Correction de
l'examen 2004-2005
Licence Pro - Module Unix-W2K
RETOUR
Ces trois questions sont en relation avec la configuration des serveurs DNS.
- Une zone de recherche directe est un sous-ensemble de la base de données hébergée sur
un serveur DNS. Ce sous ensemble renseigne les informations nécessaires à la résolution
nom IP vers adresse IP pour un domaine TCP/IP.
Plusieurs zones de recherches directes peuvent être gérées sur le même serveur DNS. Mais, il n'existe, sur un même serveur, qu'une seule zone par domaine TCP/IP géré. - Une zone de recherche inverse (ou inversée) est un sous-ensemble de la base de données
hébergée sur un serveur DNS. Ce sous-ensemble renseigne les informations nécessaires à
la résolution adresse IP vers nom IP pour une classe d'adresses IP.
Plusieurs zones de recherche inverse peuvent être gérées sur le même serveur DNS. Mais, il n'existe, sur un même serveur, qu'une seule zone par classe d'adresses IP. - Un redirecteur est désigné par une adresse IP. Il désigne un serveur DNS vers lequel rediriger les requêtes de résolution DNS qui n'auraient pas pu être résolues positivement ou négativement. Plusieurs redirecteurs peuvent être indiqués sur le même serveur DNS. Cette liste inclura le ou les serveurs DNS des domaines IP parents des domaines IP gérés par ce serveur. Elle peut aussi inclure les serveurs DNS des domaines IP enfants.
- La gestion centralisée d'un parc et de comptes d'utilisateurs implique la création
d'un domaine Windows 2000.
Par soucis de pérennité des informations liées à la gestion du domaine Windows, on prévoira non pas un seul contrôleur de domaine, mais au moins deux. L'un pourra être arrêté pendant que l'autre assurera la continuités des services de gestion du domaine.
On utilisera toute méthode hardware ou software permettant de pérenniser le fonctionnement de ces serveurs (salle machines sécurisée, clustering, RAID,...).
On mettra en place une politique de sauvegarde des systèmes sur support amovible. - La gestion centralisée de l'adressage IP reprend et complète les opérations
nécessaires à la création d'un domaine Windows 2000.
En effet, la création d'un domaine Windows 2000 requière les services d'un serveur DNS pour gérer la résolution de nom sur le domaine TCP/IP qui sera créé en association au domaine Windows 2000. Si ce serveur existe, il peut être utilisé. S'il n'existe pas, il devra être créé (généralement sur le premier contrôleur de domaine du domaine Windows).
L'intérêt de l'hébergement du service DNS sur un contrôleur du domaine est que les informations qu'il renseigne pourront être stockées au sein d'Active Directory, permettant ainsi de résoudre facilement le problème de la pérennisation du service DNS sur l'ensemble du parc. Il suffira d'installer le service DNS sur un contrôleur de domaine Windows supplémentaire pour que celui-ci récupère ses informations de configuration dans AD. Sur les clients DNS, on pourra indiquer les adresses IP des 2 (ou plus) serveurs.
Pour compléter la gestion centralisée de l'adressage IP, on installera le service DHCP sur au moins un et plus probablement au moins deux serveurs de manière que ces machines puissent indiquer à des clients éventuels leur jeu de paramètres TCP/IP. Il est possible de configurer DHCP pour qu'il maintienne les serveurs DNS à jour si on utilise un DHCP dynamique. - Le service de partage de fichiers pourra être implanté soit sur un contrôleur de domaine, soit sur un serveur indépendant membre du domaine Windows, mais non contrôleur et n'ayant donc pas à supporter la charge de travail d'administration du domaine Windows. Pour choisir entre les deux solutions, on devra évaluer le coût des deux solutions en termes de financement, de risque, de charge de travail pour le réseau et les serveurs, de charge de travail pour le ou les administrateurs,...
- Le problème est exactement le même en ce qui concerne le service d'impression.
Toutes les adresses sont interdites sauf celles autorisées correspondant au ou aux filtres placés.
Le groupe d'adresses de 172.20.128.133 à 172.20.128.171 ne peut être décrit au moyen d'un seul filtre. En effet, ces 39 adresses consécutives ne peuvent pas être regroupées au sein d'une classe correspondant à un masque unique tel que ces adresses possèdent n les mêmes premiers où n est le nombres de bits à 1 consécutifs trouvés dans le masque (de gauche à droite).
6 filtres sont nécessaires.
Le premier est un filtre pour machine unique.
Les 5 suivants sont des filtres pour groupe de machines (avec masque).
Groupe de machine ou machine |
Taille | Adresse | Masque |
| 172.20.128.133 | 1 | 172.20.128.133 | - |
| 172.20.128.134, ..., 172.20.128.135 | 2 | 172.20.128.134 | 255.255.255.254 |
| 172.20.128.136, ..., 172.20.128.143 | 8 | 172.20.128.136 | 255.255.255.248 |
| 172.20.128.144, ..., 172.20.128.159 | 16 | 172.20.128.144 | 255.255.255.240 |
| 172.20.128.160, ..., 172.20.128.167 | 8 | 172.20.128.160 | 255.255.255.248 |
| 172.20.128.168, ..., 172.20.128.171 | 4 | 172.20.128.168 | 255.255.255.252 |
a) Il existe au moins 3 techniques pour discriminer des sites (Web, FTP, ...) hébergés sur un même serveur. Ces techniques sont compatibles entre elles.
1) Associer le site à un port TCP/IP particulier. Les ports TCP/IP standards sont le 21 pour le FTP et le port 80 pour le Web. On pourra "installer" le site virtuel sur n'importe quel port de valeur supérieur à 1024. L'URL utilisée par le client devra alors spécifier explicitement le port à utiliser.
2) Associer le site à une ou plusieurs adresses IP. Si l'URL du client réfère à cette ou une de ces adresses soit directement soit après une résolution de nom DNS (ou hosts), c'est ce site qui sera utilisé à l'exclusion de tout autre.
Cette solution correspond au cas où plusieurs cartes réseau sont installées dans le serveur. Chacune d'elles possède de manière exclusive une adresse IP. Une conséquence est que les requêtes correspondant à un site virtuel arriveront sur la ou les cartes réseau possédant ces adresses IP et non sur les autres.3) Associer le site à un ou des noms d'entête. Dans ce cas le téléchargement est orienté vers le site associé au nom.
Cette solution est indiquée lorsqu'une seule carte est installée dans le serveur mais que celui-ci possède plusieurs noms d'hôtes ou alias sur le ou les serveurs DNS dont il dépend.
b) Une première solution consiste à utiliser le filtrage IP, permettant de contrôler quelles sont les machines et donc les utilisateurs qui accèdent à un service.
Une deuxième solution consiste à supprimer l'accès anonymous aux ressources
publiées et donc à rendre obligatoire l'authentification.
Celle-ci pourra être réalisée de diverses manières suivant le service accédé (login
et mot de passe par dialogue interactif au clavier pour le FTP, login et mot de passe dans
l'URL pour l'accès à un site Web, ouverture automatique d'une fenêtre
d'authentification pour login et mot de passe, ...).
Les droits utilisables sur le site accédé sont ceux de l'utilisateur authentifié.
Une troisième solution consiste à utiliser des certificats numériques permettant de s'assurer de l'identité du client.
Toutes ces solutions sont compatibles.