I. Présentation

Aujourd’hui, les flux transitant sur les réseaux IP sont de types très variables, allant du téléchargement P2P à la téléphonie et la vidéotransmission. De par leurs caractéristiques propres, on imagine facilement que ces flux n’ont pas la même importance pour l’utilisateur, et qu’ils ne devraient donc pas avoir la même priorité de transit et de traitement dans les réseaux IP.

Ce tutoriel explique la mise en place d’un serveur de téléphonie sous TrixBox et l’utilisation de softphones (téléphone logiciel), ainsi que d’applications dédiées aux smartphones.

II. Trixbox

Trixbox est un ensemble d'outils et d'utilitaires de télécommunication compilés pour devenir un véritable IPBX. Les principales caractéristiques de TRIXBOX sont :

III. Installation

Une fois la machine démarrée, la page d’installation de Trixbox s’affiche, il faut appuyer sur la touche Entrée du clavier.

Ensuite suivez cette démarche :

- Choisir « fr » pour la langue du clavier puis « OK »
- Choisir la zone d’heure « Europe/Paris » puis « OK » via la touche TAB du clavier
- Insérer un mot de passe puis « OK » via la touche TAB du clavier

Ensuite, attendez la fin de l’installation puis mettre « root » comme login et le mot de passe définit.

IV. Attribuer une adresse IP statique

Voyons comment attribuer une adresse IP statique à l’hôte Trixbox.

Saisir la commande « vi /etc/sysconfig/network-scripts/ifcfg-eth0 » pour modifier le fichier de configuration.

Dans le fichier, remplacer « BOOTPROTO=static » à la place de « DHCP » puis ajouter la ligne « IPADDR=192.168.30.10 » pour indiquer l’utilisation de l’adresse IP 192.168.30.10. Enfin, on indique le masque de sous réseau en ajoutant « NETMASK=255.255.255.0 ».

Enregistrer et revenir sur l’interface en ligne de commande en appuyant sur « Echap », saisir « :wq » puis « Entrée ».

Relancer le serveur via la commande « reboot ».

V. Accès à l’interface web

Lancer le navigateur (Internet Explorer, Firefox, Chrome, Opera, Safari…), saisir « 192.168.30.10 » dans la barre d’adresse pour afficher l’interface d’administration.

Cliquer sur « switch » en haut à droite de l’écran et saisir l’identifiant « maint » et le mot de passe « password » (par défaut).

Désormais, nous avons installé et configuré le serveur IPBX. Il faut ensuite configurer des comptes clients que nous allons aborder dans la partie suivante.

VI. Création des comptes clients sur le serveur Trixbox

Nous allons créer les comptes clients. Les crédentials de ces comptes seront nécessaires pour configurer les softphones et applications SIP sur les smartphones.

Cliquer sur « PBX », puis sur « PBX Settings » :

Cliquer sur « Extensions »

Laisser le « Device » sur « Generic SIP Device » et cliquer sur « Submit »

Renseigner les champs « User Extension », « Display Name » et « Outbound CID »

- Renseigner le champ « secret »
- Modifier « Status » en « Enable »
- Renseigner le champ « Voicemail Password »
- Sélectionner Email Attachement sur « yes »
- Modifier « VmX Locater » en « Enable »
- Cocher les 3 cases « unavailable », « busy », « Standard voicemail prompts »

Une fois tous ces champs renseignés, cliquer sur « Submit »

Revenir sur le haut de l’écran et cliquer sur « Apply Configuration Changes »

Cliquer sur « Continue with reload » pour valider les données et créer le compte utilisateur

Une fois les comptes créés, nous avons le récapitulatif suivant :

Pour effacer un compte utilisateur, il faut cliquer sur « Delete Extension »

VII. Softphone X-Lite : Installation et configuration

Dans cette partie, nous installerons puis utiliserons le softphone « X-Lite », un émulateur de téléphone SIP.

