Read this article in english

Windows Server, c’est la version de Windows plĂ©bicitĂ©e par les entreprises pour leur infrastructure on-premises (le contraire du Cloud, c’est-Ă -dire une infrastructure hĂ©bergĂ©e localement). Elle propose diffĂ©rentes solutions, ou roles que l’on ne retrouve pas (toujours) dans les versions traditionnelles de Windows. Voici un petit tour d’horizon des rĂŽles essentiels sur Windows Server Core.


Active Directory (AD)


Logo Active Directory


Que serait une infra sans annuaire ? Active Directory sert exactement à ça :

  • Centraliser les utilisateurs
  • Grouper les utilisateurs en rĂŽles
  • GĂ©rer les droits d’accĂšs aux ressources
  • GĂ©rer les ordinateurs et appareils connectĂ©s au rĂ©seau

Active Directory gĂšre le domaine de l’entreprise, et les utilisateurs peuvent s’y connecter grĂące Ă  un identifiant.

Il intĂšgre diffĂ©rents services, qui sont souvent confondus avec Active Directory lui-mĂȘme, que voici.


Active Directory Domain Services (ADDS)

LA killer feature d’Active Directory. ADDS est, en gros, le service de gestion d’annuaire, inclus dans AD :

  • Propose les services d’authentification
  • GĂšre les autorisations sur le rĂ©seau
  • HiĂ©rarchise les composants
  • RĂ©plique les donnĂ©es

On parle alors de Domain Controller (DC).

C’est d’ailleurs par ses fonctionnalitĂ©s qu’on mĂ©prend souvent ADDS pour AD. Cependant, bien qu’essentiel, ADDS est une composante d’AD et non un service distinct.


Active Directory Lightweight Directory Services (ADLDS)

ADLDS une version allĂ©gĂ©e d’ADDS. Il ne contient pas les fonctionnalitĂ©s d’ADDS car il est plus simple et rapide d’accĂšs. On ne parle pas ici de Domain Controller (DC) car c’est un annuaire autonome lĂ©ger.

Il est gĂ©nĂ©ralement utilisĂ© dans des applications, car il permet d’avoir un annuaire simple et rapide.


Active Directory Certificate Services (ADCS)

On parle ici de PKI (Public Key Infrastructure), c’est Ă  dire la gestion des certificats. ADCS permet de :

  • GĂ©nĂ©rer des certificats
  • Permettre, grĂące Ă  ces certificats, le chiffrement et la signature des donnĂ©es
  • Authentifier des demandes

C’est avec ADCS qu’on peut vraiment parler de sĂ©curitĂ© des communications dans une infra Windows.


Active Directory Federation Services (ADFS)

En permettant l’authentification unique (SSO pour Single Sign-On), ADFS permet Ă  un utilisateur de se connecter Ă  plusieurs services grĂące Ă  un seul compte. C’est un peu comme le bouton “Se connecter avec Google” qu’on voit un peu partout, mais Ă  l’Ă©chelle d’une entreprise.

  • Authentification unique sur des services internes et externes
  • Agit comme un proxy entre AD et l’application

Active Directory Rights Management Services (ADRMS)

ArrivĂ© dans la version Windows Server 2008 R2, AD RMS rĂ©pond Ă  la problĂ©matique de la protection des informations sensibles. MĂȘme si ces donnĂ©es sont partagĂ©es en dehors du domaine (par exemple un rapport financier Excel ou un PowerPoint de stratĂ©gie), ce rĂŽle permet aux administrateurs de mettre en place des restrictions d’accĂšs Ă  ces documents.

Il s’agit d’un service de sĂ©curitĂ©, notamment pour les droits. Il permet de :

  • ProtĂ©ger les donnĂ©es en mettant en place des autorisations d’accĂšs (Word, Outlook…)
  • Mettre en place des modĂšles de documents, type Confidentiel ou Secret
  • ProtĂ©ger en permanence les documents qui transitent sur le rĂ©seau grĂące aux outils de sĂ©curitĂ© (pare-feu, contrĂŽles d’accĂšs…)


Fonctionnalités de serveur

Ça ne vous aura pas Ă©chappĂ© que Windows Server est plutĂŽt utilisĂ©… pour des serveurs. Voici quelques fonctionnalitĂ©s qui peuvent ĂȘtre ajoutĂ©es Ă  un serveur Windows.


