Préparation de l'infrastructure du réseau pour Windows 2000 (Microsoft Windows 2000 Server Resource Kit - Chapitre 6)

Sur cette page

Préparation de l'infrastructure du réseau pour Windows 2000 (chapitre 6)
Préparation de l'architecture du réseau
Étapes préliminaires
Stabilisation du réseau existant
Examen des protocoles du réseau
Préparation de l'infrastructure physique
Préparation des serveurs
Préparation des contrôleurs de domaines
Préparation des serveurs membres
Préparation de l'infrastructure de sécurité
Préparation des clients
Considérations relatives à la mise à niveau avec Windows 2000 Professionnel
Préparation à l'exécution avec d'autres systèmes
Liste des tâches de la préparation de l'infrastructure du réseau

Préparation de l'infrastructure du réseau pour Windows 2000 (chapitre 6)

Préparation de l'architecture du réseau

Nous allons maintenant examiner la façon de préparer votre infrastructure de réseau pour Windows 2000. Si chaque réseau est différent, et si vos priorités vont être déterminées par nombre de facteurs techniques et organisationnels, vous pouvez tout de même appliquer le chemin de préparation général de la figure 6.3.

Figure 6.3 Organigramme de la préparation du réseau.

Chacune de ces rubriques est analysée en détail dans les chapitres suivants de ce livre. Nous n'abordons ici que les points que vous devez avoir à l'esprit lors de la préparation de votre infrastructure réseau pour Windows 2000.

Étapes préliminaires

Tandis que vous commencez à préparer votre infrastructure de réseau pour Windows 2000, il vous faut stabiliser le réseau existant et réexaminer ses protocoles.

Stabilisation du réseau existant

Avant d'implémenter une mise à niveau ou un projet de migration de réseau, vous devez identifier et corriger tout goulot d'étranglement, le matériel en dysfonctionnement, les configurations instables ou problématiques, etc.

Ciblez les ordinateurs, périphériques et dispositifs réseau instables dans votre travail de planification de la mise à niveau matérielle. Efforcez-vous de mettre à jour votre planning de maintenance. Quand vous remplacez des périphériques réseau tels que les cartes, choisissez-en qui soient compatibles avec Windows 2000, tels que cela est établi par la HCL.

Examen des protocoles du réseau

Chaque réseau se sert de protocoles selon les besoins impartis. Les entreprises qui ont un réseau Ethernet vont par exemple employer une combinaison de TCP/IP, NetBEUI, SPX/IPX et d'autres, selon leurs besoins d'authentification et de sécurité, ainsi que les capacités des systèmes d'exploitation en place. Identifiez les protocoles en usage sur votre réseau. En même temps, voyez ceux qui peuvent être remplacés par des versions Windows 2000, voire éliminés, parce qu'ils ne sont plus nécessaires aux clients mis à niveau. Si, par exemple, vous remplacez tous les clients qui se servent de SPX/IPX par des clients Windows 98 ou Windows 2000 Professionnel au cours de votre migration, vous pourrez éliminer IPX/SPX de votre réseau, et libérer ainsi de la largeur de bande. Pensez à simplifier votre réseau en ne recourant qu'aux protocoles de la pile TCP/IP.

Windows 2000 comprend une suite de protocoles TCP/IP qui offre davantage de fonctionnalités que les versions précédentes, telles que la prise en charge des fenêtres de largeur supérieure à 64 ko et l'acquittement sélectif. Vous devez vous servir de la pile de protocoles TCP/IP de Microsoft pour obtenir certaines fonctionnalités telles que le prise en charge de Active Directory, et tirer parti des caractéristiques avancées du système d'exploitation. Ainsi les versions précédentes de Windows NT se servent-elles du protocole PPTP pour sécuriser les liens de communication. Windows 2000 prend toujours en charge PPTP, mais il dispose d'une fonctionnalité et d'une sécurité des communications accrues en prenant en charge aussi le protocole L2TP (Layer 2 Tunneling Protocol). Pour de plus amples renseignements sur les améliorations des caractéristiques et des performances de la suite TCP/IP de Windows 2000, reportez-vous au chapitre "TCP/IP de Windows 2000" dans le guide Architecture de TCP/IP du Kit de Ressources Techniques de Microsoft Windows 2000 Server.

