Administration : toujours plus d’outils.

1.1 PowerShell v2

S’il y a une nouveauté que l’on se souviendra longtemps avec Serveur 2008 R2 c’est l’arrivée de PowerShell dans sa version 2. Cet outil est appelé dans les prochaines années à devenir incontournable pour tout bon administrateur Windows.

logo powershell

Avec Windows Serveur 2008 est apparu PowerShell dans sa première version, cela étant du en partie au besoin de pouvoir administrer efficacement des environnements sans interface graphique que ce soit sur des éditions Server Core ou bien des Windows Serveur 2003, 2003R2, 2008 et 2008 R2 classiques.

Dans sa première version, PowerShell était un module optionnel à ajouter à Windows Serveur, à partir de 2008 R2, il est un composant à part entière du système : les nouvelles interfaces reposent sur lui, ce qu’il fait qu’en pratique, tout ce qui peut être fait via une interface, peut l’être via PowerShell v2. Et bien entendu, la version 2 s’enrichie de nouveaux modules permettant de gérer presque tout les services déjà existant.Note : toutes les nouveautés de 2008 R2 sont donc ainsi administrables via PowerShell, nous n’y reviendrons donc pas systématique.

Mais pas seulement, car PowerShell v2 est un outil permettant d’effectuer toutes sortes de taches d’administration mais il permet surtout de les scripter pour pouvoir traiter de grands volumes de données (exemple typique : l’ajout d’une grande quantité d’utilisateurs) ou bien d’automatiser certaines taches. Dans le but dans tout pouvoir administrer à l’aide de cette interface, il est possible d’instancier PowerShell à distance, c’est à dire de prendre le contrôle d’un serveur distant, par l’intermédiaire d’une console PowerShell locale.

L’organisation en modules de PowerShell permet de ne pas casser la compatibilité avec les scripts déjà écrit en PowerShell v1 et afin de facilité son adoption rapide par tous, Microsoft fourni un éditeur de script : PowerShell Integrated Scripting Environment (ISE).

ISEL’interface permettant de créer ses propres scripts PowerShell.

L’interface ce compose de 3 volets : une console, une zone d’édition de script, et la fenêtre de résultat.

Toujours dans l’optique de ne pas perdre les administrateurs système, PowerShell dispose par défaut d’alias avec un grand nombre de commande venues du monde Unix, il est vous possible d’ajouter les vôtres, ajoutez à cela l’auto complétion pour gagner du temps ou retrouver la syntaxe exacte d’une commande.

Attention : Au lancement de PowerShell, celui se charge par défaut sans module, vous ne pourrez donc pas agir sur les services. Il vous faudra donc charger le module que vous souhaitez avant tout utilisation.Exemple : pour active directory il vous faudra taper: import-module activedirectory Ou bien lancer la console PowerShell avec le composant pré-chargé via les outils d’administration.

Lancement de PowerShell avec le module Active Directory chargé via les outils d’administration.

1.2 Active Directory

1.2.1 Rappels sur les Active Directory sur Serveur 2008

Aujourd’hui on ne pas parler de Windows Serveur sans penser à son service phrase : Active Directory, à la sortie de Windows Serveur 2008 en février 2008, Active Directory avait déjà bien évolué, quelques rappels sur ces améliorations:

Au niveau sécurité : audit plus fin sur tout l’Active Directory, meilleurs algorithmes de chiffrement sur kerberos, les contrôleurs de domaine en lecture seule (RODC), les stratégies de mots de passe multiples au sein d’un même domaine.

Active Directory à compter de serveur 2008 est devenu un service, c’est à dire qu’il peut être arrêté sans pour autant être obligé d’arrêter le serveur, pratique pour faire des opérations de maintenance. Possibilité également depuis Serveur 2008, de le faire tourner en mode Server Core.

L’intégration d’une fonction de « protection contre la suppression accidentelle » qui protège les objets active directory en obligeant les administrateurs à lever explicitement cette protection avant de supprimer l’objet.

L’ajout natif et l’amélioration de la console de gestion des stratégies de groupe (gpmc.msc), ainsi que de l’éditeur d’attributs (ADSI Edit).

1.2.2 Outils d’administration : PowerShell & Administrative Center

Avec Windows Serveur 2008 R2, Microsoft cherche à améliorer, simplifier les outils de gestion d’Active Directory et permettre leur automatisation afin de gérer plus facilement de gros volumes.

En effet aujourd’hui les outils d’administration d’active directory sont répartis sur une trentaine d’outils qu’ils soient en ligne de commande ou via les MMC.

listage des outils d'admin ADL’ensemble de ces outils sont rassemblés dans la console Server Manager

Ces outils utilisent essentiellement le protocole RPC ou LDAP pour effectuer leurs opérations au sein d’Active Directory.

L’idée dans Serveur 2008 R2 est de rassembler tout ces outils dispersés en un seul : PowerShell avec son module dédié à Active Directory. Explications : Fidèle à sa philosophie tout .NET, Microsoft a rajouté un composant .NET dédié à Active Directory, nommé AD Web Service qui servira de socle universel pour toutes les requêtes destinées à la gestion de l’Active Directory.

A noter que ce composant est nativement intégré à Windows Serveur 2008 R2, mais il sera disponible également en option pour administrer des systèmes Serveur 2003 et 2008.

L’administration centerDu coté des interfaces graphiques, les consoles MMC montrent certaines limites pour les taches quotidiennes dès que les architectures Active Directory deviennent un peu complexe: – Console MMC très longue à charger lorsque l’on affiche une OU avec beaucoup d’objets.- Taches courantes pas toujours facile d’accès ou longues à réaliser.