Commencez par télécharger le logiciel depuis le site officiel sur http://www.counterpath.com/x-lite-download.html

Pour installer X-Lite :

Dérouler le menu « Show Menu » (voir image) et sélectionner « SIP Account Settings… »

Cliquer sur « Add… » et renseigner les champs suivants :

• Display Name : c’est le nom ajouté sur le serveur Trixbox

• User name : c’est le numéro court attribué sur le serveur Trixbox

• Password : mot de passe renseigné sur le serveur Trixbox dans le champ « Secret »

• Domain : c’est l’adresse IP du serveur Trixbox

VIII. Applications smartphone

Cette partie vous montre deux applications gratuites pour smartphone afin de communiquer via SIP.

A. Media5fone

Cette application simple d’utilisation est la référence pour iOS. Voyons comment configurer un compte SIP au sein de l’application

Appuyez sur « Configurer comptes SIP » puis ajoutez un compte.

Donnez un nom à ce compte, puis remplissez les champs « Nom d’utilisateur » et « Mot de passe » avec un compte présent sur le serveur Trixbox.

Appuyez sur « Serveurs » pour configurer le serveur comme ceci :

Validez, votre compte apparaît dans la liste des comptes de l’application :

B. AdoreSoftphone

Cette application est utilisée sur le Nokia Lumia 920 dans le cadre de ce tutoriel. Sachez que cette application est compatible sur les principales plateformes : Android, iOS, Windows Phone.

Voici la configuration à effectuer :

Que se passe-t-il quand un DSI dit « NON » suite à une demande d'une autre direction voire de la Direction Générale ? A l'heure où tout le monde se questionne sur le rôle de la DSI, sur son soi-disant « pouvoir » ou tout simplement sur son avenir, le DSI peut-il dire encore « NON » ?

S'il y a bien un métier où le paysage s'est complètement bouleversé dans les quinze dernières années, c'est bien le métier du DSI non ? On ne peut pas en dire autant du DAF, du DRH, du Directeur de Production ou bien encore du Directeur Commercial, quoique ce dernier, s'il officie dans le domaine du « B to C » (en clair s'il vend ses produits et services aux particuliers) a vu également son domaine bouleversé par le boum du commerce électronique.

Mais pourquoi s'acharner contre le DSI ? Sous prétexte que le fait de disposer et de maîtriser l'utilisation d'une tablette transforme n'importe quel individu en expert du Système d'Information ? Sous prétexte que l'on peut acheter un service informatique en dehors de l'entreprise d'un simple clic de souris et sans en parler au DSI ?

Pour certaines entreprises, la réponse est « OUI », la consumérisation et la démocratisation de l'informatique a atteint un tel niveau que le DSI n'est plus nécessaire à leurs yeux. Pour d'autres, le système d'information apporte de la valeur aux services et aux produits vendus par leurs entreprises le maintien du DSI est donc souhaité et pour d'autres encore le système d'information est lui même au cœur des produits et services vendus et là, la question de son existence ne se pose même pas…enfin…elle ne devrait pas !

Néanmoins, quelque soit le cas de figure, le DSI, s'il existe encore…doit savoir dire « NON » à certaines pratiques ou à certaines demandes s'il se sent un tantinet « responsable » et s'il estime qu'il a un véritable rôle à jouer au sein de son entreprise.

Pour ma part, je dis « NON » à la mise en place d'un « service » ou d'un « matériel » qui échapperait à tout contrôle de la DSI ou que la DSI ne serait pas maintenir dans le temps ou à des coûts raisonnables. Je dis « NON » également à tout détournement d'un « service », c'est à dire à l'utilisation d'une application faite pour une tâche X et détournée pour une tâche Y. Enfin, je dis « NON » à tout achat, sans mon aval, de services ou de biens dans les domaines du « numérique ».

Pourquoi ?

Bien qu'il m'arrive de bricoler chez moi avec un pinceau ou une perceuse, il ne me viendrait pas à l'idée de repeindre mon bureau ou bien d'en changer l'éclairage, il y a un service pour cela…un responsable…un professionnel de ce corps de métier…

Bien que je connaisse une personne sans emploi actuellement et qui pourrait parfaitement remplacer notre comptable qui part à la retraite, je ne me permettrai pas de l'embaucher…ce n'est pas mon rôle… Au mieux, je peux soumettre l'idée de l'embaucher…

Bref, que du bon sens non ?

