le problème d’accès se produit. Quelles sont les actions supplémentaires à mener avec le Moniteur Réseau ?
Capturer le datagramme complet
Configurer un déclencheur pour initialiser quand le tampon atteint 100%
Configurer un déclencheur pour arrêter la trace quand l’ordinateur en charge de la surveillance reçoit un message mentionnant Pas de réponse
36) Comment autoriser des ordinateurs à se connecter à Internet grâce à une connexion à distance? Vous êtes l’administrateur d’un domaine Windows 2000. Le réseau est composé d'un ordinateur Windows 2000 Serveur nommé Jegu1 et de 21 ordinateurs Windows 2000 Professionnel. Jegu1 dispose d'une connexion commutée pour se connecter à Internet. Jegu1 est configuré pour utiliser le Partage de Connexion Internet pour autoriser l’accès Internet grâce à la connexion commutée de Jegu1. Les 21 ordinateurs Windows 2000 Professionnel sont configurés pour l’adressage TCP/IP statique. Les adresses IP vont de 192.168.1.1 à 192.168.1.21, et le masque de sous réseau est 255.255.255.0. Les 21 ordinateurs Windows 2000 Professionnel n’ont pas de passerelles par défaut configurées. Vous découvrez que les ordinateurs Windows 2000 Professionnel ne sont pas capables d’accéder à Internet grâce à la connexion à distance de Jegu1. Vous confirmez que le serveur préféré sur les ordinateurs Windows 2000 Professionnel est configuré correctement. Que devez-vous faire pour autoriser la totalité des 21 ordinateurs à accéder à Internet grâce à la connexion à distance de Jegu1 ?
Sur l’ordinateur Windows 2000 Professionnel avec l’adresse IP 192.168.1.1, changer l’adresse IP en 192.168.1.22
Changer la passerelle par défaut sur tous les ordinateurs Windows XP Professionnel en 192.168.1.1.
Remarque Congrès hacker Dans le congrès des hackers qui s’est tenu à Majorque, on pouvait non seulement noter la présence des hackers, mais aussi de la police, des agences d’impôts spécialisées. 37) Pourquoi y a-t-il des problèmes de connexion DHCP avec des nouveaux ordinateurs? Vous êtes l’administrateur du réseau Alexandre. Un segment comprend 100 ordinateurs de bureau et 50 ordinateurs portables. Les 150 ordinateurs exécutent Windows XP Professionnel et sont des clients DHCP. Les ordinateurs portables sont typiquement utilisés en dehors du site. L’étendue du segment a les caractéristiques qui sont exposées dans le tableau suivant: Plage d’adresses IP Durée du bail Tentatives de détection de conflits Activer les mises à jour dynamiques des enregistrements DNS 172.16.10.51 à 172.16.10.250 8 JOURS 0 OUI Caractéristiques Vous déconnectez les 100 ordinateurs de bureau et vous les remplacez par du matériel neuf. Quand vous connectez les nouveaux ordinateurs au segment, la moitié d’entre eux peuvent communiquer avec d’autres hôtes sur le réseau local et sur le(s) réseau(x) distant(s). L’autre moitié ne peut absolument pas communiquer avec autre hôte, quel qu’il soit. Vous avez besoin d’activer tous les nouveaux ordinateurs pour communiquer avec les réseaux distants. Quels sont les deux moyens possibles pour que vous puissiez atteindre votre but?
Supprimer tous les baux existants pour l’étendue.
Augmentez le paramètre pour les tentatives de détection de conflits à 1.
Compilez une liste d’adresses IP qui sont actuellement utilisées avec succès par les nouveaux ordinateurs et par les ordinateurs portables. Pour n’importe quelle adresse IP qui n’apparaît pas dans cette liste supprimez les baux actuels dans l’étendue.
