7-Application-Supervision

4 Déc

Radius NPS et 802.1x

Cet article est extrait du Lab cours du réseau Certa https://www.reseaucerta.org/sites/default/files/Authentification-802.1x-V1.0.pdf

Comprendre l’authentification Radius

Objectifs

Consiste à la sécurisation des accès par une authentification « forte » de la personne qui cherche à se connecter sur un port réseau. Ainsi qu’à la banalisation des prises réseaux ;  une prise réseau quelconque ne sera plus affectée à tel ou tel VLAN. C’est à partir de l’authentification de la personne qui cherche à se connecter au réseau que l’on va déduire le périmètre de sécurité dans lequel la placer :

·       Un refus pur et simple de connexion : aucun placement ;

·       Le placement dans un VLAN invité (« guest ») avec des prérogatives minimales, comme la simple obtention d’une adresse IP et d’un accès à Internet ;

·       Le placement dans un VLAN dédié, choisi en fonction notamment du service ou du groupe auquel appartient la personne ;

·       Le placement dans un VLAN à prérogatives importantes, comme un VLAN d’administration.

Les acteurs

Synonymes des termes désignant les acteurs de la connexion 802.1x :

Supplicant : on trouve aussi les expressions « client demandeur » ou « client final ».

Serveur d’authentification : on parle quelquefois de serveur d’identification.

Client RADIUS : on trouve également les synonymes suivants : « Authenticator » ou NAS (Network Access Server) ou encore « contrôleur d’accès ».

Protocoles

RADIUS

Acronyme de Remote Authentication Dial-In User Service, c’ est un protocole client-serveur permettant de centraliser des demandes d’authentification relayées par des équipements de réseau, comme des commutateurs ou bornes Wifi, considérés alors comme ses clients.

Par extension, un serveur qui centralise des demandes d’authentification et les soumet à un service d’annuaire LDAP ou à un service de base de données SQL est appelé serveur RADIUS.

RADIUS doit Authentifier les requêtes qui sont issues des clients finaux, via les clients RADIUS. Cette authentification se basera soit sur un couple identifiant/mot de passe, soit sur un certificat.

RADIUS a pour mission de décider quoi faire du client authentifié, et donc de lui délivrer une Autorisation, RADIUS envoie des informations (on parle « d’attributs ») aux clients RADIUS. Un exemple typique d’attribut est un numéro du VLAN dans lequel placer le client authentifié et autorisé.

RADIUS va noter plusieurs données liées à la connexion, comme la date et l’heure, l’adresse MAC de l’adaptateur réseau du client final, le numéro de VLAN…). C’est son rôle comptable ou « d’Accounting« .

802.1x

Le protocole 802.1x est une solution de sécurisation de réseaux mise au point par l’IEEE en 2001. 802.1x permet d’authentifier un utilisateur souhaitant accéder à un réseau (câblé ou Wifi) grâce à un serveur central d’authentification.

L’autre nom de 802.1x est « Port-based Network Access Control » ou « User Based Access Control ».

802.1x

·       Permet de sécuriser l’accès à la couche 2 (liaison de donnée) du réseau.

·       A recours au protocole EAP (Extensible Authentification Protocol)

·       Nécessite donc la présence d’un serveur d’authentification

Un port d’un commutateur réglé en mode 802.1x peut se trouver dans deux états distincts :

  •   État « contrôlé » si l’authentification auprès du serveur RADIUS a réussi.
  •  État « non contrôlé » si l’authentification a échoué.

Rem : NPS (Network Policy Server) est le nom du service RADIUS des systèmes Microsoft.

Authentification

EAP est la couche protocolaire de base de l’authentification. Elle va servir à faire passer un dialogue d’authentification entre le client final et le serveur RADIUS alors que le port de connexion est fermé à toute autre forme de communication.

PEAP

PEAP est un protocole de transfert sécurisé (P comme « Protected ») d’informations d’authentification. Il a été mis au point par Microsoft, Cisco et RSA. Il ne nécessite pas de certificat sur les postes clients, contrairement à EAP/TLS. MS-CHAP s’appuie sur PEAP.

Les serveurs RADIUS utilisaient CHAP (Challenge Handshake Authentication Protocol :  deux interlocuteurs, qui disposent donc de la même chaîne de caractère secrète, s’authentifient sans échange du mot de passe par une technique de « challenge » (ou « défi ») basée sur une fonction de hachage à sens unique du secret partagé).

