Les 11 bonnes raisons de migrer vers Windows Server 2008

Fabrice Meillon -Microsoft Francehttp://blogs.technet.com/fabricem_blogs

Les 11 bonnes raisons de migrer vers Windows Server 2008

Objectif de la session

Quels bénéfices techniques à migrer vers Windows Server 2008 ?

Dois-je faire évoluer tout mon existant pour bénéficier de telle ou telle fonctionnalité ?

SécuritéWeb Virtualisation

Fondamentaux

Plateformes et versions

Plateformes 32 bits (x86) et 64 bits (x64 et IA64*)Dernière version 32 bits de Windows Server

VersionsWeb, Standard**, Enterprise**,Datacenter**Itanium*

* Rôles et fonctionnalités limités - http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx

** versions avec et sans Hyper-V

Installation

Fondamentaux

Objectifs

Simplifier et rationaliser l’installation du serveur

Installation de Windows Server 2008

Installation Par fichier image (fichier .wim)2 options

ClassiqueServer Core

Configuration initialeInitial Configuration Tasks

Administration du serveur Server Manager

Gestion des rôlesGestion des fonctionnalités

Server CoreOption d’installation minimaleSurface d’exposition réduiteInterface en ligne de commandeEnsemble de rôles restreintsChoix à l’installation !N’est pas une plateforme applicative

Server Core - « Rôles »

Server CoreComposants Sécurité, TCP/IP, Système de fichiers, RPC,plus d’autre sous-systèmes Core Server

DNS DHCP File & Print AD

ServerAvec .Net 3.0, shell, outils, etc.

TS NPS IIS WDS Etc…

Rôles du serveur (en plus de ceux de l’installation Core)

GUI, CLR, Shell, IE, Media, OE, etc.

Hyper-V AD LDS

Media Server IIS

Active Directory

Fondamentaux

Objectifs

Disposer de mécanismes permettant une installation granulaire d’Active DirectoryAméliorer la prise en charge des serveurs distribués géographiquement (agences)Optimiser la consommation de bande passanteElever le niveau de sécurité

Active Directory dans Windows Server 2008

InstallationNouvel assistant de promotion en contrôleur de domainePrise en charge du mode Server Core

SécuritéAuthentification, autorisations et auditPolitiques multiples de mot de passeContrôleur de domaine en lecture seule

PerformanceRéplication Sysvol différentielle

AdministrationActive Directory sous forme de service, éditeur d’attributsProtection contre les suppressions accidentellesAdministration des stratégies de groupe avec GPMC

Politiques multiples de mots de passe

Aujourd’hui la politique des mots de passe appliquée se définit pour l’ensemble du domaine

Default Domain Policy dans un AD 2000/2003Pas assez granulaire pour certaines organisations

Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine

Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs hors domaine)Nécessite un niveau fonctionnel de domaine Windows Server 2008Le schéma doit être en version 2008

Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings

Contrôleur de domaine en lecture seule (Read Only Domain Controller)

‘BDC NT 4.0 le retour’ mais en version 2008 !Un DC en lecture seule !!

Réduire la surface d’exposition des DCRéduire l’impact sur les utilisateurs et le reste de l’infrastructure Active Directory en cas de compromission ou de vol d’un DC

La copie locale de l’annuaire de chaque RODC est en lecture seule (droits en écriture très limités)Réplication unidirectionnelle AD, FRS/DFS-R et DNS

Séparation des rôles d’Administration(uniquement valable sur les RODC)

Le nombre d’administrateurs du domaine est souvent trop important

Dans la plupart des cas ce niveau de privilège n’est nécessaire que de manière locale

Windows Server 2008 fournit un nouveau niveau d’accès “local administrator” pour chaque RODC

Intègre tous les Builtin groups (Backup Operators, etc)Empêche les modifications accidentelles d’Active Directory par les administrateurs locauxN’empêche pas les modifications intentionnelles de la base locale par les administrateurs locaux

