🪟 Windows Server — Guide Complet (AD • IIS • Hyper-V • Sécurité • Cloud)

Plateforme serveur Microsoft : Active Directory, IIS, Hyper-V, fichiers/impression, gestion centralisée (GPO), patching & hardening. Idéal pour démontrer des compétences “Enterprise IT / Infra”.

Docs

Windows Server : versions & positionnement

LTSC vs AC, éditions, core vs desktop experience, choix selon usage.

LTSCEnterpriseEditions

Installation & post-install

ISO/VM, drivers, Server Core, WinRM, updates, baseline “prod-ready”.

InstallCoreWinRM

Rôles & Features

AD DS, DNS, DHCP, IIS, File Server, RDS, WSUS : quand/ pourquoi.

RolesADIIS

Active Directory (AD DS) & GPO

Domaine, OU, users/groups, GPO, Kerberos, bonnes pratiques.

AD DSGPOKerberos

IIS & Web Hosting

Sites, app pools, TLS, reverse proxy, logs, perf, durcissement.

IISTLSWeb

Hyper-V & virtualisation

VMs, switches, storage, checkpoints, perf, HA (selon design).

Hyper-VVMvSwitch

Storage & File Services

NTFS/ReFS, SMB, quotas, DFS, permissions, audit, sauvegardes.

SMBNTFSDFS

Sécurité & hardening

Firewall, Defender, BitLocker, LAPS, baselines, patching, audit.

DefenderFirewallHardening

PowerShell (admin moderne)

Cmdlets, remoting, scripts, DSC (principes), modules, runbooks.

PowerShellAutomationRemoting

Updates : WSUS / WUfB / SCCM

Stratégies patching, rings, maintenance windows, rollback.

WSUSWUfBSCCM

Monitoring & logs

Event Viewer, PerfMon, ETW, Sysmon, centralisation, alerting.

PerfMonEventsSIEM

Troubleshooting pro

Playbook incidents : boot, DNS, AD, services, perf, réseau.

RunbookIncidentsDiag

Cloud : Azure & AWS

VMs, images, domain join, hybrid, patch, sauvegardes, DR.

AzureAWSHybrid

Migration & stratégie “Enterprise”

Upgrade, in-place vs side-by-side, AD upgrade path, tests & cutover.

MigrationStrategyCutover

1) Windows Server : versions, éditions, canaux, choix d’architecture

Canaux : LTSC vs AC

Canal	Idée	Quand	Exemples
LTSC	stabilité long terme	prod enterprise	Windows Server 2025 (LTSC actuel)
AC	innovation plus fréquente	workloads “moving”	Windows Server v23H2 (AC)

Réflexe pro : “choisir canal = choisir cadence de changement”. On pilote via staging + rollout + observabilité.

Diagramme à insérer : LTSC vs AC

static/img/windows_server/ws_ltsc_ac.png

Éditions (logique)

Édition	Positionnement	Use-cases	Notes
Standard	généraliste	AD/IIS/File servers	licensing selon ton modèle
Datacenter	virtualisation/scale	Hyper-V, SDS, gros environnements	features avancées
Azure Edition	cloud-centric	hotpatching / intégrations	selon scénarios Azure

À retenir : le choix “Standard vs Datacenter” est souvent un choix de virtualisation/rights + features.

Server Core : pourquoi c’est “infra mature”

Moins de surface d’attaque (moins de composants GUI)
Moins de patchs / moins de reboots (souvent)
Admin via PowerShell, Windows Admin Center, remoting
Standardisation d’images (golden images)

                    # infos rapides
                    systeminfo
                    winver
                    Get-ComputerInfo | Select-Object WindowsProductName,WindowsVersion,OsHardwareAbstractionLayer

Liens officiels

Docs Windows Server : https://learn.microsoft.com/windows-server/
Release info (LTSC/AC) : https://learn.microsoft.com/windows/release-health/windows-server-release-info
Windows Server update history (2025) : https://support.microsoft.com/topic/windows-server-2025-update-history-10f58da7-e57b-4a9d-9c16-9f1dcd72d7d7

2) Installation & post-install “prod-ready”