Microsoft a développé une variante de CHAP appelée MS-CHAP qui ajoute une authentification mutuelle, MSCHAP-V1, puis MSCHAP-V2.

Dialogue client-serveur avec MSCHAP-V2.
A.     Le serveur envoie au client une chaîne composée d'un identifiant de session et une chaîne aléatoire xxxxx.
B.     Le client renvoie son nom d'utilisateur et le résultat d'un hachage de la chaîne aléatoire xxxxx 
+ l'identifiant de session 
+ le mot-de-passe, 
+ une seconde chaîne aléatoire yyyyy.
C.     Le serveur vérifie le résultat (succès/échec) et retourne celui-ci,
avec un hachage de la chaîne yyyyy et du mot de passe utilisateur.
D.     Le client vérifie enfin la correspondance entre les chaînes.
La connexion est établie.

Articulation EAP / PEAP / MSCHAP-V2

  •  EAP est le mécanisme permettant à un client final de pouvoir communiquer sur un port 802.1x fermé à toute autre forme de communication.
  • PEAP ajoute la notion de protection des échanges par tunnel à ce mécanisme
  •  MSCHAP est la méthode de reconnaissance mutuelle du client serveur et du serveur RADIUS qui passe par ce tunnel.

Déroulement

·       Phase Œ1  Le client final envoie ses identifiants au serveur RADIUS, le port contrôlé du commutateur n’est pas totalement fermé. Il laisse passer le protocole EAP. Cette communication ne peut donc se faire que par des trames Ethernet de base et non par des paquets IP.

Le client final peut donc envoyer son identité dans un paquet EAP au commutateur.

·       Phase  2 Celui-ci le retransmet, encapsulé dans un paquet au format RADIUS, au premier serveur RADIUS de sa liste.

·       Phase Ž3  Le serveur RADIUS reçoit le paquet et interroge sa base de données ou un AD.

·       Phase 4  Il renvoie le résultat de cette interrogation au commutateur (sous forme d’un commandement d’ouverture du port, éventuellement assorti d’un numéro de VLAN dans lequel placer le client final.

A partir de ce moment seulement, il peut y avoir d’autres trames échangées entre le client final et le reste du réseau, comme une trame de requête DHCP par exemple ;

La mise en œuvre est détaillée dans plusieurs articles :

Autorité de certification Services de certificats

NPS et stratégies réseau

802.1x sur Cisco

Radius sur bornes wifi

5 Oct

DHCP

DHCP est un protocole qui permet d’attribuer dynamiquement des adresses IP sur un réseau. Il facilite le travail de l’administrateur. DHCP étant un protocole il peut être mis en place aussi bien avec Linux qu’avec Windows.

Dans une architecture il vaut mieux des serveurs redondants, aussi on installe généralement des serveurs avec plusieurs plages pour desservir les hôtes différents VLAN/réseaux.  Windows 2012 intègre une fonctionnalité qui gère l’équilibrage de charges des DHCP entre plusieurs serveurs.

Les serveurs DHCP se trouve généralement dans un VLAN spécifique aux serveurs, hors le protocole DHCP fonctionne avec des trames en broadcast. Aussi pour délivrer des adresses aux clients, il faut installer un agent sur le routeur, qui laisse passer les trames DHCP. Cette fonctionnalité de relai DHCP, permet de transmettre les trames DHC d’un segment à l’autre et assurer ainsi la distribution des adresses.

Tuto pour le relai DHCP avec Windows Serveur et un Cisco SF300

DHCP Windows et Cisco L3

Le protocole a ceci de particulier que c’est le serveur le plus rapide qui attribue des adresses. Si c’est un mauvais serveur qui donne des adresses erronées c’est tout le réseau qui est paralysé. Aussi les switchs intègrent une fonctionnalité de DHCP snooping afin de se prémunir contre ses risques.

Avec la configuration automatique des cartes, Ip v6 modifie l’utilisation de DHCP avec un mode sans état et un mode avec état. La demande d’adresses/ d’options se fait en multicast puisque le broadcast n’existe plus. Il faudra donc bien comprendre l’adressage avant de le mettre en place.