Préparation de l'infrastructure physique

Examinez la qualité et la largeur de bande de votre câblage et de vos périphériques réseau existants, et voyez s'ils prendront en charge vos plans de mise à niveau ou de migration. Certains éléments comme les répéteurs multiports et le câblage sont-ils assez rapides pour vos objectifs ? Quelle est la vitesse de vos liens entre des sites géographiquement dispersés ? Quelle quantité de trafic est produite intérieurement sur votre réseau ? Par exemple, un poste distant qui utilise un traitement de texte ou tableur pour une application bureautique ne provoque guère de trafic sur le serveur local ; un câblage de catégorie 3 avec une capacité de transmission de 10 Mbits/s comportant des concentrateurs aux vitesses équivalentes sera acceptable. Dans l'entreprise, les applications partagées avec données partagées, telles que des bases de données et systèmes de comptabilité, qui produisent un trafic considérablement plus volumineux et requièrent des périphériques et un câblage plus rapides.

L'importance croissante que revêtent l'accès à Internet et le multimédia dans les entreprises augmente les exigences en matière de largeur de bande. Les réseaux Ethernet qui exécutent des applications partagées vont sans doute requérir des câbles de Catégorie 5, avec des capacités de vitesses de transmission de 100 Mbits/s.

Évaluez la demande en largeur de bande dans votre laboratoire de test pour une configuration spécifique. Si, par exemple, votre entreprise a l'intention de transmettre des données vocales et vidéo sur le réseau de données, votre câblage et ses commutateurs doivent être à même de gérer la demande émanant de ces services.

Les outils de diagnostic de Windows NT et d'autres éditeurs peuvent vous aider à déterminer la demande de largeur de bande que suppose, par exemple, l'envoi d'un signal vidéo compressé sur les liens longue distance de votre réseau. Dans un laboratoire de test, vous pouvez tester plusieurs configurations possibles des équipements pour déterminer la solution la plus bénéfique.

Les spécifications de configuration des caractéristiques de Windows 2000 que vous entendez employer vont affecter votre projet de déploiement. Par exemple, si un volume Dfs dans un bureau de filiale effectue une réplication sur lien lent dans un autre volume Dfs, vous devrez le cas échéant soit mettre à niveau ce lien pour améliorer la largeur de bande, soit déplacer l'autre volume de ce bureau afin de réduire la quantité du trafic affectant le lien lent.

Certaines caractéristiques de Windows 2000 requièrent une configuration spécifique : par exemple, le placement d'un serveur de réseau privé virtuel (RPV) à une extrémité d'une connexion longue distance pour pourvoir à l'établissement d'une connexion RPV sécurisée. Vous devez inclure ces considérations de configuration (comment, par exemple, allez-vous intégrer le serveur RPV avec les serveurs proxy ?), dans votre plan. Examinez l'infrastructure existante de votre réseau en fonction des caractéristiques et des avantages escomptés, comme les liens longue distance sécurisés recourant au RPV, que vous prévoyez de déployer. Pour de plus amples renseignements sur la configuration de votre stratégie de sécurité pour Windows 2000, reportez-vous au chapitre 17, "Stratégies de sécurité réseau de Windows 2000", de ce livre. Pour davantage d'informations relatives à la ou sur la configuration de Windows 2000, reportez-vous au chapitre 11, "Planification de la sécurité distribuée", de ce livre.

Réexaminer la compatibilité de vos périphériques réseau avec Windows 2000. Recherchez dans la Liste de compatibilité matérielle vos cartes de réseau, modems et certains types de concentrateurs. Par exemple, Windows 2000 peut se décharger du calcul des sommes de contrôle de TCP sur des cartes réseau qui prennent en charge cette caractéristique, ce qui améliorera les performances. Pour de plus amples renseignements sur les systèmes et périphériques approuvés dans la HCL, reportez-vous à la Liste de compatibilité matérielle  de Microsoft Windows. Windows 2000 prend en charge le Mode de transfert asynchrone (ATM) et permet une migration en douceur des réseaux vers ATM, en proposant les services d'émulation de réseau local sous ATM (LANE). Windows 2000 prend en charge IP sur ATM. Si vous avez l'intention d'utiliser ATM de Windows 2000 ou si vous vous servez aujourd'hui d'ATM de Windows NT 4.0, assurez-vous que votre vendeur ATM vous fournisse des pilotes mis à jour pour Windows 2000. Vérifiez que vos cartes ATM figurent sur la HCL.