L’administrative Center vient simplifier ces opérations quotidiennes dans une interface qui met à disposition les opérations les plus courantes (reset mots de passe, désactivation d’un compte, rejoindre un groupe), et qui facilite grandement la recherche des objets dans l’annuaire.

Exemple : le reset d’un mot de passe, qui nécessite de connaitre des informations tel le groupe ou autre, pour éviter d’avoir à faire une recherche dans tout l’annuaire.

&nbsp &nbsp A gauche, l’écran d’accueil où à directement accès aux taches courantes. A droite, l’interface pour parcourir Active Directory et réaliser les actions basiques.

Ces actions restent, bien entendu, toujours réalisable classiquement depuis la MMC « Users & Computers « . Une console qui pourrait bien être apprécié par les non informaticien à qui ont délègue des droits.

1.2.3 La corbeille Active Directory

Fonctionnalité très attendue par un grand nombre d’administrateur système, « la corbeille active directory ».

Depuis Serveur 2008, il est possible de protéger ses objets contre la suppression accidentelle, en ajoutant une étape à la suppression, mais si l’objet est supprimé, il se comporte comme sous les versions antérieures : Lorsque l’on supprime un objet dans active directory, celui ci peut, par défaut, être restauré pendant 180 jours : il est dans un état appelé Tombstone.Seulement après une restauration, il aura perdu l’ensemble de ses liens, telle l’appartenance à des groupes, qu’il faudra recréer manuellement.

Avec la « corbeille Active Directory », pendant les 180 premiers jours, il sera dans un état « supprimé » dans la corbeille, et il pourra être restauré, avec l’ensemble de ces liens. Les 180 jours suivants, il reprend un état tombstone, où il peut être restauré sans ses liens. La durée des états peut facilement être personnalisée.

Toutefois, à noter pour que cette fonction puisse être activé, votre forêt devra avoir au minimum un niveau fonctionnel « Windows 2008 ».Sachez également que cette action est irréversible, la corbeille sera active définitivement.

Activation de la corbeille en PowerShell

L’utilisation de la corbeille n’a pas encore d’interface propre, ainsi tout devra se faire via PowerShell : – Pour l’activer : Enable-ADOptionalFeature « Recycle Bin Feature »- Pour vérifier son activation : Get-ADOptionalFeature -Filter {Name -like « * »} – Pour la restauration : Restore-ADObject

1.2.4 Les comptes de services managés

Une nouveauté qui pourrait faciliter l’administration des comptes de services : Actuellement certaines applications demandent un compte de service pour fonctionner correctement, et parfois ces mêmes comptes ont besoin de privilèges élevés sur le domaine, tel d’administrateur du domaine.

Ces comptes gardent souvent le même mot de passe, ce qui est une potentielle faille dans votre système d’information s’il est connu par plusieurs personnes qui peuvent ne même plus être dans la société, ou tout simplement l’intégrateur a mis le mot de passe. Un changement de mot de passe peut causer un crash de certaines applications basées sur ces comptes de service, la liste des inconvénients est assez longue.

Windows Serveur 2008 R2 propose un nouveau type de compte, les Managed Service Accounts ou comptes de services managés; vous définissez simplement l’attribut CN et le nom lors de la création de votre objet, Active Directory se chargera dès lors automatiquement de la sécurité de ce compte en lui appliquant la politique de sécurité de votre domaine. Vous n’avez ainsi plus de mots de passe à retenir, à suivre au quotidien.Attention, pour pouvoir bénéficier de ces comptes, il vous faudra basculer votre infrastructure en niveau fonctionnel de domaine « Windows Serveur 2008 R2 ».

1.2.5 L’intégration au domaine en mode hors ligne

Une évolution depuis Windows NT 3.1, dans la façon d’intégrer les machines au domaine!

A l’aide Serveur 2008 R2, il sera possible de pré-créer le compte ordinateur dans l’Active Directory à l’aide de l’outil djoin.exe . Cela aura pour effet de créer un fichier XML qui contient toutes les informations pour que la machine puisse rejoindre le domaine sans contrôle de domaine et donc s’affranchir du redémarrage nécessaire.Ainsi, les pc pourront être prêt plus rapide en automatisant l’action de rejoindre le domaine, ou alors cette option peut être intéressante pour les entreprises qui sous traite l’assemblage de leurs machines.

1.2.6 Assurance Authentification

Une mise à jour dans la façon dont est gérée l’authentification, pour gérer de façon plus granulaire l’accès et l’utilisation des ressources.Exemple: Accorder l’accès en écriture à telle application, que si l’utilisateur s’est connecté à l’aide d’une carte à puce, dans le cas contraire lecture seule.

Pour se faire, Active Directory/Kerberos va ajouter aux tickets TGS, des informations sur l’authentification effectuée : le moyen d’authentification (login classique, cartes à puce, etc …) le niveau de chiffrage utilisé et d’autres afin que les applications/ressources puissent connaitre la méthode d’authentification utilisée et se comporter en conséquence. Ce mécanisme de detection de l’authentification est appelé l’assurance authentification par Microsoft.

Attention, là aussi cette fonctionnalité demandera un niveau fonctionnel de domaine « Windows Server 2008 R2 »

1.3 L’aide à la bonne configuration / Best Practices Analyzer

L’aide à la configuration est un nouvel outil accessible de base via le Server Manager pour chacun des services de Windows Serveur.

Cet outil permet de vérifier que vos services sont bien configurés selon les recommandations de Microsoft, ainsi permet d’éviter des défaillances futures du à des problèmes basiques. Actuellement cet outil est le plus complet sur les rôles d’Active Directory et de DNS, mais Microsoft compte ajouter des contrôles sur toutes les autres fonctions au fil du temps.