38) Quels sont les problèmes courants de connexion DNS? Vous êtes l’administrateur du réseau de Alexandre, qui relie votre bureau principal à une branche. Le réseau consiste en un seul domaine Active Directory en mode natif. Tous les serveurs exécutent Windows 2000 Serveur et tous les ordinateurs clients exécutent Windows 2000 Professionnel. Vous utilisez le DNS pour la résolution de noms. Le serveur de la première zone est localisé au bureau principal et le serveur de la zone secondaire est localisé à la branche. Votre bureau principal comprend un département développement avec 200 employés. Ces utilisateurs ont des horaires flexibles et reconfigurent régulièrement leurs ordinateurs pour des effectuer des tests. Des utilisateurs de la branche signalent des problèmes intermittents lorsqu’ils essayent d’accéder aux ressources réseau. Ils reçoivent parfois un message d’erreur indiquant que le chemin du réseau n’a pas été trouvé. Quelques fois, ils ne sont pas dirigés vers le bon serveur. Vous devez vous assurer que toutes les résolutions de noms pour les utilisateurs de la branche sont correctes et courantes. Votre solution doit engager le moins de changements possibles à votre configuration DNS. Que devez-vous faire?
Configurez le serveur de la zone primaire avec une liste de notifications qui contient le serveur de la seconde zone.
39) Que devons-nous faire dans les segments d'un réseau sur lesquels nous rencontrons des problèmes de connexion avec des fichiers partagés ? Vous êtes l’administrateur du réseau de Alexandre. Vous configurez les ordinateurs portables de vos utilisateurs pour leur permettre de se connecter au réseau de l’entreprise en utilisant le routage et l’accès à distance. Vous testez les ordinateurs portables sur le LAN et vous vérifiez qu’ils peuvent se connecter avec succès par nom aux ressources sur le réseau de l’entreprise. Quand vous testez la connexion grâce à l’accès à distance, tous les ordinateurs portables peuvent se connecter avec succès, mais ils ne peuvent pas accéder aux fichiers sur des ordinateurs sur différents segments en utilisant le nom de l’ordinateur. Que devez vous faire pour résoudre ce problème?
Installer l’agent de relais DHCP sur le serveur d’accès à distance.
40) Pourquoi doit-on corriger les entrées de la base de données Wins? Vous êtes l’administrateur du réseau de Alexandre. Tous les serveurs exécutent Windows 2000 Serveur et tous les ordinateurs clients exécutent Windows 2000 Professionnel. Tous les ordinateurs clients sont des clients DHCP, et tous les serveurs ont des adresses IP statiques. Vous utilisez à la fois WINS et DNS pour la résolution de noms. Pour la redondance, le réseau comprend 2 serveurs WINS, Jegu1 et Jegu2. Les deux sont configurés pour autoriser la configuration partenaire automatique. Jegu1 est géré par le département des Technologies de l’Information et Jegu2 est géré par le département Recherche. Les administrateurs réseau dans le département Recherche utilisent des entrées statiques dans la base de données WINS de Jegu2 pour gérer leurs serveurs. Des utilisateurs vous signalent qu’ils ne peuvent plus accéder à plusieurs serveurs du département Recherche qui étaient accessibles précédemment. Vous en déduisez que WINS résout de façon incorrecte les noms de serveurs. Quand vous analysez la base de données WINS, vous découvrez qu’elle contient des enregistrements incorrects des tables de mappage pour ces serveurs. Tous les autres enregistrements WINS sont corrects et ne sont pas affectés. Vous avez besoin de vous assurer que les enregistrements corrects apparaissent sur chaque serveur WINS. Vous devez atteindre ce but en dérangeant le moins possible le flux de travail. Que devez-vous faire ?
Sur Jegu2, corrigez les entrées WINS et augmentez le nombre de versions pour les enregistrements des serveurs du département Recherche.