Checklist d’installation

Étape	Détail	Objectif
Mode	Server Core / GUI	surface d’attaque vs confort
Réseau	IP/DNS/NTP	stabilité AD + services
Stockage	OS vs Data séparés	ops + perf + DR
Updates	patch initial	réduire risques immédiats
Remote	WinRM / Admin Center	admin moderne
Sécurité	Firewall + Defender baseline	hardening minimal

Diagramme à insérer : install flow

static/img/windows_server/ws_install_flow.png

Post-install PowerShell (starter pack)

                        # 1) Renommer + reboot
                        Rename-Computer -NewName "WS-CORE-01" -Restart

                        # 2) Mettre timezone / NTP (ex)
                        tzutil /s "Romance Standard Time"
                        w32tm /query /status

                        # 3) Activer remoting
                        Enable-PSRemoting -Force

                        # 4) Updates (selon politique: WSUS/WUfB/SCCM)
                        # (ex: vérifier config Windows Update)
                        Get-Service wuauserv

                        # 5) Firewall: vérifier profils
                        Get-NetFirewallProfile | Format-Table Name, Enabled

                        # 6) Defender: état
                        Get-MpComputerStatus | Select AMServiceEnabled,AntivirusEnabled,RealTimeProtectionEnabled

Prod : les updates ne se pilotent pas “au hasard”. Tu définis une stratégie (rings + maintenance windows + rollback).

CV : “J’installe et standardise Windows Server Core, admin via PS/WinRM, baseline sécu & patching”.

3) Rôles & Features : AD, DNS, DHCP, IIS, RDS, WSUS

Cartographie des rôles (vision d’architecte)

Rôle	But	Quand l’utiliser	Pièges
AD DS	auth & annuaire	entreprise/hybride	design OU/GPO, réplication
DNS	résolution	toujours avec AD	zones, forwarders
DHCP	IP dynamiques	LAN	scopes, options
IIS	hébergement web	apps .NET / reverse proxy	TLS, app pools
File Server	SMB, shares	fichiers	NTFS vs share perms
WSUS	patching central	parc Windows	stockage/approbations

Installer un rôle (ex : IIS)

                Install-WindowsFeature -Name Web-Server -IncludeManagementTools
                Get-WindowsFeature | Where-Object {$_.InstallState -eq "Installed"} | Select Name

4) Active Directory : domaine, OU, users/groups, GPO, bonnes pratiques

Design “clean”

Créer des OU par fonctions (Users / Servers / Workstations / Service Accounts)
Limiter les droits : “least privilege”, groupes dédiés
Stratégie mots de passe & MFA (selon stack)
DNS/Time = critiques (Kerberos dépend du temps)

Diagramme à insérer : AD forest / OU / GPO

static/img/windows_server/ws_ad_ou_gpo.png

Déployer un DC (exemple guidé)

                    # 1) Installer rôle AD DS + DNS
                    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
                    Install-WindowsFeature DNS -IncludeManagementTools

                    # 2) Promouvoir en nouveau domaine (ex)
                    Import-Module ADDSDeployment
                    Install-ADDSForest -DomainName "corp.local" -InstallDNS

Prod : pense réplication, second DC, sauvegarde System State, et plan de recovery.

GPO : ce que tu dois savoir expliquer

Thème	Exemples	Bon réflexe
Security baseline	password policy, lockout	tester sur OU pilote
Firewall	rules par profils	documenter exceptions
Hardening	disable legacy protocols	inventaire dépendances
Software	deploy MSI, scripts	rollback plan

Ops : commandes utiles

                    # santé DC (ex)
                    dcdiag
                    repadmin /replsummary

                    # DNS
                    Get-DnsServerZone
                    Get-DnsServerResourceRecord -ZoneName "corp.local" | Select -First 30

                    # utilisateurs (ex)
                    Get-ADUser -Filter * -SearchBase "OU=Users,DC=corp,DC=local" | Select -First 20

5) IIS : sites, app pools, TLS, logs, perf, hardening

Architecture IIS (mental model)

Composant	Rôle	Notes
Site	binding (host/port/TLS)	multi-sites par serveur
App Pool	process isolation	recycle, identities
Logs	analyse	rotation + centralisation
TLS	sécuriser	protocols/ciphers policy

