Installation de Windows Server 2019

Création — Nicolas THOREZ 2019/02/28 19:58

Avant d'installer un système d'exploitation, il est primordial de préparer la machine qui va l’accueillir.

Dans le cas d'une machine physique, il faut d'abord préparer les volumes logiques qui hébergera le système de fichiers. Ayant eu à maintes reprises l'occasion de voir des systèmes installés par des non-professionnels, je rappelle ici certaines règles ABSOLUMENT incontournables. Pour des serveurs physiques, qui sont actifs 24h/24, le maître mot est la redondance :

• Aucun disque logique ne doit être stocké sur un disque isolé.
• De fait, tous les disques physiques doivent être regroupés en grappe RAID.
• Vu qu'on cherche la sécurité de la redondance, on bannira le RAID-0.
• Là aussi, on évitera d'installer un système sur une carte flash si celle-ci n'est pas redondée.
• Le serveur doit toujours être branché sur un onduleur.
• L'onduleur doit correspondre ou être supérieur à la somme des charges maximales de tous les matériels branchés dessus.
• La batterie de l'onduleur doit être changé tous les 2-3 ans.
• Un serveur, ça chauffe. On le placera donc dans une pièce climatisée et non poussiéreuse.
• On veillera à ce que les grilles de ventilations du serveurs ne soit pas obstruées.
• On NE FUME PAS à côté d'un serveur, ni de tout appareil électronique en fait. Sinon, les goudrons se collent aux composants et systèmes de refroidissement, entraînant des pannes par surchauffe.

Cette liste n'est malheureusement pas exhaustive. Mais avec un peu d'entretien et de bon sens, vos serveurs seront toujours opérationnels et ne subiront pas d'obsolescence précoce.

Dans le cas de serveurs virtuels, la redondance et la protection matérielle sont assurées par le serveur physique hôte.

Je vous laisse vous informer auprès des différents constructeurs de vos serveurs pour les méthodes de configurations matériels, notamment celles des RAID ainsi que les bonnes pratiques quant à leurs utilisations.

Pour la suite, j'utiliserai une VM (2vCPU, 8Go RAM, 80Go HDD) hébergé par un ESXi 6.5 de VMWare.

Au premier lancement de la VM, l'iso de Windows Server 2019 est chargé et le setup se lance automatiquement. On arrive alors sur l'écran de préférence linguistique.

Une fois la langue choisi, on clic sur Suivant, on arrive alors sur l'écran d'installation.

Pour poursuivre, on cliquera sur Installer maintenant. L'option Réparer l'ordinateur en bas à gauche, permet d'accéder aux outils de diagnostique et aux outils de restauration de sauvegardes Windows. On lance donc l'installation et on arrive sur une fenêtre nous proposant de choisir le système d'exploitation voulu. Dans la plupart des cas, l'édition Standard est suffisante. Je vous laisse le soins d'aller voir les différences entre Standard et Datacenter sur le site de Microsoft.

• Référence : Microsoft

On remarquera que l'édition Standard existe en deux versions : la normale, aussi appelé Core, et celle avec expérience de bureau ou Desktop. Basiquement, la Core n'affichera qu'une interface de console Powershell alors que la Desktop affichera un bureau complet. A moins d'être féru de ligne de commande ou de posséder un Windows Admin Center, on installera généralement la version Desktop.

C'est ce que l'on choisira aavant de cliquer sur Suivant.

Sur l'écran suivant, on lit les termes du contrat (), on accepte et on clique sur Suivant.

Ensuite, l'installation nous propose une Mise à niveau ou une installation Personnalisé. Dans le cas d'un nouveau serveur, la mise à niveau est une installation standard. Mais si vous lancé l'installation sur un serveur existant, cette option va passer votre ancien Windows Server en version 2019. On est sur des serveurs, c'est plutôt sensible comme opération et je ne suis pas confiant sur les systèmes de mises à niveau de Windows… Il existe plein d'outils pour opérer une migration de version d'OS donc dans ce cas là, je me baserais sur eux plutôt que sur l'option de mise à niveau.

Par conséquent, dans la grande majorité des cas, on choisira l'option Personnalisé.