BPAExemple du Best Practice Analyzer appliqué à Active Directory

En prenant pour exemple Active Directory, cet outil vérifie entre autre: – La disposition des rôles FSMO (Schema Master et Domain Naming Master sur le même DC).- Que le domaine dispose d’au moins deux contrôleurs. – Vérifications des enregistrements SRV dans DNS – Etc

En fonction de sa propre configuration, il est possible d’exclure des tests de la vérification. Un outil, non pas révolutionnaire, mais utile pour diagnostiquer rapidement son infrastructure.

1.4 Migration vers Serveur 2008 R2

Nouvelle version d’un système d’information signifie obligatoirement migration des systèmes existants. On pourra migrer directement vers la plateforme Serveur 2008 R2 à partir d’un Serveur 2003. S’il vous reste dans serveurs sous Windows 2000 ou NT 4.0, il vous faudra au préalable passer par une migration intermédiaire sous Serveur 2003 ou 2008.Cela s’explique par le fait que les migrations s’effectuent à l’aide PowerShell qui n’est disponible que sur Serveur 2003 au minimum. Il vous faudra activer la fonctionnalité « Support Migration Tools » afin que les Cmdlets nécessaires à la migration soient disponibles.

Tableau fourni par Microsoft France illustrant les chemins de migration possibles.

Au cours de la migration, il faudra également prendre en compte la langue de vos serveurs, celle si devra être identique. A noter que si vous possédez un Serveur 2008 dans sa version Core, vous ne pourrez pas faire la migration, le framework .NET n’étant pas présent dessus, les outils de migration ne sont pas disponibles.Possibilité qui peut être intéressante, la migration d’un Serveur 2008 R2 avec interface vers une version 2008 R2 Server Core et inversement.

Les guides de migrations, qui contiennent tout ces détails, se présentent sous la forme de pas à pas sont déjà disponibles sur le site Technet. Ces guides contiennent toutes les informations nécessaires pour assurer sereinement une migration des principaux rôles de Windows Serveur : DNS, DHCP, Active Directory, etc… Il restera à votre charge de vous assurer de la comptabilité des vos applications, notamment avec le passage au 64 bits, si vous migrez depuis une édition en 32 bits.

Web : Communiquer simplement et efficacement

2.1 D’IIS 7.0 à IIS 7.5

Quand Windows Serveur 2008 est sorti, il embarqué IIS 7.0, qui faisait suite à son prédécesseur IIS 6.0 que l’on critiquait essentiellement pour son manque de souplesse dans le paramétrage.

Ainsi IIS 7.0 a été donc une version très attendu, en étant plus léger, plus fiable, des paramétrages plus fins, et son système d’extensions auquel on pouvait greffer ses propres modules ou les modules optionnels de Microsoft. Petite limitation sur la version Core, on ne pouvait pas installer le framework .NET, donc héberger de l’asp.net, dommage pour un serveur web Windows.

Aujourd’hui Serveur 2008 R2, apporte IIS 7.5 : les extensions principales qui étaient disponible pour IIS 7.0 sont intégrées nativement dans IIS 7.5. Avec cette version d’IIS, et de Serveur 2008 R2 en général, il y a la volonté de rationnaliser l’administration, ainsi à travers la console d’administration on peut configurer l’ensemble des modules du serveur web.

L’interface d’administration d’IIS qui centralise tout les modules

Autre nouveauté sur IIS 7.5, les logs plus pointus pour suivre et comprendre le fonctionnement du serveur au plus près de la réalité : heure de début des requêtes, durée de la requête. Possibilité de coupler aux journaux avec des informations concernant l’utilisation du système (charge CPU, charge I/O, etc…), ainsi on pourra voir si les événements journalisés qui poseraient ont un rapport avec l’état du système.

Concernant le support de l’asp.net, IIS est capable de gérer plusieurs versions de la CLR (Common Language Runtime), ce qui peut être pratique pour la compatibilité entre différentes applications qui pourront disposer de leur CLR avec leurs propres réglages. Dans l’optique d’améliorer les performances, l’introduction du support de l « application pool warm-up », littéralement le « préchauffage » des applications dès les requêtes initiales, ce qui permet d’avoir de bonnes performances dès le lancement de l’application. Applications qui seront capables de gérer des comptes managés, introduit avec la plateforme Serveur 2008 R2.

2.2 Nouveaux modules

Parmi les modules gérés nativement, on retrouve deux nouveaux modules de publications : – Le module WebDav qui est une petite mise à jour de l’existant, permettant ainsi de mieux gérer les autorisations. – Le module FTP : grosse évolution dans ce module, la dernière version étant celle d’IIS 6.0 ! Ce module supporte donc toutes les nouvelles technologies actuelles, on citera le SSL pour faire du FTPS, encodage en UTF8 ou encore le support de IPv6.On notera la possibilité d’aller éditer directement le fichier de configuration du FTP dans le fichier ApplicationHost.config ou bien de passer par l’interface, tous les paramètres sont accessibles.

Le FTP de IIS 7.5 supporte l’authentification externe, c’est à dire des comptes non windows : les comptes peuvent être géré indépendamment par IIS, séparant ainsi les comptes FTP, et les vrais comptes utilisateurs du système. Au niveau des autorisations, elles sont très simples et très granulaires, l’accès aux ressources, peut se faire par groupe, par utilisateur, en gérant bien évidement les utilisateurs anonymes. Les utilisateurs peuvent être isolés au sein du ftp pour restreindre l’accès à certaines parties.

IIS gère maintenant le filtrage au niveau du ftp, pour interdire la présence de certaines extensions, filtrer les commandes qui peuvent être utilisées.

URL Scan est maintenant dans sa version 3 : Il est maintenant configurable maintenant via une interface, dans la console d’administration d’IIS, il permet le filtrage sur les extensions, sur les URL, dans les en-têtes.