Read-Only DCAuthentification

Hub

`

Read Only DCHub WS 2008 DC

Branch

1

2

3

4 5

6

6

7

7

1. AS_Req vers le RODC (requête pour TGT)

2. RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur"

3. Transmet la requête vers un Windows Server 2008 DC

4. Windows Server 2008 DC authentifie la demande

5. Renvoi la réponse et la TGT vers le RODC (Hub signed TGT)

6. RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels

7. Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué

Active Directory Domain Services Read-Only DC - Déploiement

Mise en œuvre en environnement AD 2003S’assurer que la forêt est en mode fonctionnel 2003

Utilisation de la réplication en mode LVRLes RODC nécessitent la délégation contrainte Kerberos

Au minimum un DC en Windows Server 2008Le DC herbergeant le rôle PDC Emulateur doit être en version 2008

ADPREP /ForestPrep (Mise à jour du schéma)

ADPREP /DomainPrep (Dans chaque domaine de la forêt si un ou plusieurs RODC doivent héberger le Global Catalog)

ADPREP /RodcPrep (Nouveau commutateur permettant de définir les ACL sur les partitions DNS pour la réplication RODC)

Active Directory Domain Services Read-Only DC - Déploiement

Mise en œuvre en environnement AD 2008Le premier DC de la forêt ainsi que de chaque domaine ne peut pas être un RODC

LimitationsLes FSMO ne peuvent pas être des RODCLes serveurs tête de pont (Bridge-head) ne peuvent pas être des RODC

CoexistenceDC Windows Server 2003 et 2008 en lecture-écriture et RODC peuvent coexister au sein du même sitePlusieurs RODC d’un même domaine ou de différents domaines peuvent coexister au sein du même site

Administration du serveur

Fondamentaux

Objectifs

Rationaliser les outils d’administration

Elargir les possibilités offertes en terme d’administration locale et distante

Déployer plus rapidement de nouveaux systèmes (postes et serveurs)

Administration et Windows Server 2008

Le Server ManagerWindows PowerShellActive Directory redémarrable Administrateurs locaux sur RODCStratégies de groupes (GPO) (GPMC, admx/adml)Journaux et structure des événementsPlanificateur de tâchesAdministration Windows à distance WinRMSauvegarde / restaurationOutils de diagnosticsOutils en ligne de commande

Server ManagerVotre nouvel ami Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur

– Un seul outil pour configurer Windows Server 2008

– Portail d’administration– Ligne de commande

servermanagercmd.exe

Server Core - AdministrationLocale ou distante en ligne de commande

Outils basiquesWinRM et Windows Remote Shell pour l’exécution à distanceWMI et WMIC (locale et à distance)

Terminal Services (à distance)Microsoft Management Console (à distance)

RPC, DCOMSNMPPlanificateur de tâchesEvénements et transfert d’événementsPas de support du code managé donc pas de support de Windows PowerShell

Services de déploiement Windows(Windows Deployment Services)

Solution de déploiement pour Windows Server 2008Nouvelles technologies : WIM, IBS, WinPE

Ensemble d’outils pour personnaliser l’installationDémarrage à distance d’un environnement de pré-installation (WinPE)Notion de serveur PXESupport du multicast

Administration graphique et en ligne de commandeWdsutil.exe

Plateforme Web

Web

Objectifs

Fournir une plateforme modulaireAssurer une sécurité par défaut Disposer d’outils d’administration adaptés à tous les profilsFaciliter la collaboration administrateurs / développeursS’affranchir des restrictions existantes sur les versions antérieures

Approche modulaireInstallation personnalisable : Plus de 40 modules

Un module est soit une DLL Win32 (module natif) soit du contenu .NET 2.0 dans une assembly (module managé)Tous les modules peuvent être ajoutés, supprimés voire remplacés par des modules développés en C++ (API IIS 7.0) ou avec les API ASP.NET 2.0

Configuration unifiée

IIS7 fournit aux développeurs et administrateurs un système de configuration unifiée pour le paramétrage d’ASP.NET et de IIS 7.0 sous la forme de fichiers XML.