Dans l'écran suivant, on pourra choisir le volume logique sur lequel installé le système. Dans mon cas, je n'ai qu'un seul disque mais dans le cas où on en aurait plusieurs, il faut faire attention au disque que l'on choisit. Un fois installé, on ne peut plus le changer! On choisi donc le bon disque et on clique sur Suivant.

A noter que les options présentes en bas de la fenêtre permettent de créer des partitions, de les supprimer, de les formater ou encore de les étendre. Par défaut, le programme d'installation va créer les différentes partitions necéssaires en allouant le maximum d'espace possible à la partition principale. L'option Charger un pilote permet de charger les fichiers nécessaires pour que le système reconnaisse et puisse utiliser les disques ou contrôleur RAID qu'il ne connaît pas par défaut (assez rare).

A ce moment là, les fichiers sont copiés sur le disque, l'installation à proprement parlé commence.

A la fin de la copie, le système redémarre automatiquement.

Une fois redémarré, on nous demande de définir le mot de passe du compte Administrateur. Comme toujours, il est vivement recommandé d'utiliser un mot de passe sécurisé. Il faut aussi faire attention à la langue du clavier. Parfois on pense être en azerty alors que l'on est en qwerty. N'hésitez pas à vérifiez votre mot de passe grâce au logo de visibilité

Le mot de passe défini, on clique sur Terminer.

L'installation est maintenant terminée, il nous reste plus qu'à nous connecter pour commencer les paramétrages.

A l'ouverture de session, le gestionnaire de serveur se lance. La première chose que je fais est de l'épingler à la barre de tâche. On en a énormément besoin, autant l'avoir à portée de main. Ensuite, on peut commencer les paramétrages. On va d'abord aller sur Serveur local présent dans la colone de gauche.

Ici on va pouvoir appliquer les paramétrages de base du serveur. On modifiera donc :

• Le nom. Dans une structure complexe, le nom du serveur vous aidera à identifier rapidement son rôle (DC, MAIL, FILE, etc…). On pourra lui associer un numéro afin de différencier plusieurs serveurs ayant le même rôle. On pourra aussi y ajouter un type de machine (PC, SRV, VM…), une localisation (DATACENTER, OFFICE…) ou encore une ville (TOULOUSE, PARIS…). Cette nomenclature est celle que j'utilise. Dans d'autres structures, on préfèrera les numéros d'inventaires ou autres afin de compliquer la tâches à d'éventuels pirates. Il n'y a pas de règles, on fait comme on veut mais une nomenclature unique à l'ensemble de l'architecture est préférable.
• Le bureau à distance. Dans le cas où vous avez un accès physique au serveur, vous en avez pas besoin. Mais dans la plupart des cas, on intervient sur un serveur à distance. Du coup soit vous utiliser un logiciel de prise en main à distance comme Teamviewer ou bien vous activez le bureau à distance.
• L'association de cartes réseau. Cette option permet de coupler plusieurs cartes réseaux. On peut les configurer en redondance actif/passif, actif/actif ou encore en équilibrage de charge. Le but est là encore de palier à une rupture de service si une carte réseau tombe en panne.
• Ethernet0. Il s'agit là du nom par défaut de la carte réseau connectée. On peut évidemment la renommer et c'est aussi le lien pour configurer la carte. Les serveurs doivent avoir une adresse IP fixe afin d'éviter les problèmes de communications des services.
• Windows Update. On peut ici paramétrer les préférences de mises à jour. Dans la grande majorité des cas, il est vivement recommandé de toujours mettre à jour vos systèmes quels qu'ils soient. Cependant, on peut les laisser en automatique ou choisir de les faire manuellement, c'est au choix. Pensez aussi à régler les heures de services afin d'éviter qu'un serveur ne redémarre en pleine journée.
• Configuration de sécurité renforcée d'Internet Explorer. Un point assez controversé… Par défaut, la sécurité IE ne permet de naviguer que sur des sites enregistrés, sinon le navigateur affiche un avertissement. De plus, le téléchargement de fichiers est interdit. C'est une bonne pratique de sécurité mais cela pose de gros problèmes au admins qui interviennent sur le serveur. Personnellement, je désactive cette option pour les administrateurs pendant la période de préparation du serveur et ne la réactive que lors de la mise en production.
• Fuseau horaire. De nombreux services dépendent de le synchronisation des horloges. Par conséquent, il faut se positionner sur le bon fuseau pour avoir l'heure exacte.