Fonctionnement

Le principe de DHCP est simple, les clients demandent s’il existe un DHCP sur le réseau, le serveur fait une proposition de bail que généralement le client accepte.

dhcp

Échanges DHCP

dhcp-1

Contenu d’unn DHC Offer

La notion de bail implique qu’une adresse est fournie pour un temps donné. Ce temps va dépendre du type de client, fixe ou mobile. Le serveur dispose d‘une plage d’adresses à attribuer ainsi que des options comme la passerelle, les serveurs DNS, le domaine, à délivrer aux clients. Avec les stratégies DHCP Windows on peut gérer finement l’attribution d’adresses en fonction de type ou de modèles.

Le site Linux France explique parfaitement tous les mécanismes de DHCP et propose une mise en œuvre sous Linux.

http://www.linux-france.org/prj/edu/archinet/systeme/ch27s02.html

Stratégie DHCP

L’attribution fondée sur la stratégie permet à un administrateur de regrouper les clients DHCP par attributs spécifiques fondés sur des champs contenus dans le paquet de demande du client DHCP.

Les stratégies permettent de fournir des adresses en fonction de :

  1. Types de périphériques multiples : un réseau inclut de nombreux périphériques clients DHCP, tels que des imprimantes, des téléphones IP et des ordinateurs de bureau. Les administrateurs doivent avoir la possibilité de classer ces périphériques par plages d’adresses IP. Ainsi, les stratégies de routeurs et la qualité de service (QoS, Quality of Service) fondés sur une plage d’adresses IP permettent de contrôler l’accès au réseau ou le trafic réseau.
  2. Rôles multiples : un réseau inclut différents types d’ordinateurs, tels que des ordinateurs portables, des ordinateurs de bureau et des serveurs dans le même sous-réseau. En fonction du type de client, l’administrateur peut souhaiter fournir différents paramètres de durée de bail, par exemple l’attribution d’une durée de 4 heures pour tous les clients sans fil qui se connectent via un agent de relais spécifique. Les mises à jour dynamiques peuvent être désactivées pour les clients qui dépendent de cette stratégie. De même, une stratégie serveur peut être créée à l’aide d’une liste d’adresses serveur MAC. Il est possible d’attribuer aux serveurs une durée de bail de 12 heures.
  3. Virtualisation : un réseau de centre de données emploie la virtualisation pour différentes charges de travail et applications. Les ordinateurs virtuels sont ajoutés ou supprimés de manière dynamique selon les exigences en termes de charge à un instant T. S’il souhaite router du trafic sur le réseau différemment pour les ordinateurs virtuels, un administrateur peut créer une stratégie fondée sur le préfixe d’adresse MAC afin d’attribuer une durée de bail courte, une plage d’adresses IP spécifique et une passerelle par défaut différente.

http://technet.microsoft.com/fr-fr/library/hh831538.aspx

DHCP snooping

Mettre en place du DHCP snooping permet de protéger le réseau, car Il ne faut pas oublier que c’est le serveur le plus rapide qui donne le bail. UN DHCP ‘pirate’ peut causer de grands dommages sur un réseau (adresses erronées, passerelles fausses = absence de communication) ; aussi il existe une fonctionnalité sur les switchs afin d’autoriser que les DHCP de l’entreprise. http://ressources-info.fr/tutoriels-reseaux/afficher/22/

 DHCP d’adresses Mac

Avec la virtualisation en masse des postes clients, mettre en place un DHCP d’adresses mac permet de ne pas avoir de problèmes de duplication d’adresses.

Option 82

L’option 82 est n donne des informations sur le relais DHCP. Le relais DHCP est une caractéristique qui est utilisée pour permettre la transmission DHCP entre les hôtes et les serveurs DHCP distants qui ne sont pas sur le même réseau. Il permet à un agent de relais DHCP pour inclure des informations sur lui-même quand il envoie des paquets DHCP à et des clients à un serveur DHCP. Il ajoute plus de Sécurité au processus DHCP en identifiant complètement la connexion.

28 Sep

LDAP

Concepts

Dans le monde de l’informatique, un annuaire est un système de stockage de données, dérivé des bases de données hiérarchisées, permettant en particulier de conserver les données pérennes, c’est-à-dire les données n’étant que peu mises à jour (historiquement, sur une base annuelle, d’où le nom), comme les coordonnées des personnes, des partenaires, des clients et des fournisseurs d’une entreprise, les adresses email.

