Introduction
Voilà, la saga débute enfin et je vais ouvrir le bal avec une série d’articles sur Server Core. Plus exactement, je vais essayer de vous donner les clés pour pouvoir administrer votre Server Core avec un maximum de commandes utiles.
Cette série sur Server Core s’inspirera d’un article que j’ai écris pour PC Expert et qui a été publié en Octobre 2008 dans le numéro 190. Je vais bien sûr y apporter beaucoup plus de détails, n’étant cette fois-ci pas limité par le temps d’écriture, ni par le nombre de pages.
Qu’est-ce que Server Core?
Server Core est un nouveau mode d’installation apparu avec Windows Server 2008 qui permet d’avoir un système sans interface graphique et avec des fonctionnalités réduites. Le but de cette édition est réellement de diminuer au maximum la surface d’attaque, la consommation en ressources mais aussi la maintenance.
Le fait de se retrouver sans interface graphique, avec pour seule interface l’invite de commandes, vous allez être obligé de configurer votre serveur en lignes de commandes, au moins au départ.
Nous verrons qu’il est possible d’administrer Server Core à distance grâce aux RSAT (Remote Server Administration Tools), consoles d’administration graphiques (MMC: Microsoft Management Console) après avoir débloqué le pare-feu et autorisé l’administration à distance.
Dans cette première partie nous allons donc voir les commandes de bases qui permettent d’effectuer les étapes de configuration initiales d’un serveur: changement de nom, configuration réseau, intégration à un domaine, changement du mot de passe administrateur, etc...
A l’heure actuelle dans Server Core, il n’est pas possible d’utiliser Windows PowerShell, celui-ci étant basé sur le framework .NET qui lui n’est pas supporté sur Server Core. Cela devrait venir dans les prochaines versions.
Je vais donc vous vous fournir de petits scripts qui vous permettront d’effectuer la configuration de base d’un Server Core. A savoir que les commandes utilisées dans cette partie sont réutilisables dans la plupart des systèmes Windows car ce sont des commandes batch classiques. Vous pourrez télécharger chaque petit script indépendamment pour vous constituer une petite bilbiothèque de scripts batch réutilisables à souhait!
Attaquons la configuration…
Quelques commandes batch utiles
Avant de commencer, nous allons voir à quoi servent certaines commandes batch plus ou moins communes et qui se retrouvent utilisées dans mes petits scripts.
- “SET /p” permet d’enregistrer une saisie clavier dans une variable. Elle sera donc souvent utilisée pour permettre de réutiliser ces scripts quelque soit le contexte.
- “ECHO" permet d’afficher du texte à l’écran.
- “REM” permet de mettre une ligne de commentaire dans un script.
- “@echo OFF” en début de script permet de désactiver l’affichage des commandes du script lors de l’exécution.
Changement de mot de passe d’un compte utilisateur
Commençons par la modification du mot de passe du compte “administrator” (“administrateur” sur une version française de Windows Server 2008). Bien sûr la commande “net user” peut-être utilisée avec n’importe quel autre compte utilisateur local. Le caractère “ * ” est utilisé pour que le mot de passe soit demandé dans un prompt caché pour éviter qu’il soit affiché en clair sur l’invite de commandes.
Vous pouvez télécharger le mini script batch ici.
Modification du nom de machine
Dans ce script, on commence par afficher le nom actuel de la machine en affichant le contenu de la variable d’environnement %computername%.
Ensuite la commande “netdom renamecomputer” nous permet de changer le nom de la machine. Bien sûr, il faut avoir ouvert une session avec un compte faisant parti du groupe local “Administrateurs” du serveur. Sinon vous pouvez spécifier un nom d’utilisateur et un mot de passe différent dans la commande avec les commutateurs /UserO et /PasswordO.
Il est possible de renommer une machine à distance en spécifiant son nom à la place de la variable %computername%. Dans ce cas là, utilisez /UserO et /PasswordO pour spécifier un compte d’utilisateur ayant les droits nécessaires sur la machine distante.
Si la machine fait parti d’un domaine, il va être nécessaire de modifier le nom du compte d’ordinateur dans Active Directory Domain Services. Pour cela, vous pouvez spécifier un nom d’utilisateur et un mot de passe ayant ces autorisations de modification avec les commutateurs /UserD et /PasswordD.
Pour que les paramètres soient pris en compte, il faut impérativement redémarrer la machine, ce que nous faisons dans la dernière ligne de ce script avec la commande “shutdown”. Le commutateur “/r” permet de dire que nous effectuons un redémarrage (reboot) et le “/t” permet de définir un temps en secondes avant le redémarrage.
Vous pouvez télécharger ce mini script batch ici.