• Pour changer le nom, on va cliquer sur le nom par défaut.

• Dans la nouvelle fenêtre, on va (1) donner une description au serveur et (2) cliquer sur Modifier….

• Ensuite, (3) on donne le nouveau nom et (4) on clique sur OK.

• Un message d'avertissement apparaît pour nous prévenir qu'un redémarrage est obligatoire. On cliquera sur OK.

• De retour sur la première fenêtre, on cliquera sur Fermer.

• Le serveur nous propose de redémarrer et vu que le changement de nom a un impact sur de nombreux services, c'est que qu'on fera.

• Au redémarrage, on peut vérifier que le nom a bien été changé.

• Pour activer le bureau à distance, on va d'abord cliquer sur le lien Désactivé.

• Dans la fenêtre qui apparait, on choisira Autoriser les connexions à distance à cet ordinateur.

• Dès la sélection de la puce, un avertissement sur une exception de pare-feu apparaît. On clique alors sur OK.

• On s'assure que la case concernant l'authentification NLA est cochée (ça augmente la sécurité) et on valide en cliquant sur OK.

• Après un rafraîchissement de la page du serveur local, on vérifie l'activation du bureau à distance.

Cette configuration reste optionnel. Certains diront qu'elle est indispensable, d'autres diront que non. Je reste persuadé que la redondance est obligatoire dans le cas d'une machine physique. Dans le cadre d'une machine virtuelle, elle est inutile, la tolérance à la panne étant assurée par l'hyperviseur. Dans d'autres cas encore, cette configuration sera irréalisable du fait que les autres cartes réseaux seront destinées à autre chose (routage, web, virtualisation…). Par conséquent, tout dépend de vos choix et objectifs.

Pour les besoins de la démonstration, j'ai donc rajouter une carte réseau à ma VM.

Pour configurer l’association de carte réseaux :

• On clique sur le lien Désactivé.

• Dans la fenêtre qui apparaît, on cliquera (1) sur Tâches de la section EQUIPES puis (2) sur Nouvelle équipe.

• Une nouvelle fenêtre apparaît. On y indiquera le nom de l'équipe et on sélectionnera les cartes à associer.

• En bas de la fenêtre, la section Propriétés supplémentaires permet de gérer le mode d'équipe, le mode d'équilibrage de charge, la mise en passivité d'une ou plusieurs cartes (il en faut au moins une d'active) ainsi que le VLAN de l'équipe. Référez-vous à la documentation Microsoft pour voir les différences entre chaque mode. Personnellement, je laisse par défaut. Cependant, comme on est sur une VM (donc avec un comportement particulier), je sélectionnerais un mode d'équilibrage basé sur le Hashage d'adresse et je mettrais en veille Ethernet1.

• Une fois les options choisies, on valide avec OK et la page d'association de cartes nous active la nouvelle équipe.

• On ferme la fenêtre et on peut vérifier dans la page du serveur local que le statut est passé à Activé. On remarquera que nos cartes réseaux ont disparues au profit de l'équipe de carte.

• Qu'elle s'appelle Ethernet0, NicTeam1 ou autre, pour paramétrer la carte réseau, on clique sur le lien en face du nom de la carte.

• La fenêtre des connexions réseau apparaît. On choisira la carte à alors la carte à paramétrer.

• La carte sélectionnée, on fera un clic droit pour sélectionner Propriétés.

• Dans la nouvelle fenêtre, on double-cliquera sur Protocole Internet version 4 (TCP/IPv4).

• On sélectionnera Utiliser l'adresse IP suivante :, ce qui aura pour effet d'activer le champs Utiliser l'adresse de serveur DNS suivante : et de dégriser les deux zones.

• On remplit alors les champs avec les adresses que l'on souhaite en accord avec notre plan d'adressage réseau puis on valide avec OK.

• Il ne nous reste plus qu'à fermer les fenêtres et à vérifier que notre nouvelle adresse IP s'affiche bien dans la page du serveur local.