Alors, face à ces « attaques » de toutes parts, le meilleur moyen de clouer le « bec » à tous ceux qui souhaiteraient la mort du DSI consiste à les devancer en proposant vous-mêmes de nouveaux services, de nouveaux outils et même si vous n'y voyez pas encore d'application concrète au sein de votre entreprise… J'ai été le premier à acheter une tablette quand les premiers modèles sont sortis et je l'ai présentée au comité de direction en expliquant son fonctionnement et ce à quoi cela sert ou pourrait servir … J'ai fait exactement la même chose pour Twitter et Facebook A ce jour, la tablette n'a pas trouvé d'application au sein de l'entreprise, ni Facebook, ni Twitter, mais le jour où cela viendra, je serai forcément la meilleure personne pour être en charge de cela …

Vous ne vous intéressez pas aux tablettes, ni aux smartphones et encore moins aux réseaux sociaux alors là il est peut-être temps de vous poser la question sur votre avenir…car même si vous n'êtes pas utilisateur de telle ou telle technologie il est de votre devoir d'en connaître leurs applications éventuelles au sein de votre entreprise et leur fonctionnement !

Alors, le DSI peut-il encore dire « NON » ? La réponse est « OUI » parce qu'il connaît son métier et qu'il ne prend pas un malin plaisir à dire « non »… et les directions générales devraient plutôt s'inquiéter des «ogres» qui kidnappent leurs données (Google, Amazon, Microsoft…) contre une rançon qui s’avérera de plus en plus incompatible avec les marges dégagées par leur propre business.

I. Présentation

Quand l'espace disque commence à se faire rare, il devient intéressant d'ajouter un disque dur sur son poste ou son serveur. En ligne de commande, c'est un processus qui peut être flou et que nous allons détailler ici. Nous allons en effet voir comment ajouter un disque dur, le partitionner et le monter pour qu'il fasse partie intégrante de votre système et ce même après un reboot. On va donc voir une procédure globale qui peut être modifiée à tout moment selon besoin (autre système de fichier, plusieurs partitions, etc.)

II. Disque dur où es tu ?

La première étape consiste tout simplement à trouver notre disque, en s'étant auparavant assuré qu'il est bien branché et connecté (dans le cas d'une machine virtuelle par exemple) à notre machine, on va se rendre dans le dossier /dev qui contient les “devices” (périphériques). Ici une petite précision s'impose. Sous la majorité des distributions Linux on trouvera une convention de nommage en “hd” ou “sd“. Le premier correspondant aux disques IDE qui seront donc “hda” pour le premier disque, “hdb” pour le second disque et respectivement “hda1″ pour la première partition primaire du disque, “hda2″ pour la seconde pour finir avec “hda5″ et suivantes pour les partitions secondaires. En revanche pour les disques durs SATA ou SCSI, le système les note “sd” en suivant la même nomenclature de lettrage et de chiffrage que pour les disques durs IDE. C'est une note importante car elle permet de retrouver facilement ces périphériques parmi cela :

On remarque donc ici sda qui est mon disque principale (SATA ou SCSI) qui contient trois partitions (deux primaires et une logique) puis un second disque “sdb” qui en l’occurrence est le disque que je viens d'ajouter.

II. Partitionnement

On va à présenter partition le disque dur, on va ainsi pouvoir découper des zones de notre disque afin d'effectuer, par exemple, plusieurs points de montages ou plusieurs systèmes de fichiers. On utilise pour cela fdisk avec lequel on va pointer le disque dur en question :

fdisk /dev/sdb

On peut ici afficher les différentes options qui s'offrent à nous via la saisi de “m“:

On va donc saisir “n” pour ajouter une nouvelle partition au disque ciblé :

