Étape 3 - Préparer un serveur PAM

  • Article

« Étape 2Étape 4 »

Installer Windows Server 2016 ou 2019

Sur une troisième machine virtuelle, installez Windows Server 2016 ou 2019 pour effectuer PAMSRV. Étant donné que SQL Server service MIM et éventuellement SharePoint 2013 seront installés sur cet ordinateur, il nécessite au moins 8 Go de RAM.

  1. Lors de l’installation, spécifiez Windows Server 2016 (serveur avec expérience de bureau).

  2. Lisez et acceptez les termes du contrat de licence.

  3. Sélectionnez Personnalisé : Installez Windows uniquement et utilisez l’espace disque non initialisé, car le disque sera vide.

  4. Connectez-vous à ce nouvel ordinateur en tant qu’administrateur. À l’aide du Panneau de configuration, attribuez-lui une adresse IP statique sur le réseau virtuel, configurez cette interface réseau pour envoyer les requêtes DNS à l’adresse IP de PRIVDC, puis nommez l’ordinateur PAMSRV. Cette opération nécessite un redémarrage du serveur.

  5. Si le réseau virtuel ne fournit pas de connectivité Internet, ajoutez une interface réseau supplémentaire à l’ordinateur qui fournit une connexion à Internet. Elle est uniquement nécessaire pour télécharger les mises à jour et pour l’installation de SharePoint, et peut être désactivée une fois cette étape terminée.

  6. Attendez que le serveur redémarre. Une fois que le serveur a redémarré, connectez-vous en tant qu’administrateur. À l’aide du Panneau de configuration, configurez l’ordinateur pour vérifier les mises à jour, puis installez les mises à jour nécessaires. Cette opération peut nécessiter un redémarrage du serveur.

  7. Attendez que le serveur redémarre. Une fois le serveur redémarré, connectez-vous en tant qu’administrateur, ouvrez le Panneau de configuration et joignez PAMSRV au domaine PRIV (priv.contoso.local). Vous devrez fournir le nom d’utilisateur et les informations d’identification d’un administrateur de domaine PRIV (PRIV\Administrateur). Après l'affichage du message de bienvenue, fermez la boîte de dialogue et redémarrez ce serveur.

Ajouter les rôles de serveur web (IIS) et de serveur d’applications

Ajoutez le rôle Serveur web (IIS), les fonctionnalités .NET Framework 3.5 et 4.6 et le module Active Directory pour Windows PowerShell. Si vous envisagez d’installer SharePoint, ajoutez également d’autres fonctionnalités requises par SharePoint.

  1. Connectez-vous en tant qu’administrateur de domaine PRIV (PRIV\Administrateur) et lancez PowerShell.

  2. Tapez les commandes suivantes. Notez que vous devrez peut-être spécifier un autre emplacement pour les fichiers sources pour les fonctionnalités .NET Framework 3.5. Ces fonctionnalités ne sont généralement pas présentes lors de l’installation de Windows Server, mais elles sont disponibles dans le dossier côte à côte (SxS) du dossier des sources de disque d’installation du système d’exploitation, par exemple . d:\Sources\SxS\

    import-module ServerManager
Install-WindowsFeature Web-WebServer, Net-Framework-Features,
rsat-ad-powershell,Web-Mgmt-Tools,
Windows-Identity-Foundation,Server-Media-Foundation,
Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS

Configurer la stratégie de sécurité de serveur

Configurez la stratégie de sécurité du serveur pour permettre aux comptes nouvellement créés de s’exécuter en tant que services.

  1. Lancez le programme Stratégie de sécurité locale .

  2. Accédez à Stratégies locales>Attribution des droits utilisateur.

  3. Affichez le volet d’informations, cliquez avec le bouton droit sur Se connecter en tant que service, puis sélectionnez Propriétés.

  4. Cliquez sur Ajouter un utilisateur ou un groupe et, dans Noms d’utilisateurs et de groupes, tapez priv\mimmonitor; priv\MIMService; priv\SharePoint; priv\mimcomponent; priv\SqlServer. Cliquez sur Vérifier les noms, puis sur OK.

  5. Sélectionnez OK pour fermer la fenêtre propriétés.

  6. Affichez le volet d’informations, cliquez avec le bouton droit sur Refuser l’accès à cet ordinateur à partir du réseau, puis sélectionnez Propriétés.

  7. Cliquez sur Ajouter un utilisateur ou un groupe puis, dans Noms d’utilisateurs et de groupes, tapez priv\mimmonitor; priv\MIMService; priv\mimcomponent et cliquez sur OK.

  8. Sélectionnez OK pour fermer la fenêtre propriétés.

  9. Affichez le volet d’informations, cliquez avec le bouton droit sur Refuser l’ouverture de session localement, puis sélectionnez Propriétés.

  10. Cliquez sur Ajouter un utilisateur ou un groupe puis, dans Noms d’utilisateurs et de groupes, tapez priv\mimmonitor; priv\MIMService; priv\mimcomponent et cliquez sur OK.