Diagramme à insérer : IIS request flow

static/img/windows_server/ws_iis_flow.png

Recettes PowerShell (IIS)

                        # installer IIS
                        Install-WindowsFeature Web-Server -IncludeManagementTools

                        # module WebAdministration
                        Import-Module WebAdministration

                        # lister sites
                        Get-Website | Format-Table Name, State, PhysicalPath, Bindings

                        # créer un site simple
                        New-Item -ItemType Directory -Path "C:\Sites\MyApp" -Force | Out-Null
                        New-Website -Name "MyApp" -Port 8080 -PhysicalPath "C:\Sites\MyApp"

                        # démarrer/stop
                        Start-Website "MyApp"
                        Stop-Website "MyApp"

Hardening : logs + TLS policy + minimum features + patching + WAF (si exposé internet).

6) Hyper-V : VMs, switches, storage, checkpoints, perf

Hyper-V : éléments clés

Élément	Description	Bonnes pratiques
vSwitch	virtual networking	segmentation (LAN/DMZ)
VHDX	disques virtuels	storage performant + monitoring
Checkpoints	snapshots VM	maintenance courte, pas backup
Integration Services	drivers/agents	tenir à jour

                # installer Hyper-V
                Install-WindowsFeature Hyper-V -IncludeManagementTools -Restart

                # lister VMs
                Get-VM

                # créer un switch (externe)
                New-VMSwitch -Name "ExternalSwitch" -NetAdapterName "Ethernet" -AllowManagementOS $true

7) Storage & File Services : SMB, NTFS/ReFS, quotas, DFS, audit

Permissions : modèle simple (à expliquer)

Couche	But	Règle pratique
Share perms	contrôle “grossier”	souvent “Full” pour groupes IT
NTFS perms	contrôle fin	groupes, héritage, audit
DFS	namespace	abstraction, résilience

Astuce : “Share simple, NTFS précis”. Et surtout : documenter les groupes.

Recettes PowerShell

                        # créer share SMB
                        New-Item -ItemType Directory -Path "D:\Shares\Public" -Force | Out-Null
                        New-SmbShare -Name "Public" -Path "D:\Shares\Public" -FullAccess "CORP\Domain Admins"

                        # lister shares + sessions
                        Get-SmbShare
                        Get-SmbSession | Select ClientComputerName, NumOpens, Username

                        # permissions NTFS (ex)
                        icacls "D:\Shares\Public"

Prod : quotas + monitoring disque + sauvegarde + tests de restauration.

8) Sécurité : baseline, Defender, Firewall, BitLocker, LAPS, audit

Baseline “pro”

Contrôle	Objectif	Exemples
Patch policy	réduire surface vulnérable	rings + maintenance
Least privilege	limiter blast radius	tiers admin, groupes
Disable legacy	supprimer dettes	protocoles obsolètes
Central logs	détection incidents	SIEM/collecteur

Recruteur : “je pense baseline + monitoring + patching”, pas juste “installer un rôle”.

Defender : commandes utiles

                    Get-MpComputerStatus | Select AMServiceEnabled,AntivirusEnabled,RealTimeProtectionEnabled
                    Get-MpPreference | Select-Object -First 40
                    Update-MpSignature

Prod : tout ce qui est exclusions doit être justifié + revu (supply chain & malware).

Firewall : contrôler l’exposition

                    Get-NetFirewallProfile | Format-Table Name, Enabled, DefaultInboundAction, DefaultOutboundAction
                    Get-NetFirewallRule -Enabled True | Select -First 50 DisplayName, Direction, Action, Profile

Règle : pas de “tout ouvert”. Tu ouvres le strict nécessaire, documenté.

Identity hardening

Admin tiering (séparer admin poste / admin serveur / admin domaine)
LAPS (mots de passe locaux uniques)
GPO : lockout policy, restrictions, MFA si stack

Audit & events (investigation)

                    # logs de sécurité (ex)
                    wevtutil el | Select-String -Pattern "Security"
                    Get-WinEvent -LogName Security -MaxEvents 50 | Select TimeCreated, Id, ProviderName, Message

Astuce : ajoute Sysmon sur serveurs critiques + centralise (sinon, post-mortem pénible).