Remarque Information Les hackers ne sont pas autorisés à réaliser certaines actions, où ils s’approprient des fichiers dont ils ne connaissent pas l’importance, et pour lesquels ils n’ont aucune préparation pour gérer ce genre d’information spécifique. 41) Comment réparer l'effacement du stockage contenant la base de données DHCP? Vous êtes l’administrateur réseau de votre entreprise, qui utilise une seule adresse réseau de 172.16.72.0/24. Tous les ordinateurs sur le réseau exécutent Windows 2000. Le réseau inclut 12 serveurs de ressources et 199 ordinateurs clients, tous configurés comme des clients DHCP. Le réseau comprend aussi des serveurs DNS dynamiques. Votre réseau contient un serveur DHCP Windows 2000 avec une adresse IP assignée manuellement de 172.16.72.254. Ce serveur utilise tous les paramètres par défaut. Pendant que vous menez des mises à niveau du matériel BIOS, vous effacez par inadvertance le stockage contenant la base de données DHCP. Vous n’avez pas de sauvegarde récente. Vous avez besoin de reconfigurer le serveur DHCP. Votre solution doit faire intervenir le moins de dérangement possible pour les utilisateurs du réseau. Quelles sont les 2 actions à mener?
Réglez le paramètre Tentatives de Détection de Conflits sur 1.
Créez une étendue avec une plage d’adresses allant de 172.16.72.1 à 172.16.72.220.
42) Pourquoi configurer un contrôleur de domaine comme un client DHCP? Vous êtes l’administrateur du réseau de Alexandre, qui consiste en un unique segment et en un domaine Windows 2000 unique. Dans un futur proche, votre entreprise prévoie d’apporter quelques changements à vos environnements DNS, WINS et de routage. Actuellement, vous utilisez l’adresse réseau 175.25.10.0/24 pour 200 ordinateurs clients et 3 contrôleurs de domaine Windows 2000. Tous les ordinateurs clients sont des clients DHCP. Votre serveur DHCP est configuré avec une seule étendue qui a les caractéristiques montrées dans le tableau suivant: Etendue DHCP Plage d’adresses IP Réservations d’adresses IP Exclusions d’adresses IP 172.25.10.0/24 175.25.10.6 à 175.25.10.254 Aucune Aucune Vous voulez assigner des adresses IP spécifiques à vos trois contrôleurs de domaine. Vous sélectionnez 172.25.10.10, 172.25.10.11, et 172.25.10.12 comme les adresses IP. Cependant, quand vous passez en revue la liste des baux actifs, vous remarquez que les 3 adresses IP sont attribuées comme bail à des ordinateurs clients pour une durée de 8 jours. Vous avez besoin d’assigner les adresses IP aux contrôleurs de domaine d’une manière qui minimisera les efforts administratifs futurs. Que devez-vous faire?
Créer des réservations d’adresses individuelles qui autorisent chaque contrôleur de domaine à utiliser une des 3 adresses IP.
Exécuter la commande ipconfig/renew sur chaque ordinateur client qui a un bail actif pour une des 3 adresses IP.
Configurer les contrôleurs de domaine comme clients DHCP.
43) Quand on doit créer une stratégie personnalisée IPSec? Vous êtes l’administrateur du réseau de Alexandre, qui consiste en un seul domaine Windows 2000. Le réseau inclut 15 ordinateurs exécutant Windows 2000 Serveur et 150 ordinateurs exécutant Windows 2000 Professionnel. Le réseau est divisé en 2 sous réseaux, avec tous les serveurs sur un sous réseau et tous les ordinateurs clients sur l’autre. Deux des serveurs, Jegu1 et Jegu2 ont le DNS et le DHCP installés et configurés. Tous les ordinateurs clients utilisent DHCP pour l’adressage IP et tous les serveurs ont des adresses IP statiques. Vous assignez la stratégie par défaut Secure Serveur IPSec (IPSec Serveur sécurisé) à tous les serveurs. Cependant, des utilisateurs signalent qu’ils ne peuvent plus ouvrir de session sur le domaine. Vous devez vous assurer que les données du serveur restent cryptées et que tous les utilisateurs peuvent ouvrir des sessions sur le domaine. Que devez-vous faire?
Configurer une stratégie IPSec personnalisée pour répondre de façon sécurisée au serveur du sous réseau pour tous les ordinateurs clients.