Amélioration du module FastCGI : Très apprécié par tout les hébergeurs de PHP sur IIS, la configuration sera maintenant accessible elle aussi directement via l’interface d’administration de IIS 7.5.Une fonction désactivée par défaut: la possibilité de recharger automatiquement le module quand le fichier de configuration est modifié. Un exemple: php-cgi.exe est mis à jour automatiquement lors de la modification du fichier php.ini .Le module FastCGI gère maintenant le « Failed Request Tracing Support » pour suivre les requêtes adressées au serveur et qui échouent.

Presque la totalité des modules destinés à IIS 7.5 sont compatibles avec IIS 7.0 et sont déjà disponibles sur le site des développeurs de IIS : www.IIS.net/extensions Les prochaines modules développés par Microsoft qui seront mis à jour ou optionnels seront disponibles sur ce même site. Sans oublier que vous pouvez développer vous même vos propres modules, même pour remplacer ceux de fourni de base.

Panneau permettant de lister des modules présents par défaut dans IIS 7.5 et d’en rajouter.

2.3 .NET sur ServerCore

Windows Serveur 2008 R2 apporte enfin le framework .NET sur la version Server Core ce qui permettra le support de l’ASP.NET !

Mais le framework .NET, c’est aussi la version PowerShell v2 qui apporte beaucoup à l’édition de ServerCore avec 65 nouveaux Cmdlets, permettant ainsi d’avoir autant de possibilités qu’avec la version complète : ainsi tout est configurable via PowerShell, la sauvegarde, la restauration, la configuration de SSL, l’accès aux journaux, gestion des applications et répertoires.

Une possibilité intéressante aussi, est d’installer l’administration à distance via PowerShell, ainsi on pourra administrer le serveur via une interface depuis un poste distant disposant d’une console d’administration IIS 7.5 , cette fonctionnalité prend tout son sens sur un serveur web qui est souvent plus exposé aux menaces que d’autres serveurs plus classiques, en un chiffre, sur Serveur c’est environ 40% de failles découvertes en moins que dans sa version équivalente graphique.

Virtualisation : Des solutions pour répondre à tout les besoins.

3.1 Les évolutions du service Failover Clustering

C’est sur ce système de clustering est la base pour les systèmes tels Hyper-V qui reposeront entièrement dessus, cela permet d’obtenir des architectures assurant une très haute disponibilité et des performances très améliorées par rapport à un serveur isolé.

Actuellement, avec Windows Serveur 2008 et 2008 R2, nous sommes capables de monter jusqu’a 16 nœuds sur le cluster, soit potentiellement 16 serveurs Hyper-V différents, accédants aux machines virtuelles disposée sur un SAN, le système de cluster permettant ainsi la bascule des données entre les différents nœuds.

Avec 2008 Serveur R2, avant toute installation plus avancée, Microsoft met à la disposition des administrateurs, un assistant permettant de valider la conformité de votre architecture réseau. Cette nouvelle version du cluster Windows permettra de gérer les services Remote Desktop Connection Broker, DFS-R, Hyper-V v2 en plus de tous ceux déjà supporté : exchange, SQL server…

Une gestion plus avancée au niveau des environnements multi réseaux, avec la possibilité d’appliquer des métriques aux différents réseaux, et un mécanisme de tolérance aux pannes, qui permet de basculer sur un autre réseau en cas d’indisponibilité.

3.1.2 Stockage type « share nothing » et « Cluster shared volume »

Le stockage de type « share nothing » est le mécanisme qui est utilisé depuis qu’il est implanté sur Windows Serveur. Dans cette configuration, un seul nœud du cluster peut accéder à un stockage partagé (appelé LUN). Cette configuration devient bloquant dans l’utilisation d’Hyper-V, à cause du temps nécessaire au transfert de la ressource d’un nœud à l’autre, environ 700 ms sont nécessaire pour démonter le volume du nœud propriétaire et pour le remonter sur le nouveau, ce délai entraine une coupure de service, avec les conséquences néfaste que cela peut avoir selon les services utilisés. Pour palier à ce scénario de courte indisponibilité, Microsoft introduit ce que l’on nommera les Cluster Shared Volumes: L’idée est que tous les nœuds puissent avoir accès au fichier, mais seul le nœud propriétaire du LUN pourra avoir les droits en écriture. Si les autres nœuds souhaitent modifier le fichier, ils feront la demande par le réseau au nœud propriétaire, qu’on appellera aussi noeud coordinateur, ce noeud n’ayant plus l’exclusivité du partage, « propriétaire » n’est plus le terme approprié.

Schéma montrant l’utilisation des « cluster shared volumes ».

Ce nouveau mode de fonctionnement permet également une meilleure tolérance aux pannes, 3 scénarios bien distincts ont été prévus : – Un nœud perd la connexion avec le SAN : ce nœud va être capable de continuer de fonctionner en faisant passer ses requêtes par le nœud propriétaire du fichier. – Le nœud propriétaire perd la connexion au SAN : les opérations sur le fichier sont mises en attente jusqu’a ce qu’un nœud propriétaire soit désigné, après quoi les opérations en attente sont exécutées. – Perte d’un lien rapide entre les nœuds : les nœuds communiquent entre eux par le réseau local classique (souvent celui par lequel les utilisateurs font leurs requêtes aux serveurs).Ce dernier schéma est rendu possible grâce à la gestion multi-réseaux du service failover clustering.

Les cluster shared volumes sont une fonctionnalité très intéressante seulement, elle est limité pour l’instant à Hyper-V v2, les autres services ne la gérant pas encore.