La recherche peut se faire selon de multiples critères et les données peuvent être utilisées par des logiciels clients comme des applications serveurs. En outre, certaines versions de service d’annuaires savent gérer les droits sur les données mais aussi les services proposés sur les machines clientes par une authentification grâce à un couple login / mot de passe. Aujourd’hui ces données sont centralisées sur une ou plusieurs machines et les données transfèrent entre les machines via des protocoles réseaux.

Poursuivre la lecture

25 Sep

CMS – Protéger son site

Quels regles pour protéger son site :

Créer un fichier .htaccess à la racine pour gérer les accès globaux

Le site suivant vous explique très bien comment parametrer son htaccess sous WordPress :  https://wpmarmite.com/htaccess-wordpress/#fonctionnement-htacces

Pour les autres CMS, c’est semblable et souvent vous trouverez dans le répertoire /lib un exemple de fichier à copier à la racine et à renommer en .htaccess

Et  n’oubliez pas de mettre ces lignes pour  # Désactiver l'affichage du contenu des répertoires

Options All -Indexes

D’autres conseils à suivre

18 Avr

Supervision

« Surveillance du bon fonctionnement d’un système ou d’une activité –

« Permet de surveiller, rapporter et alerter les fonctionnements normaux et anormaux des systèmes informatiques ».

La surveillance de bout en bout du système d’information est indispensable; actuellement toute l’activité économique des sociétés reposent sur la stabilité et l’interconnexion des systèmes d’informations.

SNMP est un protocole de supervision implanté sur les équipements réseaux administrables qui est à la base de la surveillance d’un réseau. Il faut comprendre ce protocole avant de se lancer dans les outils de supervision :

  • PRTG, un outil extrêmement simple et efficace de supervision Supervision avec Prtg
  • Pour utiliser des OID, les importer en librairie et gèrer un switch Cisco SF300 avec SNMP et PRTG c’est ici Supervision Switch S 300
  • Pour débuter sous Eyes of Network, un outil a base de Nagios c’est là Supervision EON

Poursuivre la lecture

7 Avr

VPN sur PfSense

Sous Pfsense, on peut mettre en place plusieurs types de VPN

  • Peer to peer (SSL/TLS) : pour monter un VPN site-à-site en utilisant une authentification par certificat.
  • Peer to peer (Shared Key) : pour monter un VPN site-à-site en utilisant une authentification par clé partagée.
  • Remote Access (SSL/TLS) : pour monter un accès distant pour clients nomades en utilisant une authentification par certificat.
  • Remote Access (User Auth) : pour monter un accès distant pour clients nomades en utilisant une authentification par login/password.
  • Remote Access (SSL/TLS + User Auth) : pour monter un accès distant pour clients nomades en utilisation une authentification par certificat et par login/password.
Poursuivre la lecture
7 Mar

Web proxy-Ipfire LDAP et Active Directory

Avec Ipfire, il est simple d’installer un service proxy.

Soit il est transparent, soit on utilise l’authentification LDAP vers Active Directory. En renseignant correctement les champs DN, on obtient l’authentification des utilisateurs.

Il est possible aussi d’intégrer une authentification NTLM en ajoutant le service Samba, mais c’est une porte ouverte sur le réseau, dans ce cas il faut mettre un autre firewall en amont.

Pour être sur que l’authentification via LDAP fonctionne, il est très important de bien synchroniser l’heure du proxy et du serveur de domaine !

Poursuivre la lecture

17 Avr

La réponse au BYOD

Android for work

Utiliser ses équipements personnels dans un contexte professionnel pose des questions relatives à la sécurité de l’information et à la protection des données . Android à la suite de Blackberry et de Knox propose une nouvelle façon de scinder les informations afin  d’opérer une séparation entre les informations personnelles et professionnelles d’un utilisateur.

Android Work

5 Avr

Continuité, disponibilité, adaptabilité d’un système d’information

Disponibilité

assure l’accès aux services de façon optimale, pour offrir une haute disponibilité, l’équilibrage de la charge réseau comprend des fonctionnalités intégrées qui peuvent automatiquement :

  • détecter un hôte de cluster en panne ou hors connexion, puis le récupérer
  • équilibrer la charge réseau lors de l’ajout ou de la suppression d’hôtes
  • récupérer et redistribuer la charge dans un délai de dix secondes.

