les 11 bonnes raisons de migrer vers windows server 2008
DESCRIPTION
Les 11 bonnes raisons de migrer vers Windows Server 2008. Fabrice Meillon -Microsoft France http://blogs.technet.com/fabricem_blogs. Objectif de la session. Pourquoi migrer vers Windows Server 2008 Dois-je faire évoluer tout mon existant pour bénéficier de telle ou telle fonctionnalité. Web. - PowerPoint PPT PresentationTRANSCRIPT
Fabrice Meillon -Microsoft Francehttp://blogs.technet.com/fabricem_blogs
Les 11 bonnes raisons de migrer vers Windows Server 2008
Objectif de la session
Pourquoi migrer vers Windows Server 2008Dois-je faire évoluer tout mon existant pour bénéficier de telle ou telle fonctionnalité
SécuritéWeb Virtualisation
Fondamentaux
Plateformes et versions
Plateformes 32 bits (x86) et 64 bits (x64 et IA64*)Dernière version 32 bits de Windows Server
VersionsWeb, Standard**, Enterprise**,Datacenter**Itanium*
* Rôles et fonctionnalités limités - http://www.microsoft.com/windowsserver/bulletins/longhorn/itanium_bulletin.mspx
** versions avec et sans Hyper-V
Installation
Fondamentaux
Objectifs
Simplifier et rationaliser l’installation du serveur
Installation de Windows Server 2008
Installation Par fichier image (fichier .wim)2 options
ClassiqueServer Core
Configuration initialeInitial Configuration Tasks
Administration du serveur Server Manager
Gestion des rôlesGestion des fonctionnalités
Server CoreOption d’installation minimaleSurface d’exposition réduiteInterface en ligne de commandeEnsemble de rôles restreintsChoix à l’installation !N’est pas une plateforme applicative
Server Core - « Rôles »
Server CoreComposants Sécurité, TCP/IP, Système de fichiers, RPC,plus d’autre sous-systèmes Core Server
DNS DHCP File & Print AD
ServerAvec .Net 3.0, shell, outils, etc.
TS NPS IIS WDS Etc…
Rôles du serveur (en plus de ceux de l’installation Core)
GUI, CLR, Shell, IE, Media, OE, etc.
Hyper-V AD LDS
Media Server IIS
Active Directory
Fondamentaux
Objectifs
Disposer de mécanismes permettant une installation granulaire d’Active DirectoryAméliorer la prise en charge des serveurs distribués géographiquement (agences)Optimiser la consommation de bande passanteElever le niveau de sécurité
Active Directory dans Windows Server 2008
InstallationNouvel assistant de promotion en contrôleur de domainePrise en charge du mode Server Core
SécuritéAuthentification, autorisations et auditPolitiques multiples de mot de passeContrôleur de domaine en lecture seule
PerformanceRéplication Sysvol différentielle
AdministrationActive Directory sous forme de service, éditeur d’attributsProtection contre les suppressions accidentellesAdministration des stratégies de groupe avec GPMC
Politiques multiples de mots de passe
Aujourd’hui la politique des mots de passe appliquée se définit pour l’ensemble du domaine
Default Domain Policy dans un AD 2000/2003Pas assez granulaire pour certaines organisations
Avec Windows Server 2008 : il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine
Ne s’applique pas ni à l’objet ordinateur ni aux comptes locaux (utilisateurs hors domaine)Nécessite un niveau fonctionnel de domaine Windows Server 2008Le schéma doit être en version 2008
Utilisation d’une nouvelle classe d’objets msDs-PasswordSettings
Contrôleur de domaine en lecture seule (Read Only Domain Controller)
‘BDC NT 4.0 le retour’ mais en version 2008 !Un DC en lecture seule !!