Pour accéder à ces fichiers, IIS 7.0 dispose d’un ensemble de codes managés et d’API de scripting permettant d’agir sur cette configuration

IIS 7.0 permet également de stocker la configuration dans un fichier web.config situé dans le même répertoire que le site ou l’application. Ce fichier peut être copié de machine à machine, simplifiant ainsi les déploiements dans des fermes de serveurs Web

Gestion des fermes web – configuration centralisée

Scénario d’usage pour les fermes de serveurs WebLes serveurs web partagent un même fichier de configurationLe fichier de configuration est accessible via un chemin UNCLes paramètres de configuration sont stockées dans le fichier redirection.configDisponible en Workgroup ou AD (compte local ou AD)

IIS7

XML

AppHost.config

IIS7

IIS7

UNC

IIS 7- Administration Plusieurs méthodes

Console Internet Information Server Manager

Outil en ligne de commande : Appcmd.exe

Edition manuelle des fichiers XML de configuration

API Administration (pour développeurs .Net)

API Administration scriptée (pour administrateurs développeurs WMI)

Délégation d’administration

La fonction de délégation dans IIS 7 permet :Le verrouillage de sections de configuration pour contrôler quels paramétrages peuvent être définis dans les fichiers web.config (en général, une section de configuration de IIS correspond à un module de IIS)De définir par site et application, les utilisateurs autorisés à utiliser la console IIS Manager pour :

Voir la configurationModifier la configuration des fonctions qui ont leur section "déverrouillée"

Sécurité de IIS 7.0IIS 7.0 a été conçu avec les mêmes exigences et fondamentaux que IIS 6.0 et améliore encore cette approche sécurité sur 3 points :

Surface d’exposition réduiteIIS 6.0 = verrouillé par défautIIS 7.0 = installation minimale par défaut

Gestion de la sécurité plus flexibleDélégation granulaire de l’administrationUtilisateur et group par défaut (Built-in)

Nouvelles fonctions de sécuritéAu revoir URLScan, bonjour Request FilteringNouveau : Hidden Namespaces

Virtualisation

Hyper-V Terminal Server

Terminal Server : Accès centralisé aux applications

Virtualisation

Terminal Services avec Windows Server 2008

Améliorer l’expérience utilisateur et enrichir les scénarios d’usages

Permettre l’accès de n’importe oùFaciliter le déploiement des applicationsOffrir un portail d’accèsAuthentification unique

NouveautésPasserelle TSApplications distantesPortail TS WebAuthentification unique (SSO)Impression (Easy Print)

Centre de données

En déplacement avec sonordinateur portable

En agenceDe la maison

TS GatewayAccès distant au bureau et applications internes

DMZ

HTTPS (TCP 443)

Internet LAN d’entreprise

Hôtel, hotspot

Pare

-feu

exte

rne

Pare

-feu

inte

rne

Partenaire / employé sur un site client

Poste de travail (avec bureau distant)

Terminal ServerTS Gateway

Active Directory TS WebLa maison

RDP dans RPC/HTTPS RDP

RDP(TCP 3389)

Les applications distantes (Remote Apps)

Applications qui s’exécutent sur le Serveur TSIntégration avec le bureau de l’utilisateur sous la forme de raccourcis

Accès aux données localesIntégration dans la barre de taches et les menusGlisser & Déplacer

Côte à côte avec les applications locales

Bénéfices:Meilleure ergonomie, diminution la complexité (bureaux multiples), Intégration avec le client RDP 6.x Gestion centralisée des applicationsDéploiement de l’application sans installation des binaires sur le poste (.msi, .rdp)

Virtualisation

Virtualisation

VirtualHard Disks

(VHD)

VM 1“Parent”

VM 2“Enfant”

VM 2“Enfant”

Plateforme de virtualisation et

de gestion

Hardware

Windows Server 2003

Virtual Server 2005 R2

VM 2 VM 3

Evolution de l’offre de virtualisation Microsoft

Windows Server 2008 Hyper-V

ObjectifsAméliorer les performances : fondé sur un hyperviseurS’ouvrir de nouveaux scénarios d’usageEtendre considérablement la notion de virtualisation de périphériques

DéfinitionHyperviseur : fine couche logicielle situé sous tous les OSPartition parente : une partition qui gère ses enfantsPartitions enfants : toutes partitions qui sont démarrées, gérées et arrêtées par leur parentPile de virtualisation : la collection des composants qui s’exécutent dans la partition parente pour la gestion de la machine virtuelle

Architecture de Hyper-V

Partition Parente Partition Enfant

Mode Noyau

Mode Utilisateur

VirtualizationService

Providers(VSPs)