On saisi “p” pour ajouter une partition primaire (4 maximum), on saisi ensuite le numéro de cette partition (entre 1 et 4 pour la partition primaire, au dessus de 5 pour une partition étendue/logique) et ensuite les secteurs de début/fin de ladite partition. Dans mon cas, je construis une partition unique prenant la totalité du disque étant donné que ce sera un simple ajout de disque sur un système existant :

On saisi ensuite “w” qui signifie “write” qui va donc écrire les changements que nous venons d'ordonner sur le disque en question. Attention, si des données existent sur le disque en question, elles seront supprimées :

On sera alors de retour sur notre terminal où nous pourrons à nous regarder le contenu de /dev (“ls /dev“). Nous verrons alors un “sdb1″ qui correspond donc à la partition 1 du second disque “sdb” SATA ou SCSI. C'est ce que nous venons de créer :

III. Formatage

Nous avons créé une partition exploitable mais celle-ci n'a pas été préparée à être traitée avec un système de fichier spécifique, NTFS, FAT, ext3 ? Nous allons donc occuper à présent de formater notre partition. Nous utiliserons pour cela l'utilitaire mkfs.ext3 disponible nativement sur Debian 7. On va donc pointer avec cet utilitaire notre partition à formater :

mkfs.ext3 /dev/sdb1

IV. Montage

Voila, il ne nous reste plus qu'à monter notre partition pour que celle-ci soit utilisable. On utilise pour cela le fichier dédié à cette tâche “/etc/fstab”. Il nous suffit ici de rajouter une simple ligne (qui peut se complexifier pour des cas d'utilisation ou des besoins spécifiques) qui va se charger de monter notre disque. Pour information, mettre une ligne dans ce fichier permet de monter le disque dur au démarrage car ce fichier est lu et exécuté au démarrage de la machine. On pourra également exécuter une simple ligne de commande pour monter le disque temporairement (jusqu'au prochain redémarrage). Par exemple, si je veux monter mon disque dur sur /data, je crée mon répertoire avec :

mkdir /data

Puis j'ajoute cette ligne dans /etc/fstab :

/dev/sdb1 /data ext3 defaults, 0        0

Note : Attention à l'espace après la virgule

On utilisera ensuite la commande qui va nous permettre de relire et de réaffecter le contenu du fichier /etc/fstab :

mount -a

On pourra alors vérifier la présence de notre nouveau disque en listant les montages de notre système :

mount

Tout ce qui sera stocké dans /data sera donc stocké sur le disque ajouté.

I. Présentation

Après FileZ voici RdvZ, une application web développée par l’Université d’Avignon et des Pays de Vaucluse. Cette application permet de créer des rendez-vous avec plusieurs dates possibles, communiquer l'url du sondage aux participants et sonder leurs disponibilités. Ce dernier peut se déclarer disponible ou non pour une ou plusieurs dates données.

L’organisateur peut ensuite exporter les résultats au format .csv (lisible par Microsoft Excel ou le tableur OpenOffice) et clôturer les votes. La durée de vie d’un sondage est paramétrable dans le fichier de configuration.

Un rendez-vous peut également être modifié par son créateur : rajouter ou supprimer des dates, changer le titre, la description, les options…

Site de l'éditeur :  ici

II. Configuration minimale recquise

Pour installer Rdvz il vous faut une architecture du type WAMP, LAMP (Apache, MySQL (pas obligatoire pour utiliser RdvZ), PHP). La version de PHP doit être supérieur à la 5.2.4.  Pour ma part j'ai effectué cette installation sous une Debian 7.

III. Authentification

Plusieurs authentifications sont disponibles :

• CAS : nécessite l'installation du paquet : php5-curl

• LDAP : nécessite l'installation du paquet : php5-ldap

• BDD : nécessite l'installation du paquet : mysql

Ici j'utiliserai l'authentification via un annuaire LDAP.