Réduire la surface d’exposition des DCRéduire l’impact sur les utilisateurs et le reste de l’infrastructure Active Directory en cas de compromission ou de vol d’un DC
La copie locale de l’annuaire de chaque RODC est en lecture seule (droits en écriture très limités)Réplication unidirectionnelle AD, FRS/DFS-R et DNS
Séparation des rôles d’Administration(uniquement valable sur les RODC)
Le nombre d’administrateurs du domaine est souvent trop important
Dans la plupart des cas ce niveau de privilège n’est nécessaire que de manière locale
Windows Server 2008 fournit un nouveau niveau d’accès “local administrator” pour chaque RODC
Intègre tous les Builtin groups (Backup Operators, etc)Empêche les modifications accidentelles d’Active Directory par les administrateurs locauxN’empêche pas les modifications intentionnelles de la base locale par les administrateurs locaux
Read-Only DCAuthentification
Hub
`
Read Only DCHub WS 2008 DC
Branch
1
2
3
4 5
6
6
7
7
1. AS_Req vers le RODC (requête pour TGT)
2. RODC: regarde dans sa base: “Je n’ai pas les crédentiels de l’utilisateur"
3. Transmet la requête vers un Windows Server 2008 DC
4. Windows Server 2008 DC authentifie la demande
5. Renvoi la réponse et la TGT vers le RODC (Hub signed TGT)
6. RODC fournit le TGT à l’utilisateur et met en queue une demande de réplication pour les crédentiels
7. Le Hub DC vérifie la politique de réplication des mots de passe pour savoir s’il peut être répliqué
Active Directory Domain Services Read-Only DC - Déploiement
Mise en œuvre en environnement AD 2003S’assurer que la forêt est en mode fonctionnel 2003
Utilisation de la réplication en mode LVRLes RODC nécessitent la délégation contrainte Kerberos
Au minimum un DC en Windows Server 2008Le DC herbergeant le rôle PDC Emulateur doit être en version 2008
ADPREP /ForestPrep (Mise à jour du schéma)
ADPREP /DomainPrep (Dans chaque domaine de la forêt si un ou plusieurs RODC doivent héberger le Global Catalog)
ADPREP /RodcPrep (Nouveau commutateur permettant de définir les ACL sur les partitions DNS pour la réplication RODC)
Active Directory Domain Services Read-Only DC - Déploiement
Mise en œuvre en environnement AD 2008Le premier DC de la forêt ainsi que de chaque domaine ne peut pas être un RODC
LimitationsLes FSMO ne peuvent pas être des RODCLes serveurs tête de pont (Bridge-head) ne peuvent pas être des RODC
CoexistenceDC Windows Server 2003 et 2008 en lecture-écriture et RODC peuvent coexister au sein du même sitePlusieurs RODC d’un même domaine ou de différents domaines peuvent coexister au sein du même site
Administration du serveur
Fondamentaux
Objectifs
Rationaliser les outils d’administration
Elargir les possibilités offertes en terme d’administration locale et distante
Déployer plus rapidement de nouveaux systèmes (postes et serveurs)
Administration et Windows Server 2008
Le Server ManagerWindows PowerShellActive Directory redémarrable Administrateurs locaux sur RODCStratégies de groupes (GPO) (GPMC, admx/adml)Journaux et structure des événementsPlanificateur de tâchesAdministration Windows à distance WinRMSauvegarde / restaurationOutils de diagnosticsOutils en ligne de commande
Server ManagerVotre nouvel ami Rationnaliser les outils et disposer d’un outil central permettant d’ajouter, de configurer et de gérer les différents rôles et fonctionnalités du serveur
– Un seul outil pour configurer Windows Server 2008
– Portail d’administration– Ligne de commande
servermanagercmd.exe
Server Core - AdministrationLocale ou distante en ligne de commande
Outils basiquesWinRM et Windows Remote Shell pour l’exécution à distanceWMI et WMIC (locale et à distance)
Terminal Services (à distance)Microsoft Management Console (à distance)
RPC, DCOMSNMPPlanificateur de tâchesEvénements et transfert d’événementsPas de support du code managé donc pas de support de Windows PowerShell
Services de déploiement Windows(Windows Deployment Services)
Solution de déploiement pour Windows Server 2008Nouvelles technologies : WIM, IBS, WinPE
Ensemble d’outils pour personnaliser l’installationDémarrage à distance d’un environnement de pré-installation (WinPE)Notion de serveur PXESupport du multicast
Administration graphique et en ligne de commandeWdsutil.exe
Plateforme Web
Web
Objectifs
Fournir une plateforme modulaireAssurer une sécurité par défaut Disposer d’outils d’administration adaptés à tous les profilsFaciliter la collaboration administrateurs / développeursS’affranchir des restrictions existantes sur les versions antérieures
Approche modulaireInstallation personnalisable : Plus de 40 modules
Un module est soit une DLL Win32 (module natif) soit du contenu .NET 2.0 dans une assembly (module managé)Tous les modules peuvent être ajoutés, supprimés voire remplacés par des modules développés en C++ (API IIS 7.0) ou avec les API ASP.NET 2.0
Configuration unifiée
IIS7 fournit aux développeurs et administrateurs un système de configuration unifiée pour le paramétrage d’ASP.NET et de IIS 7.0 sous la forme de fichiers XML.