Noyau Windows

Server Core ou classique

IHVDrivers

VirtualizationServiceClients(VSCs)

NoyauOS invité

OptimisationsVMBus

Hyperviseur Windows

Virtualization Stack

VM WorkerProcessesVMM

Service

WMI ProviderApplications

Hardware Server Designed for Windows

Fournisseur :

Microsoft

ISV

OEM

Hyper-V

Windows Server 2008 Hyper-V Virtual Server

2005 R2 SP1Hyper-V

(Windows Server 2008)

Support matériel X86 et X64 X64 exclusivement avec processeurs AMD-V ou Intel VT (IVT)

Machines virtuelles (VMs) 32-bit ? Oui oui

VMs 64-bit ? Non oui

VMs multi-processeurs ? Non Oui, jusqu’à 4 proc logiques

Mémoire par VM ? 3.6 Go par VM Maximum 64 Go par VM

Ajout à chaud mémoire/processeurs? Non Oui (V2)

Ajout à chaud stockage/réseau? Non Oui (V2)

Peut-être administré par System Center Virtual Machine Manager?

Oui OuiLive migration (V2)

Support de la mise en cluster Oui Oui

Scriptable/Extensible? Oui, COM Oui, interfaces WMI

Nombre de VMs actives par hôte? 64 sur x86 / 128 pour x64

192

Interface d’administration Interface Web MMC 3.0

Sécurité & respect des politiques

Sécurité

Objectifs

Améliorer la résistance du système par réduction de la surface d’exposition et des vecteurs potentiels d’attaques.

Protéger les données et les informations

Elever le niveau d’intégrité des réseaux d’entreprise

Windows Server 2008 et la sécuritéRésilience du système

Intégrité du codeRenforcement des services WindowsContrôle de l’usage des périphériquesMise à jour du système

Fonctions réseauxPare-feu bidirectionnel / IPSecNetwork Access Protection (NAP)

User Account Control (UAC)Internet Explorer 7

Filtre Anti-phishing, mode protégé

Démarrage sécurisé et chiffrement intégral de volume (BitLocker)Active Directory / Right Management ServicesCrypto Next Generation, Active Directory / Certificates Services

Amélioration de la résistance du système par réduction de la surface et

des vecteurs potentiels d’attaques.

+Protection des données et

informations

Protection des données avec BitLocker Drive Encryption

BitLocker est un moyen de chiffrer intégralement un volume sous Windows Vista et Windows Server 2008

L’objectif est de se protéger l’information contenue sur le disque en cas de vol ou d’attaque « Offline »Combiné avec l’utilisation d’un TPM (version 1.2 et plus)

En complément du RODC, BitLocker aide à réduire la surface d’attaque des serveurs hébergés dans des locaux moins sécurisés que des centres de données

Network Access Protection (NAP)

NAP est composé de composants clients et de composants serveurs qui permettent de définir l’état de conformité logicielle et système souhaité pour les ordinateurs se connectant à un réseau d’entreprise

NAP n’est pas conçu pour sécuriser un réseau vis à vis d’utilisateurs malveillants. Il a été conçu pour aider les administrateurs à maintenir la bonne santé des postes sur le réseau, ce qui permet ainsi d’assurer un meilleur niveau d’intégrité sur l’ensemble du réseau de l’entreprise

Demande d’accès ?Voici mon nouveau status

Est ce que le client doit être restreint en fonction de son status?

En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour

Puis je avoir accès ?Voici mon status actuel

En accord avec la politique, le client est à jourAccès autorisé

Architecture & principe général

Network PolicyServer

Client Network Access Device

(DHCP, VPN, 802.1xIPSec, passerelle TS)

Remediation Servers

(antivirus, système de maj de correctifs…)

Mise à jour du serveur Radius avec les politiques

en cours

Vous avez droit à un accès restreint tant que vous n’êtes pas à jour

Puis je avoir les mises à jour ?

