Installation de Windows Server 2019

Avant d'installer un système d'exploitation, il est primordial de préparer la machine qui va l’accueillir.

Dans le cas d'une machine physique, il faut d'abord préparer les volumes logiques qui hébergera le système de fichiers. Ayant eu à maintes reprises l'occasion de voir des systèmes installés par des non-professionnels, je rappelle ici certaines règles ABSOLUMENT incontournables. Pour des serveurs physiques, qui sont actifs 24h/24, le maître mot est la redondance :

• Aucun disque logique ne doit être stocké sur un disque isolé.
• De fait, tous les disques physiques doivent être regroupés en grappe RAID.
• Vu qu'on cherche la sécurité de la redondance, on bannira le RAID-0.
• Là aussi, on évitera d'installer un système sur une carte flash si celle-ci n'est pas redondée.
• Le serveur doit toujours être branché sur un onduleur.
• L'onduleur doit correspondre ou être supérieur à la somme des charges maximales de tous les matériels branchés dessus.
• La batterie de l'onduleur doit être changé tous les 2-3 ans.
• Un serveur, ça chauffe. On le placera donc dans une pièce climatisée et non poussiéreuse.
• On veillera à ce que les grilles de ventilations du serveurs ne soit pas obstruées.
• On NE FUME PAS à côté d'un serveur, ni de tout appareil électronique en fait. Sinon, les goudrons se collent aux composants et systèmes de refroidissement, entraînant des pannes par surchauffe.

Cette liste n'est malheureusement pas exhaustive. Mais avec un peu d'entretien et de bon sens, vos serveurs seront toujours opérationnels et ne subiront pas d'obsolescence précoce.

Dans le cas de serveurs virtuels, la redondance et la protection matérielle sont assurées par le serveur physique hôte.

Je vous laisse vous informer auprès des différents constructeurs de vos serveurs pour les méthodes de configurations matériels, notamment celles des RAID ainsi que les bonnes pratiques quant à leurs utilisations.

Pour la suite, j'utiliserai une VM (2vCPU, 8Go RAM, 80Go HDD) hébergé par un ESXi 6.5 de VMWare.

Au premier lancement de la VM, l'iso de Windows Server 2019 est chargé et le setup se lance automatiquement. On arrive alors sur l'écran de préférence linguistique.

Une fois la langue choisi, on clic sur Suivant, on arrive alors sur l'écran d'installation.

Pour poursuivre, on cliquera sur Installer maintenant. L'option Réparer l'ordinateur en bas à gauche, permet d'accéder aux outils de diagnostique et aux outils de restauration de sauvegardes Windows. On lance donc l'installation et on arrive sur une fenêtre nous proposant de choisir le système d'exploitation voulu. Dans la plupart des cas, l'édition Standard est suffisante. Je vous laisse le soins d'aller voir les différences entre Standard et Datacenter sur le site de Microsoft.

• Référence : Microsoft

On remarquera que l'édition Standard existe en deux versions : la normale, aussi appelé Core, et celle avec expérience de bureau ou Desktop. Basiquement, la Core n'affichera qu'une interface de console Powershell alors que la Desktop affichera un bureau complet. A moins d'être féru de ligne de commande ou de posséder un Windows Admin Center, on installera généralement la version Desktop.

C'est ce que l'on choisira aavant de cliquer sur Suivant.

Sur l'écran suivant, on lit les termes du contrat (), on accepte et on clique sur Suivant.

Ensuite, l'installation nous propose une Mise à niveau ou une installation Personnalisé. Dans le cas d'un nouveau serveur, la mise à niveau est une installation standard. Mais si vous lancé l'installation sur un serveur existant, cette option va passer votre ancien Windows Server en version 2019. On est sur des serveurs, c'est plutôt sensible comme opération et je ne suis pas confiant sur les systèmes de mises à niveau de Windows… Il existe plein d'outils pour opérer une migration de version d'OS donc dans ce cas là, je me baserais sur eux plutôt que sur l'option de mise à niveau.

Par conséquent, dans la grande majorité des cas, on choisira l'option Personnalisé.

Dans l'écran suivant, on pourra choisir le volume logique sur lequel installé le système. Dans mon cas, je n'ai qu'un seul disque mais dans le cas où on en aurait plusieurs, il faut faire attention au disque que l'on choisit. Un fois installé, on ne peut plus le changer! On choisi donc le bon disque et on clique sur Suivant.

A noter que les options présentes en bas de la fenêtre permettent de créer des partitions, de les supprimer, de les formater ou encore de les étendre. Par défaut, le programme d'installation va créer les différentes partitions necéssaires en allouant le maximum d'espace possible à la partition principale. L'option Charger un pilote permet de charger les fichiers nécessaires pour que le système reconnaisse et puisse utiliser les disques ou contrôleur RAID qu'il ne connaît pas par défaut (assez rare).