Pour accéder à ces fichiers, IIS 7.0 dispose d’un ensemble de codes managés et d’API de scripting permettant d’agir sur cette configuration
IIS 7.0 permet également de stocker la configuration dans un fichier web.config situé dans le même répertoire que le site ou l’application. Ce fichier peut être copié de machine à machine, simplifiant ainsi les déploiements dans des fermes de serveurs Web
Gestion des fermes web – configuration centralisée
Scénario d’usage pour les fermes de serveurs WebLes serveurs web partagent un même fichier de configurationLe fichier de configuration est accessible via un chemin UNCLes paramètres de configuration sont stockées dans le fichier redirection.configDisponible en Workgroup ou AD (compte local ou AD)
IIS7
XML
AppHost.config
IIS7
IIS7
UNC
IIS 7- Administration Plusieurs méthodes
Console Internet Information Server Manager
Outil en ligne de commande : Appcmd.exe
Edition manuelle des fichiers XML de configuration
API Administration (pour développeurs .Net)
API Administration scriptée (pour administrateurs développeurs WMI)
Délégation d’administration
La fonction de délégation dans IIS 7 permet :Le verrouillage de sections de configuration pour contrôler quels paramétrages peuvent être définis dans les fichiers web.config (en général, une section de configuration de IIS correspond à un module de IIS)De définir par site et application, les utilisateurs autorisés à utiliser la console IIS Manager pour :
Voir la configurationModifier la configuration des fonctions qui ont leur section "déverrouillée"
Sécurité de IIS 7.0IIS 7.0 a été conçu avec les mêmes exigences et fondamentaux que IIS 6.0 et améliore encore cette approche sécurité sur 3 points :
Surface d’exposition réduiteIIS 6.0 = verrouillé par défautIIS 7.0 = installation minimale par défaut
Gestion de la sécurité plus flexibleDélégation granulaire de l’administrationUtilisateur et group par défaut (Built-in)
Nouvelles fonctions de sécuritéAu revoir URLScan, bonjour Request FilteringNouveau : Hidden Namespaces
Virtualisation
Hyper-V Terminal Server
Terminal Server : Accès centralisé aux applications
Virtualisation
Terminal Services avec Windows Server 2008
Améliorer l’expérience utilisateur et enrichir les scénarios d’usages
Permettre l’accès de n’importe oùFaciliter le déploiement des applicationsOffrir un portail d’accèsAuthentification unique
NouveautésPasserelle TSApplications distantesPortail TS WebAuthentification unique (SSO)Impression (Easy Print)
Centre de données
En déplacement avec sonordinateur portable
En agenceDe la maison
TS GatewayAccès distant au bureau et applications internes
DMZ
HTTPS (TCP 443)
Internet LAN d’entreprise
Hôtel, hotspot
Pare
-feu
exte
rne
Pare
-feu
inte
rne
Partenaire / employé sur un site client
Poste de travail (avec bureau distant)
Terminal ServerTS Gateway
Active Directory TS WebLa maison
RDP dans RPC/HTTPS RDP
RDP(TCP 3389)
Les applications distantes (Remote Apps)
Applications qui s’exécutent sur le Serveur TSIntégration avec le bureau de l’utilisateur sous la forme de raccourcis
Accès aux données localesIntégration dans la barre de taches et les menusGlisser & Déplacer
Côte à côte avec les applications locales
Bénéfices:Meilleure ergonomie, diminution la complexité (bureaux multiples), Intégration avec le client RDP 6.x Gestion centralisée des applicationsDéploiement de l’application sans installation des binaires sur le poste (.msi, .rdp)
Virtualisation
Virtualisation
VirtualHard Disks
(VHD)
VM 1“Parent”
VM 2“Enfant”
VM 2“Enfant”
Plateforme de virtualisation et
de gestion
HardwareWindows Server 2003
Virtual Server 2005 R2
VM 2 VM 3
Evolution de l’offre de virtualisation Microsoft
Windows Server 2008 Hyper-V
ObjectifsAméliorer les performances : fondé sur un hyperviseurS’ouvrir de nouveaux scénarios d’usageEtendre considérablement la notion de virtualisation de périphériques