Préparation des serveurs

Il se peut que vous déployiez Windows 2000 dans un environnement en mode mixte, ou que vous passiez à terme dans un réseau Windows 2000 natif. La planification qui vous est recommandée aux chapitres 9 et 10, "Conception de la structure Active Directory" et "Stratégies de migration des domaines", de ce livre, vous seront utiles quand vous implémenterez ou mettrez à niveau votre plan d'adressage IP en parallèle avec votre plan Active Directory.

Vous avez déjà identifié vos serveurs d'infrastructure : les contrôleurs principaux et secondaires de domaine, et les serveurs DNS, DHCP, WINS et autres qui figurent dans votre infrastructure. Vérifiez que vos pilotes matériels sont bien disponibles pour Windows 2000. Si des pilotes ou des équipements dont vous vous servez ne sont pas listés dans la HCL, informez-vous auprès de leur fabricant, ou testez-les pour déterminer leur compatibilité avec Windows 2000.

Les versions précédentes de Windows NT et nombre de serveurs DNS tierce partie ne peuvent se synchroniser dynamiquement avec DHCP, et ne peuvent donc garder à jour les associations entre adresses IP et noms. De ce fait, vous devrez mettre à niveau vos services DNS avec un DNS compatible Windows 2000. DNS de Windows 2000 met automatiquement à jour les champs d'enregistrement DNS, éliminant par là la mise à jour manuelle.

Quand vous envisagerez de mettre à niveau votre réseau, considérez avec soin le placement de vos serveurs DHCP par rapport au nombre et à la taille des sites géographiques de votre réseau, ainsi qu'en fonction de la vitesse et de la fiabilité de ses liens longue distance. Le trafic DHCP entre les sites distants requiert une amélioration de la largeur de bande et de la fiabilité du lien entre sites. Pour de plus amples renseignements sur ce sujet, reportez-vous au chapitre 7, "Détermination des stratégies de connectivité réseau", de ce livre.

Si vous entendez prendre en charge des clients qui résolvent l'adressage IP à l'aide de requêtes NetBIOS, vous devrez vous servir de WINS pour transformer les noms d'ordinateur en adresses IP. En général, MS-DOS, Windows version 3.2x et antérieures, Windows 95, Windows 98 et les systèmes de Windows NT, recourent à NetBIOS pour ce faire. L'heure est néanmoins à l'élimination de l'utilisation de WINS sur votre réseau.

DHCP de Windows 2000 offre la prise en charge du multimédia par le biais d'un contrôle amélioré, d'un composant logiciel enfichable de gestion et de la prise en charge de la multidiffusion (multicast). DHCP de Windows 2000 est aussi dynamiquement intégré avec DNS de Windows 2000 pour soutenir Active Directory. Les plus anciennes versions de DNS n'offrent pas cette prise en charge ; il vous faudra donc sans doute procéder à une mise à niveau, si vous avez l'intention de déployer Active Directory ou de répartir la charge réseau entre vos serveurs DHCP.

L'installation de routeurs Windows 2000 et de serveurs d'accès distant est nécessaire pour les liaisons entre réseaux longue distance, les réseaux privés virtuels (RPV) sécurisés et l'accès distant. Routage et accès distant sont intégrés à Windows 2000 et prennent en charge divers autres protocoles, tels que IPX/SPX et AppleTalk.

Si vous déployez Windows 2000 dans un environnement mixte comportant des systèmes d'UNIX, notez la version de BIND qui est votre système. Bien que Windows 2000 soit entièrement compatible avec les versions précédentes, il offre une fonctionnalité DNS améliorée avec les versions 4.9.4 et ultérieures.