Cas spécifique de l'IPv6 : Certains ont pris l'habitude de désactiver l'IPv6. Dans certains cas, c'est obligatoire car l'IPv6 entraîne des problèmes de communications pour certains services et/ou applications. Le problème ne vient pas de l'IPv6 mais bien des applications (mal programmées ?). La désactivation de l'IPv6 n'entraînera pas directement de panne sur votre serveur mais certains services Windows risque de ne plus fonctionner de manière optimale voire être indisponible. Pour ma part, tant que je n'ai pas de problème avéré avec, je le laisse par défaut.

• On va maintenant paramétrer Windows Update. Pour cela, on va cliquer sur le lien en face du nom.

• La fenêtre Paramètres apparaît et affiche la section Windows Update. On commencera par modifier les heures d'activité.

• On choisit alors les heures en fonction des exigences de services. On rajoutera une marge de 1 ou 2 heures avant et après (au cas où des collaborateurs arriveraient en avance ou feraient des heures supplémentaires par exemple). On validera ensuite avec le bouton Enregistrer.

• Ensuite, on cliquera sur Options avancées.

• Là, on va activer les options Me communiquer les mises à jour d'autres produits Microsoft… (afin de recevoir les mises à jour pour Office, Exchange, Server SQL…) et Afficher une notification… (On sait jamais).

• La fermeture de la fenêtre valide les options, on peut alors rechercher et installer les mises à jour.

Avant de continuer, je recommande de faire toutes les mises à jour et de redémarrer le serveur au besoin.

Comme indiqué précédemment, la sécurité renforcée d'Internet Explorer vous empêche de naviguer depuis le serveur sur des sites non enregistrés. Si vous essayer, un message d'erreur apparaît.

De plus, le téléchargement de fichiers est tout simplement interdit. Il s'agit là d'une mesure de sécurité afin d'éviter que le serveur ne soit infecté par des virus ou des hacks en provenance du net. Cependant, ça pose un problème quand il s'agit de télécharger des logiciels à installer ou quand on cherche des informations pour un dépannage par exemple. Pour palier à cela, on peut soit installer un autre navigateur qui ne sera de fait pas affecter par le politique de sécurité de IE, soit désactiver la sécurité renforcée.

• Pour cela, on clic sur le lien en face du nom.

• Dans la fenêtre qui apparait, on peut choisir de désactiver la sécurité renforcée pour les administrateurs et/ou les utilisateurs. Je rappelle qu'à l'exception d'un serveur RDS, les simples utilisateurs n'ont rien à faire sur un serveur, trop de risques pour peu de bénéfices. On choisira donc Désactivé pour les administrateurs et on validera en cliquant sur OK.

• On pourra alors vérifier sur la page du serveur local la prise en compte des modifications.

Je tiens à rappeler que l'on est jamais trop prudent. Une erreur peut arriver, même aux pros. Par conséquent, je recommande l’activation de la sécurité renforcée de IE sur les serveurs en prod. Si vous voulez faire des recherches, faîtes les sur vos PC. Pareils pour les téléchargements. Une fois que vous avez ce qu'il vous faux faites les transiter par le réseaux jusqu'au serveur.

La plupart du temps le fuseau horaire est déjà correctement configuré. Mais si ce n'est pas le cas ou que l'on souhaite le modifier :

• On clique sur le lien en face de Fuseau horaire.

• Une fenêtre apparait dans laquelle on choisira Changer de fuseau horaire….

• Une nouvelle boîte de dialogue apparaît dans laquelle on choisira notre fuseau horaire dans une liste. On pourra aussi activer le changement automatique d'heure été/hiver. On fois nos choix effecttués, on lide avec OK.

• Une fois de retour sur la première fenêtre, on peut si on le désir, ajuster la date et l'heure en cliquant sur le bouton justement nommée Changer la date et l'heure….

• Sur la nouvelle boîte de dialogue, on règle la date et l'heure puis on valide sur OK.

• On finira alors en cliquant sur OK sur la fenêtre principale pour valider le tout.

Une fois le serveur local prêt, j'aime bien préparer le bureau Windows. Le but étant d'avoir à porter de main les utilitaires incontournables. Par conséquent, je vais épingler dans la barre de tâches les utilitaires suivants :

• taskmgr
• cmd
• Panneau de configuration
• Powershell
• Powershell ISE

Certains logiciels ne peuvent pas être épinglé, du coup je crée un raccourci sur le bureau.

• mmc

On pourra par la suite agrémenter la liste des utilitaires avec les rôles et services que l'on installera sur ce serveur.