3.2 Hyper-V v2

Pourquoi virtualiser? Une question toute légitime qui appelle pleins de réponses. Aujourd’hui la virtualisation devient presque incontournable, en effet , les systèmes d’information sont de plus en plus complexes, ce qui se traduit bien souvent par une multiplication des serveurs. Avec l’augmentation de la puissance du matériel certains serveurs sont surdimensionnés pour les services qu’ils fournissent.Donc pour réduire les couts, la virtualisation est une bonne solution. C’est aussi un moyen de consolider son architecture, en terme de sauvegardes qui peuvent être grandement simplifiées : il suffit de sauvegarder la machine virtuelle. La solution de Microsoft ne nécessite que peu de formation, en effet on reste dans l’environnement Windows Serveur.

3.2.1 Quick Migration & Live migration !

Quick migration est le système de migration de machines virtuelles sous Hyper-V v1, son fonctionnement est assez basique : 1- Sauvegarde de l’état de la mémoire 2- Transfert de la machine virtuelle 3- Restauration du contexte mémoireLa perte de connectivité à lieu dans la phase 2, pendant le transfert de la machine, la faute en revient au système de clustering qui utilise des stockages de type « share nothing ».

La live migration est une fonctionnalité très demandée qui consiste à migrer une machine virtuelle sans interruption de service, c’est à dire précisément, sans perte de la connectivité TCP/IP, la migration se déroule ainsi : 1- La configuration de la machine et a mémoire de la machine virtuelle est transférée au serveur Hyper-V qui va recevoir la machine virtuelle.2- Transfert régulier des changements effectuées dans la mémoire. 3- Mise en pause de la machine et transfert des dernières modifications de la mémoire.4- Réactivation de la machine virtuelle sur le serveur qui a réceptionné la machine.

Cette prouesse est rendue possible grâce à l’intégration des Cluster Shared Volumes, dans WFSC, qui permet de s’affranchir de la phase de transfert de la machine, il suffira de veiller au transfert du contexte mémoire, en pratique cela se traduira par un seul ping avec un temps de réponse un peu plus élevé. Au niveau de l’infrastructure, aucune modification n’est nécessaire au sein des machines virtuelles, du réseau ou du stockage, il faudra seulement posséder une version Serveur 2008 R2 pour avoir les composants Hyper-V v2 et WFSC.

3.2.2 Nouvelles fonctionnalités et performances sous Hyper-V v2.

Avec Hyper-V v2, on peut désormais ajouter à chaud de l’espace de stockage sur les machines virtuelles. Ainsi plus d’interruption de service. Toutefois, il faudra veiller à ce que les machines virtuelles est un contrôleur de disque de type SCSI. Du coté des performances, Hyper-V tire parti des dernières technologies en terme de virtualisation tant chez Intel (EPT) ou chez AMD (NPT), cela permet de décharger l’hyper viseur de la gestion de la mémoire des machines virtuelles, la machine hôte prendra donc le relais, avec un léger gain de performances.Toujours dans les CPU, à ce jour Hyper-V est supporté avec une utilisation allant jusqu’à 32 cœurs logiques.

3.3 Remote Desktop Services, ex Terminal Services

Première changement visible avec Serveur 2008 R2, il s’agit du nom, tous les produits et les services Terminal Serveur deviennent les Remote Desktop Services (RDS). Microsoft justifie ce changement marketing par l’évolution qu’on subit les services terminal serveur depuis leur création, en effet, ils ont été conçu à l’original pour simplifié et centraliser la gestion des applications sur des serveurs, que ce soit pour des raisons de sécurité, de facilité de maintenance, et aujourd’hui ces services proposent un environnement de travail complet et non plus seulement orienté sur les applications, d’où le terme « Remote Desktops ».

3.3.1 Rappels Terminal Services sur Serveur 2008

Avec Serveur 2008, nous avons vu apparaitre des nouveaux sous services de Terminal Services: -TS RemoteApp : qui permet de publier les applications directement sur le bureau de l’utilisateur, sans avoir besoin de bureau distant.-TS Web Access: pour accéder à ses applications à travers un portail Web -TS Gateway : qui permet de se connecter aux serveurs de terminaux depuis une connexion externe.-TS Session Brocker : pour répartir la charge sur plusieurs serveurs et rediriger les sessions. C’est également la gestion la possibilité de rediriger les périphériques locaux sur la session Terminal Services et de s’authentifier une seule fois localement sur le domaine.

3.3.2 Remote Desktop Services & Virtual Desktop Infrastructure.

Techniquement, Microsoft a cherché a été d’améliorer Remote Desktop, pour l’unifier avec VDI présenté plutôt dans cet article. L’objectif étant de n’avoir besoin sur les postes clients que du client Remote Desktop.

Schéma d’une architecture unifiée autour de RDS et VDI

Le serveur qui hébergera le connection brocker et de redirection sera le plié de cette architecture, en effet, les clients se connecteront sur lui seulement, et c’est ce serveur qui choisira quels serveurs Remote Desktop utiliser, et quelles machines virtuelles. A ce stade du développement, les machines virtuelles qui pourront être virtualisées et utilisées dans cette architectures devront être sur Windows Vista ou 7, un support de XP est prévu d’ici la sortie.

Au niveau de l’utilisation, on pourra paramétrer de deux façons la gestion des bureaux virtuels: La première consiste à fournir une machine virtuelle standard à chaque nouvelle connexion de l’utilisateur, les données qu’il généra n’étant pas hébergées sur la machine locale.La seconde qui consiste à fournir un bureau virtuel personnel à l’utilisateur, au même titre qu’aujourd’hui, on fournit un ordinateur avec toutes les applications. Cette seconde option demandera au minimum, un niveau fonctionnel de domaine « Windows Serveur 2008 ».Egalement Microsoft n’exclue pas la possibilité, et même encourage l’utilisation d’Application Virtualization (App-V) en complément de cette architecture unifiée.