Préparation des contrôleurs de domaines

Certaines sociétés vont planifier un déploiement graduel de Windows 2000 dans leur environnement de production, alors que d'autres opteront pour une migration complète. En installant Windows 2000 sur quelques serveurs, vous pouvez préserver vos relations d'approbation et de domaine Windows NT 4.0 existants au sein de la structure de domaines Windows 2000, et donner du temps à votre entreprise pour qu'elle se familiarise avec les opérations et les concepts du nouveau système d'exploitation. Pour de plus amples renseignements sur les stratégies de migration, reportez-vous au chapitre 10, "Stratégies de migration des domaines", de ce livre.

Windows 2000 est conçu pour fonctionner sur réseau Windows NT 4.0. Les stations de travail Windows NT 4.0, à l'aide du protocole NTLM, peuvent envoyer des demandes d'authentification réseau au contrôleur de domaine de Windows 2000 qui agit en tant que contrôleur de domaine dans un domaine Windows NT. Les relations d'approbation sont facilement établies entre domaines Windows 2000 et Windows NT 4.0, et prennent en charge l'authentification entre domaines. En déployant Windows 2000, vous n'avez pas besoin de faire migrer en une seule fois tous vos domaines Windows NT 4.0 sous Windows 2000.

Quand vous mettez à niveau un domaine avec Windows 2000, vous devez dans un premier temps mettre aussi à niveau le contrôleur principal de domaine du domaine donné. Ensuite, vous mettez à niveau à votre propre rythme les contrôleurs secondaires de domaine. Vous ajoutez pour finir le domaine à l'arbre Active Directory. Vous pouvez mettre à niveau les serveurs membres et les ordinateurs clients indépendamment de votre stratégie de mise à niveau des domaines mais, si aucun contrôleur de domaine Windows 2000 n'est installé, ces ordinateurs n'auront pas accès à Active Directory ou à d'autres caractéristiques avancées.

Quand vous mettez à niveau un contrôleur de domaines, comme dans la plupart des opérations relevant du réseau, pensez à prévoir un plan de repli en cas de problème. L'une de vos tâches devrait consister à vous assurer du bon fonctionnement d'un contrôleur secondaire de domaine, puis de l'isoler afin qu'il puisse jouer le rôle d'un contrôleur de domaine de sauvegarde. Pour de plus amples renseignements sur la préparation d'un contrôleur de domaine de sauvegarde, reportez-vous au chapitre 10, "Stratégies de migration des domaines", de ce livre.

Si un contrôleur de domaines Windows 2000 fonctionne dans un domaine qui comportent des contrôleurs secondaires de domaines Windows NT, le nombre total d'objets (utilisateurs, groupes d'utilisateurs et ordinateurs) de ce domaine ne doit pas dépasser la limite recommandée pour les domaines de Windows NT, laquelle est de 40 000.

Préparation des serveurs membres

Un serveur membre est un serveur qui fonctionne comme membre d'un domaine Windows 2000 ou Windows NT, mais dont le rôle n'est pas celui de contrôleur de domaine. Les rôles du serveur membre incluent :

• Les serveurs de fichiers, d'applications et d'impression

• Les serveurs Web, de relais et d'accès distant

• Les serveurs de base de données

• Les serveurs de certificat.

Windows 2000 vous permet d'améliorer la fonctionnalité de vos serveurs membres dans chacun de leurs attributs.

Rappelez-vous, quand vous évaluez la compatibilité matérielle d'un ordinateur, de prendre en compte son rôle après la mise à niveau. Il n'existe pas de recommandations toutes faites pour déterminer quels composants matériels sont requis par une fonction particulière. Vous devrez tester l'ordinateur dans son rôle (de préférence dans le laboratoire de test, plutôt que dans le réseau de production) afin de voir s'il est pertinent sur le plan de la vitesse de l'unité centrale, de la mémoire vive et de l'espace de disque dur, et s'il opère de façon adéquate pendant qu'il exécute les pilotes, les applications et les protocoles du rôle prévu.