IV. Installation

Au préalable :

aptitude update
aptitude install apache2 mysql phpmyadmin php5 php5-cli php5-ldap git-core

Téléchargement du dépôt :

cd /home/itconnect
git clone https://github.com/UAPV/RdvZ.git

Lancement du script d'installation :

cd /home/itconnect
./rdvz/install

Une fois l'installation terminée voici le fichier de configuration créé : “app.yml” (/rdvz/apps/frontend/config/app.yml)

Si vous modifier un fichier de configuration de Rdvz il faut penser à recharger cette dernière via la commande suivante sous /home/itconnect/rdvz :

php symfony cc

A présent nous allons créer un Virtual Host afin d'accéder à RdvZ via un navigateur :

vi /etc/apache2/sites-available/rdvz

Une fois le virtual host créé, il faut activer ce dernier, activer le mode “mod_rewrite” et relancer le serveur Apache   :

a2ensite rdvz
a2enmod rewrite
/etc/init.d/apache2 reload

Modification du .htaccess :

cd /home/itconnect
vi <code>rdvz/web/.htaccess
<em>Remplacer la ligne</em> 
RewriteRule ^(.*)$ index.php [QSA,L]

<em>Par
</em>RewriteRule ^(.*)$ rdvz/index.php [QSA,L]

Modification des droits :

chown www-data:www-data /home/itconnect/rdvz -R
chmod 775 -R /home/itconnect/rdvz/cache/ /home/itconnect/rdvz/log/

V. Accès interface

http://itconnect.local/rdvz

I. Présentation

Une nouveauté intéressante est présente depuis Windows Server 2008, il s’agit de la possibilité de définir un contrôleur de domaine en lecture seule, ce que l’on appelle aussi « RODC » pour « Read Only Domain Controller ».

L’intérêt est d’avoir un contrôleur de domaine qui contient toutes les informations qu’un contrôleur classique dispose, à l’exception des mots de passe utilisateurs. De plus, ces informations étant stockées en lecture seule aucune modification ne peut être initiée depuis un contrôleur de domaine en lecture seule.

Cet article a pour objectif d’expliquer les avantages d’un RODC et de montrer comment mettre en place un RODC dans votre domaine.

II. Avantages

A. Sécuriser les sites distants

Dans certaines entreprises, il y a plusieurs sites avec plus ou moins de personnes donc de machines à gérer. Ces personnes, au même titre que les autres personnes de l’entreprise doivent généralement pouvoir accéder aux ressources de l’entreprise, en s’authentifiant grâce à un couple identifiant – mot de passe leur appartenant.

Ces phases d’authentification consomment de la bande passante lors de la connexion sur la machine, de l’accès aux données contrôlées, etc.

Vous pouvez être réticent à l’idée de mettre en place un contrôleur de domaine supplémentaire sur ce site afin d’améliorer les performances, puisque, la sécurité physique ne sera pas forcément assurée si le serveur se trouve dans le coin d’un bureau… De plus, financièrement ce n’est pas toujours évident d’avoir un administrateur système et réseau sur place, à temps plein, pour surveiller et administrer le serveur (et ce n’est pas forcément nécessaire).

C’est là que le contrôleur de domaine RODC a tout son intérêt. Étant donné que l’on peut déterminer avec précision quels sont les mots de passe à stocker sur le serveur RODC, donc, en cas de corruption/de vol du serveur, la perte sera moindre.

Si c’est seulement des comptes utilisateurs standards qui sont dérobés, c’est moins grave qu’un compte Admin du domaine…

B. Cache du DNS

Les requêtes DNS sont également mises en cache car le serveur RODC peut avoir le rôle de serveur DNS de cache. Là encore, il sera en lecture seule sur les fichiers de zone et ne pourra pas effectuer de modifications mais il subira les modifications effectuées sur le ou les serveurs DNS depuis le(s)quel(s) il se réplique.

Le cache générera moins de trafic sur la liaison WAN, consommera moins de bande passante, ce qui ne pourra qu’être bénéfique.

C. Améliorer l’authentification des utilisateurs

La mise en cache des requêtes d’authentification permet d’économiser de la bande passante dans le cas où la requête est en cache, et, dans le cas où le RODC est autorisé à mettre en cache le mot de passe de l’utilisateur.

Si la requête n’est pas en cache, elle sera effectuée sur un contrôleur de domaine standard qui retournera la réponse. Elle sera ensuite mise en cache automatiquement seulement si cela est permit pour l’utilisateur concerné.