Ainsi Microsoft propose différentes solutions, toutes très complètes et complémentaires pour centraliser sur vos serveurs tout l’environnement de travail et ainsi le gérer comme bon vous semble, les postes de travail dans cette configuration n’étant plus que des périphériques d’accès.

3.3.3 Les améliorations dans l’utilisation de RemoteApp

Dans ces architectures où tout est déporté, les clients se connectent sur la passerelle, il faut donc alors les connecter correctement : la console RemoteApp Desktop Connection Manager permet de gérer tout cela de façon centralisée. Ainsi on peut proposer aux utilisateurs des applications présentes sur différents serveur Remote Services simplement, sans avoir besoin de SharePoint comme aujourd’hui. On pourra également choisir sur quelles machines virtuelles l’utilisateur pourra utiliser dans le cas d’une architecture VDI.Cette même console permettra d’activer le SSO pour avoir à éviter de s’authentifier sur le domaine une première fois lors de l’ouverture de la session, et une seconde lors du lancement l’application. Au niveau de l’accès web, sous Serveur 2008, toutes les applications publiées étaient visibles sur la page de l’accès web, il est maintenant possible de filtrer cette vue, selon les utilisateurs ou les groupes.

Petites améliorations au niveau de la sécurité avec plus de choix au niveau des authentifications possibles : mot de passe ou bien cartes à puce. Aussi la gestion des timeouts soit selon l’inactivité, soit en durée globale de la session. Vous pourrez également afficher un message lors de l’ouverture de la session pour afficher la des informations ou encore envoyer des messages aux sessions actives/futures connexion, par exemple pour prévenir d’une maintenance.Au niveau de la gestion des périphériques dans les sessions distances, les serveurs Remote Services seront informés des périphériques dont la redirection est autorisée, sous les versions précédentes, la passerelle vérifiait cela à l’ouverture de session, mais plus du tout pour tout le reste de la connexion.

Parmi toutes ces fonctionnalités précédemment présentés, il ne faut pas oublier que l’on y accède via un client Remote Desktop qui avec Serveur 2008 R2 passe en version 7.0. Il permet une meilleure expérience utilisateur avec la gestion du son de façon bidirectionnel, le support de DirectX, Direct3D, Aero, le support du multi-écrans jusqu’à 10 écrans. Tout est fait pour que l’utilisateur soit aussi à l’aise sur un bureau virtuel que sur son bureau local.

Windows Serveur au service des systèmes d’information

4.1 Fiabilité et performances

4.1.1 Support amélioré des nouvelles technologies matériel

Windows Serveur 2008 R2 est annoncé fin 2009 / début 2010 plus probablement, les technologies qu’il supporte nativement sont adaptées à son époque. La première et la plus visible qui est a elle seule une petite révolution, Serveur 2008 R2 sera le premier système d’exploitation de Microsoft disponible en 64 bits.Voilà maintenant plusieurs années que tous les processeurs du marché sont en 64 bits le seul frein à l’adoption des systèmes en 64 bits reste toute la partie applicative, à cela Microsoft répond avec une solution de virtualisation pensée pour toutes les utilisations. Cette dernière version de Windows Serveur gère également beaucoup mieux processeurs multi processeurs, et multi cœurs : jusqu’a 256 cœurs logiques possibles.Du coté des disques, Windows 2008 R2 optimise la gestion des disques SSD par rapport à ces prédécesseurs, agréable étant donné la croissance de ce marché.

4.1.2 DHCP Failover, DFS-R, VPN Reconnect et DNSSEC

Alors que Microsoft repense entièrement certaines fonctionnalités de sa plateforme, il n’oublie pas d’ajouter quelques options dans les autres services, options supplémentaires souvent demandées et qui au final font gagner en fiabilité.

DHCP se voit enrichi de la fonction « DHCP Failover »: Actuellement pour assurer la disponibilité de votre service DHCP, le moyen le plus simple était de mettre le service DHCP en cluster, bien qu’en cas de corruption de la base de donnée, le problème reste le même : impossible de fournir des adresses IP aux machines clients.La fonction DHCP Failover permet de repartir la base de donnée entre deux ou plusieurs serveurs, en définissant un serveur principale, et un/des serveurs secondaires. Dans le cas d’une demande, c’est le serveur principal répondra, s’il est indisponible les serveurs secondaires prendront le relais.L’avantage est que la base de données étant présente sur les deux serveurs, les DHCP secondaires connaissent les baux en cours et peuvent donc réattribuer une IP ou en fournir une nouvelle. La synchronisation de la base de données se fera lors de remise en ligne du DHCP primaire.

Illustration du concept de DHCP Failover

– Inspiré par les contrôleurs de domaine en lecture seul (RODC) introduit dans Serveur 2008, Microsoft au sein de son service de distribution de fichiers (DFS), vous pouvez désormais simplement déclarer un réplica comme étant accessible en lecture seule : DFS -R.Cela évite de passer par un paramétrage à travers des ACL qui selon les structures peut devenir long et source d’erreurs.

– Du coté des VPN, Microsoft a implanté de nouveaux protocoles pour ses accès distants: IKEv2 et MOBILEIKE. Cette fonctionnalité nommée VPN Reconnect était connue auparavant sous le nom d’agileVPN. Elle permet de rétablir la connexion VPN en cas de perte de la connexion, de manière rapide : les clients n’ont plus à se réauthentifier, son poste n’as pas besoin d’être vérifié une second fois par le serveur; ces opérations qui peuvent être plus ou moins longue selon les paramètres et la connexion.Un exemple de ce que permet d’éviter VPN Reconnect : un utilisateur se déplace avec son pc portable branché en wifi dans le bâtiment, le changement de borne lui fait perdre la connexion VPN.

Illutration du concept de VPN Reconnect sous son ancien nom agileVPN

Coté client, ces protocoles sont gérés nativement par Windows 7.