Pour de plus amples renseignements sur la préparation de vos serveurs membres, reportez-vous aux chapitres 13 et 15, "Automatisation de l'installation et de la mise à niveau des serveurs" et "Mise à niveau et installation de serveurs membres", de ce livre.

Préparation de l'infrastructure de sécurité

Windows 2000 a été conçu pour fournir des niveaux de sécurité pour les données nettement supérieurs, tout en offrant aux administrateurs une grande facilité d'implémentation et d'administration. Ses nouvelles caractéristiques, telles que IPSec, l'authentification Kerberos et les clé publiques, offrent un niveau sans égal de sécurité par rapport aux versions précédentes de Windows NT.

Comme Windows 2000 est conçu pour fonctionner dans une structure de domaines Windows NT existante, vous pouvez facilement introduire des serveurs l'exécutant dans la structure de sécurité réseau en place. Toutefois, tandis que vous faites migrer ou mettez à niveau votre réseau Windows NT avec Windows 2000, votre stratégie de sécurité sera influencée par celles de ses caractéristiques sécuritaires que vous avez l'intention de déployer. Si, par exemple, vous faites aujourd'hui appel au serveur proxy de Microsoft sur votre réseau, vous devrez mettre à niveau ce produit pour Windows 2000 et installer le bon logiciel client pour ce service.

Windows 2000 prend en charge l'infrastructure de clé publique (Public Key Infrastructure en anglais, ou PKI), une méthode d'authentification recourant aux certificats numériques, aux autorités de certification et à un logiciel de gestion des certificats. L'authentification par certificat qui sécurise le courrier électronique et les accès à Internet est employée dans la technologie des cartes à puce et sécurise les communications (à l'aide d'IPSec) avec les clients non-Kerberos. Pour de plus amples renseignements sur la planification et le déploiement d'une PKI, reportez-vous au chapitre 12, "Planification de votre infrastructure de clé publique", de ce livre. Les particularités de déploiement de la PKI sont déterminées par le service spécifique de certificat que vous emploierez : vous pouvez choisir les services de Certificat de Microsoft ou des services d'autres éditeurs.

Définissez vos spécifications pratiques et stratégies de certificat. Si vous pensez implémenter une PKI tierce partie, assurez-vous qu'elle soit compatible avec Windows 2000. Sachez que la PKI de Windows 2000 ne remplacera pas les mécanismes d'approbation et d'autorisation existants des domaines Windows, tels que le protocole Kerberos. Les caractéristiques de la PKI de Windows 2000 sont intégrées au contrôleur de domaines et aux services de l'authentification Kerberos.

Vous pouvez implémenter PKI par étapes pour répondre à des objectifs particuliers (courrier électronique ou prise en charge de l'authentification des systèmes existants), selon vos priorités.

Pour implémenter PKI par étapes

1. Installez les autorités racines de certification dans les domaines parents pour chaque arbre Windows 2000 dans votre forêt de domaines.

2. Installez les autorités de certification intermédiaires dans les domaines de chaque entité fonctionnelle.

3. Installez et configurez la distribution et les services de certificats dans les domaines de chaque groupe d'utilisateurs, sur chaque site, en fonction des besoins.

Préparation des clients

Comme Windows 2000 est conçu pour l'interopérabilité, les ordinateurs clients exécutant des versions précédentes de Windows sont compatibles avec Windows 2000 dans un environnement en mode mixte. Cependant, leur mise à niveau vous offre aussi une sécurité des machines clients et des utilisateurs, et une fiabilité et une fonctionnalité accrues.

Toutes les versions de Windows ne peuvent être mises à niveau avec Windows 2000 Professionnel. Vous pouvez y procéder avec les versions de Windows et Windows NT suivantes :

Windows 95 Toutes les versions sont prises en charge, y compris OSR2.x. Si, cependant, vos clients exécutent Windows 95 à partir d'un serveur, vous devez installer directement Windows 95 sur l'ordinateur, ou effectuer une installation complète de Windows 2000 Professionnel.

Windows 98 Toutes les versions sont prises en charge. Reportez-vous au paragraphe, "Considérations relatives à la mise à niveau avec Windows 2000 Professionnel", ci-après.