A ce moment là, les fichiers sont copiés sur le disque, l'installation à proprement parlé commence.

A la fin de la copie, le système redémarre automatiquement.

Une fois redémarré, on nous demande de définir le mot de passe du compte Administrateur. Comme toujours, il est vivement recommandé d'utiliser un mot de passe sécurisé. Il faut aussi faire attention à la langue du clavier. Parfois on pense être en azerty alors que l'on est en qwerty. N'hésitez pas à vérifiez votre mot de passe grâce au logo de visibilité

Le mot de passe défini, on clique sur Terminer.

L'installation est maintenant terminée, il nous reste plus qu'à nous connecter pour commencer les paramétrages.

A l'ouverture de session, le gestionnaire de serveur se lance. La première chose que je fais est de l'épingler à la barre de tâche. On en a énormément besoin, autant l'avoir à portée de main. Ensuite, on peut commencer les paramétrages. On va d'abord aller sur Serveur local présent dans la colone de gauche.

Ici on va pouvoir appliquer les paramétrages de base du serveur. On modifiera donc :

• Le nom. Dans une structure complexe, le nom du serveur vous aidera à identifier rapidement son rôle (DC, MAIL, FILE, etc…). On pourra lui associer un numéro afin de différencier plusieurs serveurs ayant le même rôle. On pourra aussi y ajouter un type de machine (PC, SRV, VM…), une localisation (DATACENTER, OFFICE…) ou encore une ville (TOULOUSE, PARIS…). Cette nomenclature est celle que j'utilise. Dans d'autres structures, on préfèrera les numéros d'inventaires ou autres afin de compliquer la tâches à d'éventuels pirates. Il n'y a pas de règles, on fait comme on veut mais une nomenclature unique à l'ensemble de l'architecture est préférable.
• Le bureau à distance. Dans le cas où vous avez un accès physique au serveur, vous en avez pas besoin. Mais dans la plupart des cas, on intervient sur un serveur à distance. Du coup soit vous utiliser un logiciel de prise en main à distance comme Teamviewer ou bien vous activez le bureau à distance.
• L'association de cartes réseau. Cette option permet de coupler plusieurs cartes réseaux. On peut les configurer en redondance actif/passif, actif/actif ou encore en équilibrage de charge. Le but est là encore de palier à une rupture de service si une carte réseau tombe en panne.
• Ethernet0. Il s'agit là du nom par défaut de la carte réseau connectée. On peut évidemment la renommer et c'est aussi le lien pour configurer la carte. Les serveurs doivent avoir une adresse IP fixe afin d'éviter les problèmes de communications des services.
• Windows Update. On peut ici paramétrer les préférences de mises à jour. Dans la grande majorité des cas, il est vivement recommandé de toujours mettre à jour vos systèmes quels qu'ils soient. Cependant, on peut les laisser en automatique ou choisir de les faire manuellement, c'est au choix. Pensez aussi à régler les heures de services afin d'éviter qu'un serveur ne redémarre en pleine journée.
• Configuration de sécurité renforcée d'Internet Explorer. Un point assez controversé… Par défaut, la sécurité IE ne permet de naviguer que sur des sites enregistrés, sinon le navigateur affiche un avertissement. De plus, le téléchargement de fichiers est interdit. C'est une bonne pratique de sécurité mais cela pose de gros problèmes au admins qui interviennent sur le serveur. Personnellement, je désactive cette option pour les administrateurs pendant la période de préparation du serveur et ne la réactive que lors de la mise en production.
• Fuseau horaire. De nombreux services dépendent de le synchronisation des horloges. Par conséquent, il faut se positionner sur le bon fuseau pour avoir l'heure exacte.

• Pour changer le nom, on va cliquer sur le nom par défaut.

• Dans la nouvelle fenêtre, on va (1) donner une description au serveur et (2) cliquer sur Modifier….

• Ensuite, (3) on donne le nouveau nom et (4) on clique sur OK.

• Un message d'avertissement apparaît pour nous prévenir qu'un redémarrage est obligatoire. On cliquera sur OK.

• De retour sur la première fenêtre, on cliquera sur Fermer.

• Le serveur nous propose de redémarrer et vu que le changement de nom a un impact sur de nombreux services, c'est que qu'on fera.

• Au redémarrage, on peut vérifier que le nom a bien été changé.

• Pour activer le bureau à distance, on va d'abord cliquer sur le lien Désactivé.

• Dans la fenêtre qui apparait, on choisira Autoriser les connexions à distance à cet ordinateur.

• Dès la sélection de la puce, un avertissement sur une exception de pare-feu apparaît. On clique alors sur OK.

• On s'assure que la case concernant l'authentification NLA est cochée (ça augmente la sécurité) et on valide en cliquant sur OK.

• Après un rafraîchissement de la page du serveur local, on vérifie l'activation du bureau à distance.