– Amélioration du coté de DNS avec le support de DNSSEC: Classiquement sur un serveur DNS stocke ses enregistrements, lorsqu’un client a besoin de faire une résolution de nom, le serveur DNS lui transmet l’enregistrement, c’est à ce moment que DNS peut être détourné par une tierce personne.DNSSEC permet de sécuriser cette communication entre les clients et les serveurs DNS. Le serveur n’enverra plus les données en clair, mais chiffrera les enregistrements transmis, ainsi si le client possède la clef il pourra en lire le contenu en étant certain qu’il n’a pas été altéré.DNSSEC permet aussi de sécuriser les serveurs DNS eux mêmes, car en cas de modification, une personne malveillante ne pourra pas signer ses faux enregistrements, ils seront illisibles pour les clients. Cette fonctionnalité sera disponible sur tous les serveurs DNS tournant sous Windows Serveur 2008 R2.

4.1.3 Consommation d’énergie

Sujet très à la mode ces dernières années, l’écologie ou plutôt le contrôle de sa consommation électrique devient de plus en plus présent lors des choix pour des investissements, le domaine de l’informatique n’échappe pas à cette règle, bien au contraire. Avec Windows Serveur 2008 R2, il est possible d’agir sur la consommation de ses postes clients à l’aide de nouveaux paramètres disponibles à travers les stratégies de groupe.Coté serveur, l’introduction de la technologie Core Parking : Cette technologie consiste à optimiser l’usage des processeurs, pour cela Windows préféra maximiser l’utilisation d’un cpu en répartissant les charges sur ses différents cœurs, avant d’aller utiliser le 2e cpu, qui durant toute la phase où la charge est trop faible est désactivé, donc ne consomme pas.

Dans cet exemple, 2 processeurs gèrent l’ensemble des 16 coeurs logiques, les 2 autres processeurs sont désactivés.

Sur une machine, l’utilité de cette technologie est contestable, mais sur l’ensemble d’une grande architecture, le gain peut devenir significatif. Si cela permet d’être écologique, sans pour autant se brider, il n’y alors plus que des avantages.

4.2 Le couple Windows 7 et Serveur 2008 R2

Windows Serveur 2008 R2 et Windows 7 partagent le même noyau (NT 6.1), nous allons voir que la combinaison du dernier OS Client de Microsoft avec la dernière version de son OS Serveur apporte quelques fonctionnalités dont certaines sont très attendues et se révèlent bien pensées.

4.2.1 DirectAccess

Aujourd’hui les utilisateurs sont de plus en plus mobiles, et on de plus en plus besoin d’être connecté avec le reste du système d’information de leur société, ne serait ce que pour l’accès aux ressources. DirectAccess propose une connexion transparente pour l’utilisateur vers sa société, en pratique cela se traduit par un tunnel IPsec qui est activé dès qu’une connexion internet est disponible sur le poste, sans aucune intervention de l’utilisateur.Cette transparence agréable et simple pour l’utilisateur fait qu’il est très fortement recommandé par Microsoft de coupler l’accès au poste avec une authentification forte (exemple : carte à puce). Il est possible de couplé DirectAccess avec NAP (Network Access Protection) afin de vérifier que le poste est bien en conformité avec la politique de sécurité de votre société : présence d’un antivirus à jour, d’un parefeu, etc…

Schéma de l’architecture, une fois Direct Access en place

Cette nouvelle fonctionnalité est basé nativement sur IPv6, mais heureusement, non il ne faudra pas changer toute votre infrastructure actuelle pour bénéficier de cette fonctionnalité, des mécanismes pour encapsuler IPv6 dans de l’IPv4 étant prévu. Un avantage par rapport au VPN traditionnel, la possibilité de déployer des stratégies de façon transparente, comme si le poste était dans les locaux.Toute la configuration des postes se fait essentiellement, comme habituellement, par les stratégies de groupe. Coté infrastructure, pour pouvoir mettre en place il faudra simplement disposer d’au moins un contrôleur de domaine en Windows Serveur 2008 R2. Afin de ne pas exposer tout votre réseau à l’extérieur, DirectAccess permettra de choisir quels contrôleurs de domaine, quels serveurs DNS et autres pourront être joins par les clients DirectAccess.

Une fonctionnalité bien pensée qui évite ainsi de nombreux problèmes du à l’utilisateur (manque de formation, erreur…) qui à la les avantages de la mobilité, sans les inconvénients actuels.

4.2.2 BranchCache

Il faut aujourd’hui faire face à l’évolution de la bande passante, avec des connections certes de plus en plus puissantes, mais aussi des volumes de données à faire transiter de plus en plus importants. BranchCache est une fonctionnalité qui permet de mettre en cache du contenu HTTP et SMB au niveau d’une agence. Ainsi on pourra optimiser l’utilisation de la bande passante externe, et l’expérience utilisateur pour qui charger un fichier en cache sera plus rapide que depuis l’extérieur. A une échelle plus globale, sur une société avec de multiples locaux, c’est son réseau d’agences dans son ensemble qui sera amélioré, les liens entre sites étant moins sollicités. Il y a deux façons différentes d’implanter cette fonctionnalité : BranchCache dans sa configuration distribuée :Dans ce schéma là, il n’y a pas de serveur de cache centralisé, ce sont les clients qui font tous office de serveur de ressources.