Ajout d’un FQDN (Fully Qualified Domain Name) à la machine et configuration du suffixe DNS en tant que suffixe DNS principal
Dans ce script, on commence par récupérer le nom de domaine DNS que l’on veut configurer sur la machine. Le fait de configurer un suffixe DNS principal manuellement permet par exemple de pouvoir configurer correctement le service Serveur DNS sans avoir à joindre la machine au domaine.
Si votre serveur fait parti d’un domaine (serveur membre), alors il n’est pas nécessaire de configurer ce suffixe DNS principal. Celui-ci est configuré automatiquement en fonction de l’appartenance à un domaine Active Directory.
En ligne de commande, pour pouvoir ajouter un suffixe DNS principal, il faut tout d’abord ajouter un FQDN à la machine ce que nous faisons avec la commande “netdom computername %computername% /add:FQDN”.
Ensuite nous définissons ce FQDN comme primaire ce qui a pour effet de configurer le suffixe DNS en tant que suffixe DNS principal de la machine. Nous faisons cette étape avec la commande “netdom computername %computername% /MakePrimary:FQDN”
Encore une fois, il faut redémarrer pour que les changements soient appliqués, ce que nous faisons à la fin du script.
Vous pouvez télécharger ce mini script batch ici.
Configuration d’une carte réseau (adresse IP, passerelle, serveurs DNS…)
Maintenant passons à la configuration réseau. Un serveur étant tout le temps en adressage statique, nous allons devoir lui fournir une adresse IP, un masque de sous-réseau, une passerelle par défaut et aussi des serveurs DNS. Vous trouverez dans ce script toutes les commandes nécessaires.
Pour la configuration réseau, l’outil “netsh” fournit tout ce dont nous avons besoin à ce niveau là et même bien plus.
Premièrement nous affichons les différentes interfaces réseau IPv4 présentes grâce à la commande “netsh interface ipv4 show interfaces”. Cela nous permet de récupérer l’identifiant ou le nom de l’interface que l’on souhaite configurer et qui nous servira dans les commandes suivantes.
Vous pouvez télécharger ce mini script batch ici.
Joindre la machine à un domaine Active Directory existant
Une fois la machine renommée et la configuration réseau effectuée, il faudra peut-être joindre la machine à un domaine. Pour cela, nous allons utiliser la commande “netdom join”.
On peut spécifier le compte d’utilisateur et le mot de passe d’un utilisateur du domaine ayant les autorisations pour joindre la machine à ce même domaine.
Le commutateur /REBoot nous permet de faire redémarrer la machine automatiquement une fois l’opération effectuée. Il est possible de spécifier un temps exprimé en secondes avant le redémarrage. Le redémarrage est de toute façon obligatoire pour que les modifications soient prises en compte et qu’on puisse ouvrir une session avec un compte du domaine.
Vous pouvez télécharger ce mini script batch ici.
Configuration pour l’administration à distance avec les RSAT
Nous en arrivons maintenant à la dernière étape de ce premier article qui est d’autoriser l’administration à distance de notre serveur. Il peut-être compliqué et peu pratique de devoir toujours administrer notre serveur en lignes de commandes. Heureusement, les RSAT vont nous permettre de faire tout cela à distance depuis une machine disposant des RSAT.
La première commande permet d’autoriser la configuration du pare-feu à distance avec la console de pare-feu avec fonctionnalités avancées.
La seconde commande active la règle qui nous permettra d’utiliser les RSAT depuis un autre poste.
Vous pouvez télécharger ce mini script batch ici.
Voici une capture d’écran qui vous montre que l’on peut administrer à distance le service DHCP installé sur un Server Core depuis une machine cliente Vista avec les RSAT.
Attention cependant, il n’est pas possible de lancer les outils d’administration à distance avec un compte utilisateur différent de celui avec lequel vous avez ouvert une session localement sur la machine cliente. Il faut donc s’assurer que le même compte utilisateur avec le même mot de passe existe aussi sur le Server Core. Le plus simple étant d’utiliser un compte de domaine si la machine Vista et Server Core sont membres d’un domaine. Il faut aussi s’assurer que le compte utilisateur choisi a bien les autorisations pour administrer le service que vous souhaitez.
Conclusion
Voilà, c’est fini pour ce premier article. Je vous ai donc présenté comment effectuer l’administration de base de Server Core en utilisant la ligne de commandes, vu que c’est la seule possibilité que vous vous retrouverez devant la bête.
J’espère que cela vous aidera à faire vos premiers pas avec cette version particulière. Vous pouvez bien sûr réutiliser l’ensemble des scripts que je fourni librement, j’espère qu’ils vous seront utiles!
N’hésitez pas à laisser des commentaires si quelque chose vous tracasse ou si vous désirez plus d’informations.
On se retrouve dans le prochain article de cette série dédiée à Server Core où je vous apporterai les connaissances pour configurer le service DHCP uniquement avec l’aide de scripts!
Microsoftement vôtre!