DéfinitionHyperviseur : fine couche logicielle situé sous tous les OSPartition parente : une partition qui gère ses enfantsPartitions enfants : toutes partitions qui sont démarrées, gérées et arrêtées par leur parentPile de virtualisation : la collection des composants qui s’exécutent dans la partition parente pour la gestion de la machine virtuelle
Windows Server 2008 Hyper-V
ApplicationInvité
Operating System
ApplicationInvité
Operating System
H/WVirtuel
H/WVirtuel
R2
Serveur x86/x64Assistance matérielle à la Virtualisation Intel VT/AMD-V
(32-bit et 64-bit)Windows Hypervisor
VM 1“Parent”
Disponible avec Microsoft Virtual Server 2005 R2 SP1Windows Hypervisor le supportera
Solution de virtualisation Haute performanceDisponible avec LonghornWindows Server 'Longhorn‘ Datacenter Edition : nombre illimité d’instances virtualiséesMigration depuis Microsoft Virtual Server
VM 2“Enfant”
VM 3“Enfant”
VM 4“Enfant”
Partition Parent Partition EnfantCouche de virtualisation
Windows Server 2008 Hyper-V Virtual Server
2005 R2 SP1Hyper-V
(Windows Server 2008)
Support matériel X86 et X64 X64 exclusivement avec processeurs AMD-V ou Intel VT (IVT)
Machines virtuelles (VMs) 32-bit ? Oui oui
VMs 64-bit ? Non oui
VMs multi-processeurs ? Non Oui, jusqu’à 4 cœurs
Mémoire par VM ? 3.6 Go par VM Maximum 64 Go par VM
Ajout à chaud mémoire/processeurs? Non Oui (V2)
Ajout à chaud stockage/réseau? Non Oui (V2)
Peut-être administré par System Center Virtual Machine Manager?
Oui OuiLive migration (V2)
Support de la mise en cluster Oui Oui
Scriptable/Extensible? Oui, COM Oui, interfaces WMI
Nombre de VMs actives par hôte? 64 sur x86 / 128 pour x64
192
Interface d’administration Interface Web MMC 3.0
Sécurité & respect des politiques
Sécurité
Objectifs
Améliorer la résistance du système par réduction de la surface d’exposition et des vecteurs potentiels d’attaques.
Protéger les données et les informations
Elever le niveau d’intégrité des réseaux d’entreprise
Windows Server 2008 et la sécuritéRésilience du système
Intégrité du codeRenforcement des services WindowsContrôle de l’usage des périphériquesMise à jour du système
Fonctions réseauxPare-feu bidirectionnel / IPSecNetwork Access Protection (NAP)
User Account Control (UAC)Internet Explorer 7
Filtre Anti-phishing, mode protégé
Démarrage sécurisé et chiffrement intégral de volume (BitLocker)Active Directory / Right Management ServicesCrypto Next Generation, Active Directory / Certificates Services
Amélioration de la résistance du système par réduction de la surface et
des vecteurs potentiels d’attaques.
+Protection des données et
informations
Protection des données avec BitLocker Drive Encryption
BitLocker est un moyen de chiffrer intégralement un volume sous Windows Vista et Windows Server 2008
L’objectif est de se protéger l’information contenue sur le disque en cas de vol ou d’attaque « Offline »Combiné avec l’utilisation d’un TPM (version 1.2 et plus)
En complément du RODC, BitLocker aide à réduire la surface d’attaque des serveurs hébergés dans des locaux moins sécurisés que des centres de données
Network Access Protection (NAP)
NAP est composé de composants clients et de composants serveurs qui permettent de définir l’état de conformité logicielle et système souhaité pour les ordinateurs se connectant à un réseau d’entreprise
NAP n’est pas conçu pour sécuriser un réseau vis à vis d’utilisateurs malveillants. Il a été conçu pour aider les administrateurs à maintenir la bonne santé des postes sur le réseau, ce qui permet ainsi d’assurer un meilleur niveau d’intégrité sur l’ensemble du réseau de l’entreprise
Demande d’accès ?Voici mon nouveau status
Est ce que le client doit être restreint en fonction de son status?
En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour
Puis je avoir accès ?Voici mon status actuel
En accord avec la politique, le client est à jourAccès autorisé
Architecture & principe général
Network PolicyServer
Client Network Access Device
(DHCP, VPN, 802.1xIPSec, passerelle TS)
Remediation Servers
(antivirus, système de maj de correctifs…)
Mise à jour du serveur Radius avec les politiques
en cours
Vous avez droit à un accès restreint tant que vous n’êtes pas à jour
Puis je avoir les mises à jour ?