9) PowerShell : scripts, remoting, modules, runbooks

PowerShell = l’admin “moderne”

Concept	Pourquoi	Exemples
Objets	plus fiable que grep/texte	Where-Object, Select-Object
Remoting	admin à distance	WinRM, Enter-PSSession
Modules	réutilisable	ActiveDirectory, WebAdministration
Runbooks	standard incidents	start/stop, diag, rollback

                # Remoting
                Enable-PSRemoting -Force
                Test-WSMan localhost

                # inventaire rapide
                Get-Service | Where-Object {$_.Status -eq "Running"} | Select -First 30 Name, DisplayName
                Get-NetTCPConnection -State Listen | Select -First 30 LocalAddress,LocalPort,OwningProcess

                # perf
                Get-Counter '\Processor(_Total)\% Processor Time' -SampleInterval 1 -MaxSamples 5

10) Updates : WSUS / Windows Update for Business / SCCM (stratégie)

Stratégie patching (pro)

Pattern	Principe	Avantage	Risque
Rings	pilot → broad	détecter régressions	nécessite monitoring
Maintenance windows	fenêtres	prévisible	peut retarder patch
Rollback	désinstaller KB / restore	limite impact	préparation obligatoire

                # Historique updates (ex)
                Get-HotFix | Sort-Object InstalledOn -Descending | Select -First 20

                # Services update
                Get-Service wuauserv,bits,cryptsvc | Format-Table Name,Status,StartType

Note : Windows Server 2022 mainstream support se termine en octobre 2026 (impact support Microsoft 365 Apps, selon cas). :contentReference[oaicite:1]{index=1}

11) Monitoring & logs : Event Viewer, PerfMon, ETW, Sysmon, centralisation

Les 4 axes “SRE Windows”

Axe	Signaux	Outils
CPU	pics, saturation	PerfMon, counters
RAM	paging, memory pressure	PerfMon, Resource Monitor
Disk	latence, queue	PerfMon, diskspd (tests)
Réseau	drops, retransmits	perf counters + netsh

Diagramme à insérer : observability pipeline

static/img/windows_server/ws_observability.png

Commandes utiles

                        # events récents (system)
                        Get-WinEvent -LogName System -MaxEvents 50 | Select TimeCreated,Id,ProviderName,Message

                        # perf counters (ex CPU)
                        Get-Counter '\Processor(_Total)\% Processor Time' -SampleInterval 1 -MaxSamples 10

                        # services critiques
                        Get-Service | Where-Object {$_.Status -ne "Running"} | Select -First 30 Name,Status,StartType

Pro : tu centralises logs + tu mets des alertes “actionnables” (pas du bruit).

13) Cloud : Azure & AWS (VMs, images, domain join, hybrid, DR)

Pattern “cloud” (pro)

Principe	Pourquoi	Exécution
Golden image	reproductible	image + versionning
Immutabilité	rollback rapide	replace, don’t repair
Domain join	identité centralisée	hybrid AD/AAD
Backup/DR	continuité	snapshots + restore tests

Diagramme à insérer : hybrid identity

static/img/windows_server/ws_hybrid_identity.png

Bootstrap PowerShell (ex)

                        # baseline
                        Enable-PSRemoting -Force
                        Set-ExecutionPolicy RemoteSigned -Force

                        # firewall check
                        Get-NetFirewallProfile | ft Name,Enabled

                        # inventory
                        Get-ComputerInfo | Select WindowsProductName,WindowsVersion,OsBuildNumber

Attention : en cloud, la sécurité est “en couches” (SG/NSG + firewall local + identity + logging).

14) Migration : upgrade, side-by-side, AD upgrade path, tests & cutover

Deux stratégies

Stratégie	Principe	Avantages	Inconvénients
In-place upgrade	upgrade sur place	rapide	risque, rollback dur
Side-by-side	nouveau serveur + migration	rollback simple	plus long

Plan “clean”

                1) Inventaire : rôles, services, dépendances, certificats, ports
                2) Staging : réplication de l’environnement
                3) Tests : fonctionnel + perf + sécurité + monitoring
                4) Cutover : fenêtre + rollback
                5) Post-migration : durcissement + documentation + runbooks

Argument recruteur : “je pilote une migration Windows Server en mode SRE : staging, canary, rollback, observabilité”.