Deux moyens complémentaires sont utilisés pour améliorer la disponibilité :

  • la mise en place d’une infrastructure matérielle spécialisée, généralement en se basant sur de la redondance matérielle. Est alors créé un cluster de haute-disponibilité (par opposition à un cluster de calcul) : une grappe d’ordinateurs dont le but est d’assurer un service en évitant au maximum les indisponibilités ;
  • la mise en place de processus adaptés permettant de réduire les erreurs, et d’accélérer la reprise en cas d’erreur. ITIL contient de nombreux processus de ce type.

Mesures  de disponibilité

Adaptabilité : scalabilité

désigne la capacité d’un produit à s’adapter à un changement d’ordre de grandeur de la demande (montée en charge), en particulier sa capacité à maintenir ses fonctionnalités et ses performances en cas de forte demande

Continuité de services

assure l’accès à ses services en cas de sinistre.

La continuité de services a pour objectif comme son nom l’indique d’assurer l’utilisation constante des services IT de l’entreprise et de prévoir la reprise en cas de sinistre, l’arrêt d’activité étant critique pour l’entreprise et l’informatique étant aujourd’hui au centre de tous les processus, il est nécessaire d’assurer comme pour l’électricité son fonctionnement en continu. Le budget attribué aux stratégies mises en place pour assurer la continuité de l’activité sont proportionnelles à la perte de chiffre d’affaires qu’engendrerai une cessation d’activité.

La continuité de services (CdS ) concerne différents périmètres. On peut assurer la CdS des serveurs web, avec des serveurs redondants et équilibrant la charge, on peut le faire sur tout types de services, DHCP, Active Directory, firewall. Selon les moyens différentes options peuvent aussi être mises en place comme des sites distants, des solutions de télétravail, l’accueil dans bureaux attribués dans des sociétés de sécurité.

Plan de continuité d’activité (PCA)

est à la fois le nom d’un concept, d’une procédure et du document qui la décrit. Il s’agit de redémarrer l’activité le plus rapidement possible avec le minimum de perte de données.

Pour chaque élément du SI, deux indicateurs de temps sont définis, permettant ensuite de choisir la solution technique la plus adaptée aux besoins de l’entreprise.

  • Le RTO, Recovery Time Objective, représente le temps d’arrêt de service que l’on peut tolérer.
  • Le RPO, Recovery Point Objective, correspond à la quantité de données que l’on juge acceptable de perdre lors de la reprise.

D’une manière générale, plus une solution permet de redémarrer rapidement une activité plus elle est coûteuse.

Pour établir un plan de continuité de services le ministère de l’éducation propose un excellent document d’aide à sa rédaction.

Dans des périmètres plus restreint on assure la continuité de services en les répartissant sur des hôtes distincts et en établissant des liens redondants et en assurant de la haute disponibilité on assure aussi de la continuité de services.

Redondance

La disponibilité et le load balancing repose principalement sur la redondance.

La redondance se rapporte à la qualité ou à l’état d’être en surnombre, par rapport à la logique. Ce qui peut avoir la connotation négative de superflu, mais aussi un sens positif quand cette redondance est voulue afin de prévenir un dysfonctionnement.

Tous les services serveurs peuvent être redondés, voir équilibrés de même que tous les équipements actifs. Les protocoles sont adaptés aux contraintes des matériels et des systèmes.

Au sein des Centre de données, la redondance est mise en place pour assurer que les services de base et les systèmes auront des doublons (équipement, liaisons, alimentation et chemins, données, logiciels…).

Classification

L’organisme Uptime Institute a défini une certification internationalement reconnue des centres de traitement de données en quatre catégories, appelées « Tier »:

  • Tier I : infrastructure non redondante, une seule alimentation électrique, climatisation non redondante.

L’infrastructure Tier I inclut un espace IT dédié aux installations TI; un ASSC (UPS); un Groupe électrogène avec au moins 12 heures d’autonomie en carburant sur site57.

  • Tier II : les éléments de production de froid ou d’électricité sont redondants, mais la distribution d’électricité et de froid n’est pas redondante.

L’infrastructure Tier II inclut le requis pour le Tier I plus des équipements redondants57.

  • Tier III : tous les composants sont maintenables sans arrêt de l’informatique.

L’infrastructure Tier III inclut le requis pour le Tier II plus toutes les canalisations et câbles redondants57.