Windows NT 4.0 Workstation Toutes les versions sont prises en charge. Reportez-vous au paragraphe, "Considérations relatives à la mise à niveau avec Windows 2000 Professionnel", ci-après.

Windows NT 3.51 Workstation Toutes les versions sont prises en charge.

Considérations relatives à la mise à niveau avec Windows 2000 Professionnel

Des applications et des pilotes qui fonctionnaient avec le système d'exploitation précédent peuvent éprouver des difficultés dans un environnement Windows 2000 Professionnel. Ces questions pour les clients Windows NT, Windows 95 et Windows 98 sont analysées ci-après.

Remarque
La version 3.1 de Windows et ses versions précédentes ne sont pas envisagées.

Mise à niveau des clients Windows NT

Les clients Windows NT sont en général aisément mis à niveau avec Windows 2000 Professionnel, avec toutefois les réserves suivantes :

• Toutes les applications au niveau client qui dépendent de filtres sur le système de fichiers, tels que les logiciels antiviraux ou de quotas de disque, ne fonctionneront pas correctement, en raison des changements intervenus dans le modèle du système de fichiers de Windows 2000.

• Si vos clients exécutent des protocoles réseau qui n'ont pas de version mise à jour dans le dossier I386\Winntupg du CD-ROM de Windows 2000, vous devrez soit vous en passer, soit vous procurer leurs mises à jour.

• Si vos clients se servent d'outils tierce partie de gestion de l'alimentation, envisagez de recourir à l'Interface de configuration et d'alimentation avancée (ACPI) et à la Gestion avancée de l'alimentation (APM) de Windows 2000 pour les remplacer.

• Retirez les pilotes Plug and Play tierce partie avant la mise à niveau.

Mise à niveau de clients Windows 95 et Windows 98

Le chemin de mise à niveau des clients Windows 95 et Windows 98 est habituellement aisé. Ayez cependant à l'esprit les recommandations suivantes :

• Les applications au niveau client qui dépendent de systèmes de fichiers précédents ne fonctionneront pas correctement. Ce sera par exemple le cas des utilitaires de compression, des outils de défragmentation. Les applications antivirales doivent être strictement compatibles avec Windows 2000.

• Les applications et les outils qui se servent de pilotes de périphérique virtuels (VxD et .386) ne fonctionneront pas correctement. Contactez leur fabricant pour voir s'il en existe des mises à jour.

• Nombre d'ordinateurs clients comportent des pilotes de périphérique tierce partie. Lors de leur mise en place, il arrive qu'une application du Panneau de configuration leur soit adjointe pour fournir une fonctionnalité supplémentaire. Testez ces applications dans un environnement Windows 2000 et enquérez-vous auprès du fabricant de leur compatibilité avec Windows 2000.

• Les mêmes réserves précédemment émises quant aux protocoles réseau, aux programmes de gestion de l'alimentation et aux pilotes Plug and Play tierce partie s'appliquent aussi aux clients Windows 98 et Windows 95.

Préparation à l'exécution avec d'autres systèmes

Nombre d'entreprises fonctionnent au sein d'un environnement hétérogène où figurent divers systèmes d'exploitation. Windows 2000 offre des services de passerelle pour certains d'entre eux, permettant aux clients Windows d'avoir accès à leurs ressources et de les traiter. Par exemple, en installant les services de Passerelle pour NetWare, vos clients Windows tirent parti de leur intégration à un réseau Windows 2000, tout en étant en même temps à même de naviguer dans les hiérarchies des services d'annuaires de Novell (NDS), de se servir des scripts d'ouverture de session Novell version 4.x ou ultérieure, et de s'authentifier auprès d'un serveur Novell.

Liste des tâches de la préparation de l'infrastructure du réseau

Le tableau 6.1 énumère les tâches recommandées qu'il vous faut accomplir pour préparer votre infrastructure de réseau existante pour Windows 2000.

Tableau 6.1 Liste des tâches de la préparation de l'infrastructure du réseau

Dernière mise à jour le mardi 1 février 2000

Pour en savoir plus

• D'autres chapitres du kit de ressources Techniques