  11. Sélectionnez OK pour fermer la fenêtre propriétés.

  12. Fermez la fenêtre Stratégie de sécurité locale.

  13. Lancez Panneau de configuration et basculez vers Comptes d’utilisateur.

  14. Cliquez sur Accorder l’accès à cet ordinateur à des tiers.

  15. Cliquez sur Ajouter, entrez le nom d’utilisateur MIMADMIN dans le domaine PRIV puis, dans l’écran suivant de l’Assistant, cliquez sur Ajouter cet utilisateur en tant qu’administrateur.

  16. Cliquez sur Ajouter, entrez le nom d’utilisateur SharePoint dans le domaine PRIV puis, dans l’écran suivant de l’Assistant, cliquez sur Ajouter cet utilisateur en tant qu’administrateur.

  17. Fermez le Panneau de configuration.

Changer la configuration d’IIS

Il existe deux façons de changer la configuration d’IIS pour permettre aux applications d’utiliser le mode d’authentification Windows. Vérifiez que vous êtes connecté en tant que MIMAdmin, puis suivez l’une de ces options.

Si vous souhaitez utiliser PowerShell :

  1. Cliquez avec le bouton droit sur PowerShell et sélectionnez Exécuter en tant qu’administrateur.

  2. Arrêtez IIS et déverrouillez les paramètres de l’hôte d’application à l’aide de ces commandes.

    iisreset /STOP
C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
iisreset /START

Si vous souhaitez utiliser un éditeur de texte tel que le Bloc-notes :

  1. Ouvrez le fichier C:\Windows\System32\inetsrv\config\applicationHost.config.
  2. Faites défiler jusqu’à la ligne 82 du fichier. La valeur de balise de overrideModeDefault doit être <section name="windowsAuthentication" overrideModeDefault="Deny" />.
  3. Remplacez la valeur de overrideModeDefault par Autoriser.
  4. Enregistrez le fichier, puis redémarrez IIS avec la commande iisreset /STARTPowerShell .

Installer les bibliothèques de prérequis

  1. Installez les packages redistribuables Visual C++ 2013 pour Windows Server 64 bits.

  2. Si vous utilisez le mode TLS 1.2 ou FIPS dans le domaine PRIV, consultez MIM 2016 SP2 dans les environnements « TLS 1.2 uniquement » ou en mode FIPS pour plus d’informations préalables.

Installer SQL Server

Si SQL Server ne se trouve pas déjà dans l’environnement bastion, installez SQL Server 2012 (Service Pack 1 ou version ultérieure), SQL Server 2014 ou version ultérieure. Les étapes suivantes sont basées sur l'utilisation de SQL Server 2014.

  1. Vérifiez que vous êtes connecté en tant que MIMAdmin.
  2. Cliquez avec le bouton droit sur PowerShell et sélectionnez Exécuter en tant qu’administrateur.
  3. Accédez au répertoire où se trouve le programme d’installation de SQL Server.
  4. Tapez la commande suivante. 
    .\setup.exe /Q /IACCEPTSQLSERVERLICENSETERMS /ACTION=install /FEATURES=SQL,SSMS /INSTANCENAME=MSSQLSERVER /SQLSVCACCOUNT="PRIV\SqlServer" /SQLSVCPASSWORD="Pass@word1" /AGTSVCSTARTUPTYPE=Automatic /AGTSVCACCOUNT="NT AUTHORITY\Network Service" /SQLSYSADMINACCOUNTS="PRIV\MIMAdmin"

Modifier les paramètres de mise à jour

  1. Ouvrez Paramètres, puis accédez à Windows Update.
  2. Recherchez les nouvelles mises à jour et vérifiez que toutes les mises à jour importantes en attente pour Windows Server ou SQL Server sont installées avant de continuer.

Installer SharePoint Server 2016 ou 2019 (requis uniquement pour le portail MIM)

Les sections suivantes de cet article sont requises uniquement si vous installez le portail MIM. Si vous ne souhaitez pas installer le portail MIM, passez à l’étape 4 pour installer les autres composants MIM.

Utilisez le guide de préparation de Sharepoint pour installer SharePoint Server 2016 ou 2019.

Définir le site web en tant qu’intranet local

  1. Lancez Internet Explorer et ouvrez un nouvel onglet de navigateur web.
  2. Accédez à http://pamsrv.priv.contoso.local:82/ et connectez-vous en tant que PRIV\MIMAdmin. Un site SharePoint vide nommé « Portail MIM » s’affiche.
  3. Dans Internet Explorer, ouvrez Options Internet, accédez à l’onglet Sécurité, sélectionnez Intranet local, puis ajoutez l’URL http://pamsrv.priv.contoso.local:82/.

En cas d’échec de la connexion, les noms de principaux du service (SPN) Kerberos créés à l’Étape 2 devront éventuellement être mis à jour.

Démarrer le service d’administration SharePoint

À l’aide de Services (dans Outils d’administration), démarrez le service Administration SharePoint, s’il n’est pas en cours d’exécution.

À l’étape 4, vous allez commencer à installer les composants MIM sur le serveur PAM.

« Étape 2Étape 4 »