III. Prérequis

Avant de vous lancer dans la mise en place d’un contrôleur de domaine en lecture seule, veillez à respecter les prérequis suivants :

- Niveau fonctionnel de la forêt configuré en Windows Server 2003 ou plus,
- Niveau fonctionnel du domaine configuré en Windows Server 2003 ou plus,
- Préparer les domaines de la forêt avec la commande suivante : adprep /rodcprep

Note : Étant donné que cela touche à l’infrastructure, chaque contrôleur de domaine qui dispose du rôle FSMO « Maître d’infrastructure » devra être accessible au moment où la commande est exécutée.

- Le contrôleur de domaine en lecture seule devra être en mesure de transférer les requêtes d’authentification vers les autres contrôleurs de domaine (standard) qui sont sous Windows Server 2008 au minimum (attention à vos firewalls inter-sites).

IV. Mise en place

Nous allons pouvoir passer à la mise en place d’un RODC, pour ma part le serveur qui doit devenir RODC est sous Windows Server 2012 R2, dans le domaine it-connect.fr en niveau fonctionnel Windows Server 2012 R2.

Sur le futur RODC, ouvrez le gestionnaire de serveur puis cliquez sur « Gérer » et « Ajouter des rôles et fonctionnalités »

Passez la première étape de l’assistant, ensuite concernant le « Type d’installation » laissez le premier choix coché. Cliquez sur « Suivant ».

Sélectionnez le serveur sur lequel l’installation doit être effectuée, pour ma part « RODC01.it-connect.fr ».

Dans la liste, sélectionnez « Services AD DS », confirmez l’ajout des fonctionnalités requises pour ce rôle et poursuivez.

Concernant les fonctionnalités, ne changez rien, cliquez sur « Suivant ».

Confirmez que vous souhaitez installer les sélections en cliquant sur « Installer ».

Patientez un instant, le temps d’obtenir cet état :

Ensuite, retournez au sein du gestionnaire de serveur, cliquez sur l’icône en « forme de triangle jaune où il y a un point d’exclamation » puis « Promouvoir ce serveur en contrôleur de domaine ».

Concernant la configuration de déploiement, sélectionnez « Ajouter un contrôleur de domaine à un domaine existant » (seul choix possible dans le cas de la mise en place d’un RODC). Cliquez sur « Suivant ».

Maintenant, veillez à cocher l’option « Contrôleur de domaine en lecture seule (RODC) » et éventuellement le DNS et le GC si vous souhaitez bénéficier des avantages du RODC pour ces rôles également.

Les options RODC doivent être définies :

- Compte d’administrateur délégué : Il a un rôle d'administrateur local du serveur et peut de ce fait installer des pilotes, gérer les services ou encore redémarrer le serveur. Toutefois, il n'a aucun privilège sur un autre contrôleur de domaine ou un autre RODC. Son champ d'action est uniquement local pour des raisons de sécurité.

Les utilisateurs pour lesquels le mot de passe est répliqué ou non sur le contrôleur de domaine en lecture seule se gère via l’appartenance à deux groupes :

- Groupe de réplication dont le mot de passe RODC est autorisé
– Groupe de réplication dont le mot de passe RODC est refusé

Si par erreur, vous ajoutez un utilisateur dans les deux groupes, sachez que le droit « refusé » sera prioritaire donc le mot de passe de cet utilisateur ne sera pas répliqué.

- Comptes autorisés à répliquer les mots de passe pour RODC : Ajouter des utilisateurs ou groupes pour lesquels vous souhaitez autoriser la réplication. Le mieux, c’est de laisser uniquement le groupe « Groupe de réplication dont le mot de passe RODC est autorisé » et dans l’Active Directory d’ajouter à ce groupe les objets (utilisateurs/groupes) pour lesquels vous souhaitez autoriser la réplication.