 

  • Un client d’une agence demande une ressource sur un serveur avec BranchCache activé et la télécharge sur son poste.
  • Un second client souhaite la même ressource, il contacte le serveur qui l’informe que la ressource se trouve sur le réseau local.
  • Le second client cherche à travers le réseau local le fichier en cache et le télécharge

 

Avec serveur de cache hébergé :

 

  • Le client 1 d’une agence demande une ressource depuis un serveur avec BranchCache a, il interroge le serveur de cache qui ne l’a pas, il l’a télécharge donc à distance, puis l’envoi au serveur de cache local.
  • Le client envoi le fichier téléchargé au serveur BranchCache local.
  • Un client 2 souhaite obtenir la même ressource, le serveur informe que la ressource doit être en cache.
  • Client 2 vient récupérer la ressource sur le serveur local de cache

 

L’administration de BranchCache se fait à l’aide des stratégies de groupe et est suffisamment riche pour pouvoir régler un grand nombre de paramètres afin d’éviter des erreurs qu’implique un tel système, comme se retrouve avec une version antérieur du document désiré : on peut choisir les extensions des fichiers à mettre en cache, la durée et autres.

4.2.3 BitLocker To Go

Avec Windows Vista et Serveur 2008 est apparu BitLocker qui permet de chiffrer des volumes sur des disques. Ainsi à la connexion du périphérique mobile, pour déverouiller l’accès aux données, l’utilisateur devra entrer soit un mot de passe, soit fournir sa carte à puce.Serveur 2008 R2 et Windows 7amènee BitLocker To Go est l’évolution de cette technologie qui permet de chiffrer les périphériques amovibles, ce qui été possible en BitLocker de base mais pas aussi simplement.

4.2.4 AppLocker

Une fonctionnalité attendue qui permet de contrôler presque sans faille l’exécution, l’installation d’application sur les machines clientes. Il faut voir sous un nom une version 2 des stratégies de groupes appelées « Software Restrictions Polices », mais de façons plus complètes, et beaucoup plus faciles à mettre en place.

Exemple avec le blocage de l’installeur de Chrome, le navigateur de Google qui sait s’installer sans les droits administrateur.

Toute la configuration se fait à l’aide des stratégies de groupe, à l’aide d’un assistant : Vous pourrez choisir d’autoriser ou non l’exécution d’installeurs, de programmes ou de scripts en fonction de l’éditeur du logiciel, de son emplacement sur le disque ou de son hash, vous pouvez généraliser ces bloquages à des versions précises des logiciels, ou bien les généraliser à tout l’éditeur, coté client vous pourrez appliquer ces restrictions à un utilisateur ou à groupe.

Conclusion

Windows Serveur 2008 R2 serait-t-il plus qu’une version mineure ? Une question que l’on peut légitimement se poser. C’est un large éventail de nouvelles fonctionnalités qu’apporte Serveur 2008 R2, quand il ne s’agit tout simplement de refonte complète de certains services. Technologiquement, il n’y a pas de raisons de ne pas migrer ses infrastructures, le passage de la gamme Serveur 2003 en support étendu aidera peut être les DSI, qui souhaitent un produit pleinement supporté, à planifier une migration.

Windows Serveur 2008 R2 : l’administration comme bon vous semble.

Si Windows Serveur a été crée à l’origine, c’était pour gérer efficacement les systèmes d’information d’entreprise, il est agréable de constater qu’aujourd’hui encore il rempli parfaitement ce rôle, et cela même mieux que ces prédécesseurs :

  • des outils permettant toujours plus d’options pour administrer au plus proche des besoins.
  • des interfaces rationnalisées, centralisés : des consoles MMC avec des rôles précis pour l’administration, l’administrative center pour la gestion au quotidien, le Best Practice Analyzer pour la vérification de la configuration…
  • l’implantation des fonctionnalités demandées par les professionnels : la corbeille active directory, les comptes de services managés…

Et enfin PowerShell, après une version 1 qui avait suscité la curiosité, la version 2 arrive avec son énorme lot de fonctionnalités, gommant tous ses erreurs de jeunesses. Jamais sur un Windows Serveur on avait eu autant de choix possibles pour configurer ses serveurs, tout les administrateurs trouveront une méthode qui leur correspond le mieux.

Virtualisation : une arrivée fracassante sur le marché.

Alors qu’il y a encore une poignée d’année Microsoft n’avait pas de solution de virtualisation professionnelle, la sortie d’Hyper-V à totalement changé la donne en montrant que Microsoft pouvait être crédible dans le domaine. Aujourd’hui alors que le marché de la virtualisation est en pleine croissance, avec Windows Serveur 2008 R2 et Hyper-V v2, Microsoft compte bien se placer au niveau des leaders du marché en proposant ses solutions de virtualisation de serveurs, d’applications et de bureaux.

Windows Serveur 2008 R2 : des services orientés entreprise.

Serveur 2008 R2 ne laisse aucune fonctionnalité de coté, toutes continuent d’évoluer, certaines plus fortement que d’autres, on pensera à IIS 7.5 que l’on peut qualifier de nouveau service tant les changements sont importants avec ces prédécesseurs. Les autres services, tels DHCP, DNS, VPN, DFS et autres continuent de s’améliorer avec l’ajout de fonctions attendues pour rendre ces services toujours plus complets et fiables.Mais Microsoft n’oublie pas que Windows Serveur c’est aussi des utilisateurs, qui évoluent avec les technologies de leur temps, qui ont des besoins qui changent, Serveur 2008 R2 s’adapte à ces évolutions avec des technologies comme DirectAccess, BitLocker To Go et autre.

Avec un Windows Serveur 2008 qui peine un peu à s’imposer en entreprise, Microsoft a su écouter ses clients pour coller au plus précis de leurs demandes, de leurs retours, donner de la maturité aux nouvelles technologies de Serveur 2008. Aujourd’hui Microsoft frappe fort avec un Serveur 2008 Release 2, il ne faut pas voir en lui une version mineure de la gamme Serveur, mais un digne successeur à Serveur 2003 R2 qui saura s’intégrer au sein des systèmes d’informations pour répondre à tous vos besoins.