Les voici
Réseau de l’entrepriseRéseau restreint (« quarantaine »)
Le Client obtient l’accès complet au réseau d’entreprise
System Health Servers
(défini les pré requis du client)
Mécanismes de restrictions d’accèsDHCP
Le serveur DHCP contrôle l’accès en définissant les routes et les paramètres IP du client DHCP (nécessite une mise à jour du serveur DHCP (Windows Server 2008 ou solution partenaire NAP))
802.1xPorts contrôlés vs ports non contrôlésQuarantaine par mise en place de filtres IP ou par affectation à un VLAN
VPNLes serveurs VPN contrôlent l’accès en appliquant des filtres IP ( Nécessite une authentification basée sur PEAP)
IPSecMécanisme d’isolation au niveau hôte (si vous utilisez déjà IPSec pour l’isolation de domaine ou de serveurs)
Passerelle Terminal ServerRefus de l’accès à l’application distante
SP3Client NAP
intégré
Prévu Q3 2008
Haute disponibilité
Sécurité
Objectifs
Aider l’administrateur lors de l’installation d’un cluster de ressources
Rationnaliser l’outil d’administration
Étendre les scénarios d’usage
Failover Clustering (WSFC)Améliorations dans l’installation, l’administration et la migration
Assistant de validation (nœud, réseau, stockage)Assistant de création du clusterNouvelle console d’administrationAdministration améliorée au travers de WMI
SécuritéLe service cluster n’utilise plus de compte de service mais le compte « Local System »
StabilitéNouveau modèle de quorumSupport des disques > 2 To
Et dans tout cela…
C’est quoi ces 11 bonnes raisons à migrer vers Windows 2008
• Disposer d’une plate forme Web modulaire et adaptable à vos besoins – applications, montée en charge et sécurité (IIS 7)
Web
• Consolider les serveurs (Hyper-V)
• Accéder aux applications centralisées plus simplement (Terminal Services)
Virtualisation
• Sécuriser les données et l’information (bitlocker, ADRMS)
• Contrôler les accès aux réseaux (NAP)
• Assurer la haute disponibilité des applications (WFCS)
Sécurité
• Modularité (rôles), installation minimaliste (server core)
• Rationaliser l’administration et le déploiement (PowerShell, WDS,…)
• Améliorer la prise en charge des serveurs en agence (RODC)
• Améliorer les performances réseaux (nouvelle pile TCP/IP, SMB 2.0)
• Assurer l’interopérabilité avec les solutions tierces (SUA)
Fondamentaux
Ressources utiles
Blog : http://blogs.technet.com/longhorn
La référence technique pour les IT Pros :
technet.microsoft.com
L’engagement Microsoft pour les développeurs :
msdn.microsoft.com
S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnaliséeSe former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairsBénéficier de services - Des cursus de formations et de certifications, des offres de support technique
Visual Studio 2008 +
Abonnement MSDN Premium Abonnement TechNet Plus :
Versions d’éval + 2 incidents support
Certifications : Programme de nouvelle génération
Série Architecture– le programme Microsoft Certified Architect permet aux entreprises d’identifier facilement les architectes en informatique très expérimentés, ayant suivi un processus de validation particulièrement rigoureux.
Série Métier – Ce programme valide un ensemble complet de compétences à jour, permettant au professionel de réussir dans son métier et d’être très performant.
Série Technologie – Ces certifications vous permettent d’approfondir vos connaissances sur des technologies Microsoft spécifiques et d’obtenir toutes les compétences nécessaires pour les exploiter à fond.
Master
Série Master – Ce programme valide les compétences technologiques de très haut niveau des individus sur les plateformes Microsoft
•Une certification recherchée par les entreprises
•4 séries et 5 titres adaptés et ciblés à chaque métier.
•Un label pour votre expertiseLes certifications Microsoft permettent la validation de votre expertise : une certification constitue la preuve pour vos clients ou votre société de vos compétences sur les produits et technologies Microsoft.
•Un gage de qualité pour l'entreprise
Certification : validez vos compétencesOffre de certification Seconde chance :
Bénéficiez d’un second passage gratuit pour tout 1er passage non réussi www.microsoft.com/france/formation
Guides de préparations aux examens :http://www.microsoft.com/france/formation/examens
Echangez et discutez sur les certifications sur le Forum : http://forums.microsoft.com/france/default.aspx
Contactez nous pour d’autres questions : [email protected]