- Comptes non autorisés à répliquer les mots de passe pour RODC : Ajouter des utilisateurs ou groupes pour lesquels vous ne souhaitez pas autoriser la réplication. Par défaut, tous les comptes et groupes sensibles (comme Administrateur, admins du domaine, etc…) sont ajoutés, il est fortement déconseillé en terme de sécurité d’autoriser la réplication pour les objets sensibles. Comme pour le cas précédent, le mieux c’est d’ajouter les utilisateurs et les groupes non autorisés au groupe « Groupe de réplication dont le mot de passe RODC est refusé » directement dans l’annuaire Active Directory.

Cliquez sur « Suivant » pour continuer l’installation.

Indiquez un contrôleur de domaine standard depuis lequel répliquer les informations autorisées (ou installer à partir d’un support si vous disposez d’un support prêt – utile pour économiser de la bande passante même lors de la mise en place). Cliquez sur « Suivant ».

Indiquez l’emplacement de la base de données, des fichiers journaux et de SYSVOL (peuvent être placés sur des disques différents). Cliquez sur « Suivant ».

Examiner une dernière fois les options avant de cliquer sur « Suivant » et d’exécuter l’installation.

Après que la configuration soit vérifiée, cliquez sur « Installer » et patientez un instant. Le serveur va redémarrer automatiquement à la fin de l’installation.

L’installation du RODC est désormais terminée. Voyons quelques notions de configuration.

V. Réplication des mots de passe

Sur un contrôleur de domaine standard (lecture/écriture), ouvrez la console « Utilisateurs et ordinateurs Active Directory », positionnez-vous sur l’unité d’organisation « Domain Controllers ». Sur la droite, faites clic droit sur l’objet ordinateur correspondant à votre serveur RODC puis « Propriétés ».

Cliquez ensuite sur l’onglet « Stratégie de réplication de mot de passe » qui concerne donc la stratégie de réplication des mots de passe. La fenêtre affiche les utilisateurs et groupes pour lesquels vous autorisez ou refusez explicitement la réplication des mots de passe.

Pour ajouter un nouvel objet, cliquez sur « Ajouter… » et ensuite indiquez si c’est un ajout pour une autorisation ou un refus (voir ci-dessous). Cliquez sur « OK ». Une nouvelle fenêtre apparaît, recherchez dans l’annuaire le groupe ou utilisateur concerné pour l’ajouter.

Par ailleurs, si vous cliquez sur le bouton « Avancé » de l’onglet « Stratégie de réplication de mot de passe », vous pouvez voir quels utilisateurs ont leur mot de passe stockés sur le RODC sélectionné.

Vous remarquerez la présence d’un utilisateur nommé « krbtgt_15013 » qui est propre à chaque RODC (généré sous la forme krbtgt_xxxxx). Il permet de délivrer les tickets Kerberos aux clients.

Si vous changez dans la liste déroulante et que vous choisissez « Comptes authentifiés sur ce contrôleur de domaine en lecture seule », ainsi, vous pourrez voir les comptes utilisateurs qui se sont déjà authentifiés en passant par ce RODC. Cela vous permet de savoir éventuellement qui se connecte depuis ce site distant et ensuite de gérer la stratégie selon les besoins.

Il est également possible de « Préremplir les mots de passe », ce qui est intéressant si vous préparez le serveur RODC sur le site principal avant de le mettre en production sur le site distant. En fait, les mots de passe seront mis en cache maintenant afin d’éviter de charger la liaison WAN lors de la mise en production et de la première demande d’authentification de l’utilisateur.

Pour ajouter un mot de passe au cache, cliquez sur le bouton « Préremplir les mots de passe », recherchez votre utilisateur dans l’annuaire et validez. Ensuite, cliquez sur « Oui » pour confirmer la mise en cache.

Il est à noter que vous devez autoriser la réplication du mot de passe de cet utilisateur pour pouvoir le mettre en cache, ce qui est logique.

Si le compte en question est bien autorisé et que la mise en cache réussie, vous obtiendrez ce message :

Grâce à ce tutoriel, vous êtes désormais en mesure de comprendre l'intérêt d'un RODC et d'en mettre un en place au sein de votre infrastructure.