Capture d'Ă©cran de Server Manager

Écran de Server Manager pour ajouter des rîles (source)


Dynamic Host Configuration Protocol (DHCP)

À la base du protocole internet (IP), DHCP permet de distribuer des adresses IP privĂ©es aux appareils connectĂ©s au rĂ©seau. C’est un service essentiel pour Ă©viter les conflits d’adresses IP.

Pour illustrer mon propos, si vous allez sur votre ligne de commande et que vous tapez

# Windows
ipconfig /all
# Linux/Mac
ifconfig

Vous aurez les adresses IP de vos 24 tĂ©lĂ©phones connectĂ©s au Wi-Fi, ainsi que l’adresse IP du serveur DHCP.

Ce n’est donc pas un service propre Ă  Windows Server, mais dans une infrastructure on-premises, celui-ci est essentiel.


Domain Name System (DNS)

Les adresses IP c’est sympa, mais on est habituĂ©s Ă  accĂ©der Ă  des serveurs en accĂ©dant Ă  un nom de domaine. Un peu comme mon splendide domaine timothechau.vet qui renvoie vers une adresse IP publique d’un serveur. Il est possible d’installer ce composant sur Windows Server pour avoir l’Ă©quivalent en interne.

Vous remarquerez peut-ĂȘtre sur votre rĂ©seau qu’il y a une imprimante connectĂ©e grĂące Ă  un nom de domaine (par exemple imprimante.etage01.lan). MĂȘme si elle a une IP privĂ©e attribuĂ©e par le serveur DHCP, elle peut aussi avoir un nom de domaine, pour y accĂ©der + facilement.


File Services

File and Storage Services vous permet de partager des fichiers en interne.

Dans le navigateur de fichiers, vous avez peut-ĂȘtre quelques dossiers dans les emplacements du rĂ©seau local. C’est le rĂŽle que remplit File Services.

Ces dossiers ne seront plus accessibles une fois le réseau quitté.

Vous pouvez aussi mettre en place DFS (Distributed File System) pour avoir un partage de fichiers redondant, et rĂ©duire les chances d’une paralysie des fichiers en cas de panne d’un serveur.


Permet de gérer les imprimantes.

Contrairement à File Services, il connecte en réseau les imprimantes et non les dossiers et fichiers. Il peut aussi utiliser le rÎle DNS pour attribuer un nom de domaine aux imprimantes.


Hyper-V Server


Capture d'Ă©cran d'une VM tournant avec Hyper-V

Exemple d'une VM dans une VM avec Hyper-V (source)


L’hyperviseur par excellence de Microsoft. Hyper-V permet de crĂ©er des machines virtuelles (VM), et donc de virtualiser des serveurs.

C’est comme si vous aviez un ordinateur dans votre ordinateur.

La VM est la base des ressources cloud. Ce rĂŽle Hyper-V ajoutĂ© avec Windows Server 2008 n’a pas Ă©tĂ© grandement mis Ă  jour depuis 2019. En effet, Microsoft pousse Ă  l’adoption de ses services cloud Azure, une stratĂ©gie sur le long terme.

Vous avez de nombreuses alternatives, comme (le récemment fusionné) VMware, ou encore VirtualBox pour une utilisation plus personnelle.


Host Guardian Service (HGS)

HGS permet de sécuriser les machines virtuelles Hyper-V. Voici notamment son fonctionnement :

  • L’organisation utilise des VMs de gĂ©nĂ©ration 2 dites shielded (protĂ©gĂ©es), car elles
    1. sont chiffrées avec BitLocker
    2. Ă©mulent une puce Trusted Platform Module (TPM) virtuelle
    3. sont lancées sur des hÎtes fiables

  • HGS s’assure dont de la fiabilitĂ© des hĂŽtes Hyper-V pour dĂ©marrer les VMs shielded
    1. Le rÎle HGS est attribué à des serveurs dédiés
    2. Les hÎtes Hyper-V sont enregistrés dans HGS
    3. HGS vĂ©rifie que les hĂŽtes sont fiables (puce TPM 2.0, accĂšs Just Enough Administration…)

Schéma avec 3 noeuds HGS, 3 noeuds de controleur de domaine et des hÎtes Hyper-V

Schéma de surveillance des serveurs HGS sur les hÎtes Hyper-V


Remote Desktop Services (RDS)

Les serveurs Windows Server avec ce rĂŽle peuvent utiliser la plateforme Remote Desktop Services (RDS) pour hĂ©berger des applications (RemoteApps) et des bureaux virtuels. L’idĂ©e est de permettre Ă  des utilisateurs de se connecter Ă  distance Ă  un serveur dans le rĂ©seau local. C’est la solution VDI (Virtual Desktop Infrastructure) de Microsoft.