44) Quand un serveur doit-il être configuré comme un routeur ? Vous êtes l’administrateur réseau de votre entreprise, qui comprend un bureau principal à Lyon et une branche à Paris. Chaque bureau a une connexion persistante à Internet, mais il n’existe aucune connexion directe entre les deux bureaux. Les deux bureaux maintiennent des pare-feu qui autorisent uniquement le trafic Web sortant et le trafic VPN sortant vers Internet. Devant le pare-feu de Lyon, un routeur est connecté à deux Fournisseurs de Services Internet (ISPs). Toujours à Lyon, un serveur L2TP est connecté à Internet et au réseau local. Le bureau de Paris est connecté à Internet par une simple/unique connexion ISP. Les ordinateurs de Paris ont occasionnellement besoin de communiquer avec des serveurs de Lyon. Le bureau de Paris incluse un ordinateur Windows 2000 Serveur nommé Alexandre3. Vous avez besoin de configurer Alexandre3 pour fournir le routage partant du bureau de Paris vers celui de Lyon. Que devez-vous faire ?
Configurer Alexandre comme un routeur commuté à la demande pour qu’il se connecte au serveur L2TP à Lyon.
45) Comment minimiser le trafic de résolution de noms grâce à un serveur de routage à distance? Vous êtes l’administrateur d’un réseau de Alexandre qui consiste en un unique domaine Windows 2000, Alexandre.com et 3 sites. Chaque site est connecté à Internet par une ligne T1. Tous les sites sont connectés les uns aux autres au moyen de plusieurs serveurs de routage et d’accès à distance et par Internet. Vous installez un serveur DNS Windows 2000 sur chaque site. Vous avez besoin de vous assurer que les ordinateurs clients de chaque site peuvent résoudre les noms des ressources localisées sur n’importe quel autre site. Vous avez aussi besoin de minimiser le trafic de résolution de noms qui est passé grâce aux serveurs de routage et d’accès à distance. De plus, vous avez besoin de vous assurer que les fichiers de zones DNS ne peuvent pas être altérés par des ordinateurs externes, et que tous les enregistrements DNS puissent être gérés sur un seul et unique serveur DNS. Comment devez-vous configurer chaque serveur DNS?
Ajouter une zone primaire standard à un serveur DNS.
Ajouter une zone secondaire standard pour atteindre les autres serveurs DNS.
Configurer la zone primaire du serveur pour qu’elle autorise les transferts de zones uniquement vers les zones secondaires des serveurs.
46) Quand faire un mappage d'une adresse de fournisseur vers un port et d'une adresse IP d'un serveur qui héberge un site Web? Vous êtes l’administrateur du réseau de Alexandre, qui sert un bureau avec 130 utilisateurs. Le réseau comprend 11 serveurs exécutant Windows 2000 Serveur. Tous les serveurs ont des adresses IP statiques. Tous les ordinateurs clients exécutent Windows 2000 Professionnel et sont des clients DHCP. Un serveur nommé NATJegu1 fournit l’accès à Internet en utilisant le protocole de traduction d’adresses réseau (le protocole NAT). NATJegu1 utilise un pool de 105 adresses IP fournies par un Fournisseur de Services Internet (IIS). Un serveur nommé WebJegu1 héberge le site Web de Alexandre. Vous avez besoin d’améliorer l’accès à distance vers WebJegu1 pour 15 employés à plein temps qui travaillent fréquemment hors du site. De plus, vous avez besoin de fournir l’accès à distance vers WebJegu1 pour 4 développeurs Web indépendant qui travaillent hors du site et mettent à jour régulièrement le site Web de l’entreprise. Votre solution doit engager le moins de changements possible à la configuration de NATJegu1. Que devez-vous faire ?
Mappez une des adresses IP assignées par le fournisseur de services Internet directement vers l’adresse IP et le port de WebJegu1.