Les voici

Réseau de l’entrepriseRéseau restreint (« quarantaine »)

Le Client obtient l’accès complet au réseau d’entreprise

System Health Servers

(défini les pré requis du client)

Mécanismes de restrictions d’accèsDHCP

Le serveur DHCP contrôle l’accès en définissant les routes et les paramètres IP du client DHCP (nécessite une mise à jour du serveur DHCP (Windows Server 2008 ou solution partenaire NAP))

802.1xPorts contrôlés vs ports non contrôlésQuarantaine par mise en place de filtres IP ou par affectation à un VLAN

VPNLes serveurs VPN contrôlent l’accès en appliquant des filtres IP ( Nécessite une authentification basée sur PEAP)

IPSecMécanisme d’isolation au niveau hôte (si vous utilisez déjà IPSec pour l’isolation de domaine ou de serveurs)

Passerelle Terminal ServerRefus de l’accès à l’application distante

SP3Client NAP

intégré

Prévu Q3 2008

Haute disponibilité

Sécurité

Objectifs

Aider l’administrateur lors de l’installation d’un cluster de ressources

Rationnaliser l’outil d’administration

Étendre les scénarios d’usage

Failover Clustering (WSFC)Améliorations dans l’installation, l’administration et la migration

Assistant de validation (nœud, réseau, stockage)Assistant de création du clusterNouvelle console d’administrationAdministration améliorée au travers de WMI

SécuritéLe service cluster n’utilise plus de compte de service mais le compte « Local System »

StabilitéNouveau modèle de quorumSupport des disques > 2 To

Et dans tout cela…

C’est quoi ces 11 bonnes raisons à migrer vers Windows 2008

• Disposer d’une plate forme Web modulaire et adaptable à vos besoins – applications, montée en charge et sécurité (IIS 7)

Web

• Consolider les serveurs (Hyper-V)

• Accéder aux applications centralisées plus simplement (Terminal Services)

Virtualisation

• Sécuriser les données et l’information (bitlocker, ADRMS)

• Contrôler les accès aux réseaux (NAP)

• Assurer la haute disponibilité des applications (WFCS)

Sécurité

• Modularité (rôles), installation minimaliste (server core)

• Rationaliser l’administration et le déploiement (PowerShell, WDS,…)

• Améliorer la prise en charge des serveurs en agence (RODC)

• Améliorer les performances réseaux (nouvelle pile TCP/IP, SMB 2.0)

• Assurer l’interopérabilité avec les solutions tierces (SUA)

Fondamentaux

Ressources utiles

Blog : http://blogs.technet.com/longhorn

La référence technique pour les IT Pros :

technet.microsoft.com

L’engagement Microsoft pour les développeurs :

msdn.microsoft.com

S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnaliséeSe former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairsBénéficier de services - Des cursus de formations et de certifications, des offres de support technique

Visual Studio 2008 +

Abonnement MSDN Premium Abonnement TechNet Plus :

Versions d’éval + 2 incidents support

Certifications : Programme de nouvelle génération

Série Architecture– le programme Microsoft Certified Architect permet aux entreprises d’identifier facilement les architectes en informatique très expérimentés, ayant suivi un processus de validation particulièrement rigoureux.

Série Métier – Ce programme valide un ensemble complet de compétences à jour, permettant au professionel de réussir dans son métier et d’être très performant.

Série Technologie – Ces certifications vous permettent d’approfondir vos connaissances sur des technologies Microsoft spécifiques et d’obtenir toutes les compétences nécessaires pour les exploiter à fond.

Master

Série Master – Ce programme valide les compétences technologiques de très haut niveau des individus sur les plateformes Microsoft

•Une certification recherchée par les entreprises

•4 séries et 5 titres adaptés et ciblés à chaque métier.

•Un label pour votre expertiseLes certifications Microsoft permettent la validation de votre expertise : une certification constitue la preuve pour vos clients ou votre société de vos compétences sur les produits et technologies Microsoft.

•Un gage de qualité pour l'entreprise

Certification : validez vos compétencesOffre de certification Seconde chance :

Bénéficiez d’un second passage gratuit pour tout 1er passage non réussi www.microsoft.com/france/formation

Guides de préparations aux examens :

http://www.microsoft.com/france/formation/examensEchangez et discutez sur les certifications sur le Forum :

http://forums.microsoft.com/france/default.aspx

Contactez nous pour d’autres questions :

formcert@microsoft.com