RDS propose ces services :

  • Remote Desktop Session Host : pour hĂ©berger les sessions ; il utilise notamment le protocole RDP (Remote Desktop Protocol)
  • Remote Desktop Web Access : pour accĂ©der aux applications de l’intranet via un navigateur
  • Remote Desktop Connection Broker : pour rediriger les connexions
  • Remote Desktop Gateway : pour sĂ©curiser les connexions
  • Remote Desktop Licensing : pour gĂ©rer les licences

Remote Access

Remote Access permet de se connecter Ă  un rĂ©seau interne depuis l’extĂ©rieur.

Il existe plusieurs moyens de faire ça :

  1. VPN (Virtual Private Network) : un tunnel chiffrĂ© qui utilise un protocole que vous connaissez certainement (OpenVPN, L2TP/IPsec, SSTP, Wireguard…)
  2. DirectAccess : une alternative aux traditionnels VPNs, qui agit de maniĂšre + transparente
  3. Web Application Proxy : un proxy pour les applications web internes accĂ©dĂ©es depuis l’extĂ©rieur
  4. Routing service : un service de routage pour connecter des réseaux entre eux (donc pas pour un utilisateur)

Web Server Internet Information Services (IIS)

Le plus intĂ©ressant pour la fin : IIS, le serveur web de Microsoft, permet d’hĂ©berger des sites web.

Selon Wappalyzer en 2024, 4,8% des sites web tournent sur IIS, loin derriĂšre les solutions open-source Apache et Nginx.



Les quelques autres rĂŽles


Windows Server Update Services (WSUS)

WSUS permet de gérer les mises à jour de Windows Server.

Quand on gÚre une grosse infrastructure, il est parfois compliqué de mettre à jour Windows à cette échelle. WSUS permet de centraliser les mises à jour, et de les installer à grande échelle.


Device Health Attestation

Ce service permet de vérifier la santé des appareils connectés au réseau.

Il se concentre sur la sĂ©curitĂ© (puces TPM), et les logs. La fonctionnalitĂ© assessment permet de faire un bilan de l’infra


Exemple de dashboard Device Health Assessment

Exemple de Tom Degreef


Volume Activation Services (VAMT)

VAMT permet d’activer les licences Windows en volume.

Si vous avez dĂ©jĂ  bidouillĂ© votre ordinateur personnel, vous avez probablement entendu parler de KMS (Key Management Service), qui permet d’activer Windows sans passer par le site de Microsoft.

VAMT permet notamment d’attribuer les clĂ©s d’activation (Windows, Office) Ă  des groupes d’ordinateurs en utilisant KMS.


Windows Server Essentials Experience

Le dernier pour la fin : Windows Server Essentials Experience est un ensemble de services pour les petites entreprises.

Un peu comme ADLDS avec AD, il est possible de se passer de Windows Server Essentials Experience. PlutĂŽt que d’avoir l’entiĂšretĂ© des fonctionnalitĂ©s, ce rĂŽle permet de regrouper l’essentiel. Cette fonctionnalitĂ© est rĂ©servĂ©e aux infrastructures avec au maximum

  • 25 utilisateurs
  • 50 appareils


Conclusion et remerciements

Vous avez maintenant compris que Windows Server n’est pas fait pour ĂȘtre installĂ© que sur un seul ordinateur, et que les ordinateurs avec Windows Server ne se ressemblent pas.

Il est possible de gĂ©rer son infra on-premises de maniĂšre centralisĂ©e, et de tout gĂ©rer depuis un seul endroit. Mais tout l’intĂ©rĂȘt d’Active Directory repose sur la fĂ©dĂ©ration des appareils dans un domaine.

Si un ordinateur avec Windows Server venait à tomber en panne, une organisation peut prévoir une bonne répartition des rÎles, de maniÚre à garder son infra résiliente. Ainsi, un autre serveur prendrait le relais, et votre infra ne serait pas impactée.

Merci Ă  Microsoft pour leur article listant tous les rĂŽles (et pour Copilot qui m’aura bien servi).

L’initiative de cet article est largement inspirĂ©e d’une formation de Thibault Gibard sur Windows Server, que je voulais retranscrire de mĂ©moire dans un article.

BanniĂšre “Multi-tasking” gĂ©nĂ©rĂ©e par DALL‱E