Remarque Ex phreaker Mantui, 23 ans maintenant propriétaire d’un cybercafé, un ex-phreaker. Il prétend que les accès illégaux s’arrêteraient ou du moins diminueraient fortement si les tarifs des communications étaient moins élevés. 47) Comment crypter les communications client/serveur sur un port ? Vous êtes l’administrateur du réseau de Alexandre, qui comprend 200 ordinateurs Windows 2000 Professionnel et un ordinateur Windows 2000 Serveur nommé Alexandre1. Alexandre1 exécute une application personnalisée client/serveur. L’application utilise TCP/IP pour les communications. Les ordinateurs clients interrogent initialement Alexandre sur le port TCP 4173. Les communications suivantes se produisent sur un port assigné de façon aléatoire, choisi par l’application client/serveur. L’application client/serveur trace des données de recherche confidentielles. Vous devez vous assurer que ces données sont sécurisées et cryptées quand elles sont transmises à travers le réseau. Vous créez une stratégie IPSec personnalisée sur Alexandre1 qui requiert des communications cryptées sur le port TCP 4173. Quelle(s) action(s) devez vous mener ?
Configurer les ordinateurs clients avec la stratégie IPSec Client.
Configurer Alexandre1 avec la stratégie IPSec Serveur.
48) Comment livrer des adresses DHCP dans un réseau mixte? Vous êtes l’administrateur d’un réseau de Alexandre qui consiste en un seul segment réseau commuté. Les ordinateurs de votre réseau ont les caractéristiques qui sont exposées dans le tableau suivant: Type d’ordinateur Nombre d’ordinateurs Système d'exploitation Vendeur de matériel Serveur 44 Windows 2000 Serveur Vendeur A Client 243 Windows 2000 Professionnel Vendeur B Client 65 UNIX Mélange de Vendeur C et de Vendeur D Tous les ordinateurs Windows 2000 sont configurés comme clients DHCP. Tous les ordinateurs UNIX sont configurés comme clients BOOTP. Tous les ordinateurs Windows 2000 doivent utiliser un serveur nommé Jegu1 pour les services DNS, et doivent aussi avoir un serveur WINS assigné. Tous les ordinateurs Windows 2000 Professionnel doivent tenter de renouveler leur bail DHCP après 8 heures, et tous les ordinateurs Windows 2000 Serveur doivent tenter de renouveler leur bail après 10 jours. Tous les ordinateurs UNIX doivent utiliser un serveur nommé Jegu2 pour les services DNS. Vous installez un serveur DHCP sur votre réseau et vous le configurez avec 4 étendues. Maintenant, vous avez besoin de configurer ce serveur pour qu’il délivre des adresses IP et des options DHCP aux ordinateurs appropriés. Quelles sont les trois actions à mener?
Définir une classe d’utilisateurs pour les ordinateurs UNIX.
Définir une classe de vendeurs pour les ordinateurs Windows 2000 Professionnel.
Définir une classe de vendeurs pour les serveurs.
49) Comment réduire le trafic supplémentaire dans un réseau Wins? Vous êtes l’administrateur du réseau de Alexandre, qui relie le siège et les 15 branches. Le réseau contient 5000 ordinateurs exécutant Windows 2000 Professionnel et 180 ordinateurs exécutant Windows 2000 Serveur. Le siège a 2 serveurs WINS, et chaque branche a un serveur WINS. Les serveurs WINS des branches sont configurés pour la reproduction du pousser-tirer entre eux. Vous activez un contrôle périodique de la cohérence des données de la base de données. Vous remarquez alors une augmentation du trafic réseau pendant les périodes de contrôle. Vous avez besoin de réduire ou d’éliminer le trafic supplémentaire, tout en maintenant l’intégrité des enregistrements de la base de données. Que devez-vous faire ?
Augmenter l’intervalle de vérification sur chacun des serveurs WINS.