  • Tier IV : tolérance aux pannes. Aucune panne n’arrête l’informatique (réponse automatique). Absence de SPOF (Single Point of Failure).

Répartition de charge

(en anglais : load balancing) est un ensemble de techniques permettant de distribuer une charge de travail entre différents ordinateurs d’un groupe pour assurer sa haute disponibilité.

Ces techniques permettent à la fois de répondre à une charge trop importante d’un service en la répartissant sur plusieurs serveurs, et de réduire l’indisponibilité potentielle de ce service que pourrait provoquer la panne logicielle ou matérielle d’un unique serveur.

La répartition de charge est issue de la recherche dans le domaine des ordinateurs parallèles.

L’architecture la plus courante est constituée de plusieurs répartiteurs de charge (genres de routeurs dédiés à cette tâche), un principal, et un ou plusieurs de secours pouvant prendre le relais, et d’une collection d’ordinateurs similaires effectuant les calculs. On peut appeler cet ensemble de serveurs une ferme de serveurs (anglais server farm) ou de façon plus générique, une grappe de serveurs (anglais server cluster). On parle encore de server pool (littéralement, « groupe de serveurs »).

Réglages et paramètres des répartiteurs de charge

Sur les répartiteurs de charge les plus courants, on peut pondérer la charge de chaque serveur indépendamment. Cela est utile lorsque, par exemple, on veut mettre, à la suite d’un pic ponctuel de charge, un serveur de puissance différente dans la grappe pour alléger sa surcharge. On peut ainsi y ajouter un serveur moins puissant, si cela suffit, ou un serveur plus puissant en adaptant le poids.

Il est généralement également possible de choisir entre plusieurs algorithmes d’ordonnancement :

  • Round-Robin : C’est l’algorithme le plus simple, une requête est envoyée au premier serveur, puis une au second, et ainsi de suite jusqu’au dernier, puis un tour est recommencé avec une première requête au premier serveur, etc.
  • Round-Robin pondéré : Les serveurs de poids fort prennent les premières requêtes et en prennent davantage que ceux de poids faible.
  • Moins de connexion : Assigne davantage de requêtes aux serveurs en exécutant le moins.
  • Moins de connexion, pondéré : Assigne davantage de requêtes aux serveurs en exécutant le moins en tenant compte de leur poids.
  • Hachage de destination : Répartit les requêtes en fonction d’une table de hachage contenant les adresses IP des serveurs.
  • Hachage de source : Répartit les requêtes en fonction d’une table de hachage basée sur les adresses IP d’où proviennent les requêtes.

Il y a deux façons de router les paquets, lors des requêtes :

  • Network address translation (NAT, traduction d’adresse réseau) : Dans ce cas, le répartiteur reçoit les requêtes, les renvoie aux différents serveurs de calcul en adresse IP privée, reçoit les réponses et les renvoie aux demandeurs. Cette technique est très simple à mettre en place, mais demande au répartiteur d’assumer toute la charge du trafic réseau.
  • Routage direct (DR, Direct Routing) : Dans ce cas, les requêtes arrivent sur le répartiteur, sont renvoyées aux serveurs de calcul, qui renvoient directement les réponses au demandeur. Cela oblige à monopoliser davantage d’adresses, mais allège considérablement le trafic réseau du répartiteur de charge et enlève donc par là-même un goulot d’étranglement. Dans la majorité des cas, pour le HTTP, les requêtes (URL et quelques variables) sont beaucoup plus petites que les réponses, qui sont généralement des fichiers dynamiques (XHTML) produits par un langage de script ou des fichiers statiques (JavaScript, CSS, images, sons, vidéos).

Quelques idées de continuité de services et de haute disponibilité

Bien évidement il faut commencer par avoir au moins une sauvegarde !

La 1ere technique est le Round Robin ou Répartition de charges via DNS

La technique de l’adresse Ip virtuelle est extrêmement utilisée,  aussi bien pour les routeurs que pour les terminaux serveurs.

Ainsi  on utilisera  HSRP sur les routeurs Cisco, VRRP sur les firewalls par exemple. Ipfire avec keepalived et VRRP

On utilisera aussi des services comme heartbeat, keepalived, Haproxy, TS Broker pour gérer la répartition ou l’équilibrage de charges.

A lire aussi le cluster chez Windows

Active Directory redondance des serveurs

Mais aussi DHCP, Terminal serveurs,