50) Comment bloquer les transmissions interceptées par des individus non autorisés ? Vous êtes l’administrateur réseau pour la Alexandre Corporation, dont l’URL est www.Alexandre.com. Votre réseau consiste en un seul domaine Windows 2000. Il comprend un ordinateur Windows 2000 Serveur nommé Files1 et un serveur DNS nommé DNS1. Files 1 contient plusieurs dossiers partagés. DNS1 est configuré pour autoriser des mises à jour dynamiques. Selon la stratégie de votre entreprise, toutes les données transmises sur le réseau doivent être protégées contre l’interception par des individus non autorisés. Pour obéir à cette stratégie, vous appliquez la stratégie IPSec Client par défaut à tous les ordinateurs. Vous appliquez aussi la stratégie Secure Server IPSec (Serveur Sécurisé IPSec) par défaut à Files1. Des utilisateurs signalent qu’ils ne peuvent plus accéder aux dossiers partagés sur Files1. Vous vérifiez que les ordinateurs clients peuvent se connecter à d’autres serveurs réseau et entre eux. Quand exécutez la commande files1.Alexandre.com, vous recevez le message d’erreur suivant: Hôte files1.Alexandre.com inconnu. Cependant, vous pouvez effectuer avec succès un ping vers l’adresse IP de Files1. Vous avez besoin de permettre aux utilisateurs d’accéder aux dossiers partagés sur Files1. Vous devez maintenir le niveau de sécurité réseau le plus élevé possible. Que devez-vous faire ?
Sur DNS1, créez une stratégie IPSec personnalisée qui exempte le trafic DNS entre Files1 et DNS1.
51) Pourquoi des failles de connexion se produisent-elles dans les connexions à distance ? Vous êtes l’administrateur du réseau de Alexandre, qui consiste en un seul domaine Active Directory. Tous les serveurs sur le réseau exécutent Windows 2000 Serveur et tous les ordinateurs clients exécutent Windows 2000 Professionnel. Beaucoup d’employés travaillent chez eux en utilisant leur propre ordinateur. Une grande équipe commerciale voyage beaucoup en utilisant les ordinateurs portables fournis par l’entreprise. Vous avez besoin d’installer un serveur d’accès à distance qui va permettre à tous ces utilisateurs d’accéder aux ressources réseau. Par mesure de sécurité, vous prévoyez d’implémenter des connexions clients par routage et accès à distance en utilisant un tunnel L2TP/IPSec pour tous les utilisateurs distants. Vous installez et vous configurez le routage et l’accès à distance et vous configurez un serveur VPN. Vous acceptez tous les paramètres par défaut pour une configuration tunnel L2TP sur l’interface Internet. Vous installez un ordinateur exécutant Microsoft Certificate Server sur le réseau. Vous configurez les objets de la connexion VPN pour les utilisateurs d’ordinateurs portables. Vous donnez les instructions aux employés travaillant de chez eux afin qu’ils puissent configurer leurs connexions en utilisant l’assistant d’installation des connexions réseau sur leurs ordinateurs de bureau. Les utilisateurs travaillant depuis leur domicile vous signalent qu’ils ne peuvent pas se connecter au réseau en utilisant le nouveau serveur VPN. L’équipe commerciale ne signale aucun problème. Vous devez fournir un accès sécurisé aux ressources réseau à tous les utilisateurs distants. Que devez vous faire?
Enseigner à tous les utilisateurs distants à obtenir des certificats à partir du site Internet d’inscription du serveur de certificats.
52) Pourquoi une connexion à distance refuse-t-elle certaines connexions ? Vous êtes l’administrateur réseau de Alexandre. Le réseau consiste en un domaine Windows 2000 Active Directory s’exécutant en mode natif. Le domaine inclut un ordinateur Windows 2000 Serveur nommé AlexandreSrv. AlexandreSrv exécute le routage et l’accès à distance. Il est configuré uniquement comme un serveur commuté. AlexandreSrv utilise les stratégies d’accès à distance pour contrôler l’accès commuté. AlexandreSrv est un membre du domaine. Une utilisatrice, Pocha, signale qu’elle n’est jamais en mesure de se connecter à AlexandreServ en utilisant son ordinateur Windows 2000 Professionnel. A chaque fois qu’elle essaye, elle reçoit le message suivant; Accès refusé. Vous vérifiez

Forum
Tutoriels
Liens
Contacts